你可以透過使用網站存取限制政策,將個別使用者的 OneDrive 內容存取權限限制為安全群組或 Microsoft 365 群組中的使用者。 不在指定群組中的使用者無法存取內容,即使他們事先有權限或分享連結。
此政策是透過 Microsoft Entra 安全群組或 Microsoft 365 群組來執行,這些群組包含了應該能存取該 OneDrive 檔案的人員。
當該政策套用時,指定群組中的人不會直接獲得任何檔案的權限。 OneDrive 擁有者必須像平常一樣分享內容。 網站存取限制政策會阻止任何不在安全群組或 Microsoft 365 群組的人存取 OneDrive 內容,即使內容是與他們共享的。
存取限制政策會在使用者嘗試存取檔案時套用。 使用者若擁有檔案的直接權限,仍可在搜尋結果中看到檔案,但若不屬於指定群組,將無法存取該檔案。
你也可以限制 OneDrive 服務本身的存取權限,僅限於安全群組中的人。 更多資訊請參閱「 依安全群組限制 OneDrive 存取」。
你需要什麼來限制特定的 OneDrive 存取?
執照要求是什麼?
您的組織需要擁有正確的授權,並符合某些管理權限或角色,才能使用本文所述的功能。
首先,您的組織必須擁有以下其中一種基本授權:
- Office 365 E3、E5 或 A5
- Microsoft 365 E1、E3、E5 或 A5
此外,你至少需要以下一項執照:
- Microsoft 365 Copilot授權:組織中至少有一位使用者必須被指派 Copilot 授權 (該使用者不必是 SharePoint 管理員) 。
- Microsoft SharePoint 進階管理授權: 可單獨購買。
管理員要求
你必須是 SharePoint 管理員 或擁有同等權限。
其他資訊
如果您的組織擁有 Copilot 執照,且至少有一人被指派 Copilot 執照,SharePoint 管理員會自動取得 Copilot 部署所需的 SharePoint 進階管理功能。
對於沒有 Copilot 授權的組織,你可以 購買獨立的 SharePoint 進階管理授權,使用 SharePoint 進階管理功能。
為您的組織啟用網站存取限制
您必須先為您的組織啟用網站存取限制,才能為使用者的 OneDrive 設定。
要在 SharePoint 管理中心啟用組織的網站存取限制:
展開 政策 並選擇 存取控制。
選擇 網站存取限制。
選擇 「允許存取限制 」,然後選擇 「儲存」。
要啟用使用 PowerShell 的組織網站存取限制,請執行以下指令:
Set-SPOTenant -EnableRestrictedAccessControl $true
指令生效可能需要長達一小時。
注意事項
對於 Microsoft 365 多地理使用者,請分別執行此指令,針對每個想要的地理位置。
限制使用者 OneDrive 內容的存取
每個 OneDrive 最多可指派 10 個 Microsoft Entra 安全或 Microsoft 365 群組。 一旦加入群組,只有群組中的使用者能存取該 OneDrive 中已分享的內容。 如果你想根據使用者屬性來建立群組成員資格,可以使用 動態安全群組 。
重要事項
OneDrive 的擁有者必須包含在你指定的安全群組或 Microsoft 365 群組中,否則他們將失去對 OneDrive 及其內容的存取權。
要管理 OneDrive 的存取限制,請使用以下指令:
| 動作 | PowerShell 命令 |
|---|---|
| 啟用特定 OneDrive 的存取限制。 (在新增安全性或Microsoft 365 群組前執行此指令。) | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Add security/ Microsoft 365 群組 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 編輯 security/ Microsoft 365 群組 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| View security/Microsoft 365 群組 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 移除安全性/Microsoft 365 群組 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 重設網站存取限制 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
有限制網站存取政策的網站共享
根據受限存取控制政策,不允許的使用者和群組可以被阻擋 OneDrive 網站的分享。
分享控制功能預設是被關閉的。 要啟用此功能,請以管理員身份在 SharePoint Online 管理命令介面中執行以下 PowerShell 指令:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
與使用者分享
僅允許與受限制存取控制群組的使用者分享。 以下將封鎖與受限制存取控制群組以外的任何人分享:
與團體分享
允許與 Microsoft Entra Security 或 Microsoft 365 群組共享,這些群組屬於受限制存取控制群組清單的一部分。 因此,不允許與所有其他群組,包括除外部使用者或 SharePoint 群組外的所有人共享。
注意事項
目前,限制存取控制群組中巢狀安全群組不允許分享網站及其內容。 這項支援將在下一版本版本中加入。
設定 了解更多連結以獲取存取拒絕錯誤頁面
請設定您的「了解更多」連結,通知因網站存取控制政策而被拒絕存取 OneDrive 網站的使用者。 透過這個可自訂的錯誤連結,你可以為使用者提供更多資訊與指引。
注意事項
「了解更多」連結是一個租戶層級設定,適用於所有啟用受限制存取控制政策的 OneDrive 網站。
要設定連結,請在 SharePoint PowerShell 中執行以下指令:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink "<Learn more URL>"
要取得連結的值,請執行以下指令:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
當使用者選擇「 了解您組織政策」 連結時,已設定的「了解更多」連結會啟動。
限制網站存取政策洞察
作為 IT 管理員,您可以查看以下報告,以深入了解受限制網站存取政策保護的 OneDrive 網站:
- 受限制網站存取政策 (RACProtectedSites)
- 因網站存取受限而被拒絕存取的詳細資訊 (ActionsBlockedByPolicy)
注意事項
產生每份報告可能需要幾個小時。
受限制存取政策保護的網站報告
你可以在 SharePoint PowerShell 中執行以下指令來產生、檢視及下載報告:
| 動作 | PowerShell 命令 | 描述 |
|---|---|---|
| 產生報告 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
產生受限制網站存取政策保護的網站清單 |
| 查看報告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
報告顯示受該政策保護的前100個頁面瀏覽量最高的網站。 |
| 下載報告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
此指令必須以管理員身份執行。 下載的報告位於執行指令的路徑上。 |
| 受限制存取保護的網站比例報告 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
本報告顯示受該政策保護的網站佔總據點數的百分比 |
因網站存取政策受限而被拒絕存取
你可以執行以下指令來建立、擷取並查看因網站存取受限而被拒絕存取的報告:
| 動作 | PowerShell 命令 | 描述 |
|---|---|---|
| 建立存取拒絕報告 | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
建立一份新的報告以取得存取拒絕的詳細資訊 |
| 取回存取拒絕報告狀態 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
取得產生報告的狀態。 |
| 過去28天內最新的存取拒絕 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
取得過去28天內最近100起存取拒絕的清單 |
| 查看被拒絕存取的頂尖用戶名單 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
獲得前 100 位最多存取拒絕用戶的名單 |
| 查看收到最多存取拒絕的熱門網站列表 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
獲得前100個最多存取拒絕網站的清單 |
| 不同類型網站間的存取拒絕分布 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
顯示不同類型網站間存取拒絕的分布 |
注意事項
要查看最多10,000件拒絕申請,您必須下載相關報告。 以管理員身份執行下載指令,下載的報告會顯示在執行指令的路徑上。
稽核
審核事件可在 Microsoft Purview 入口網站提供,協助您監控網站存取限制活動。 審計事件記錄於以下活動:
- 為網站套用存取限制
- 移除網站存取限制
- 更改網站存取限制群組