Разработка изолированного сайта группы SharePoint OnlineDesign an isolated SharePoint Online team site

Сводка: Описывается пошаговый процесс разработки изолированного SharePoint Online веб-сайтов групп.Summary: Step through the design process for isolated SharePoint Online team sites.

В этой статье описаны основные проектные решения, которые необходимо принять перед созданием изолированного сайта группы SharePoint Online.This article takes you through the key design decisions you must make before creating an isolated SharePoint Online team site.

Этап 1. Определение групп SharePoint и уровней разрешенийPhase 1: Determine your SharePoint groups and permission levels

Каждый сайт группы SharePoint Online по умолчанию создается со следующими группами SharePoint:Every SharePoint Online team site by default is created with the following SharePoint groups:

  • <Имя сайта > члены<site name> Members

  • <Имя сайта > посетители<site name> Visitors

  • <Имя сайта > владельцев<site name> Owners

Эти группы не связаны с группами Office 365 и Azure Active Directory (AD) и позволяют назначать разрешения для ресурсов сайта.These groups are separate from Office 365 and Azure Active Directory (AD) groups and are the basis for assigning permissions for the resources of the site.

Набор разрешений, определяющий возможности члена группы SharePoint на сайте, — это уровень разрешений. По умолчанию для сайта группы SharePoint Online доступно три уровня разрешений: "Изменение", "Чтение" и "Полный доступ". В приведенной ниже таблице показаны группы SharePoint и назначенные им по умолчанию уровни разрешений.The set of specific permissions that determines what a member of a SharePoint group can do in a site is a permission level. There are three permission levels by default for a SharePoint Online team site: Edit, Read, and Full control. The following table shows the default correlation of SharePoint groups and assigned permission levels:

Группа SharePointSharePoint group Уровень разрешенийPermission level
<Имя сайта > члены<site name> Members
ПравкаEdit
<Имя сайта > посетители<site name> Visitors
ЧтениеRead
<Имя сайта > владельцев<site name> Owners
Полный доступFull control

Рекомендация: Можно создать дополнительные группы SharePoint и уровни разрешений. Тем не менее рекомендуется использовать группы SharePoint по умолчанию и уровни разрешений для изолированного сайта SharePoint Online.Best practice: You can create additional SharePoint groups and permission levels. However, we recommend using the default SharePoint groups and permission levels for your isolated SharePoint Online site.

Ниже перечислены группы SharePoint по умолчанию и уровни разрешений.Here are the default SharePoint groups and permission levels.

Заданные по умолчанию группы SharePoint и уровни разрешений для сайта SharePoint Online.

Этап 2. Назначение разрешений пользователям с помощью групп доступаPhase 2: Assign permissions to users with access groups

Вы можете назначить разрешения пользователям, добавив либо их учетные записи, либо группы Office 365 или Azure AD, в которых они состоят, в группы SharePoint. После добавления учетным записям пользователей Office 365 назначается уровень разрешений, связанный с группой SharePoint. Это происходит либо непосредственно, либо благодаря членству в группе Office 365 или Azure AD.You can assign permissions to users by adding their user account, or an Office 365 or Azure AD group of which the user account is a member, to the SharePoint groups. Once added, the Office 365 user accounts, either directly or indirectly via membership in an Office 365 or Azure AD group, are assigned the permission level associated with the SharePoint group.

Предоставление разрешений на примере групп SharePoint по умолчанию:Using the default SharePoint groups as an example:

  • Члены ** <имя сайта > члены** группы SharePoint, которые могут включать учетные записи пользователей и группы, назначенных Изменение уровня разрешенийMembers of the <site name> Members SharePoint group, which can include both user accounts and groups, are assigned the Edit permission level

  • Члены ** <имя сайта > посетители** группы SharePoint, которые могут включать учетные записи пользователей и группы, назначенных уровень разрешений ЧтениеMembers of the <site name> Visitors SharePoint group, which can include both user accounts and groups, are assigned the Read permission level

  • Члены ** <имя сайта > владельцев** группы SharePoint, которые могут включать учетные записи пользователей и группы, назначенных уровнем разрешений Полный доступMembers of the <site name> Owners SharePoint group, which can include both user accounts and groups, are assigned the Full control permission level

    Рекомендация: Несмотря на то, что могут управлять разрешениями с помощью учетных записей отдельных пользователей, мы рекомендуем использовать один группы Azure AD, называется группу доступа вместо этого. Это упрощает управление разрешениями с помощью членство в группе доступ, а не управление пользователем учетных записей для каждой группы SharePoint.Best practice: Although you can manage permissions through individual user accounts, we recommend that you use a single Azure AD group, known as an access group, instead. This simplifies the management of permissions through membership in the access group, rather than managing the list of user accounts for each SharePoint group.

Группы Azure AD для Office 365, отличаются от группы Office 365. Azure AD группы отображаются в центре администрирования Office с равным безопасности , их Тип и не имеет адрес электронной почты. В можно управлять группами Azure AD:Azure AD groups for Office 365 are different than Office 365 groups. Azure AD groups appear in the Office Admin center with their Type set to Security and do not have an email address. Azure AD groups can be managed within:

  • Windows Server Active Directory (AD).Windows Server Active Directory (AD)

    Это группы, которые были созданы в вашей локальной инфраструктуре Windows Server AD и синхронизируются с подписки Office 365. В центре администрирования Office эти группы имеют состояние Synched с active directory.These are groups that have been created in your on-premises Windows Server AD infrastructure and synchronized to your Office 365 subscription. In the Office Admin center, these groups have a Status of Synched with active directory.

  • Office 365Office 365

    Это группы, которые были созданы с помощью центра администрирования Office, Azure портала либо Microsoft PowerShell. В центре администрирования Office эти группы имеют состояние из облака.These are groups that have been created using either the Office Admin center, the Azure portal, or Microsoft PowerShell. In the Office Admin center, these groups have a Status of Cloud.

    Рекомендация: Если вы используете Windows Server AD для локальной и синхронизация с подписки Office 365, выполните на управление пользователями и группами с помощью Windows Server AD.Best practice: If you are using Windows Server AD on-premises and synchronizing with your Office 365 subscription, perform your user and group management with Windows Server AD.

Рекомендуемая структура изолированных сайтов групп SharePoint Online указана ниже.For isolated SharePoint Online team sites, the recommended group structure looks like this:

Группа SharePointSharePoint group Группа доступа Microsoft Azure на основе ADAzure AD-based access group Уровень разрешенийPermission level
<Имя сайта > члены<site name> Members
<Имя сайта > члены<site name> Members
ПравкаEdit
<Имя сайта > посетители<site name> Visitors
<Имя сайта > средства просмотра<site name> Viewers
ЧтениеRead
<Имя сайта > владельцев<site name> Owners
<Имя сайта > "Администраторы"<site name> Admins
Полный доступFull control

Рекомендация: Несмотря на то, что Office 365 и Azure AD группы можно использовать в качестве членов групп SharePoint, мы рекомендуем использовать групп Azure AD. Azure AD групп, управляемых с помощью Windows Server AD или Office 365, предоставить большую гибкость использовать вложенные группы для назначения разрешений.Best practice: Although you can use either Office 365 or Azure AD groups as members of SharePoint groups, we recommend that you use Azure AD groups. Azure AD groups, managed either through Windows Server AD or Office 365, give you more flexibility to use nested groups to assign permissions.

Здесь — это группы SharePoint настроен для использования доступа Microsoft Azure на основе AD групп по умолчанию.Here are the default SharePoint groups configured to use Azure AD-based access groups.

Использование групп доступа как членов групп стандартного сайта SharePoint Online.

При создании трех групп доступа учитывайте следующее:When designing the three access groups, keep the following in mind:

  • Должен быть только некоторые элементы в ** <имя сайта > "Администраторы"** группу доступа, соответствующий небольшое число администраторов SharePoint Online, которые управление сайта группы.There should be only a few members in the <site name> Admins access group, corresponding to a small number of SharePoint Online administrators who are managing the team site.

  • Большинство участников сайта, в ** <имя сайта > члены** или ** <имя сайта > средства просмотра** доступ к группам. Так как веб-элементы в ** <имя сайта > члены** группу доступа могут получать удаление или изменение ресурсы на сайте, рекомендуется рассмотреть его членства. При работе в сомнительных, добавьте элемент сайта для ** <имя сайта > средства просмотра** группу доступа.Most of your site members are in the <site name> Members or <site name> Viewers access groups. Because site members in the <site name> Members access group have the ability to delete or modify resources in the site, carefully consider its membership. When in doubt, add the site member to the <site name> Viewers access group.

Ниже приведен пример группы SharePoint и групп доступа для изолированного использования сайта с именем ProjectX.Here is an example of the SharePoint groups and access groups for an isolated site named ProjectX.

Пример использования групп доступа для сайта SharePoint Online, названного ProjectX.

Этап 3: Использование вложенных групп Azure ADPhase 3: Use nested Azure AD groups

Для проекта, ограничен небольшого числа людей один уровень доступа Microsoft Azure на основе AD группы, добавленные в группы SharePoint сайта подходит для большинства вариантов. Тем не менее, если у вас есть много людей и тем пользователям, которые уже члены установлены Azure AD групп можно проще назначить разрешения SharePoint с помощью вложенные группы или группы, которые содержат другие группы в качестве членов.For a project confined to a small number of people, a single level of Azure AD-based access groups added to the SharePoint groups of the site will fit most scenarios. However, if you have a large number of people and those people are already members of established Azure AD groups, you can more easily assign SharePoint permissions by using nested groups, or groups that contain other groups as members.

Например, вы хотите создать изолированный сайт группы SharePoint Online для совместной работы руководителей отделов продаж, маркетинга, поддержки, а также инженерно-технического и юридического отделов, и у этих отделов уже есть группы руководителей. Вместо того чтобы создавать группу для новых участников сайта и добавлять в нее все учетные записи руководителей, добавьте существующие группы руководителей каждого отдела в новую группу.For example, you want to create an isolated SharePoint online team site for collaboration among the executives of the sales, marketing, engineering, legal, and support departments and those departments already their own groups with executive user account membership. Rather than creating a new group for the new site members and placing all the individual executive user accounts in it, put the existing executive groups for each department in the new group.

Если у вас одна подписка на Office 365 на несколько организаций, одним уровнем членства в группе для изолированного сайта может быть трудно управлять из-за большого количества учетных записей пользователей. В этом случае можно использовать вложенные группы Azure AD для каждой организации, которые содержат группы в своей организации для управления разрешениями.If you are sharing an Office 365 subscription between multiple organizations, a single level of group membership for an isolated site for an organization might become difficult to manage due to the sheer number of user accounts. In this case, you can use nested Azure AD groups for each organization that contain the groups within their organizations to manage the permissions.

Чтобы использовать вложенные группы Azure AD:To use nested Azure AD groups:

  1. Определите или создайте группы Azure AD, которые будут содержать учетные записи пользователей, и добавьте соответствующие учетные записи пользователей в качестве членов.Identify or create the Azure AD groups that will contain user accounts and add the appropriate user accounts as members.

  2. Создайте общую группу доступа на основе Azure AD, которая будет содержать другие группы Azure AD, и добавьте эти группы в качестве членов.Create the container Azure AD-based access group that will contain the other Azure AD groups and add those groups as members.

  3. Чтобы предоставить общей группе доступа нужный уровень доступа, укажите группу SharePoint и соответствующий уровень разрешений.For the appropriate level of access for the container access group, identify the SharePoint group and corresponding permission level.

Примечание

Вложенные группы Office 365 не поддерживаются.You cannot use nested Office 365 groups.

Ниже приведен пример вложенных Azure AD группами для доступа к группе элементов ProjectX.Here is an example of nested Azure AD groups for the ProjectX member access group.

Использование вложенных групп доступа на примере группы доступа членов для сайта ProjectX.

Так как все учетные записи пользователей в справочных материалов, проектирование и проекта влечет за собой группы должны быть участниками сайта, проще добавить их Azure AD группы в группу доступа ProjectX члены.Because all of the user accounts in the Research, Engineering, and Project leads teams are intended to be site members, it is easier to add their Azure AD groups to the ProjectX Members access group.

Следующее действиеNext step

Если вы готовы для создания и настройки изолированной сайта в рабочей среде, видеть Развертывание изолированного SharePoint Online сайт группы.When you are ready to create and configure an isolated site in production, see Deploy an isolated SharePoint Online team site.

См. такжеSee Also

Изолированные сайты групп SharePoint OnlineIsolated SharePoint Online team sites

Управление изолированным сайтом группы SharePoint OnlineManage an isolated SharePoint Online team site

Решения для обеспечения безопасностиSecurity solutions

Развертывание изолированного сайта группы SharePoint OnlineDeploy an isolated SharePoint Online team site