Ereditarietà delle autorizzazioni in SharePoint

Anche se SharePoint consente una notevole personalizzazione delle autorizzazioni del sito, inclusa la modifica dell'ereditarietà, è consigliabile non interrompere l'ereditarietà. Usare i gruppi predefiniti di SharePoint per i siti di comunicazione e gestire le autorizzazioni del sito del team tramite il gruppo di Microsoft 365 associato. Usare i collegamenti di condivisione per condividere singoli file e cartelle con persone esterne al sito. In questo modo l'amministrazione risulta molto più semplice. Per informazioni sulla gestione delle autorizzazioni nell'esperienza moderna di SharePoint, vedere Condivisione e autorizzazioni nell'esperienza moderna di SharePoint.

Che cos’è l'ereditarietà delle autorizzazioni?

L'ereditarietà delle autorizzazioni significa che le impostazioni di autorizzazione di un elemento in una raccolta siti vengono passate agli elementi figlio di tale elemento. In questo modo, i siti ereditano le autorizzazioni dal sito di primo livello ("radice") della raccolta siti, le raccolte ereditano dal sito che contiene la raccolta e così via. L'ereditarietà delle autorizzazioni consente di eseguire un'assegnazione di autorizzazioni una sola volta e di applicare tale autorizzazione a tutti i siti, elenchi, raccolte, cartelle ed elementi che ereditano le autorizzazioni. Questo comportamento può ridurre la complessità e la quantità di tempo che gli amministratori e i proprietari della raccolta siti dedicano alla gestione della sicurezza.

Per impostazione predefinita, i siti di SharePoint ereditano le autorizzazioni da un sito padre. Ciò significa che quando si assegna un utente al gruppo Membri, le autorizzazioni dell'utente si propagano automaticamente in tutti i siti, gli elenchi, le raccolte, le cartelle e gli elementi che ereditano il livello di autorizzazione.

Che cos'è un elemento padre nelle autorizzazioni di SharePoint?

Il termine padre, se usato nelle autorizzazioni di SharePoint, è solo un modo per enfatizzare l'ereditarietà. L'elemento padre passa le impostazioni di autorizzazione a tutti gli elementi figlio. Per impostazione predefinita, il sito radice di una raccolta siti è il primo elemento padre per tutti i siti e gli altri oggetti sottostanti nella gerarchia del sito.

Il sito radice di una raccolta siti non è l'unico padre. Ogni oggetto a protezione diretta (siti, raccolte, elenchi e così via) in una raccolta siti può essere un elemento padre. Ovvero, il sito radice è l'elemento padre dei relativi siti secondari, ogni sito è l'elemento padre delle librerie e degli elenchi e ogni elenco è l'elemento padre degli elementi dell'elenco in esso contenuti. In questa terminologia, un oggetto con un elemento padre è noto come figlio. Un sito secondario è quindi l'elemento figlio del sito padre, una voce di elenco è l'elemento figlio dell'elemento padre dell'elenco e così via.

Importante

È consigliabile creare una raccolta siti per ogni unità di lavoro invece di usare i siti secondari per creare una struttura gerarchica. Informazioni sull'uso dei siti hub per organizzare la intranet

Per impostazione predefinita, le autorizzazioni vengono ereditate da padre a figlio. Ovvero, se non si modifica la struttura delle autorizzazioni, un elemento elenco eredita le autorizzazioni (tramite l'elenco padre) dal sito radice della raccolta. Tuttavia, anche se si interrompe l'ereditarietà per un elenco, tale elenco è ancora un elemento padre per le proprie voci di elenco. Gli elementi dell'elenco ereditano le autorizzazioni dell'elenco e, se si modificano le autorizzazioni per l'elenco, gli elementi dell'elenco ereditano le modifiche.

Quando si interrompe per la prima volta questa catena di ereditarietà da padre a figlio, l'elemento figlio inizia con una copia delle autorizzazioni dell'elemento padre. Modificare quindi queste autorizzazioni per renderle nel modo desiderato. È possibile aggiungere autorizzazioni, rimuovere autorizzazioni, creare gruppi speciali e così via. Nessuna delle modifiche influisce sull'elemento padre originale. E, se si decide che l'ereditarietà di interruzione è stata la decisione sbagliata, è possibile riprendere a ereditare le autorizzazioni in qualsiasi momento.

Quando un utente condivide o interrompe la condivisione di un elemento che contiene altri elementi con ereditarietà interrotta, viene inviato un push una tantum di tale aggiunta o rimozione di autorizzazioni a tutti gli elementi figlio, anche quelli con ereditarietà interrotta. Questo vale sia per le autorizzazioni dirette che per i collegamenti di condivisione. Quando si gestiscono le autorizzazioni per un elemento con ereditarietà interrotta, gli utenti sono in grado di rimuovere le autorizzazioni dirette. Se un elemento con ereditarietà interrotta è accessibile da un collegamento di condivisione creato in una delle relative cartelle padre e un utente non vuole che tale collegamento conceda l'accesso all'elemento, gli utenti possono rimuovere completamente il collegamento o spostare il file all'esterno della cartella per cui il collegamento di condivisione dispone delle autorizzazioni.

Altre informazioni sull'ereditarietà delle autorizzazioni

L'ereditarietà delle autorizzazioni consente a un amministratore di assegnare i livelli di autorizzazione contemporaneamente e di applicare le autorizzazioni in tutta la raccolta siti. Le autorizzazioni passano da padre a figlio in tutta la gerarchia di SharePoint, dal livello superiore di un sito alla parte inferiore. L'ereditarietà delle autorizzazioni può risparmiare tempo per gli amministratori del sito, in particolare nelle raccolte siti di grandi dimensioni o complesse.

Tuttavia, alcuni scenari hanno requisiti diversi. In uno scenario potrebbe essere necessario limitare l'accesso a un sito perché contiene informazioni riservate che è necessario proteggere. In uno scenario diverso, è possibile espandere l'accesso e invitare altri utenti a condividere informazioni. Se si desidera, è possibile interrompere il comportamento di ereditarietà (interrompere l'ereditarietà delle autorizzazioni) a qualsiasi livello della gerarchia.

Verranno ora esaminati alcuni esempi di questi diversi scenari.

Si supponga di avere una società denominata Northwind Traders. Si crea un sito di comunicazione denominato "Vantaggi" con l'URL northwindtraders.sharepoint.com/sites/benefits. Nella radice della raccolta siti si configurano i gruppi di SharePoint, si assegnano i livelli di autorizzazione e si aggiungono utenti ai gruppi.

Si supponga quindi di creare siti secondari per il sito "Vantaggi", ad esempio "Assistenza sanitaria" (northwindtraders.sharepoint.com/sites/benefits/healthcare) e "Ritiro" (northwindtraders.sharepoint.com/sites/benefits/retirement). Questi siti secondari potrebbero anche contenere più siti secondari. Ad esempio, il sito secondario "Assistenza sanitaria" potrebbe avere un sito secondario "Dental" (northwindtraders.sharepoint.com/sites/benefits/healthcare/dental).

Scenario che usa il comportamento predefinito

Per impostazione predefinita, le autorizzazioni passano direttamente ai siti secondari. Ovvero, i gruppi e i livelli di autorizzazione assegnati alla radice della raccolta siti passano automaticamente al sito secondario per il riutilizzo.

Scenario che limita l'accesso a un sito e ai relativi elementi figlio

Si supponga che l'azienda offra vantaggi speciali solo per i dirigenti. In questo caso, gli amministratori decidono di separare il sito secondario "Executive" e interrompere l'ereditarietà dal sito padre, "Vantaggi".

I proprietari del sito per il sito "Executive" modificano le autorizzazioni per il sito, rimuovendo alcuni gruppi e creando altri. I siti secondari del sito "Executive", "Bonus" e "Trasporto aziendale", ereditano ora le autorizzazioni solo dal sito secondario "Executive". Solo i gruppi e gli utenti per "Executive" possono accedere agli elenchi e alle librerie che contengono informazioni riservate.

Per semplificare la manutenzione, è consigliabile usare un metodo simile per limitare l'accesso. Ovvero, organizzare il sito in modo che il materiale sensibile si trova nello stesso posto. Se si organizza il sito in questo modo, è necessario interrompere l'ereditarietà una sola volta, per tale sito o raccolta specifica. Questo è molto meno sovraccarico. Richiede molto meno lavoro rispetto alla creazione di strutture di autorizzazione separate in molte posizioni per singoli siti secondari e librerie.

Scenario che condivide l'accesso a una cartella e ai relativi elementi figlio

Si supponga che un dipendente di Northwind Traders abbia assunto consulenti e voglia collaborare con loro sui documenti in SharePoint. Il dipendente non vuole concedere ai consulenti l'accesso a nient'altro nel sito di SharePoint.

Quando il dipendente condivide la cartella con i consulenti, SharePoint gestisce automaticamente tutti i dettagli delle autorizzazioni e dell'accesso, interrompendo l'ereditarietà nella cartella stessa. I consulenti possono accedere a tutti i documenti nella cartella, ma non possono visualizzare o accedere ad altre informazioni sul sito. Anche se l'ereditarietà è tecnicamente interrotta, se gli utenti vengono successivamente aggiunti alla raccolta siti padre, gli verrà concessa automaticamente l'autorizzazione per la cartella condivisa.