Eventos
Conferencia de la comunidad de Microsoft 365
6 may, 14 - 9 may, 0
Aptitud para la era de la inteligencia artificial en el último evento dirigido por la comunidad de Microsoft 365, 6-8 de mayo en Las Vegas.
Saber másRestricción del acceso al sitio de SharePoint con grupos de Microsoft 365 y grupos de seguridad Microsoft Entra
Algunas características de este artículo requieren Microsoft SharePoint Premium: Administración avanzada de SharePoint
Puede restringir el acceso a sitios y contenido de SharePoint a los usuarios de un grupo específico mediante una directiva de restricción de acceso al sitio. Los usuarios que no están en el grupo especificado no pueden acceder al sitio ni a su contenido, incluso si tenían permisos anteriores o un vínculo compartido. Esta directiva se puede usar con sitios conectados a grupos, conectados a Teams y no conectados a grupos de Microsoft 365.
Las directivas de restricción de acceso al sitio se aplican cuando un usuario intenta abrir un sitio o acceder a un archivo. Los usuarios con permisos directos para el archivo todavía pueden ver archivos en los resultados de la búsqueda. Sin embargo, no pueden acceder a los archivos si no forman parte del grupo especificado.
Restringir el acceso al sitio a través de la pertenencia a grupos puede minimizar el riesgo de compartir contenido en exceso. Para obtener información sobre el uso compartido de datos, consulte Informes de gobernanza del acceso a datos.
La directiva de restricción de acceso al sitio requiere Microsoft SharePoint Premium- Administración avanzada de SharePoint.
Debe habilitar la restricción de acceso de nivel de sitio para su organización para poder configurarla para sitios individuales.
Para habilitar la restricción de acceso de nivel de sitio para su organización en el Centro de administración de SharePoint:
Expanda Directivas y seleccione Control de acceso.
Seleccione Restricción de acceso de nivel de sitio.
Seleccione Permitir restricción de acceso y, a continuación, seleccione Guardar.
Para habilitar la restricción de acceso de nivel de sitio para su organización mediante PowerShell, ejecute el siguiente comando:
Set-SPOTenant -EnableRestrictedAccessControl $true
El comando puede tardar hasta una hora en surtir efecto
Nota
Para los usuarios de Microsoft 365 Multi-Geo, ejecute este comando por separado para cada ubicación geográfica deseada.
La directiva de restricción de acceso al sitio para sitios conectados a grupos restringe el acceso del sitio de SharePoint a los miembros del grupo o equipo de Microsoft 365 asociados al sitio.
Para administrar la restricción de acceso al sitio para un sitio conectado a un grupo en el Centro de administración de SharePoint
- En el Centro de administración de SharePoint, expanda Sitios y seleccione Sitios activos.
- Seleccione el sitio que desea administrar y aparecerá el panel de detalles del sitio.
- En la pestaña Configuración , seleccione Editar en la sección Acceso restringido al sitio .
- Seleccione el cuadro Restringir acceso a este sitio y seleccione Guardar.
Para administrar la restricción de acceso al sitio para sitios conectados a grupos mediante PowerShell, use los siguientes comandos:
| Acción | Comando de PowerShell |
|---|---|
| Habilitación de la restricción de acceso al sitio para el sitio conectado a grupos | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Ver la restricción de acceso al sitio para el sitio conectado a grupos | Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl |
| Deshabilitar la restricción de acceso al sitio para el sitio conectado a grupos | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false |
Nota
Una vez habilitada la directiva para un sitio, el propietario del sitio puede ver los detalles de cómo afecta la directiva de restricción de acceso al sitio.
En el caso de los sitios conectados a grupos, el estado de la directiva y los detalles del grupo de control configurado se muestran en los paneles Información del sitio y Permisos .
Puede restringir el acceso a sitios conectados no agrupados especificando Microsoft Entra grupos de seguridad o grupos de Microsoft 365 que contienen las personas a las que se debe permitir el acceso al sitio. Puede configurar hasta 10 grupos de seguridad Microsoft Entra o grupos de Microsoft 365. Una vez aplicada la directiva, a los usuarios del grupo especificado que tienen permisos de acceso al sitio se les concede acceso al sitio y a su contenido. Puede usar grupos de seguridad dinámicos si desea basar la pertenencia a grupos en las propiedades de usuario.
Para administrar el acceso del sitio a un sitio conectado que no es de grupo:
En el Centro de administración de SharePoint, expanda Sitios y seleccione Sitios activos.
Seleccione el sitio que desea administrar y aparecerá el panel de detalles del sitio.
En la pestaña Configuración , seleccione Editar en la sección Acceso restringido al sitio .
Active la casilla Restringir el acceso del sitio de SharePoint solo a los usuarios de grupos especificados .
Agregue o quite los grupos de seguridad o los grupos de Microsoft 365 y seleccione Guardar.
Para que la restricción de acceso al sitio se aplique al sitio, debe agregar al menos un grupo a la directiva de restricción de acceso al sitio.
Para administrar la restricción de acceso al sitio para sitios conectados no agrupados mediante PowerShell, use los siguientes comandos:
| Acción | Comando de PowerShell |
|---|---|
| Habilitación de la restricción de acceso al sitio | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Agregar grupo | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| Editar grupo | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| Ver grupo | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| Quitar grupo | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| Restablecer la restricción de acceso al sitio | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Después de habilitar la directiva para los sitios de comunicación, el estado de la directiva y todos los grupos de control configurados se muestran para los propietarios del sitio en el panel Acceso al sitio , además de los paneles Información del sitio y Permisos .
Los sitios de canal compartido y privado son independientes del sitio conectado a grupos de Microsoft 365 que usan los canales estándar. Dado que los sitios de canal compartido y privado no están conectados al grupo de Microsoft 365, las directivas de restricción de acceso al sitio aplicadas al equipo no les afectan. Debe habilitar la restricción de acceso al sitio para cada sitio de canal compartido o privado por separado como sitios conectados no agrupados.
En el caso de los sitios de canal compartido, solo los usuarios internos del inquilino del recurso están sujetos a restricciones de acceso al sitio. Los participantes del canal externo se excluyen de la directiva de restricción de acceso al sitio y solo se evalúan según los permisos de sitio existentes del sitio.
Importante
Agregar personas al grupo de seguridad o al grupo de Microsoft 365 no proporcionará a los usuarios acceso al canal en Teams. Se recomienda agregar o quitar los mismos usuarios del canal de Teams en Teams y el grupo de seguridad o grupo de Microsoft 365 para que los usuarios tengan acceso a Teams y SharePoint.
El uso compartido de sitios de SharePoint y su contenido se puede bloquear con usuarios y grupos que no se permiten según la directiva de control de acceso restringido.
La funcionalidad de control de uso compartido está deshabilitada de forma predeterminada. Para habilitarlo, ejecute el siguiente comando de PowerShell en Shell de administración de SharePoint Online como administrador:
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
El uso compartido solo se permite con los usuarios que forman parte de grupos de control de acceso restringido. El uso compartido se bloqueará con cualquier persona fuera de los grupos de control de acceso restringido, como se muestra a continuación:
El uso compartido se permite con Microsoft Entra security o grupos de Microsoft 365 que forman parte de la lista de grupos de control de acceso restringido. Por lo tanto, no se permitirá el uso compartido con todos los demás grupos, incluidos Todos, excepto usuarios externos o grupos de SharePoint.
Nota
En la actualidad, el uso compartido de un sitio y su contenido no se permitirá para los grupos de seguridad anidados que forman parte de los grupos de control de acceso restringido. Esta compatibilidad se agregará en la siguiente iteración de la versión.
Configure el vínculo más información para informar a los usuarios a los que se denegó el acceso a un sitio de SharePoint debido a la directiva de control de acceso restringido al sitio. Con este vínculo de error personalizable, puede proporcionar más información e instrucciones a los usuarios.
Nota
El vínculo más información es una configuración de nivel de inquilino que se aplica a todos los sitios que tienen habilitada la directiva de control de acceso restringido.
Para configurar el vínculo, ejecute el siguiente comando en SharePoint PowerShell:
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
Para capturar el valor del vínculo, ejecute el siguiente comando:
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
El vínculo más información configurado se inicia cuando el usuario selecciona el vínculo Más información sobre las directivas de su organización aquí .
Como administrador de TI, puede ver los informes siguientes para obtener más información sobre los sitios de SharePoint protegidos con la directiva de acceso a sitios restringidos:
- Sitios protegidos por la directiva de acceso a sitios restringidos (RACProtectedSites)
- Detalles de denegaciones de acceso debido al acceso restringido al sitio (ActionsBlockedByPolicy)
Nota
Cada informe puede tardar unas horas en generarse.
Puede ejecutar los siguientes comandos en SharePoint PowerShell para generar, ver y descargar los informes:
| Acción | Comando de PowerShell | Descripción |
|---|---|---|
| Generar informe | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Genera una lista de sitios protegidos por la directiva de acceso a sitios restringidos |
| Ver informe | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
El informe muestra los 100 sitios principales con las vistas de página más altas protegidas por la directiva. |
| Descargar informe | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Este comando debe ejecutarse como administrador. El informe descargado se encuentra en la ruta de acceso donde se ejecutó el comando. |
| Porcentaje de sitio protegido con un informe de acceso restringido al sitio | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
Este informe muestra el porcentaje de sitios protegidos por la directiva del número total de sitios |
Puede ejecutar los siguientes comandos para crear, capturar y ver el informe de denegaciones de acceso debido a informes de acceso restringido al sitio:
| Acción | Comando de PowerShell | Descripción |
|---|---|---|
| Creación de un informe de denegación de acceso | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Crea un nuevo informe para capturar detalles de denegación de acceso |
| Captura del estado del informe de denegaciones de acceso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Captura el estado del informe generado. |
| Denegaciones de acceso más recientes en los últimos 28 días | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Obtiene una lista de las 100 denegaciones de acceso más recientes que se han producido en los últimos 28 días. |
| Visualización de la lista de usuarios principales a los que se denegó el acceso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Obtiene una lista de los 100 usuarios principales que recibieron más denegaciones de acceso. |
| Visualización de la lista de sitios principales que recibieron la mayoría de las denegaciones de acceso | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Obtiene una lista de los 100 sitios principales que tenían más denegaciones de acceso. |
| Distribución de denegaciones de acceso entre diferentes tipos de sitios | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Muestra la distribución de denegaciones de acceso entre diferentes tipos de sitios. |
Nota
Para ver hasta 10 000 denegaciones, debe descargar los informes. Ejecute el comando de descarga como administrador y los informes descargados se encuentran en la ruta de acceso desde donde se ejecutó el comando.
Los eventos de auditoría están disponibles en el portal de cumplimiento de Purview para ayudarle a supervisar las actividades de restricción de acceso al sitio. Los eventos de auditoría se registran para las actividades siguientes:
- Aplicación de la restricción de acceso al sitio para el sitio
- Eliminación de la restricción de acceso al sitio para el sitio
- Cambio de los grupos de restricción de acceso al sitio para el sitio
Directiva de acceso condicional para sitios de SharePoint y OneDrive
Recursos adicionales
Cursos
Módulo
Obtenga información general sobre las soluciones para administrar el acceso a archivos y sitios, agregar puntos de entrada de búsqueda y revisar los comentarios de los usuarios.
Certificación
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.