Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile limitare l'accesso al contenuto di OneDrive di un singolo utente agli utenti di un gruppo di sicurezza o a un gruppo di Microsoft 365 usando criteri di restrizione dell'accesso al sito. Gli utenti che non fanno parte del gruppo specificato non possono accedere al contenuto, anche se avevano autorizzazioni precedenti o un collegamento condiviso.
Applicare i criteri usando Microsoft Entra gruppi di sicurezza o i gruppi di Microsoft 365 che contengono le persone che devono essere in grado di accedere ai file in OneDrive.
Quando si applicano i criteri, agli utenti dei gruppi specificati non vengono concesse direttamente le autorizzazioni per i file. Il proprietario di OneDrive deve condividere il contenuto come farebbe normalmente. I criteri di restrizione dell'accesso al sito impediscono a chiunque non sia nel gruppo di sicurezza o nel gruppo di Microsoft 365 di accedere al contenuto di OneDrive anche se è condiviso con loro.
I criteri di restrizione di accesso vengono applicati quando un utente tenta di accedere a un file. Gli utenti possono comunque visualizzare i file nei risultati della ricerca se hanno autorizzazioni dirette per il file, ma non possono accedere al file se non fanno parte del gruppo specificato.
È anche possibile limitare l'accesso al servizio OneDrive stesso agli utenti di un gruppo di sicurezza. Per altre informazioni, vedere Limitare l'accesso a OneDrive per gruppo di sicurezza.
Prima di iniziare
Assicurarsi che l'organizzazione soddisfi i prerequisiti per la gestione avanzata di SharePoint, inclusi i requisiti per il modulo PowerShell di SharePoint Online.
Abilitare la restrizione di accesso al sito per l'organizzazione
È necessario abilitare la restrizione di accesso al sito per l'organizzazione prima di poterla configurare per OneDrive di un utente.
Per abilitare la restrizione di accesso al sito per l'organizzazione nell'interfaccia di amministrazione di SharePoint:
Espandere Criteri e selezionare Controllo di accesso.
Selezionare Restrizione di accesso al sito.
Selezionare Consenti restrizione di accesso e quindi selezionare Salva.
Per abilitare la restrizione di accesso al sito per l'organizzazione tramite PowerShell, eseguire il comando seguente:
Set-SPOTenant -EnableRestrictedAccessControl $true
L'applicazione del comando potrebbe richiedere fino a un'ora.
Nota
Per gli utenti di Microsoft 365 Multi-Geo, eseguire questo comando separatamente per ogni posizione geografica desiderata.
Limitare l'accesso al contenuto di OneDrive di un utente
Assegnare fino a 10 Microsoft Entra sicurezza o gruppi di Microsoft 365 a ogni OneDrive. Dopo aver aggiunto un gruppo, solo gli utenti dei gruppi possono accedere al contenuto di OneDrive condiviso con loro. Usare i gruppi di sicurezza dinamici se si vuole basare l'appartenenza ai gruppi sulle proprietà utente.
Importante
Il proprietario di OneDrive deve essere incluso in uno dei gruppi di sicurezza o di Microsoft 365 specificati o che perdono l'accesso a OneDrive e al relativo contenuto.
Per gestire la restrizione di accesso per OneDrive, usare i comandi di PowerShell in questa sezione.
Abilitare la restrizione di accesso per una determinata libreria di OneDrive
Eseguire il comando seguente prima di aggiungere la sicurezza o i gruppi di Microsoft 365.
Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
Aggiungere un gruppo di sicurezza o un gruppo di Microsoft 365
Eseguire il comando qui riportato:
Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
Modificare un gruppo di sicurezza o un gruppo di Microsoft 365
Eseguire il comando qui riportato:
Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
Visualizzare un gruppo di sicurezza o un gruppo di Microsoft 365
Eseguire il comando qui riportato:
Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups
Rimuovere un gruppo di sicurezza o un gruppo di Microsoft 365
Eseguire il comando qui riportato:
Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
Reimpostare la restrizione di accesso al sito
Eseguire il comando qui riportato:
Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl
Criteri di condivisione del sito e accesso al sito con restrizioni
Bloccare la condivisione del sito di OneDrive per utenti e gruppi non consentiti in base ai criteri di controllo di accesso con restrizioni.
La funzionalità di controllo di condivisione è disabilitata per impostazione predefinita. Per abilitarlo, eseguire il comando seguente:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Condivisione con gli utenti
Consentire la condivisione solo con gli utenti che fanno parte di gruppi di controllo di accesso con restrizioni. Bloccare la condivisione con altri utenti esterni ai gruppi di controllo di accesso con restrizioni, come illustrato nell'immagine seguente:
Condivisione con gruppi
È possibile condividere con i gruppi Microsoft Entra Security o Microsoft 365 che fanno parte dell'elenco dei gruppi di controllo di accesso con restrizioni. Non è possibile condividere con tutti gli altri gruppi, inclusi Tutti tranne gli utenti esterni o i gruppi di SharePoint.
Nota
Attualmente, non è possibile condividere un sito e il relativo contenuto con gruppi di sicurezza annidati che fanno parte dei gruppi di controllo di accesso con restrizioni.
Configurare il collegamento per altre informazioni per la pagina degli errori di negazione dell'accesso
Configurare il collegamento "Altre informazioni" per informare gli utenti a cui è stato negato l'accesso a un sito di OneDrive a causa di criteri di controllo di accesso al sito con restrizioni. Usando questo collegamento di errore personalizzabile, è possibile fornire altre informazioni e indicazioni agli utenti.
Nota
Il collegamento "Altre informazioni" è un'impostazione a livello di tenant che si applica a tutti i siti di OneDrive in cui sono abilitati criteri di controllo di accesso con restrizioni.
Configurare il collegamento "Altre informazioni"
Eseguire il comando qui riportato:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink "<Learn more URL>"
Recuperare il valore del collegamento
Eseguire il comando qui riportato:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
Il collegamento per altre informazioni configurato viene avviato quando l'utente seleziona il collegamento Informazioni sui criteri dell'organizzazione qui .
Informazioni dettagliate sui criteri di accesso al sito con restrizioni
In qualità di amministratore IT, è possibile visualizzare i report seguenti per ottenere maggiori informazioni sui siti di OneDrive protetti con criteri di accesso al sito con restrizioni:
- Siti protetti da criteri di accesso ai siti con restrizioni (RACProtectedSites)
- Dettagli delle negazioni di accesso dovute all'accesso limitato al sito (ActionsBlockedByPolicy)
Nota
La generazione di ogni report può richiedere alcune ore.
Report dei siti protetti da criteri di accesso ai siti con restrizioni
Usare i comandi seguenti per generare, visualizzare e scaricare report.
Generare un report
Eseguire il comando qui riportato:
Start-SPORestrictedAccessForSitesInsights -RACProtectedSites
Questo comando genera un elenco di siti protetti da criteri di accesso al sito con restrizioni.
Visualizzare un report
Eseguire il comando qui riportato:
Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID>
Questo comando crea un report che mostra i primi 100 siti con le visualizzazioni di pagina più alte protette dai criteri.
Scaricare un report
Eseguire il comando qui riportato:
Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download
Questo comando deve essere eseguito come amministratore. Il report scaricato si trova nel percorso in cui è stato eseguito il comando.
Visualizzare la percentuale di siti protetti con accesso limitato al sito
Eseguire il comando qui riportato:
Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary
Questo report mostra la percentuale di siti protetti dai criteri sul numero totale di siti.
Access denials a causa di criteri di accesso al sito con restrizioni
Usare i comandi in questa sezione per creare, recuperare e visualizzare report per attacchi Denial di accesso dovuti a report di accesso al sito con restrizioni.
Per creare un report access denials
Eseguire il comando qui riportato:
Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy
Questo comando crea un nuovo report per il recupero dei dettagli di rifiuto di accesso.
Per ottenere lo stato di un report denials di accesso
Eseguire il comando qui riportato:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy
Questo comando recupera lo stato del report denial di accesso generato.
Per visualizzare le più recenti negazioni di accesso negli ultimi 28 giorni
Eseguire il comando qui riportato:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials
Questo comando crea un elenco dei 100 access denial più recenti che si sono verificati negli ultimi 28 giorni.
Per visualizzare un elenco dei principali utenti a cui è stato negato l'accesso
Eseguire il comando qui riportato:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers
Questo comando crea un elenco dei primi 100 utenti che hanno ricevuto il maggior numero di negazioni di accesso.
Per visualizzare un elenco dei siti principali che hanno ricevuto il maggior numero di denial di accesso
Eseguire il comando qui riportato:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites
Questo comando crea un elenco dei primi 100 siti con il maggior numero di negazioni di accesso.
Per visualizzare la distribuzione di access denial tra diversi tipi di siti
Eseguire il comando qui riportato:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution
Questo comando mostra la distribuzione di access denial tra diversi tipi di siti.
Nota
Per visualizzare fino a 10.000 negazioni, scaricare i report. Eseguire il comando di download come amministratore. I report scaricati si trovano nel percorso da cui è stato eseguito il comando.
Controllo
Il portale di Microsoft Purview offre eventi di controllo che consentono di monitorare le attività di restrizione dell'accesso al sito. Il sistema registra gli eventi di controllo per le attività seguenti:
- Applicazione della restrizione di accesso al sito per un sito
- Rimozione della restrizione di accesso al sito per un sito
- Modifica dei gruppi di restrizioni di accesso al sito per un sito