Limitare l'accesso al sito di SharePoint con i gruppi di Microsoft 365 e i gruppi di sicurezza Entra

Alcune funzionalità di questo articolo richiedono Microsoft SharePoint Premium - Gestione avanzata di SharePoint

È possibile limitare l'accesso ai siti e al contenuto di SharePoint agli utenti di un gruppo specifico usando criteri di restrizione dell'accesso al sito. Gli utenti che non fanno parte del gruppo specificato non possono accedere al sito o al relativo contenuto, anche se avevano autorizzazioni precedenti o un collegamento condiviso. Questo criterio può essere usato con i siti connessi al gruppo, connessi a Teams e non connessi al gruppo di Microsoft 365.

I criteri di restrizione dell'accesso al sito vengono applicati quando un utente tenta di aprire un sito o di accedere a un file. Gli utenti con autorizzazioni dirette per il file possono comunque visualizzare i file nei risultati della ricerca. Tuttavia, non possono accedere ai file se non fanno parte del gruppo specificato.

La limitazione dell'accesso al sito tramite l'appartenenza a gruppi può ridurre al minimo il rischio di sovrasollamento del contenuto. Per informazioni dettagliate sulla condivisione dei dati, vedere Report sulla governance dell'accesso ai dati.

Prerequisiti

I criteri di restrizione dell'accesso al sito richiedono Microsoft SharePoint Premium - Gestione avanzata SharePoint.

Abilitare la restrizione di accesso a livello di sito per l'organizzazione

È necessario abilitare la restrizione di accesso a livello di sito per l'organizzazione prima di poterla configurare per i singoli siti.

Per abilitare la restrizione di accesso a livello di sito per l'organizzazione nell'interfaccia di amministrazione di SharePoint:

  1. Espandere Criteri e selezionare Controllo di accesso.

  2. Selezionare Restrizione di accesso a livello di sito.

  3. Selezionare Consenti restrizione di accesso e quindi selezionare Salva.

    screenshot della restrizione di accesso al sito nel dashboard dell'interfaccia di amministrazione di SharePoint.

Per abilitare la restrizione di accesso a livello di sito per l'organizzazione tramite PowerShell, eseguire il comando seguente:

Set-SPOTenant -EnableRestrictedAccessControl $true

L'effetto del comando potrebbe richiedere fino a un'ora

Nota

Per gli utenti di Microsoft 365 Multi-Geo, eseguire questo comando separatamente per ogni posizione geografica desiderata.

Limitare l'accesso ai siti connessi al gruppo (Gruppi di Microsoft 365 e Teams)

I criteri di restrizione dell'accesso al sito per i siti connessi al gruppo limitano l'accesso al sito di SharePoint ai membri del gruppo o del team di Microsoft 365 associato al sito.

Per gestire la restrizione di accesso al sito per un sito connesso al gruppo nell'interfaccia di amministrazione di SharePoint

  1. Nell'interfaccia di amministrazione di SharePoint espandere Siti e selezionare Siti attivi.
  2. Selezionare il sito da gestire e viene visualizzato il pannello dei dettagli del sito.
  3. Nella scheda Impostazioni selezionare Modifica nella sezione Accesso al sito con restrizioni .
  4. Selezionare la casella Limita accesso a questo sito e selezionare Salva.

Per gestire la restrizione di accesso al sito per i siti connessi al gruppo tramite PowerShell, usare i comandi seguenti:

Azione Comando PowerShell
Abilitare la restrizione di accesso al sito per il sito connesso al gruppo Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Visualizzare la restrizione di accesso al sito per il sito connesso al gruppo Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl
Disabilitare la restrizione di accesso al sito per il sito connesso al gruppo Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false

Nota

Dopo aver abilitato i criteri per un sito, il proprietario del sito può visualizzare i dettagli del modo in cui i criteri di restrizione dell'accesso al sito influiscono sul sito.

Per i siti connessi al gruppo, lo stato dei criteri e i dettagli del gruppo di controllo configurato vengono visualizzati nei pannelli Informazioni sito e Autorizzazioni .

screenshot della pagina delle informazioni sul sito per il controllo degli accessi con restrizioni.

screenshot della pagina delle autorizzazioni del sito per il controllo degli accessi con restrizioni.

Limitare l'accesso al sito a siti non connessi a gruppi

È possibile limitare l'accesso ai siti non connessi a gruppi specificando i gruppi di sicurezza Entra o i gruppi di Microsoft 365 che contengono le persone a cui deve essere consentito l'accesso al sito. È possibile configurare fino a 10 gruppi di sicurezza Entra o gruppi di Microsoft 365. Dopo l'applicazione dei criteri, agli utenti del gruppo specificato con autorizzazioni di accesso al sito viene concesso l'accesso al sito e al relativo contenuto. È possibile usare i gruppi di sicurezza dinamici se si vuole basare l'appartenenza ai gruppi sulle proprietà utente.

Per gestire l'accesso al sito a un sito connesso non di gruppo:

  1. Nell'interfaccia di amministrazione di SharePoint espandere Siti e selezionare Siti attivi.

  2. Selezionare il sito da gestire e viene visualizzato il pannello dei dettagli del sito.

  3. Nella scheda Impostazioni selezionare Modifica nella sezione Accesso al sito con restrizioni .

  4. Selezionare la casella di controllo Limita l'accesso al sito di SharePoint solo agli utenti nei gruppi specificati .

  5. Aggiungere o rimuovere i gruppi di sicurezza o i gruppi di Microsoft 365 e selezionare Salva.

    Affinché la restrizione di accesso al sito venga applicata al sito, è necessario aggiungere almeno un gruppo ai criteri di restrizione dell'accesso al sito.

    screenshot che mostra i gruppi di sicurezza delle restrizioni di accesso al sito aggiunti a siti connessi non di gruppo.

Per gestire la restrizione di accesso al sito per i siti connessi non di gruppo tramite PowerShell, usare i comandi seguenti:

Azione Comando PowerShell
Abilitare la restrizione di accesso al sito Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Aggiunta di un gruppo Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
Modifica gruppo Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
Visualizzare il gruppo Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups
Rimuovi gruppo Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
Reimpostare la restrizione di accesso al sito Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl

Dopo aver abilitato i criteri per i siti di comunicazione, lo stato dei criteri e tutti i gruppi di controllo configurati vengono visualizzati per i proprietari del sito nel pannello di accesso al sito oltre ai pannelli Informazioni sito e Autorizzazioni .

screenshot del pannello di accesso al sito per il controllo di accesso con restrizioni.

Siti di canale condivisi e privati

I siti di canale condivisi e privati sono separati dal sito connesso al gruppo di Microsoft 365 usato dai canali standard. Poiché i siti di canale condivisi e privati non sono connessi al gruppo di Microsoft 365, i criteri di restrizione dell'accesso al sito applicati al team non li influiscono. È necessario abilitare la restrizione di accesso al sito per ogni sito di canale condiviso o privato separatamente come siti connessi non di gruppo.

Per i siti di canale condiviso, solo gli utenti interni nel tenant delle risorse sono soggetti a restrizioni di accesso al sito. I partecipanti al canale esterno vengono esclusi dai criteri di restrizione dell'accesso al sito e valutati solo in base alle autorizzazioni del sito esistenti del sito.

Importante

L'aggiunta di persone al gruppo di sicurezza o al gruppo di Microsoft 365 non consente agli utenti di accedere al canale in Teams. È consigliabile aggiungere o rimuovere gli stessi utenti del canale teams in Teams e nel gruppo di sicurezza o nel gruppo di Microsoft 365 in modo che gli utenti abbiano accesso sia a Teams che a SharePoint.

Condivisione di siti con criteri di accesso al sito con restrizioni

La condivisione dei siti di SharePoint e del relativo contenuto può essere bloccata con utenti e gruppi non consentiti in base ai criteri di controllo di accesso con restrizioni.

La funzionalità di controllo di condivisione è disabilitata per impostazione predefinita. Per abilitarlo, eseguire il comando di PowerShell seguente in SharePoint Online Management Shell come amministratore:

Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false 

Condivisione con gli utenti

La condivisione è consentita solo con gli utenti che fanno parte di gruppi di controllo di accesso con restrizioni. La condivisione verrà bloccata con tutti gli utenti esterni ai gruppi di controllo di accesso con restrizioni, come illustrato di seguito:

Screenshot della condivisione con gli utenti.

Condivisione con gruppi

La condivisione è consentita con i gruppi Microsoft Entra Security o M365 che fanno parte dell'elenco di gruppi di controllo di accesso con restrizioni. Pertanto, la condivisione con tutti gli altri gruppi, inclusi Tutti tranne gli utenti esterni o i gruppi di SharePoint, non sarà consentita.

Screenshot della condivisione con i gruppi.

Nota

Attualmente, la condivisione di un sito e del relativo contenuto non sarà consentita per i gruppi di sicurezza annidati che fanno parte dei gruppi di controllo di accesso con restrizioni. Questo supporto verrà aggiunto nell'iterazione della versione successiva.

Configurare il collegamento altre informazioni per informare gli utenti a cui è stato negato l'accesso a un sito di SharePoint a causa dei criteri di controllo di accesso al sito con restrizioni. Con questo collegamento di errore personalizzabile, è possibile fornire altre informazioni e indicazioni agli utenti.

Nota

Il collegamento Altre informazioni è un'impostazione a livello di tenant che si applica a tutti i siti in cui sono abilitati criteri di controllo di accesso con restrizioni.

Per configurare il collegamento, eseguire il comando seguente in SharePoint PowerShell:

Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>” 

Per recuperare il valore del collegamento, eseguire il comando seguente:

Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink 

Il collegamento per altre informazioni configurato viene avviato quando l'utente seleziona il collegamento Informazioni sui criteri dell'organizzazione qui .

Screenshot che mostra altri collegamenti per il controllo di accesso con restrizioni

Informazioni dettagliate sui criteri di accesso al sito con restrizioni

In qualità di amministratore IT, è possibile visualizzare i report seguenti per ottenere informazioni più dettagliate sui siti di SharePoint protetti con criteri di accesso al sito con restrizioni:

  • Siti protetti da criteri di accesso ai siti con restrizioni (RACProtectedSites)
  • Dettagli delle negazioni di accesso dovute all'accesso limitato al sito (ActionsBlockedByPolicy)

Nota

La generazione di ogni report può richiedere alcune ore.

Report dei siti protetti da criteri di accesso ai siti con restrizioni

È possibile eseguire i comandi seguenti in SharePoint PowerShell per generare, visualizzare e scaricare i report:

Azione Comando PowerShell Descrizione
Generare report Start-SPORestrictedAccessForSitesInsights -RACProtectedSites Genera un elenco di siti protetti da criteri di accesso ai siti con restrizioni
Visualizzare il report Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> Il report mostra i primi 100 siti con le visualizzazioni di pagina più alte protette dai criteri.
Scaricare il report Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download Questo comando deve essere eseguito come amministratore. Il report scaricato si trova nel percorso in cui è stato eseguito il comando.
Percentuale di siti protetti con report di accesso al sito con restrizioni Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary Questo report mostra la percentuale di siti protetti dai criteri sul numero totale di siti

Access denials a causa di criteri di accesso al sito con restrizioni

È possibile eseguire i comandi seguenti per creare, recuperare e visualizzare report per attacchi denial di accesso a causa di report di accesso al sito con restrizioni:

Azione Comando PowerShell Descrizione
Creare un report access denials Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Crea un nuovo report per il recupero dei dettagli di negazione di accesso
Recuperare lo stato del report access denials Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Recupera lo stato del report generato.
Negazioni di accesso più recenti negli ultimi 28 giorni Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials Ottiene un elenco dei 100 access denial più recenti che si sono verificati negli ultimi 28 giorni
Visualizzare l'elenco dei principali utenti a cui è stato negato l'accesso Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers Ottiene un elenco dei primi 100 utenti che hanno ricevuto il maggior numero di access denial
Visualizzare l'elenco dei siti principali che hanno ricevuto il maggior numero di denial di accesso Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites Ottiene un elenco dei primi 100 siti con il maggior numero di access denial
Distribuzione di negazioni di accesso tra diversi tipi di siti Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution Mostra la distribuzione di access denial tra diversi tipi di siti

Nota

Per visualizzare fino a 10.000 negazioni, è necessario scaricare i report. Eseguire il comando di download come amministratore e i report scaricati si troveranno nel percorso da cui è stato eseguito il comando.

Controllo

Gli eventi di controllo sono disponibili nel portale di conformità di Purview per monitorare le attività di restrizione dell'accesso al sito. Gli eventi di controllo vengono registrati per le attività seguenti:

  • Applicazione della restrizione di accesso al sito per il sito
  • Rimozione della restrizione di accesso al sito per il sito
  • Modifica dei gruppi di restrizioni di accesso al sito per il sito

Criteri di accesso condizionale per siti di SharePoint e OneDrive

Report sulla governance dell'accesso ai dati