Le autorizzazioni uniche in SharePoint offrono controllo, ma possono anche causare complessità e potenziale confusione tra gli utenti. Questo articolo analizza come nascono le autorizzazioni uniche, il loro impatto e, soprattutto, le migliori pratiche per l'amministratore per gestirle in modo efficace.
Che cosa sono i permessi unici su un sito SharePoint?
Per impostazione predefinita, i file e le cartelle SharePoint ereditano le autorizzazioni dal sito a cui appartengono. Ciò significa che tutti gli utenti che sono membri di un sito con permessi di aggiunta/modifica/cancellazione possono aggiungere/modificare/cancellare qualsiasi file o cartella all'interno del sito.
Le autorizzazioni uniche sono autorizzazioni personalizzate: La modifica della sicurezza per un file o una cartella specifici crea permessi unici. Supponiamo di nascondere quel file o quella cartella a tutti i membri del team e di consentirne solo alcuni: in questo modo si ottengono permessi unici. Ma questo non è l'unico modo per far apparire i permessi unici.
Come può un file finire con permessi unici?
Ci sono alcuni motivi per cui si possono avere autorizzazioni uniche sul sito SharePoint.
- Permessi unici impostati manualmente
Questo è il caso più comune e quello menzionato in precedenza. Se si decide di alterare la sicurezza di un determinato file o cartella utilizzando l'opzione Gestire l'accesso si impostano permessi unici per quel file o cartella.
Se volete sapere tutto su come impostare manualmente le autorizzazioni per le librerie, le cartelle e i file dell'SharePoint, ecco una guida che vi aiuterà a capire come funziona il sistema. tutorial.
- Autorizzazioni uniche impostate dalla condivisione dei contenuti
Quando i membri del vostro team hanno bisogno di condividere file con qualcuno al di fuori del team, non volete che inviino via e-mail allegati giganteschi, come nel 2010! Dovranno invece condividere i file utilizzando i link di condivisione. A seconda di come si creano questi link di condivisione, è possibile che si concedano autorizzazioni uniche. Questo è il caso di quando si usa l'opzione Persone specifiche opzione.
- Autorizzazioni uniche impostate automaticamente
Se si utilizzano soluzioni di terze parti che toccano le autorizzazioni dell'SharePoint, ad esempio CB Dynamics 365 to SharePoint Permissions Replicator da Connecting Software, avrete delle autorizzazioni uniche che vengono impostate automaticamente dallo strumento.
Cosa c'è di sbagliato nell'avere permessi unici in SharePoint?
In generale, non c'è nulla di sbagliato nei permessi unici. Bisogna solo tenere presente due cose:
- Quando si creano manualmente autorizzazioni uniche, ad esempio quando si rimuove il gruppo Membri del team da una cartella, la cartella diventa un'entità indipendente con sicurezza e autorizzazioni proprie. Da quel momento in poi, qualsiasi modifica dei permessi a livello di sito (ad esempio, l'aggiunta di nuovi membri al sito) non sarà più applicabile a quella cartella e richiederà una modifica manuale. Questa operazione può diventare molto laboriosa e rappresenta anche un punto debole in termini di sicurezza.
- Microsoft limita il numero di autorizzazioni uniche. È bene tenerlo presente se si impostano manualmente le autorizzazioni in molti file e cartelle o se si impostano automaticamente le autorizzazioni. La buona notizia è che esistono strumenti per aggirare queste limitazioni, come discusso nell'articolo Soluzioni e soluzioni per i limiti di autorizzazione SharePoint.
Come si possono elencare i permessi unici in un sito SharePoint?
Per visualizzare tutti i permessi unici di cui si dispone a livello di sito, procedere come segue:
- Icona Ingranaggio > Autorizzazioni del sito
- Fare clic su Impostazioni avanzate delle autorizzazioni
- Si aprirà l'elenco dei permessi a livello di sito. Appena sopra l'elenco degli utenti e dei loro permessi, cercate il messaggio: "Alcuni contenuti di questo sito hanno autorizzazioni diverse da quelle che vedete qui". Fare clic sul pulsante Mostra questi articoli Se il messaggio non viene visualizzato, significa che non si dispone ancora di autorizzazioni uniche.
- Verranno visualizzati tutti gli elenchi o le librerie del sito con autorizzazioni uniche. In questo caso, abbiamo alcuni permessi unici per i file e le cartelle all'interno di una cartella Documentazione Fare clic sul pulsante visualizza le eccezioni link.
- A questo punto verranno visualizzati tutti i file e le cartelle con autorizzazioni uniche in quella libreria. Per sapere quali sono le autorizzazioni, fare clic sulla voce corrispondente gestire autorizzazioni link.
- Infine, si vedrà quali sono le autorizzazioni uniche per quel file o quella cartella.
Come si possono eliminare le autorizzazioni uniche per file e cartelle?
Per rimuovere le autorizzazioni uniche e ripristinare l'ereditarietà per i file o le cartelle, procedere come segue:
- Cliccare Eliminare le autorizzazioni unichenel nastro.
- Cliccare OK quando viene visualizzato il messaggio pop-up di avviso "Si stanno per ereditare le autorizzazioni dalla cartella madre o dalla libreria di documenti. Eventuali autorizzazioni personalizzate andranno perse".
- Cliccare OK quando viene visualizzato il messaggio pop-up di avviso "Si stanno per ereditare le autorizzazioni dalla cartella madre o dalla libreria di documenti. Eventuali autorizzazioni personalizzate andranno perse".
SharePoint Migliori pratiche per le autorizzazioni
#1 Ridurre al minimo la rottura manuale dell'ereditarietà
- Evitare i siti secondari non necessari: Ogni sottosito può potenzialmente divergere dalle autorizzazioni del sito madre. Riducete al minimo la creazione di sottositi con autorizzazioni uniche, a meno che non sia necessario.
- Limitare le autorizzazioni uniche ai livelli gerarchici inferiori: Se sono necessarie autorizzazioni uniche, cercate di applicarle ai livelli inferiori della gerarchia (come le librerie, gli elenchi o persino gli elementi) piuttosto che al livello del sito.
#2 Verifica e pulizia periodica delle autorizzazioni
- Effettuare revisioni periodiche: Esaminare e verificare periodicamente le autorizzazioni nell'ambiente SharePoint. Identificare ed eliminare le autorizzazioni uniche non necessarie.
- Utilizzare gli script PowerShell: Utilizzate lo scripting PowerShell per automatizzare l'identificazione delle autorizzazioni uniche e semplificare il processo di audit.
È possibile scrivere script per:
- Enumerare tutti i siti, gli elenchi e gli elementi/biblioteche con autorizzazioni uniche (vedere l'esempio seguente).
- Identificare tutti gli utenti e i gruppi con accesso a risorse specifiche dell'SharePoint.
- Interrompere l'ereditarietà e impostare permessi personalizzati in base alla propria politica di governance.
- Rimuovere le autorizzazioni uniche quando non sono necessarie, ripristinando le autorizzazioni ereditate per semplificare la gestione.
Vediamo un esempio. Nel seguente script PowerShell, si identificano gli elementi di un elenco SharePoint con autorizzazioni uniche. Subito dopo lo script viene riportata la suddivisione del codice.
# Esempio: Ottenere un elenco di tutti gli elementi di un elenco con autorizzazioni uniche
$siteURL = "https://yoursite.sharepoint.com/sites/yoursitecollection"
$listName = "La vostra lista"
Connetti-PnPOnline -Url $siteURL -UsaWebLogin
$listItems = Get-PnPListItem -List $listName -PageSize 500
foreach ($item in $listItems) {
$hasUniquePermissions = Get-PnPListItemPermission -List $listName -ListItemId $item.Id -Includes HasUniqueRoleAssignments
se ($hasUniquePermissions.HasUniqueRoleAssignments -eq $true) {
Write-Host "L'elemento con ID $($item.Id) ha autorizzazioni uniche".
}
}
Ecco cosa abbiamo fatto in questo script PowerShell:
-
Impostare le variabili:
- $siteURL: Memorizza l'URL del sito SharePoint (quello evidenziato in giallo deve essere sostituito con l'URL effettivo).
- 1TP57NomeLista: Memorizza il nome dell'elenco specifico che si desidera controllare (sostituire con il nome effettivo dell'elenco).
- Collegato all'SharePoint:
- Connetti-PnPOnline: Stabilisce una connessione al sito dell'SharePoint utilizzando le credenziali di accesso al web.
- Voci dell'elenco recuperate:
- Get-PnPListItem: questo comando recupera un massimo di 500 elementi dall'elenco specificato ($listName).
- Elementi in loop:
- foreach ($item in $listItems): Questo ciclo itera ogni elemento recuperato dall'elenco.
- Controllato per le autorizzazioni uniche:
- Get-PnPListItemPermission: Questo comando controlla le autorizzazioni assegnate all'elemento dell'elenco corrente ($item.Id). Il parametro -Includes HasUniqueRoleAssignments cerca specificamente le autorizzazioni uniche.
- Permessi unici identificati:
- if ($hasUniquePermissions.HasUniqueRoleAssignments -eq $true): Questa istruzione condizionale verifica se la proprietà HasUniqueRoleAssignments restituita dal comando precedente è vera.
- Se lo è, significa che all'elemento corrente sono state assegnate autorizzazioni uniche.
- Uscita:
- Write-Host "L'elemento con ID $($item.Id) ha permessi unici": Se l'elemento ha permessi unici, questa riga scrive un messaggio nella console indicando l'ID dell'elemento.
#3 Fornire formazione e linee guida adeguate
- Formazione degli utenti: Formare gli utenti sull'impatto delle autorizzazioni uniche e insegnare loro come condividere e richiedere l'accesso in modo appropriato.
- Pubblicare i criteri di autorizzazione: Sviluppare e diffondere politiche e procedure di autorizzazione chiare.
Conclusione
La comprensione delle autorizzazioni uniche come amministratore consente di gestire la sicurezza dell'SharePoint con maggiore precisione. Seguendo i passaggi descritti in questo articolo, è possibile identificare, gestire e persino rimuovere in modo efficiente le autorizzazioni uniche, se necessario.
È fondamentale tenere presente, soprattutto quando si utilizzano strumenti di replica delle autorizzazioni o si ricorre all'automazione, che Microsoft impone dei limiti al numero di autorizzazioni uniche. Utilizzare le strategie e gli strumenti giusti per garantire che l'ambiente SharePoint rimanga sicuro e gestibile nonostante questi limiti.
Avete domande sulla gestione dei permessi unici in SharePoint? Fatecelo sapere nei commenti qui sotto!
Sull'autore
Da Ana Netotechnical consulente presso Connecting Software.
"Sono un ingegnere informatico dal 1997, con un amore più recente per la scrittura e il public speaking". Avete domande o commenti su questo articolo? Mi piacerebbe avere il vostro feedback, lasciate un commento qui sotto!"