受限制的网站创建由应用程序允许 SharePoint 管理员使用SharePoint Online 命令行管理程序来指定哪些第三方应用程序可以在组织中创建 SharePoint 网站。
可以在两种管理租户中应用的网站创建方式之间进行选择:拒绝模式 (指定应用无法创建网站) 和允许模式 (仅允许指定的应用) 创建网站。 为租户中的应用启用受限网站创建后,默认模式为 “拒绝”。
请记住,这些策略仅控制哪些应用可以创建新网站,不会影响用户或应用的站点访问权限。
注意
- “按应用限制 OneDrive 和 SharePoint 网站创建”功能目前处于预览状态。
- 管理员可以为以下类别的网站创建单独的配置:所有网站 (包括 OneDrives) 、所有 SharePoint 网站 (不包括 OneDrives) 、OneDrives、工作组网站 (组连接和经典) ,以及通信网站。
- “应用受限站点创建”功能具有模拟模式参数,用于测试策略配置的假设方案。 -受限的应用网站创建功能仅影响第三方应用。 第一方应用目前不受影响。
通过应用限制 OneDrive 和 SharePoint 网站创建需要什么?
许可证要求是什么?
组织需要拥有适当的许可证并满足某些管理权限或角色才能使用本文中所述的功能。
首先,组织必须具有以下基本许可证之一:
- Office 365 E3、E5 或 A5
- Microsoft 365 E1、E3、E5 或 A5
此外,至少需要以下许可证之一:
- 智能 Microsoft 365 Copilot 副驾驶®许可证:至少必须为组织中的一个用户分配 Copilot 许可证, (此用户不需要是 sharePoint 管理员) 。
- Microsoft SharePoint 高级管理许可证: 作为独立购买提供。
管理员要求
您必须是 SharePoint 管理员 或具有等效权限。
其他信息
如果你的组织具有 Copilot 许可证,并且至少为组织中的一个人分配了 Copilot 许可证,则 SharePoint 管理员会自动获得对 Copilot 部署所需的 SharePoint 高级管理功能的访问权限。
对于没有 Copilot 许可证的组织,可以通过购买独立的 SharePoint 高级管理许可证来使用 SharePoint 高级管理功能。
此外,若要对应用使用受限网站创建,需要:
下载并安装最新版本的 Microsoft Office SharePoint Online 命令行管理程序。
请确保你可以配置允许创建 SharePoint 网站的应用。
使用 SharePoint Online 命令行管理程序 管理应用的受限网站创建
您必须是 SharePoint 管理员或在 Microsoft 365 中具有等效权限,才能运行SharePoint Online 命令行管理程序管理员脚本。
在使用本文中的脚本之前,需要执行以下步骤:
- 如果尚未下载,请下载最新的SharePoint Online 命令行管理程序。
注意
如果安装了以前版本的SharePoint Online 命令行管理程序,请转到添加或删除程序,然后首先卸载“SharePoint Online 命令行管理程序”。 然后,安装最新版本。
- 以 SharePoint 管理员身份或在 Microsoft 365 Microsoft 365 中具有等效权限连接到 SharePoint。 若要了解如何作,请参阅SharePoint Online 命令行管理程序入门。
PowerShell 命令概述
| 函数 | 命令 |
|---|---|
| 启用站点访问限制 | Set-SPORestrictedSiteCreationForApps –Enabled $true |
| 将模式指定为“允许”或“拒绝” | Set-SPORestrictedSiteCreationForApps –Mode Allow Set-SPORestrictedSiteCreationForApps –Mode Deny |
| 添加/重新配置应用 ID 列表 | Set-SPORestrictedSiteCreationForApps -SiteType <SiteType> -RestrictedSiteCreationApps <comma separated app IDs> |
| 查看应用 ID 列表 | Get-SPORestrictedSiteCreationForApps -SiteType <SiteType> |
若要获取应用 ID,请执行以下步骤:
至少以云应用程序管理员身份登录到Microsoft Entra 管理中心。
浏览到 Entra ID>Enterprise 应用>所有应用程序。
选择所需的应用程序,并查看其应用程序 ID。
注意
此功能仅限制第三方应用;它不会影响 第一方应用。
用于为应用创建受限网站的网站类型
更新和查看应用 ID 列表时,需要指定 SiteType 参数。 下面是 SiteType 参数列表:
| 网站类型 | 适用对象 |
|---|---|
| 全部 | OneDrive 和所有 SharePoint 网站 |
| SharePoint | 所有 SharePoint 网站 (但不是 OneDrive) |
| OneDrive | 仅 OneDrive |
| 团队 | 仅 SharePoint 团队网站 (组连接和经典) |
| 通信 | 仅 SharePoint 通信网站 |
注意
“所有网站” 包括除下表中列出的任何模板以外的所有网站。 “所有网站”SiteType 将替代所有其他站点。
| 类型 | 模板名称 | 模板 ID | Reason |
|---|---|---|---|
| SharePoint Embedded | CSPCONTAINER | 70 | SharePoint Embedded 体验是单独管理的 |
| 重定向网站 | REDIRECTSITE | 301 | 关键 SharePoint 功能 |
| 我的网站宿主 | MYSITEHOST | 54 | 核心站点 |
| 租户管理员 | TENANTADMIN | 16 | 核心站点 |
应用受限网站创建拒绝和允许模式的工作原理
应用模式的受限网站创建在所有网站类型策略之间共享。 不能对一种网站类型使用拒绝模式,而对其他网站类型使用允许模式。
当应用的受限网站创建处于 拒绝 模式时,如果应用的应用 ID 位于配置了任何网站类型的任何列表中,则会阻止应用创建网站,这适用于它尝试创建的网站。 例如,如果某个应用程序 ID 位于配置了 All、SharePoint 或 Communication 网站类型的任何列表中,则阻止其创建 SharePoint 通信网站。
当应用的受限网站创建处于 允许 模式时,仅当应用的应用 ID 位于配置了网站类型的列表中时,应用才允许创建网站,该类型适用于它尝试创建的网站。 例如,如果应用的应用 ID 位于配置了 All 或 OneDrive 网站类型的列表中,则应用可以创建 OneDrive。
为应用启用受限网站创建
SharePoint Online 命令行管理程序Set-SPORestrictedSiteCreationForApps –Enabled $true中的 cmdlet 允许管理员为租户启用受限网站创建功能和策略。
例如:Set-SPORestrictedSiteCreationForApps –Enabled $true
将模式指定为“允许”或“拒绝”
可以指定允许 (使用参数 Allow) 或不允许的应用, (使用参数 Deny) 创建特定类型的网站。
示例:将应用的受限网站创建模式设置为“允许”
Set-SPORestrictedSiteCreationForApps –Enabled:$true –Mode Allow
注意
从拒绝翻转为允许模式会提示一条消息:“是否确实要从拒绝切换到允许? 切换将删除所有当前配置的限制。” 从允许模式切换到拒绝模式时,也会出现类似的消息。
在应用列表中设置应用 ID
在“受限网站应用”列表中设置应用 ID 时,命令会将当前列表替换为指定的应用 ID。 不能添加或删除单个应用 ID-每次运行 命令都会将以前的列表替换为该网站类型的新列表。 若要避免删除其他应用的访问权限,请始终在命令中包含要允许的所有应用 ID。
示例 1:若要仅允许具有 ID 281e395b-7316-4cb2-b5bb-8881426ee411 的应用创建所有网站,请在 SharePoint Online 命令行管理程序 中运行以下命令:
Set-SPORestrictedSiteCreationForApps –SiteType "All" -RestrictedSiteCreationApps "281e395b-7316-4cb2-b5bb-8881426ee411"
此命令仅将现有列表替换为指定的应用 ID。 只有此应用才能创建类型为“All”的网站。
示例 2:若要更新允许创建团队网站的应用 ID 列表,请在 SharePoint Online 命令行管理程序 中使用以下命令:
Set-SPORestrictedSiteCreationForApps –SiteType "Team" -RestrictedSiteCreationApps "78159241-04a9-41d2-8dd4-ac568e9766a3,1f95829b-e1c8-4406-b2be-508c36f4bca5"
此命令仅将团队网站允许的应用列表替换为指定的应用 ID。
示例 3:若要控制哪些应用可以创建通信网站,请使用空的应用 ID 列表 ("") Set-SPORestrictedSiteCreationForApps 命令:
Set-SPORestrictedSiteCreationForApps –SiteType "Communication" -RestrictedSiteCreationApps ""
- 允许模式: 任何应用都无法创建通信网站。
- 拒绝模式: 所有应用都可以创建通信网站。
此命令基于当前模式 (允许或拒绝) 设置策略,并将其应用于通信站点。 将应用 ID“”添加到允许创建通信网站的应用列表 - 这意味着:
查看应用 ID 列表
可以通过运行 Get 命令,在“受限网站应用”列表中查看受限或允许的应用。 默认情况下,此命令包括所有配置。
可以在不带任何参数的情况下运行 Get-SPORestrictedSiteCreationForApps ,以返回值:Enabled、 Mode和匹配每个网站类型与其配置的应用 ID 的字典。
还可以运行筛选依据 -SiteType 的此命令,以返回特定网站类型的应用 ID:
Get-SPORestrictedSiteCreationForApps -SiteType <SiteType>
示例:查看可创建所有网站的所有应用 ID。
Get-SPORestrictedSiteCreationForApps –SiteType All