Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit eingeschränkter Websitezugriffssteuerung können Sie eine übermäßige Freigabe verhindern, indem Sie den Zugriff auf SharePoint-Websites und deren Inhalte für Benutzer in einer bestimmten Gruppe festlegen. Benutzer, die sich nicht in der angegebenen Gruppe befinden, können nicht auf die Website oder deren Inhalte zugreifen, auch wenn sie über vorherige Berechtigungen oder einen freigegebenen Link verfügten. Diese Richtlinie kann mithilfe von Microsoft 365-Gruppen oder Microsoft Entra Sicherheitsgruppen auf Microsoft 365-Websites angewendet werden, die mit Microsoft 365- oder Microsoft 365-Gruppen verbunden sind.
Richtlinien für Websitezugriffseinschränkung werden angewendet, wenn ein Benutzer versucht, eine Website zu öffnen oder auf eine Datei zuzugreifen. Benutzer mit direkten Berechtigungen für die Datei können weiterhin Dateien in Suchergebnissen anzeigen. Sie können jedoch nicht auf die Dateien zugreifen, wenn sie nicht Teil der angegebenen Gruppe sind.
Das Einschränken des Websitezugriffs über die Gruppenmitgliedschaft kann das Risiko einer übermäßigen Freigabe von Inhalten minimieren. Einblicke in die Datenfreigabe finden Sie unter Berichte zur Datenzugriffsgovernance.
Was benötigen Sie, um den Websitezugriff einzuschränken?
Welche Lizenzanforderungen gelten?
Ihre Organisation muss über die passende Lizenz verfügen und bestimmte administrative Berechtigungen oder Rollen erfüllen, um die in diesem Artikel beschriebene Funktion nutzen zu können.
Zunächst muss Ihre Organisation eine der folgenden Basislizenzen besitzen:
- Office 365 E3, E5, oder A5
- Microsoft 365 E1, E3, E5 oder A5
Darüber hinaus benötigen Sie mindestens eine der folgenden Lizenzen:
- Microsoft 365 Copilot-Lizenz: Mindestens einem Benutzer in Ihrem organization muss eine Copilot-Lizenz zugewiesen sein (dieser Benutzer muss kein SharePoint-Administrator sein).
- Microsoft SharePoint Advanced Management-Lizenz: Als eigenständiger Kauf verfügbar.
Administratoranforderungen
Sie müssen SharePoint-Administrator sein oder über entsprechende Berechtigungen verfügen.
Weitere Informationen
Wenn Ihre Organisation über eine Copilot-Lizenz verfügt und mindestens eine Person in Ihrer Organisation eine Copilot-Lizenz zugewiesen bekommen hat, erhalten SharePoint-Administratoren automatisch Zugriff auf die Erweiterte SharePoint-Verwaltungsfunktionen, die für die Copilot-Bereitstellung erforderlich sind.
Für Organisationen ohne Copilot-Lizenz können Sie sharePoint Advanced Management-Features verwenden, indem Sie eine eigenständige SharePoint Advanced Management-Lizenz erwerben.
Aktivieren der Zugriffsbeschränkung auf Websiteebene für Ihre organization
Sie müssen die Zugriffsbeschränkung auf Standortebene für Ihre organization aktivieren, bevor Sie sie für einzelne Websites konfigurieren können. Sie können auch die Steuerung der Websitezugriffseinschränkungen an alle Websiteadministratoren Ihrer organization delegieren.
Führen Sie die folgenden Schritte aus, um die Zugriffsbeschränkung auf Websiteebene für Ihre organization im SharePoint Admin Center zu aktivieren:
Erweitern Sie Richtlinien , und wählen Sie Zugriffssteuerung aus.
Wählen Sie Zugriffseinschränkung auf Websiteebene aus.
Wählen Sie Zugriffseinschränkung zulassen und dann Speichern aus.
Führen Sie den folgenden Befehl aus, um die Zugriffseinschränkung auf Websiteebene für Ihre organization mithilfe von PowerShell zu aktivieren:
Set-SPOTenant -EnableRestrictedAccessControl $true
Es kann bis zu einer Stunde dauern, bis der Befehl wirksam wird.
Delegieren der Verwaltung von eingeschränkten Access Control an Websiteadministratoren
Als SharePoint-Administrator können Sie auch die Verwaltung von eingeschränkten Access Control an den Websiteadministrator delegieren. Nach der Verwaltung der Richtlinie müssen die Websiteadministratoren eine angemessene Begründung dafür angeben, warum die Richtlinie aktualisiert wird.
Standardmäßig ist die Delegierung deaktiviert. Wenn Sie es aktivieren möchten, führen Sie den folgenden Befehl aus:
Set-SPOTenant -DelegateRestrictedAccessControlManagement $true
Sobald die eingeschränkte Access Control an alle Websiteadministratoren delegiert wurde, können sie die Richtlinie verwalten.
Überprüfen status der Delegieren der Verwaltung von eingeschränkten Access Control an Websiteadministratoren
Führen Sie den folgenden Befehl aus, um die delegierung status zu überprüfen:
Get-SPOTenant | Select-Object DelegateRestrictedAccessControlManagement
Hinweis
Führen Sie diesen Befehl für Microsoft 365 Multi-Geo-Benutzer separat für jeden gewünschten geografischen Standort aus.
Einschränken des Zugriffs auf alle SharePoint-Websites mithilfe von Microsoft 365-Gruppen oder Microsoft Entra Sicherheitsgruppen
Sie können den Zugriff auf eine SharePoint-Website einschränken, indem Sie Microsoft Entra Sicherheitsgruppen oder Microsoft 365-Gruppen als eingeschränkte Access Control-Gruppe angeben. Die Steuerungsgruppe sollte über die Benutzer verfügen, denen Der Zugriff auf die Website und deren Inhalt gewährt werden soll.
Für einen Standort können Sie bis zu 10 Microsoft Entra Sicherheitsgruppen oder Microsoft 365-Gruppen konfigurieren. Nachdem die Richtlinie angewendet wurde, wird Benutzern in der angegebenen Gruppe, die über Zugriffsberechtigungen für den Inhalt verfügen, Zugriff gewährt.
Wichtig
Das Hinzufügen von Personen zur Gruppe eingeschränkter Access Control (Microsoft Entra Sicherheitsgruppe oder Microsoft 365-Gruppe) erteilt den Benutzern nicht automatisch Zugriffsberechtigungen für die Website oder den Inhalt. Damit ein Benutzer auf die durch diese Richtlinie geschützten Inhalte zugreifen kann, muss der Benutzer sowohl über die Website- als auch über die Inhaltszugriffsberechtigung verfügen UND Mitglied der Gruppe Eingeschränkte Access Control sein.
Hinweis
Sie können dynamische Sicherheitsgruppen auch als eingeschränkte Access Control Gruppe verwenden, wenn Sie die Gruppenmitgliedschaft auf Benutzereigenschaften basieren möchten.
Verwalten des Websitezugriffs für eine Website
Führen Sie die folgenden Schritte aus, um den Websitezugriff für eine Website zu verwalten:
Erweitern Sie im SharePoint Admin Center Websites , und wählen Sie Aktive Websites aus.
Wählen Sie die Website aus, die Sie verwalten möchten, und der Bereich mit den Websitedetails wird angezeigt.
Wählen Sie auf der Registerkarte Einstellungen im Abschnitt Eingeschränkter Websitezugriff die Option Bearbeiten aus.
Aktivieren Sie das Kontrollkästchen Zugriff auf SharePoint-Websites auf nur Benutzer in angegebenen Gruppen beschränken .
Fügen Sie Ihre Sicherheitsgruppen oder Microsoft 365-Gruppen hinzu, oder entfernen Sie sie, und wählen Sie Speichern aus.
Damit die Websitezugriffseinschränkung auf den Standort angewendet wird, müssen Sie mindestens eine Gruppe zur Websitezugriffseinschränkungsrichtlinie hinzufügen.
Für einen mit einer Gruppe verbundenen Standort wird die mit der Website verbundene Microsoft 365-Gruppe als Standardgruppe für eingeschränkte Access Control hinzugefügt. Sie können diese Gruppe beibehalten und weitere Microsoft 365- oder Microsoft Entra-Sicherheitsgruppen als Eingeschränkte Access Control-Gruppe hinzufügen.
Hinweis
Es gibt ein Tag mit der Bezeichnung Standardgruppe , das für die Microsoft 365-Gruppe markiert ist, die mit der Website verbunden ist, wie in der vorherigen Abbildung gezeigt.
Verwenden Sie die folgenden Befehle, um die Websitezugriffseinschränkung für eine SharePoint-Website mithilfe von PowerShell zu verwalten:
| Aktion | PowerShell-Befehl |
|---|---|
| Aktivieren der Websitezugriffseinschränkung | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Gruppe hinzufügen | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| Gruppe bearbeiten | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| Gruppe anzeigen | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| Gruppe entfernen | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| Zurücksetzen der Websitezugriffseinschränkung | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Websiteadministratorerfahrung
Sobald die Steuerung der Websitezugriffseinschränkung an Websiteadministratoren delegiert wurde, können sie die Einstellung für die Websitezugriffseinschränkung im Bereich Standortinformationen konfigurieren.
So beschränken Sie den Zugriff auf eine SharePoint-Website:
Sie können einschränken, wer auf eine Website zugreifen kann, indem Sie Microsoft Entra Sicherheitsgruppen oder Microsoft 365-Gruppen verwenden.
Fügen Sie die Gruppen hinzu, die die Benutzer enthalten, die Zugriff haben sollen.
Sie können bis zu 10 Gruppen für jede Website hinzufügen.
Wenn die Konfiguration der Einstellung für die Websitezugriffseinschränkung gespeichert wird, können nur Benutzer in diesen Gruppen und personen, die bereits über die Berechtigung für den Inhalt verfügen, auf die Website zugreifen.
Sie müssen auch eine Begründung angeben, wenn die Einstellung für die Websitezugriffseinschränkung aktualisiert wird.
Websitebesitzererfahrung:
Sobald die Richtlinie auf die Website angewendet wurde, werden die Richtlinie status und alle konfigurierten Steuerungsgruppen für Websitebesitzer zusätzlich zu den Bereichen Websiteinformationen und Berechtigungen im Bereich Websitezugriff angezeigt.
Freigegebene und private Kanalwebsites
Freigegebene und private Kanalwebsites sind getrennt von der mit microsoft 365-Gruppe verbundenen Website, die Standardkanäle verwenden. Da freigegebene und private Kanalwebsites nicht mit der Microsoft 365-Gruppe verbunden sind, wirken sich richtlinien für websitezugriffseinschränkung, die auf das Team angewendet werden, nicht darauf aus. Sie müssen die Websitezugriffseinschränkung für jeden freigegebenen oder privaten Kanalstandort separat als nicht gruppenverbundene Websites aktivieren.
Für Freigegebene Kanalwebsites unterliegen nur interne Benutzer im Ressourcenmandanten einer Websitezugriffseinschränkung. Externe Kanalteilnehmer werden von der Richtlinie für Websitezugriffseinschränkung ausgeschlossen und nur anhand der vorhandenen Websiteberechtigungen ausgewertet.
Wichtig
Durch das Hinzufügen von Personen zur Sicherheitsgruppe oder Microsoft 365-Gruppe erhalten Benutzer keinen Zugriff auf den Kanal in Teams. Es wird empfohlen, die gleichen Benutzer des Teams-Kanals in Teams und der Sicherheitsgruppe oder Microsoft 365-Gruppe hinzuzufügen oder zu entfernen, damit Benutzer Zugriff auf Teams- und SharePoint-Websites haben.
Überwachung
Überwachungsereignisse sind im Microsoft Purview-Portal verfügbar, um Sie bei der Überwachung von Websitezugriffseinschränkungsaktivitäten zu unterstützen. Überwachungsereignisse werden für die folgenden Aktivitäten protokolliert:
- Anwenden der Websitezugriffseinschränkung für die Website
- Entfernen der Websitezugriffseinschränkung für die Website
- Ändern von Websitezugriffseinschränkungsgruppen für website
- Begründung des Websiteadministrators für die Aktualisierung der Websitezugriffseinschränkung
Reporting
Einblicke in Richtlinien für eingeschränkten Zugriff auf Websites
Als IT-Administrator können Sie die folgenden Berichte anzeigen, um weitere Einblicke in SharePoint-Websites zu erhalten, die mit einer Richtlinie für den eingeschränkten Zugriff auf Websites geschützt sind:
- Websites, die durch eine Richtlinie für eingeschränkten Zugriff auf Websites geschützt sind (RACProtectedSites)
- Details zu Zugriffsverweigerungen aufgrund einer Richtlinie für eingeschränkten Websitezugriff (ActionsBlockedByPolicy)
Berichte zu Richtlinien für den eingeschränkten Zugriff auf Websites sind in Nicht-Regierungs-Cloudumgebungen sowie in GCC-, GCC-High- und DoD-Government-Cloudumgebungen verfügbar. Die Berichte sind derzeit für Gallatin nicht verfügbar, auch wenn Sie über die erforderlichen Lizenzen verfügen.
Hinweis
Es kann einige Stunden dauern, jeden Bericht zu generieren.
Bericht zu Websites, die durch Richtlinien für eingeschränkten Zugriff geschützt sind
Sie können die folgenden Befehle in SharePoint PowerShell ausführen, um die Berichte zu generieren, anzuzeigen und herunterzuladen:
| Aktion | PowerShell-Befehl | Beschreibung |
|---|---|---|
| Bericht generieren | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Generiert eine Liste von Websites, die durch eine Richtlinie für eingeschränkten Websitezugriff geschützt sind. |
| Bericht anzeigen | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
Der Bericht zeigt die 100 Websites mit den höchsten Seitenaufrufen an, die durch die Richtlinie geschützt sind. |
| Bericht herunterladen | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Dieser Befehl muss als Administrator ausgeführt werden. Der heruntergeladene Bericht befindet sich in dem Pfad, unter dem der Befehl ausgeführt wurde. |
| Prozentsatz der Website, die mit einem Eingeschränkten Websitezugriffsbericht geschützt ist | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
Dieser Bericht zeigt den Prozentsatz der Websites, die durch die Richtlinie geschützt sind, an der Gesamtzahl der Websites an. |
Bericht zu Zugriffsverweigerungen aufgrund von Richtlinien für eingeschränkten Websitezugriff
Sie können die folgenden Befehle ausführen, um Berichte für Zugriffsverweigerungen aufgrund von Berichten über eingeschränkten Websitezugriff zu erstellen, abzurufen und anzuzeigen:
| Aktion | PowerShell-Befehl | Beschreibung |
|---|---|---|
| Erstellen eines Berichts zu Zugriffsverweigerungen | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Erstellt einen neuen Bericht zum Abrufen von Zugriffsverweigerungsdetails. |
| Abrufen des Zugriffsverweigerungsberichts status | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Ruft die status des generierten Berichts ab. |
| Letzte Zugriffsverweigerung in den letzten 28 Tagen | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Ruft eine Liste der letzten 100 Zugriffsverweigerungen ab, die in den letzten 28 Tagen aufgetreten sind. |
| Anzeigen der Liste der wichtigsten Benutzer, denen der Zugriff verweigert wurde | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Ruft eine Liste der 100 häufigsten Benutzer ab, die die meisten Zugriffsverweigerungen erhalten haben. |
| Anzeigen der Liste der wichtigsten Websites, die die meisten Zugriffsverweigerungen erhalten haben | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Ruft eine Liste der 100 websites mit den meisten Zugriffsverweigerungen ab. |
| Verteilung von Zugriffsverweigerungen auf verschiedene Arten von Standorten | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Zeigt die Verteilung von Zugriffsverweigerungen auf verschiedene Arten von Websites an. |
Hinweis
Um bis zu 10.000 Ablehnungen anzuzeigen, müssen Sie die Berichte herunterladen. Führen Sie den Downloadbefehl als Administrator aus, und die heruntergeladenen Berichte befinden sich unter dem Pfad, von dem aus der Befehl ausgeführt wurde.
Freigeben von Websites und Inhalten für Benutzer außerhalb von Eingeschränkten Access Control-Gruppen (Opt-In-Funktion)
Die Freigabe von SharePoint-Websites und deren Inhalten berücksichtigt standardmäßig nicht die Richtlinie für den eingeschränkten Zugriff auf Websites. Der SharePoint-Administrator kann die Freigabe der Website und ihrer Inhalte für Benutzer einschränken, die nicht Mitglieder der Gruppe Eingeschränkte Access Control sind.
Um die Freigabefunktion für Benutzer außerhalb der Gruppe Eingeschränkte Access Control einzuschränken, aktivieren Sie sie, indem Sie den folgenden PowerShell-Befehl in SharePoint Online-Verwaltungsshell als Administrator ausführen:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Freigeben für Benutzer
Sobald die Freigabeeinschränkung angewendet wurde, wird die Freigabe für Benutzer blockiert, die nicht Mitglied der Gruppe Restricted Access Control sind.
Freigeben für Gruppen
Die Freigabe ist für Microsoft Entra Security- oder Microsoft 365-Gruppen zulässig, die Teil der Liste eingeschränkter Access Control-Gruppen sind. Daher ist die Freigabe für alle anderen Gruppen, einschließlich Jeder außer externen Benutzern oder SharePoint-Gruppen, nicht zulässig.
Hinweis
Die Freigabe einer Website und ihres Inhalts ist jetzt für die geschachtelten Sicherheitsgruppen zulässig, die Teil der Eingeschränkten Access Control-Gruppen sind.
Konfigurieren des Links "Weitere Informationen" für Zugriffsverweigerungsfehler (Opt-In-Funktion)
Konfigurieren Sie den Link Weitere Informationen , um Benutzer zu informieren, denen der Zugriff auf eine SharePoint-Website aufgrund der Richtlinie für die eingeschränkte Websitezugriffssteuerung verweigert wurde. Mit diesem anpassbaren Fehlerlink können Sie Ihren Benutzern weitere Informationen und Anleitungen bereitstellen.
Hinweis
Der Link Weitere Informationen ist eine Einstellung auf Mandantenebene, die für alle Websites gilt, für die die Richtlinie eingeschränkte Access Control aktiviert ist.
Führen Sie den folgenden Befehl in SharePoint PowerShell aus, um den Link zu konfigurieren:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink "<Learn more URL>"
Führen Sie den folgenden Befehl aus, um den Wert des Links abzurufen:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
Der konfigurierte Link weitere Informationen wird gestartet, wenn der Benutzer hier den Link Weitere Informationen zu den Richtlinien Ihrer organization auswählt.
Verwandte Artikel
Richtlinie für bedingten Zugriff für SharePoint-Websites und OneDrive