Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können den Zugriff auf die OneDrive-Inhalte eines einzelnen Benutzers auf Benutzer in einer Sicherheitsgruppe oder Microsoft 365-Gruppe beschränken, indem Sie eine Websitezugriffseinschränkungsrichtlinie verwenden. Benutzer, die nicht in der angegebenen Gruppe sind, können nicht auf den Inhalt zugreifen, auch wenn sie über vorherige Berechtigungen oder einen freigegebenen Link verfügten.
Die Richtlinie wird mithilfe von Microsoft Entra Sicherheitsgruppen oder Microsoft 365-Gruppen angewendet, die die Personen enthalten, die auf Dateien in diesem OneDrive zugreifen können sollen.
Wenn die Richtlinie angewendet wird, werden den Personen in den angegebenen Gruppen keine Berechtigungen für Dateien direkt gewährt. Der OneDrive-Besitzer muss den Inhalt wie gewohnt freigeben. Die Websitezugriffseinschränkungsrichtlinie verhindert, dass jeder, der sich nicht in der Sicherheitsgruppe oder der Microsoft 365-Gruppe befindet, auf den OneDrive-Inhalt zugreifen kann, auch wenn er für ihn freigegeben wurde.
Zugriffseinschränkungsrichtlinien werden angewendet, wenn ein Benutzer versucht, auf eine Datei zuzugreifen. Benutzer können weiterhin Dateien in Suchergebnissen sehen, wenn sie über direkte Berechtigungen für die Datei verfügen, aber sie können nicht auf die Datei zugreifen, wenn sie nicht Teil der angegebenen Gruppe sind.
Sie können auch den Zugriff auf den OneDrive-Dienst selbst auf Personen in einer Sicherheitsgruppe beschränken. Weitere Informationen finden Sie unter Einschränken des OneDrive-Zugriffs nach Sicherheitsgruppe.
Bevor Sie beginnen
Stellen Sie sicher, dass Ihre organization die Voraussetzungen für die erweiterte SharePoint-Verwaltung erfüllt, einschließlich der Anforderungen für das SharePoint Online PowerShell-Modul.
Aktivieren der Websitezugriffseinschränkung für Ihre organization
Sie müssen die Websitezugriffseinschränkung für Ihre organization aktivieren, bevor Sie sie für das OneDrive eines Benutzers konfigurieren können.
So aktivieren Sie die Websitezugriffseinschränkung für Ihre organization im SharePoint Admin Center:
Erweitern Sie Richtlinien , und wählen Sie Zugriffssteuerung aus.
Wählen Sie Websitezugriffseinschränkung aus.
Wählen Sie Zugriffseinschränkung zulassen und dann Speichern aus.
Führen Sie den folgenden Befehl aus, um die Websitezugriffseinschränkung für Ihre organization mithilfe von PowerShell zu aktivieren:
Set-SPOTenant -EnableRestrictedAccessControl $true
Es kann bis zu einer Stunde dauern, bis der Befehl wirksam wird.
Hinweis
Führen Sie diesen Befehl für Microsoft 365 Multi-Geo-Benutzer separat für jeden gewünschten geografischen Standort aus.
Einschränken des Zugriffs auf die OneDrive-Inhalte eines Benutzers
Jedem OneDrive können bis zu 10 Microsoft Entra Sicherheits- oder Microsoft 365-Gruppen zugewiesen werden. Sobald eine Gruppe hinzugefügt wurde, haben nur Benutzer in den Gruppen Zugriff auf Inhalte in diesem OneDrive, die für sie freigegeben wurden. Sie können dynamische Sicherheitsgruppen verwenden, wenn Sie die Gruppenmitgliedschaft auf Benutzereigenschaften basieren möchten.
Wichtig
Der Besitzer des OneDrive muss in einer der von Ihnen angegebenen Sicherheits- oder Microsoft 365-Gruppen enthalten sein, andernfalls verliert er den Zugriff auf sein OneDrive und dessen Inhalte.
Verwenden Sie die folgenden Befehle, um die Zugriffsbeschränkung für OneDrive zu verwalten:
So aktivieren Sie die Zugriffsbeschränkung für eine bestimmte OneDrive-Bibliothek:
Führen Sie den folgenden Befehl aus, bevor Sie Sicherheits- oder Microsoft 365-Gruppen hinzufügen.
Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true
So fügen Sie eine Sicherheitsgruppe oder eine Microsoft 365-Gruppe hinzu:
Führen Sie den folgenden Befehl aus:
Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS>
So bearbeiten Sie eine Sicherheitsgruppe oder eine Microsoft 365-Gruppe:
Führen Sie den folgenden Befehl aus:
Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS>
So zeigen Sie eine Sicherheitsgruppe oder eine Microsoft 365-Gruppe an:
Führen Sie den folgenden Befehl aus:
Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups
So entfernen Sie eine Sicherheitsgruppe oder eine Microsoft 365-Gruppe:
Führen Sie den folgenden Befehl aus:
Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS>
So setzen Sie die Websitezugriffseinschränkung zurück:
Führen Sie den folgenden Befehl aus:
Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl
Richtlinien für websitefreigabe und eingeschränkten Websitezugriff
Die OneDrive-Websitefreigabe kann für Benutzer und Gruppen blockiert werden, die gemäß der Richtlinie für eingeschränkte Zugriffssteuerung nicht zulässig sind.
Die Freigabesteuerungsfunktion ist standardmäßig deaktiviert. Führen Sie den folgenden Befehl aus, um sie zu aktivieren:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Freigeben für Benutzer
Die Freigabe ist nur für Benutzer zulässig, die Teil von Gruppen mit eingeschränkter Zugriffssteuerung sind. Die Freigabe wird für personen außerhalb der Gruppen mit eingeschränkten Zugriffssteuerungen blockiert, wie unten gezeigt:
Freigeben für Gruppen
Die Freigabe ist für Microsoft Entra Security- oder Microsoft 365-Gruppen zulässig, die Teil der Liste der Gruppen mit eingeschränktem Zugriff sind. Daher ist die Freigabe für alle anderen Gruppen, einschließlich Jeder außer externen Benutzern oder SharePoint-Gruppen, nicht zulässig.
Hinweis
Derzeit ist die Freigabe einer Website und ihrer Inhalte für geschachtelte Sicherheitsgruppen, die Teil der Gruppen mit eingeschränkter Zugriffssteuerung sind, nicht zulässig.
Konfigurieren des Links "Weitere Informationen" für die Seite "Zugriffsverweigerungsfehler"
Konfigurieren Sie Ihren Link "Weitere Informationen", um Benutzer zu informieren, denen der Zugriff auf eine OneDrive-Website aufgrund einer eingeschränkten Websitezugriffssteuerungsrichtlinie verweigert wurde. Mit diesem anpassbaren Fehlerlink können Sie Ihren Benutzern weitere Informationen und Anleitungen bereitstellen.
Hinweis
Der Link "Weitere Informationen" ist eine Einstellung auf Mandantenebene, die für alle OneDrive-Websites gilt, für die die Richtlinie für die eingeschränkte Zugriffssteuerung aktiviert ist.
So konfigurieren Sie den Link "Weitere Informationen":
Führen Sie den folgenden Befehl aus:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink "<Learn more URL>"
So rufen Sie den Wert des Links ab:
Führen Sie den folgenden Befehl aus:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
Der konfigurierte Link weitere Informationen wird gestartet, wenn der Benutzer hier den Link Weitere Informationen zu den Richtlinien Ihrer organization auswählt.
Einblicke in Richtlinien für eingeschränkten Zugriff auf Websites
Als IT-Administrator können Sie die folgenden Berichte anzeigen, um weitere Einblicke in OneDrive-Websites zu erhalten, die mit einer Richtlinie für den eingeschränkten Zugriff auf Websites geschützt sind:
- Websites, die durch eine Richtlinie für eingeschränkten Zugriff auf Websites geschützt sind (RACProtectedSites)
- Details zu Zugriffsverweigerungen aufgrund des eingeschränkten Websitezugriffs (ActionsBlockedByPolicy)
Hinweis
Es kann einige Stunden dauern, jeden Bericht zu generieren.
Bericht zu Websites, die durch Richtlinien für eingeschränkten Zugriff geschützt sind
Sie können die folgenden Befehle verwenden, um Berichte zu generieren, anzuzeigen und herunterzuladen.
So generieren Sie einen Bericht:
Führen Sie den folgenden Befehl aus:
Start-SPORestrictedAccessForSitesInsights -RACProtectedSites
Dieser Befehl generiert eine Liste der Websites, die durch eine Richtlinie für eingeschränkten Websitezugriff geschützt sind.
So zeigen Sie einen Bericht an:
Führen Sie den folgenden Befehl aus:
Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID>
Dieser Befehl erstellt einen Bericht, der die 100 websites mit den höchsten Seitenaufrufen anzeigt, die durch die Richtlinie geschützt sind.
So laden Sie einen Bericht herunter:
Führen Sie den folgenden Befehl aus:
Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download
Dieser Befehl muss als Administrator ausgeführt werden. Der heruntergeladene Bericht befindet sich in dem Pfad, in dem der Befehl ausgeführt wurde.
So zeigen Sie den Prozentsatz der Websites an, die mit eingeschränktem Websitezugriff geschützt sind:
Führen Sie den folgenden Befehl aus:
Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary
Dieser Bericht zeigt den Prozentsatz der Websites, die durch die Richtlinie geschützt sind, an der Gesamtzahl der Websites.
Zugriffsverweigerungen aufgrund einer Richtlinie für eingeschränkten Websitezugriff
Sie können die Befehle in diesem Abschnitt verwenden, um Berichte für Zugriffsverweigerungen aufgrund von Berichten über eingeschränkten Websitezugriff zu erstellen, abzurufen und anzuzeigen.
So erstellen Sie einen Bericht über Zugriffsverweigerungen
Führen Sie den folgenden Befehl aus:
Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy
Dieser Befehl erstellt einen neuen Bericht zum Abrufen von Zugriffsverweigerungsdetails.
So rufen Sie die status eines Zugriffsverweigerungsberichts ab
Führen Sie den folgenden Befehl aus:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy
Dieser Befehl ruft die status des generierten Zugriffsverweigerungsberichts ab.
So zeigen Sie die letzten Zugriffsverweigerungen in den letzten 28 Tagen an
Führen Sie den folgenden Befehl aus:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials
Dieser Befehl erstellt eine Liste der letzten 100 Zugriffsverweigerungen, die in den letzten 28 Tagen aufgetreten sind.
So zeigen Sie eine Liste der wichtigsten Benutzer an, denen der Zugriff verweigert wurde
Führen Sie den folgenden Befehl aus:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers
Dieser Befehl erstellt eine Liste der 100 häufigsten Benutzer, die die meisten Zugriffsverweigerungen erhalten haben.
So zeigen Sie eine Liste der wichtigsten Websites an, die die meisten Zugriffsverweigerungen erhalten haben
Führen Sie den folgenden Befehl aus:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites
Mit diesem Befehl wird eine Liste der 100 websites erstellt, die die meisten Zugriffsverweigerungen hatten.
So zeigen Sie die Verteilung von Zugriffsverweigerungen auf verschiedene Arten von Websites an
Führen Sie den folgenden Befehl aus:
Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution
Dieser Befehl zeigt die Verteilung von Zugriffsverweigerungen auf verschiedene Arten von Websites an.
Hinweis
Laden Sie die Berichte herunter, um bis zu 10.000 Ablehnungen anzuzeigen. Führen Sie den Downloadbefehl als Administrator aus, und die heruntergeladenen Berichte befinden sich in dem Pfad, von dem aus der Befehl ausgeführt wurde.
Überwachung
Überwachungsereignisse sind im Microsoft Purview-Portal verfügbar, um Sie bei der Überwachung von Websitezugriffseinschränkungsaktivitäten zu unterstützen. Überwachungsereignisse werden für die folgenden Aktivitäten protokolliert:
- Anwenden der Websitezugriffseinschränkung für die Website
- Entfernen der Websitezugriffseinschränkung für die Website
- Ändern von Websitezugriffseinschränkungsgruppen für website