Limitare l'accesso al sito di SharePoint con gruppi di Microsoft 365 e gruppi di sicurezza Microsoft Entra

Il controllo degli accessi ai siti con restrizioni consente di evitare la sovrasciezione designando l'accesso dei siti di SharePoint e del relativo contenuto agli utenti di un gruppo specifico. Gli utenti che non fanno parte del gruppo specificato non possono accedere al sito o al relativo contenuto, anche se avevano autorizzazioni precedenti o un collegamento condiviso. È possibile applicare questo criterio ai siti connessi a gruppi, a Teams e non connessi a gruppi di Microsoft 365 usando gruppi di Microsoft 365 o gruppi di sicurezza Microsoft Entra.

I criteri di restrizione dell'accesso al sito diventano effettivi quando un utente tenta di aprire un sito o di accedere a un file. Gli utenti con autorizzazioni dirette per il file possono comunque visualizzare i file nei risultati della ricerca. Tuttavia, non possono accedere ai file se non fanno parte del gruppo specificato.

Screenshot delle modifiche salvate per il controllo di accesso con restrizioni per i siti di SharePoint.

La limitazione dell'accesso al sito tramite l'appartenenza a gruppi può ridurre al minimo il rischio di sovrasodivisione del contenuto. Per informazioni dettagliate sulla condivisione dei dati, vedere Report sulla governance dell'accesso ai dati.

Cosa è necessario per limitare l'accesso al sito?

Requisiti di licenza

L'organizzazione deve avere le licenze corrette e soddisfare determinate autorizzazioni o ruoli amministrativi per usare la funzionalità descritta in questo articolo.

Prima di tutto, l'organizzazione deve avere una delle licenze di base seguenti:

  • Office 365 E3, E5 o A5
  • Microsoft 365 E1, E3, E5 o A5

Inoltre, è necessaria almeno una di queste licenze:

  • Microsoft 365 Copilot licenza: ad almeno un utente dell'organizzazione deve essere assegnata una licenza Copilot (non è necessario che l'utente sia un amministratore di SharePoint).
  • Licenza di Gestione avanzata di Microsoft SharePoint: Disponibile come acquisto autonomo.

Requisiti per l'amministratore

È necessario essere un amministratore di SharePoint o avere autorizzazioni equivalenti.

Informazioni aggiuntive

Se l'organizzazione ha una licenza di Copilot e viene assegnata una licenza di Copilot ad almeno una persona dell'organizzazione, gli amministratori di SharePoint ottengono automaticamente l'accesso alle funzionalità di Gestione avanzata di SharePoint necessarie per la distribuzione di Copilot.

Per le organizzazioni senza licenza Copilot, è possibile usare le funzionalità di gestione avanzata di SharePoint acquistando una licenza autonoma di Gestione avanzata di SharePoint.

Abilitare la restrizione di accesso a livello di sito per l'organizzazione

È necessario abilitare la restrizione di accesso a livello di sito per l'organizzazione prima di poterla configurare per i singoli siti. È anche possibile delegare il controllo delle restrizioni di accesso al sito a tutti gli amministratori del sito dell'organizzazione.

Per abilitare la restrizione di accesso a livello di sito per l'organizzazione nell'interfaccia di amministrazione di SharePoint, seguire questa procedura:

  1. Espandere Criteri e selezionare Controllo di accesso.

  2. Selezionare Restrizione di accesso a livello di sito.

  3. Selezionare Consenti restrizione di accesso e quindi selezionare Salva.

    Screenshot che mostra come configurare il controllo di accesso a livello di sito.

Per abilitare la restrizione di accesso a livello di sito per l'organizzazione tramite PowerShell, eseguire il comando seguente:

Set-SPOTenant -EnableRestrictedAccessControl $true

L'applicazione del comando potrebbe richiedere fino a un'ora.

Delegare la gestione di Controllo di accesso con restrizioni agli amministratori del sito

In qualità di amministratore di SharePoint, è anche possibile delegare la gestione delle Controllo di accesso limitate agli amministratori del sito. Se aggiornano i criteri, devono fornire una giustificazione appropriata sul motivo per cui il criterio viene aggiornato.

Per impostazione predefinita, la delega è disattivata. Se si decide di abilitarlo, eseguire il comando seguente:

Set-SPOTenant -DelegateRestrictedAccessControlManagement $true

Una volta delegata la Controllo di accesso con restrizioni a tutti gli amministratori del sito, possono gestire i criteri.

Controllare lo stato della gestione dei delegati del controllo di accesso limitato agli amministratori del sito

Per controllare lo stato della delega, eseguire il comando seguente:

Get-SPOTenant | Select-Object DelegateRestrictedAccessControlManagement

Nota

Per gli utenti di Microsoft 365 Multi-Geo, eseguire questo comando separatamente per ogni posizione geografica desiderata.

Limitare l'accesso a tutti i siti di SharePoint usando il gruppo di Microsoft 365 o i gruppi di sicurezza Microsoft Entra

È possibile limitare l'accesso a un sito di SharePoint specificando Microsoft Entra gruppi di sicurezza o i gruppi di Microsoft 365 come gruppo con restrizioni Controllo di accesso. Il gruppo di controllo deve includere gli utenti a cui è consentito l'accesso al sito e al relativo contenuto.

Per un sito, è possibile configurare fino a 10 gruppi di sicurezza Microsoft Entra o gruppi di Microsoft 365. Dopo aver applicato i criteri, agli utenti del gruppo specificato che dispongono dell'autorizzazione di accesso al contenuto viene concesso l'accesso.

Importante

L'aggiunta di utenti al gruppo restricted Controllo di accesso (Microsoft Entra gruppo di sicurezza o al gruppo di Microsoft 365) non concede automaticamente agli utenti l'autorizzazione di accesso al sito o al contenuto. Per consentire a un utente di accedere al contenuto protetto da questo criterio, l'utente deve disporre dell'autorizzazione di accesso al sito o al contenuto ed essere membro del gruppo Con restrizioni Controllo di accesso.

Nota

È anche possibile usare i gruppi di sicurezza dinamici come gruppo con restrizioni Controllo di accesso se si vuole basare l'appartenenza al gruppo sulle proprietà utente.

Gestire l'accesso al sito per un sito

Per gestire l'accesso al sito per un sito, seguire questa procedura:

  1. Nell'interfaccia di amministrazione di SharePoint espandere Siti e selezionare Siti attivi.

  2. Selezionare il sito da gestire. Viene visualizzato il pannello dei dettagli del sito.

  3. Nella scheda Impostazioni selezionare Modifica nella sezione Accesso al sito con restrizioni.

  4. Selezionare la casella di controllo Limita l'accesso al sito di SharePoint solo agli utenti nei gruppi specificati .

  5. Aggiungere o rimuovere i gruppi di sicurezza o i gruppi di Microsoft 365 e selezionare Salva.

Per applicare la restrizione di accesso al sito, è necessario aggiungere almeno un gruppo ai criteri di restrizione dell'accesso al sito.

screenshot che mostra i gruppi di sicurezza delle restrizioni di accesso al sito aggiunti a siti connessi non di gruppo.

Per un sito connesso a un gruppo, il gruppo di Microsoft 365 connesso al sito è il gruppo di Controllo di accesso con restrizioni predefinito. È possibile scegliere di mantenere questo gruppo e aggiungere altri gruppi di sicurezza di Microsoft 365 o Microsoft Entra come gruppo con restrizioni Controllo di accesso.

screenshot che mostra i gruppi di sicurezza delle restrizioni di accesso al sito aggiunti ai siti connessi.

Nota

Esiste un tag etichettato come Gruppo predefinito contrassegnato per il gruppo di Microsoft 365 connesso al sito, come illustrato nell'immagine precedente.

Per gestire la restrizione di accesso al sito per un sito di SharePoint tramite PowerShell, usare i comandi seguenti:

Azione Comando PowerShell
Abilitare la restrizione di accesso al sito Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Aggiunta di un gruppo Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
Modifica gruppo Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
Visualizzare il gruppo Get-SPOSite -Identity <siteurl> | Select RestrictedAccessControl, RestrictedAccessControlGroups
Rimuovi gruppo Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
Reimpostare la restrizione di accesso al sito Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl

Esperienza di amministratore del sito

Dopo aver delegato il controllo delle restrizioni di accesso al sito agli amministratori del sito, è possibile configurare l'impostazione di restrizione dell'accesso al sito nel pannello Informazioni sito .

Screenshot che mostra l'impostazione Accesso al sito con restrizioni.

Per limitare l'accesso a un sito di SharePoint:

  • Limitare gli utenti che possono accedere a un sito usando Microsoft Entra gruppi di sicurezza o gruppi di Microsoft 365.
  • Aggiungere i gruppi che contengono gli utenti che devono avere accesso.
  • Aggiungere fino a 10 gruppi per ogni sito.
  • Quando si salva la configurazione dell'impostazione delle restrizioni di accesso al sito, solo gli utenti in tali gruppi e gli utenti che dispongono già dell'autorizzazione per il contenuto possono accedere al sito.
  • Fornire una giustificazione ogni volta che si aggiorna l'impostazione di restrizione dell'accesso al sito.

Esperienza del proprietario del sito

Dopo aver applicato i criteri al sito, il pannello di accesso al sito visualizza lo stato dei criteri e tutti i gruppi di controllo configurati per i proprietari del sito, oltre ai pannelli Informazioni sito e Autorizzazioni .

screenshot che mostra il pannello delle restrizioni di accesso al sito.

Siti di canale condivisi e privati

I siti di canale condivisi e privati sono separati dal sito connesso al gruppo di Microsoft 365 usato dai canali standard. Poiché i siti di canale condivisi e privati non sono connessi al gruppo di Microsoft 365, i criteri di restrizione dell'accesso al sito applicati al team non li influiscono. È necessario abilitare separatamente la restrizione di accesso al sito per ogni sito di canale condiviso o privato come siti connessi non a gruppi.

Per i siti di canale condiviso, solo gli utenti interni nel tenant delle risorse sono soggetti a restrizioni di accesso al sito. I partecipanti al canale esterno vengono esclusi dai criteri di restrizione dell'accesso al sito e valutati solo in base alle autorizzazioni del sito esistenti del sito.

Importante

L'aggiunta di persone al gruppo di sicurezza o al gruppo di Microsoft 365 non consente agli utenti di accedere al canale in Teams. Aggiungere o rimuovere gli stessi utenti del canale Teams in Teams e nel gruppo di sicurezza o nel gruppo di Microsoft 365, in modo che gli utenti abbiano accesso ai siti di Teams e SharePoint.

Controllo

Il portale di Microsoft Purview offre eventi di controllo che consentono di monitorare le attività di restrizione dell'accesso al sito. Il sistema registra gli eventi di controllo per le attività seguenti:

  • Applicazione della restrizione di accesso al sito per un sito
  • Rimozione della restrizione di accesso al sito per un sito
  • Modifica dei gruppi di restrizioni di accesso al sito per un sito
  • Giustificazione dell'amministratore del sito per l'aggiornamento della restrizione di accesso al sito

Creazione di report

Informazioni dettagliate sui criteri di accesso al sito con restrizioni

In qualità di amministratore IT, è possibile visualizzare i report seguenti per ottenere informazioni più dettagliate sui siti di SharePoint protetti con criteri di accesso al sito con restrizioni:

  • Siti protetti da criteri di accesso ai siti con restrizioni (RACProtectedSites)
  • Dettagli delle negazioni di accesso dovute ai criteri di accesso al sito con restrizioni (ActionsBlockedByPolicy)

I report non sono attualmente disponibili per Gallatin, anche se si dispone delle licenze necessarie.

Nota

La generazione di ogni report può richiedere alcune ore.

Report dei siti protetti da criteri di accesso ai siti con restrizioni

Eseguire i comandi seguenti in SharePoint PowerShell per generare, visualizzare e scaricare i report:

Azione Comando PowerShell Descrizione
Generare report Start-SPORestrictedAccessForSitesInsights -RACProtectedSites Genera un elenco di siti protetti da criteri di accesso ai siti con restrizioni
Visualizzare il report Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> Il report mostra i primi 100 siti con le visualizzazioni di pagina più alte protette dai criteri.
Scaricare il report Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download Eseguire questo comando come amministratore. Il report scaricato si trova nel percorso in cui è stato eseguito il comando.
Percentuale di siti protetti con report di accesso al sito con restrizioni Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary Questo report mostra la percentuale di siti protetti dai criteri sul numero totale di siti

Access denials due to restricted site access policy report

Eseguire i comandi seguenti per creare, recuperare e visualizzare report per i denial di accesso a causa di report di accesso al sito con restrizioni:

Azione Comando PowerShell Descrizione
Creare un report access denials Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Crea un nuovo report per il recupero dei dettagli di negazione di accesso
Recuperare lo stato del report access denials Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy Recupera lo stato del report generato.
Negazioni di accesso più recenti negli ultimi 28 giorni Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials Ottiene un elenco dei 100 access denial più recenti che si sono verificati negli ultimi 28 giorni
Visualizzare l'elenco dei principali utenti a cui è stato negato l'accesso Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers Ottiene un elenco dei primi 100 utenti che hanno ricevuto il maggior numero di access denial
Visualizzare l'elenco dei siti principali che hanno ricevuto il maggior numero di denial di accesso Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites Ottiene un elenco dei primi 100 siti con il maggior numero di access denial
Distribuzione di negazioni di accesso tra diversi tipi di siti Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution Mostra la distribuzione di access denial tra diversi tipi di siti

Nota

Per visualizzare fino a 10.000 negazioni, è necessario scaricare i report. Eseguire il comando di download come amministratore. I report scaricati si trovano nel percorso in cui si esegue il comando.

Condivisione del sito e del contenuto con utenti esterni ai gruppi di Controllo di accesso con restrizioni (funzionalità di consenso esplicito)

Per impostazione predefinita, la condivisione dei siti di SharePoint e del relativo contenuto non segue i criteri di accesso ai siti con restrizioni. L'amministratore di SharePoint può scegliere di limitare la condivisione di un sito e del relativo contenuto con gli utenti che non sono membri del gruppo Con restrizioni Controllo di accesso.

Per limitare la funzionalità di condivisione agli utenti esterni al gruppo Restricted Controllo di accesso, eseguire il comando di PowerShell seguente in SharePoint Online Management Shell come amministratore:

Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false

Condivisione con gli utenti

Quando si applica la restrizione di condivisione, la condivisione viene bloccata per gli utenti che non sono membri del gruppo Restricted Controllo di accesso.

screenshot della condivisione con il messaggio degli utenti.

Condivisione con gruppi

La condivisione è consentita con Microsoft Entra Security o i gruppi di Microsoft 365 che fanno parte dell'elenco Gruppi di Controllo di accesso con restrizioni. La condivisione non è consentita con tutti gli altri gruppi, inclusi Tutti tranne gli utenti esterni o i gruppi di SharePoint.

screenshot della condivisione con il messaggio gruppi.

Nota

La condivisione di un sito e del relativo contenuto è ora consentita per i gruppi di sicurezza annidati che fanno parte dei gruppi con restrizioni Controllo di accesso.

Configurare il collegamento Altre informazioni per la pagina degli errori di rifiuto di accesso (funzionalità di consenso esplicito)

Configurare il collegamento Altre informazioni per informare gli utenti a cui viene negato l'accesso a un sito di SharePoint a causa dei criteri di controllo di accesso al sito con restrizioni. Personalizzando questo collegamento di errore, è possibile fornire altre informazioni e indicazioni agli utenti.

Nota

Il collegamento Altre informazioni è un'impostazione a livello di tenant che si applica a tutti i siti con il criterio Restricted Controllo di accesso abilitato.

Per configurare il collegamento, eseguire il comando seguente in SharePoint PowerShell:

Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink "<Learn more URL>"

Per recuperare il valore del collegamento, eseguire il comando seguente:

Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink

Il collegamento Altre informazioni configurato viene avviato quando l'utente seleziona il collegamento Informazioni sui criteri dell'organizzazione qui .

Screenshot che mostra il collegamento Altre informazioni.

Criteri di accesso condizionale per siti di SharePoint e OneDrive

Report sulla governance dell'accesso ai dati

  • Last updated on