Limitare l'accesso al contenuto di OneDrive di un utente agli utenti di un gruppo

È possibile limitare l'accesso al contenuto di OneDrive di un singolo utente agli utenti di un gruppo di sicurezza o a un gruppo di Microsoft 365 usando criteri di restrizione dell'accesso al sito. Gli utenti che non fanno parte del gruppo specificato non possono accedere al contenuto, anche se avevano autorizzazioni precedenti o un collegamento condiviso.

Applicare i criteri usando Microsoft Entra gruppi di sicurezza o i gruppi di Microsoft 365 che contengono le persone che devono essere in grado di accedere ai file in OneDrive.

Quando si applicano i criteri, agli utenti dei gruppi specificati non vengono concesse direttamente le autorizzazioni per i file. Il proprietario di OneDrive deve condividere il contenuto come farebbe normalmente. I criteri di restrizione dell'accesso al sito impediscono a chiunque non sia nel gruppo di sicurezza o nel gruppo di Microsoft 365 di accedere al contenuto di OneDrive anche se è condiviso con loro.

I criteri di restrizione di accesso vengono applicati quando un utente tenta di accedere a un file. Gli utenti possono comunque visualizzare i file nei risultati della ricerca se hanno autorizzazioni dirette per il file, ma non possono accedere al file se non fanno parte del gruppo specificato.

È anche possibile limitare l'accesso al servizio OneDrive stesso agli utenti di un gruppo di sicurezza. Per altre informazioni, vedere Limitare l'accesso a OneDrive per gruppo di sicurezza.

Prima di iniziare

Assicurarsi che l'organizzazione soddisfi i prerequisiti per la gestione avanzata di SharePoint, inclusi i requisiti per il modulo PowerShell di SharePoint Online.

Abilitare la restrizione di accesso al sito per l'organizzazione

È necessario abilitare la restrizione di accesso al sito per l'organizzazione prima di poterla configurare per OneDrive di un utente.

Per abilitare la restrizione di accesso al sito per l'organizzazione nell'interfaccia di amministrazione di SharePoint:

  1. Espandere Criteri e selezionare Controllo di accesso.

  2. Selezionare Restrizione di accesso al sito.

  3. Selezionare Consenti restrizione di accesso e quindi selezionare Salva.

    screenshot della restrizione di accesso al sito nel dashboard dell'interfaccia di amministrazione di SharePoint.

Per abilitare la restrizione di accesso al sito per l'organizzazione tramite PowerShell, eseguire il comando seguente:

Set-SPOTenant -EnableRestrictedAccessControl $true

L'applicazione del comando potrebbe richiedere fino a un'ora.

Nota

Per gli utenti di Microsoft 365 Multi-Geo, eseguire questo comando separatamente per ogni posizione geografica desiderata.

Limitare l'accesso al contenuto di OneDrive di un utente

Assegnare fino a 10 Microsoft Entra sicurezza o gruppi di Microsoft 365 a ogni OneDrive. Dopo aver aggiunto un gruppo, solo gli utenti dei gruppi possono accedere al contenuto di OneDrive condiviso con loro. Usare i gruppi di sicurezza dinamici se si vuole basare l'appartenenza ai gruppi sulle proprietà utente.

Importante

Il proprietario di OneDrive deve essere incluso in uno dei gruppi di sicurezza o di Microsoft 365 specificati o che perdono l'accesso a OneDrive e al relativo contenuto.

Per gestire la restrizione di accesso per OneDrive, usare i comandi di PowerShell in questa sezione.

Abilitare la restrizione di accesso per una determinata libreria di OneDrive

Eseguire il comando seguente prima di aggiungere la sicurezza o i gruppi di Microsoft 365.

Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true

Aggiungere un gruppo di sicurezza o un gruppo di Microsoft 365

Eseguire il comando qui riportato:

Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>

Modificare un gruppo di sicurezza o un gruppo di Microsoft 365

Eseguire il comando qui riportato:

Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>

Visualizzare un gruppo di sicurezza o un gruppo di Microsoft 365

Eseguire il comando qui riportato:

Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups

Rimuovere un gruppo di sicurezza o un gruppo di Microsoft 365

Eseguire il comando qui riportato:

Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>

Reimpostare la restrizione di accesso al sito

Eseguire il comando qui riportato:

Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl

Criteri di condivisione del sito e accesso al sito con restrizioni

Bloccare la condivisione del sito di OneDrive per utenti e gruppi non consentiti in base ai criteri di controllo di accesso con restrizioni.

La funzionalità di controllo di condivisione è disabilitata per impostazione predefinita. Per abilitarlo, eseguire il comando seguente:

Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false 

Condivisione con gli utenti

Consentire la condivisione solo con gli utenti che fanno parte di gruppi di controllo di accesso con restrizioni. Bloccare la condivisione con altri utenti esterni ai gruppi di controllo di accesso con restrizioni, come illustrato nell'immagine seguente:

Condivisione con gruppi

È possibile condividere con i gruppi Microsoft Entra Security o Microsoft 365 che fanno parte dell'elenco dei gruppi di controllo di accesso con restrizioni. Non è possibile condividere con tutti gli altri gruppi, inclusi Tutti tranne gli utenti esterni o i gruppi di SharePoint.

Nota

Attualmente, non è possibile condividere un sito e il relativo contenuto con gruppi di sicurezza annidati che fanno parte dei gruppi di controllo di accesso con restrizioni.

Configurare il collegamento "Altre informazioni" per informare gli utenti a cui è stato negato l'accesso a un sito di OneDrive a causa di criteri di controllo di accesso al sito con restrizioni. Usando questo collegamento di errore personalizzabile, è possibile fornire altre informazioni e indicazioni agli utenti.

Nota

Il collegamento "Altre informazioni" è un'impostazione a livello di tenant che si applica a tutti i siti di OneDrive in cui sono abilitati criteri di controllo di accesso con restrizioni.

Eseguire il comando qui riportato:

Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink "<Learn more URL>" 

Eseguire il comando qui riportato:

Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink 

Il collegamento per altre informazioni configurato viene avviato quando l'utente seleziona il collegamento Informazioni sui criteri dell'organizzazione qui .

Informazioni dettagliate sui criteri di accesso al sito con restrizioni

In qualità di amministratore IT, è possibile visualizzare i report seguenti per ottenere maggiori informazioni sui siti di OneDrive protetti con criteri di accesso al sito con restrizioni:

  • Siti protetti da criteri di accesso ai siti con restrizioni (RACProtectedSites)
  • Dettagli delle negazioni di accesso dovute all'accesso limitato al sito (ActionsBlockedByPolicy)

Nota

La generazione di ogni report può richiedere alcune ore.

Report dei siti protetti da criteri di accesso ai siti con restrizioni

Usare i comandi seguenti per generare, visualizzare e scaricare report.

Generare un report

Eseguire il comando qui riportato:

Start-SPORestrictedAccessForSitesInsights -RACProtectedSites

Questo comando genera un elenco di siti protetti da criteri di accesso al sito con restrizioni.

Visualizzare un report

Eseguire il comando qui riportato:

Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID>

Questo comando crea un report che mostra i primi 100 siti con le visualizzazioni di pagina più alte protette dai criteri.

Scaricare un report

Eseguire il comando qui riportato:

Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download

Questo comando deve essere eseguito come amministratore. Il report scaricato si trova nel percorso in cui è stato eseguito il comando.

Visualizzare la percentuale di siti protetti con accesso limitato al sito

Eseguire il comando qui riportato:

Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary

Questo report mostra la percentuale di siti protetti dai criteri sul numero totale di siti.

Access denials a causa di criteri di accesso al sito con restrizioni

Usare i comandi in questa sezione per creare, recuperare e visualizzare report per attacchi Denial di accesso dovuti a report di accesso al sito con restrizioni.

Per creare un report access denials

Eseguire il comando qui riportato:

Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy

Questo comando crea un nuovo report per il recupero dei dettagli di rifiuto di accesso.

Per ottenere lo stato di un report denials di accesso

Eseguire il comando qui riportato:

Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy

Questo comando recupera lo stato del report denial di accesso generato.

Per visualizzare le più recenti negazioni di accesso negli ultimi 28 giorni

Eseguire il comando qui riportato:

Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials

Questo comando crea un elenco dei 100 access denial più recenti che si sono verificati negli ultimi 28 giorni.

Per visualizzare un elenco dei principali utenti a cui è stato negato l'accesso

Eseguire il comando qui riportato:

Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers

Questo comando crea un elenco dei primi 100 utenti che hanno ricevuto il maggior numero di negazioni di accesso.

Per visualizzare un elenco dei siti principali che hanno ricevuto il maggior numero di denial di accesso

Eseguire il comando qui riportato:

Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites

Questo comando crea un elenco dei primi 100 siti con il maggior numero di negazioni di accesso.

Per visualizzare la distribuzione di access denial tra diversi tipi di siti

Eseguire il comando qui riportato:

Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution

Questo comando mostra la distribuzione di access denial tra diversi tipi di siti.

Nota

Per visualizzare fino a 10.000 negazioni, scaricare i report. Eseguire il comando di download come amministratore. I report scaricati si trovano nel percorso da cui è stato eseguito il comando.

Controllo

Il portale di Microsoft Purview offre eventi di controllo che consentono di monitorare le attività di restrizione dell'accesso al sito. Il sistema registra gli eventi di controllo per le attività seguenti:

  • Applicazione della restrizione di accesso al sito per un sito
  • Rimozione della restrizione di accesso al sito per un sito
  • Modifica dei gruppi di restrizioni di accesso al sito per un sito