Jak ustawić zabezpieczenia dla witryny SharePoint

czy kiedykolwiek zostawiłbyś swój portfel na stole w ruchliwej restauracji? Lub może zostawić samochód odblokowany na ulicy na noc? Nie sądzę. Więc dlaczego jesteś tak niedbały i nieostrożny ze swoimi treściami w SharePoint? Nie wiem, ile razy patrzę na środowisko SharePoint klientów i jest tak, jakby komunizm wygrał SharePoint – cała zawartość jest do zgarnięcia i nikt nie wie, kto tu rządzi. W tym poście na blogu chcę wyjaśnić, jak prawidłowo ustawić zabezpieczenia witryny SharePoint. Istnieje wiele kroków, ale jeśli naprawdę chcesz, aby Twoja witryna i treść były zabezpieczone, musisz wykonać wszystkie kroki opisane poniżej. I tak, musisz powtórzyć te kroki dla wszystkich stron indywidualnie w swoim otoczeniu.

Jak prawidłowo ustawić zabezpieczenia dla witryny SharePoint – 10 kroków ze szczegółowymi instrukcjami

Krok 1: Określ, czy witryna będzie udostępniona zewnętrznie

nie bez powodu umieściłem to jako Krok # 1. Jeśli udostępniasz swoją witrynę na zewnątrz, musisz utworzyć witrynę w całkowicie oddzielnej kolekcji witryn. Proszę odnieść się do tego postu, aby uzyskać więcej informacji. Upewnij się, że najpierw podejmiesz tę decyzję. Jeśli planujesz udostępniać jakiekolwiek treści ze strony na zewnątrz, może być konieczne rozpoczęcie od nowa i utworzenie tej witryny w oddzielnej kolekcji witryn. Chodzi o to, że udostępnianie zewnętrzne jest kontrolowane na poziomie kolekcji witryn w SharePoint.

  1. przejdź do SharePoint Admin Center
  2. zaznacz pole wyboru obok kolekcji witryn
  3. kliknij przycisk Udostępnianie sitecollectionsharing
  4. upewnij się, że zaznaczono odpowiednie pole wyboru, jeśli planujesz włączyć / wyłączyć udostępnianie zewnętrznesitecollectionsharing2

nie zezwalaj na udostępnianie zewnętrzne w tej samej kolekcji witryn, w której znajduje się witryna intranetowa. W przeciwnym razie dowolne wewnętrzne (operacyjne) witryny, takie jak witryna działu HR, mogą być łatwo udostępniane każdemu spoza organizacji

. Podczas tworzenia nowej podstrony Użytkownik otrzymuje pytanie dotyczące dziedziczenia zabezpieczeń po witrynie nadrzędnej. Jeśli tak, wszystkie poniższe kroki należy wykonać na poziomie strony rodzica. Załóżmy (i najprawdopodobniej tak będzie), że tworzysz podstronę, która będzie miała unikalne uprawnienia.

  1. Sprawdź dwukrotnie, czy nie dziedziczysz uprawnień od rodzica. Przejdź do ustawień witryny > uprawnienia witryny
  2. jeśli widzisz coś takiego – oznacza to, że dziedziczysz zabezpieczenia ze strony nadrzędnej. Możesz przerwać dziedziczenie, klikając Stop Inheriting Permissions inheritpermissions
  3. jeśli widzisz coś takiego-oznacza to, że masz już unikalne uprawnienia do tej witryny, niezależnie od witryny nadrzędnejuniquepermissions

Krok 3: Określ różne grupy osób i ról (poziom dostępu), które chcesz, aby miały

po zerwaniu dziedziczenia od rodzica zostaniesz poproszony o utworzenie trzech grup: właścicieli witryny, członków witryny i odwiedzających witrynę. Niekoniecznie musisz używać wszystkich trzech grup w swojej witrynie, ale jeśli się nad tym zastanowić, są to trzy różne grupy z bardzo różnymi rolami, których możesz potrzebować w swojej witrynie.

  • Właściciele witryn to zazwyczaj użytkownicy, którzy mają pełną kontrolę (uprawnienia administratora) nad witryną
  • członkowie witryny to zazwyczaj użytkownicy, którzy pracują z zawartością (Dodaj/Edytuj/Usuń) zawartość
  • odwiedzający witrynę to zazwyczaj użytkownicy, którzy wymagają dostępu tylko do odczytu (możliwość dostępu do informacji, ale niekoniecznie możliwość ich edycji)

pomyśl o swojej unikalnej witrynie i różnych grupach ról, które możesz chcieć mieć. Możesz mieć wszystkie trzy grupy, możesz potrzebować tylko 1 lub 2 lub może być 4-5, w każdym razie każda strona / scenariusz jest unikalny.

Krok 4: Tworzenie grup zabezpieczeń

aby dać prawdziwy przykład, powiedzmy, że tworzysz witrynę projektu. Możesz skorzystać z tych samych trzech grup, o których wspomniałem w poprzednim kroku:

  • właścicielami witryny będą użytkownicy, którzy będą utrzymywać witrynę, zmieniać jej wygląd, bezpieczeństwo
  • członkowie witryny będą regularnymi członkami zespołu projektowego, którzy będą przesyłać/edytować/usuwać dokumenty obecne na stronie
  • odwiedzającymi witrynę mogą być wszyscy inni w organizacji lub kierownicy projektu, którzy po prostu muszą uzyskać dostęp do witryny projektu w trybie tylko do odczytu, aby sprawdzić status

jak wspomniano w poprzednim kroku, możesz już utworzyć trzy grupy. Aby to sprawdzić, przejdź do ustawień witryny > uprawnienia witryny. Istnieją dwa sposoby tworzenia grup zabezpieczeń:

  • Opcja 1: Jeśli obecnie dziedziczysz uprawnienia od rodzica i kliknij Zatrzymaj dziedziczenie uprawnień (w Kroku 2), Zostaniesz poproszony o utworzenie grup zabezpieczeń „w locie”.createnewsecuritygroups
  • Opcja 2: możesz utworzyć grupy zabezpieczeń w dowolnym momencie, przechodząc do ustawień witryny > uprawnienia witryny.createnewsecuritygroups2createnewsecuritygroups3

jeśli chcesz usunąć grupę zabezpieczeń z witryny, po prostu kliknij pole wyboru obok niej i naciśnij przycisk „Usuń uprawnienia użytkownika” removesecuritygroup

Krok 5: Ustaw poziomy uprawnień

po utworzeniu grup następnym krokiem jest przypisanie odpowiedniego poziomu uprawnień dla każdej grupy. Jeśli nie jesteś pewien, jakie są poziomy uprawnień, możesz sprawdzić ten post, który zawiera dobre wyjaśnienie, czym są.

musisz dowiedzieć się, jaki rodzaj dostępu będzie miała każda grupa.

regułą, którą powinieneś przestrzegać, jest to, że powinieneś dać tylko minimalne uprawnienia, których będzie wymagać Grupa! Jeśli cała grupa lub użytkownik wymaga możliwości dodawania / edycji/usuwania-nie ma powodu, dla którego powinieneś dać im pełną kontrolę!

kolejna ważna rzecz-upewnij się, że naprawiłeś Domyślny poziom uprawnień „Edytuj” dla grupy członków witryny. Jest to dość frustrujące, ale domyślnie grupa członków witryny ma przypisane uprawnienia edycji. Edycja oznacza więcej niż tylko możliwość edycji dokumentu. Użytkownicy z poziomem uprawnień do edycji mogą usunąć wszystkie części internetowe ze strony! Więc jeśli wszystko, czego potrzebujesz, to możliwość dodawania/edytowania/usuwania dokumentów przez użytkowników, daj im tylko uprawnienia Contribute. Wyjaśniłem to również w moim blogu uprawnienia.

membersedit

aby zmienić poziom uprawnień dla grupy członków witryny lub dowolnej innej grupy zabezpieczeń:

  1. zaznacz pole obok grupy, której uprawnienia chcesz edytować. Kliknij Edytuj uprawnienia użytkownikówmembersedit3
  2. na następnym ekranie kliknij pole wyboru obok poziomu uprawnień, który chcesz ustawić dla tej grupy (np. Hit OKmembersedit2

Krok 6: Dodawanie osób do grup zabezpieczeń

teraz, gdy masz już ustalone grupy zabezpieczeń i poziomy uprawnień, możesz dodawać użytkowników do odpowiednich grup. Aby to zrobić:

  1. przejdź do ustawień witryny > uprawnienia witryny, kliknij grupę, w której chcesz dodać użytkowników do
  2. kliknij Nowy > Dodaj użytkownikówaddusersgroup
  3. . Wpisz nazwy użytkowników, których chcesz dodać. Możesz dołączyć opcjonalną wiadomość i wysłać im wiadomość e-mail z powiadomieniem, jeśli chcesz. Kliknij przycisk Udostępnijaddusersgroup2

zawsze dodawaj użytkowników do grupy zabezpieczeń! Nigdy nie dodawaj użytkowników bezpośrednio do witryny! Jest to sprzeczne z najlepszymi praktykami!

  • powód 1: Jeśli dodajesz użytkowników bezpośrednio, musisz ręcznie zarządzać użytkownikami. Więc jeśli masz 25 użytkowników i musisz zmienić poziom uprawnień dla wszystkich 25 w pewnym momencie – zgadnij co – musisz to zrobić ręcznie dla każdego. Gdyby wszystkie były w grupie, wystarczy zmienić poziom uprawnień na poziomie grupy tylko raz.
  • powód 2: jeśli użytkownicy są w grupie, możesz łatwo sprawdzić uprawnienia grup dla całej kolekcji witryny. Innymi słowy, możesz zobaczyć, do jakich innych stron Ta konkretna grupa zabezpieczeń ma dostęp w tej kolekcji witryn. Aby to zrobić:
  1. kliknij grupę zabezpieczeń, której dostęp chcesz sprawdzić
  2. kliknij Ustawienia > wyświetl uprawnienia grupyviewgrouppermissions
  3. teraz otrzymasz listę witryn i poziom uprawnień, które ta konkretna grupa maviewgrouppermissions2

powyższe nie byłoby możliwe, gdybyś chciał wyszukać uprawnienia dla danego użytkownika. Ta sztuczka działa tylko dla grup bezpieczeństwa. W przypadku użytkowników indywidualnych możesz sprawdzić uprawnienia tylko dla nich na danej stronie, na której aktualnie się znajdujesz, pojedynczo. Aby to zrobić:

  1. kliknij przycisk Sprawdź uprawnienia na górnej wstążcecheckpermissions
  2. wpisz nazwę użytkownika i kliknij przycisk Sprawdź terazcheckpermissions2
  3. zobaczysz poziom dostępu użytkownika – ale tylko na tej konkretnej stronie, nie całej kolekcji witryny, jak w przypadku grup bezpieczeństwa!checkpermissions3

Krok 7: Określ, czy pozwolisz użytkownikom udostępniać treści

Nie, jeszcze nie skończyliśmy. Ten krok jest bardzo ważny. Następną rzeczą, którą musimy zrobić, to dowiedzieć się, czy pozwolisz użytkownikom udostępniać treści w witrynie. Sposób, w jaki skonfigurowaliśmy naszą witrynę do tego momentu – ustawiamy początkowe zabezpieczenia, aby umożliwić ludziom dostęp do witryny. Jeśli jednak zostawimy wszystko tak, jak jest, Użytkownicy mogą swobodnie udostępniać treści ze strony wszystkim innym w organizacji (lub na zewnątrz). Oznacza to, że użytkownicy, którzy nie zostali dodani przez Ciebie do grup bezpieczeństwa, będą mieli dostęp do twojej witryny lub poszczególnych dokumentów, nawet bez Twojej wiedzy o tym!!!

dzieje się tak dlatego, że Microsoft chce, abyśmy współpracowali i dzielili się. SharePoint ma nawet słowo „Udostępnij”. Tak więc domyślnie SharePoint jest skonfigurowany do udostępniania, chyba że chcesz go ograniczyć. Pokażę Ci, co mam na myśli.

  1. przejdź do ustawień witryny > uprawnienia witryny.
  2. na górnej wstążce kliknij Ustawienia żądania dostępu accessrequestsettings
  3. zobaczysz wyskakujące okienko poniżej z trzema polami wyboru. Pozwól mi wyjaśnić, co oznacza każde pole wyboruaccessrequestsettings2
  • Zezwalaj członkom na udostępnianie witryny oraz pojedynczych plików i folderów. Jeśli to pole jest zaznaczone-umożliwi to użytkownikom udostępnianie pojedynczych plików osobom spoza grup zabezpieczeń / witryny. Tak więc zasadniczo każdy użytkownik, który ma dostęp do witryny, będzie mógł kliknąć Udostępnij dokument i udostępnij plik komuś spoza działu. Stwarza to również pewien koszmar, ponieważ możesz skończyć z setkami dokumentów, z których każdy ma swoje unikalne zabezpieczenia / udostępnianie. Nie jest to dobre ze względu na wydajność witryny i konserwację.
  • Zezwalaj członkom na zapraszanie innych do grupy członków witryny,. To ustawienie musi być włączone, aby użytkownicy mogli udostępniać witrynę. Jeśli to pole jest zaznaczone-pozwoli to każdemu użytkownikowi w grupie członków witryny udostępnić całą witrynę innym użytkownikom, którzy nie są pierwotnie częścią witryny. Co więcej, zaproszeni użytkownicy zostaną automatycznie dodani do grupy członków, nawet jeśli administrator SharePoint/właściciel witryny nie dodał ich tam w pierwszej kolejności!!! AUĆ!
  • Zezwalaj na żądania dostępu. Umożliwia to zatwierdzanie lub odrzucanie żądania dostępu do witryny. Jeśli to pole jest zaznaczone i adres e – mail został podany-użytkownik otrzyma powiadomienie e-mail z prośbą o zatwierdzenie dostępu do witryny, gdy ktoś wyląduje na adresie URL witryny.

Krok 8: skonfiguruj ustawienia żądania dostępu (uprawnienia udostępniania) dla witryny

więc nadszedł czas decyzji. Z informacji podanych w poprzednim kroku musisz zdecydować, czy chcesz:

  • Opcja 1: Kontrola bezpieczeństwa witryny za pomocą grup zabezpieczeń
  • Opcja 2: umożliwienie użytkownikom swobodnego udostępniania treści

zwykle polecam opcję 1. Jestem nieco maniakiem kontroli i wolę kontrolować bezpieczeństwo za pośrednictwem grup bezpieczeństwa. Jeśli użytkownicy nie są w grupie bezpieczeństwa, na początek może być dobry powód, dla którego nie powinni tam być.

jeśli wolisz opcję 2-nie wprowadzaj żadnych zmian w ustawieniach domyślnych lub jeśli chcesz, Potwierdź i zaznacz odpowiednie pola wyboru w oknie dialogowym Ustawienia żądania dostępu. Użytkownicy będą teraz mogli udostępniać treści, klikając przycisk” Udostępnij”.accessrequestsettings2

jeśli wolisz opcję 1, musisz:

  1. Odznacz wszystkie pola w oknie dialogowym Ustawienia żądania dostępuaccessrequestsettings3
  2. Naucz użytkowników, jak udostępniać witrynę i dokumenty. Ponieważ wyłączyłeś udostępnianie, podczas próby udostępnienia witryny lub pojedynczego dokumentu zostaną wyświetlone komunikaty o błędzie. Właściwym sposobem ich udostępniania byłoby wysłanie adresu URL całej witryny do użytkownika, któremu próbują udostępnić (zakładając oczywiście, że użytkownik jest również częścią grupy bezpieczeństwa) lub wysłanie adresu URL pojedynczego dokumentu do odbiorcy (po raz kolejny użytkownik musiałby mieć dostęp do witryny, aby uzyskać dostęp do udostępnionego dokumentu)accessrequestsettings4

Krok 9: Dostosuj uprawnienia strony

mimo że mamy skonfigurowane wszystkie grupy zabezpieczeń i uprawnienia, jest jeszcze jedna mała rzecz, którą musisz dostosować. Domyślnie zabezpieczenia są dziedziczone od strony do strony do części internetowych. Oznacza to, że jeśli podałeś grupie członków poziom uprawnień Contribute, oznacza to, że ci członkowie mają również dostęp do strony Contribute. Tłumacząc to na angielski, mogą kliknąć kartę strony, edytować przycisk i mogą przenosić części internetowe po stronie, a nawet usuwać części internetowe ze strony.

editpage

nie mogą usunąć części internetowych ze strony, więc jesteś tam w porządku, ale mogą zmienić wygląd strony głównej na stronie. Niekoniecznie uprawnienia, które chciałbyś mieć.

osobiście nie widziałem wielu problemów z tą często pomijaną „luką bezpieczeństwa”, ale jeśli chcesz całkowicie temu zapobiec, wykonaj następujące czynności:

  1. kliknij na stronie > uprawnienia strony pagepermissions
  2. na następnym ekranie zobaczysz uprawnienia dla tej strony. Zauważ, że grupa Members ma dostęp Contribute do strony
  3. Przerwij dziedziczenie ze strony na stronę, klikając Zatrzymaj dziedziczenie uprawnieńpagepermissions2
  4. po zerwaniu dziedziczenia zmień uprawnienia grupy Members z Contribute na Readpagepermissions3pagepermissions4pagepermissions5

krok 10: Upewnij się, że nie odwoływasz się/nie umieszczasz żadnych treści z innej witryny

inną rzeczą do zrobienia przed uruchomieniem witryny SharePoint jest upewnienie się, że przypadkowo nie dołączasz treści z innych witryn. Czasami jest to celowe, jednak pozwól mi wyjaśnić scenariusz, który wystąpił ze mną i może wystąpić z Tobą.

powiedzmy, że wstawiłeś obraz do swojej witryny / strony, a adres URL obrazu wskazuje na inną witrynę. Dobrym tego przykładem jest logo. Podczas konfigurowania logo witryny zazwyczaj wskazuje się na bibliotekę zasobów witryny w witrynie. Załóżmy, że masz podwitrynę, ale jej logo wskazuje na bibliotekę zasobów witryny w witrynie nadrzędnej. Teraz wyobraź sobie, że złamałeś dziedziczenie między podstroną a stroną nadrzędną.

teraz stanie się tak, że jeśli będę miał dostęp do podstrony, ale nie będę miał dostępu do strony nadrzędnej, Nie będę mógł również uzyskać dostępu do podstrony, ponieważ gdy podstrona jest wyświetlana/renderowana, próbuje uzyskać dostęp do logo ze strony nadrzędnej, do której nie mam uprawnień dostępu. Więc upewnij się, że unikasz tego scenariusza, przyznając odpowiedni dostęp lub przechowując całą zawartość wymaganą do załadowania strony na danej podstronie.

tak, teraz skończyliśmy. Wiem, że jest wiele małych kroków, ale wszystkie są niezbędne, jeśli chcesz mieć pewność, że Twoje dokumenty są bezpieczne i uniknąć sytuacji typu otwartego portfela.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.