Introduzione: controllare l'accesso degli utenti con le autorizzazioni

In questo argomento vengono introdotte tre caratteristiche di sicurezza di SharePoint che interagiscono per controllare l'accesso degli utenti ai siti e al contenuto nei siti. Queste caratteristiche sono le seguenti:

  • Gruppi di SharePoint
  • Livelli di autorizzazione
  • Ereditarietà delle autorizzazioni e struttura del sito

 Nota    Questo articolo offre una panoramica degli elementi che costituiscono le autorizzazioni di SharePoint. Per informazioni sull'assegnazione delle autorizzazioni per un sito, un elenco, una libreria o un elemento, vedere Modificare le autorizzazioni per un elenco, una raccolta o un elemento singolo.

Contenuto dell'articolo


Autorizzazioni e struttura del sito

Quando si usa un sito, si lavora in effetti all'interno di una raccolta siti. Ogni sito esiste in una raccolta siti, che corrisponde a un gruppo di siti in una gerarchia all'interno di un singolo sito principale. Il sito principale è chiamato sito radice della raccolta siti.

Un amministratore della raccolta di siti configura le impostazioni per le autorizzazioni iniziali per una raccolta siti. Per semplificare, l'amministratore della raccolta di siti aggiunge gli utenti ai gruppi di SharePoint. Ogni gruppo di SharePoint ha un livello di autorizzazione e a tutti gli utenti del gruppo viene concesso lo stesso livello di autorizzazione. Tramite l'ereditarietà delle autorizzazioni, queste impostazioni (gruppi e livelli di autorizzazione) vengono propagate lungo tutta la gerarchia della raccolta. Le impostazioni vengono applicate a tutti i siti e a tutto il contenuto dei siti nella raccolta siti.

Per meglio rispecchiare i requisiti dell'organizzazione, gli utenti personalizzano le impostazioni per le autorizzazioni. Possono interrompere l'ereditarietà delle autorizzazioni in una specifica posizione. Possono anche creare nuovi gruppi e nuovi livelli di autorizzazione. Un amministratore della raccolta di siti può apportare queste modifiche a qualsiasi livello della gerarchia. In alternativa, la maggior parte dei siti ha uno o più proprietari del sito che possono modificare le impostazioni per i siti di loro proprietà.

Nella figura seguente è illustrata una semplice raccolta siti. Contiene una gerarchia di siti secondari, elenchi in un sito secondario ed elementi in un elenco.

La seguente illustrazione di una raccolta siti mostra una semplice gerarchia di siti, elenchi ed elementi di elenco. Gli ambiti di autorizzazione sono numerati a partire dal livello più ampio in cui si possono impostare le autorizzazioni, per finire al livello più ristretto (un singolo elemento in un elenco).

Figura che illustra gli ambiti della sicurezza di SharePoint a livello di sito, sito secondario, elenco ed elemento.

  1. Nella parte superiore della raccolta di siti un amministratore della raccolta di siti configura le autorizzazioni per l'intera raccolta.
  2. Da progettazione, tutti i siti e il contenuto dei siti di una raccolta ereditano le impostazioni del sito principale, ovvero il sito radice di una raccolta siti. Il proprietario di un sito può interrompere l'ereditarietà delle autorizzazioni per il sito e modificare le impostazioni per le autorizzazioni per il sito.
  3. Elenchi e librerie ereditano le autorizzazioni dal sito a cui appartengono. Il proprietario di un sito può interrompere l'ereditarietà delle autorizzazioni per l'elenco o la libreria e modificare le impostazioni delle autorizzazioni dell'elenco o della libreria.
  4. Gli elementi di elenco e i file di libreria ereditano le autorizzazioni dall'elenco o dalla libreria padre. Se si ha il controllo di un elenco o di una libreria, è possibile interrompere l'ereditarietà delle autorizzazioni per l'elemento e modificare le impostazioni delle autorizzazioni direttamente nell'elemento specifico.

Un utente può inoltre interrompere l'ereditarietà delle autorizzazioni predefinita per l'elemento di un elenco o una libreria condividendo un documento o un elemento con un utente che non dispone dell'accesso. In tal caso, SharePoint interrompe automaticamente l'ereditarietà del documento. Gli amministratori di SharePoint devono considerare questo risultato dell'azione di condivisione.

Inizio pagina Inizio pagina

Ereditarietà delle autorizzazioni

Per impostazione predefinita, i siti secondari e il relativo contenuto ereditano i gruppi e i livelli di autorizzazione del sito superiore nella gerarchia dei siti, ovvero un sito eredita le autorizzazioni dall'oggetto padre corrispondente. Se si apporta una modifica al sito padre, la stessa modifica viene automaticamente applicata ai siti secondari e ai relativi contenuti. Se, ad esempio, si aggiungono più utenti al gruppo Membri, i nuovi utenti hanno le stesse autorizzazioni delle altre persone nel gruppo Membri ovunque nella raccolta siti. L'ereditarietà delle autorizzazioni consente di gestire le autorizzazioni in modo pratico da un'unica posizione, ovvero la radice della raccolta siti. Questo è un modo rapido ed efficiente per gestire le autorizzazioni in una struttura di siti di grandi dimensioni.

Se si ha un livello di autorizzazione appropriato, è possibile interrompere l'ereditarietà delle autorizzazioni a qualsiasi livello. Se, ad esempio, si interrompe l'ereditarietà delle autorizzazioni per una libreria, la libreria non eredita più le autorizzazioni dal sito che la contiene. Pertanto quando, ad esempio, si apporta una modifica per il sito, la libreria non eredita la modifica.

È importante ricordare che con ereditarietà delle autorizzazioni si intende che le modifiche hanno effetto non solo sul sito padre, ma anche su tutti i relativi siti secondari. È importante valutare con attenzione qualsiasi modifica apportata ai livelli di autorizzazione.

Nella parte superiore della pagina Autorizzazioni sito di ogni sito viene visualizzato un messaggio in cui è indicato se il sito eredita le autorizzazioni dal sito padre o se l'ereditarietà è stata modificata. L'illustrazione seguente mostra ad esempio una pagina Autorizzazioni sito di SharePoint con l'elenco dei gruppi disponibili per un sito. Nella parte superiore della pagina un messaggio indica "Le autorizzazioni di parte del contenuto in questo sito sono diverse da quelle visualizzate qui". Ciò significa che per uno o più gruppi l'ereditarietà delle autorizzazioni è stata interrotta e sono state assegnate autorizzazioni diverse.

Schermata della pagina Autorizzazioni sito su SharePoint Online. La barra messaggi nella parte superiore è evidenziata per indicare che alcuni gruppi non ereditano le autorizzazioni dal sito padre

Procedure consigliate: pianificare autorizzazioni univoche

Nonostante sia consigliabile lasciare intatta l'ereditarietà delle autorizzazioni per tutti i siti, gli elenchi, le raccolte e gli elementi, possono esistere casi in cui è necessario interrompere l'ereditarietà delle autorizzazioni. È il caso, ad esempio, di un elenco del sito contenente dati sensibili, ai quali sarebbe opportuno limitare l'accesso.

Per semplificare l'amministrazione, è tuttavia consigliabile pianificare autorizzazioni distinte. Organizzare la struttura del sito in modo da rispecchiare i requisiti per l'accesso. In questo modo è possibile raccogliere il contenuto con requisiti di accesso univoci in un solo sito e quindi assegnare autorizzazioni univoche a questo sito. È possibile, ad esempio, creare un sito secondario speciale per i documenti che contengono dati sensibili o un sito secondario speciale contenente gli elenchi con accesso limitato. In questo modo è possibile gestire contemporaneamente le autorizzazioni per tutto il contenuto con gli stessi requisiti di accesso, invece di tenere traccia di più documenti singoli.

Per informazioni sull'assegnazione di autorizzazioni univoche, vedere Modificare le autorizzazioni per un elenco, una raccolta o un singolo elemento.

Inizio pagina Inizio pagina

Gruppi di SharePoint

Un gruppo di SharePoint è una raccolta di persone (utenti di SharePoint) con lo stesso livello di autorizzazione, vale a dire che chiunque nel gruppo ha lo stesso accesso al sito. I gruppi consentono di gestire l'accesso a un sito per molti utenti contemporaneamente.

Ecco alcuni vantaggi dell'assegnazione di autorizzazioni ai gruppi:

  • Allineare la struttura e le autorizzazioni del sito ai requisiti dell'organizzazione
  • Semplificare la gestione dei siti per gli amministratori di raccolte siti e per i proprietari di siti
  • Assicurarsi che gli utenti che eseguono attività simili abbiano livelli di accesso analoghi
  • Assicurarsi che gli utenti abbiano solo i diritti di accesso necessari e non autorizzazioni superflue.

I gruppi di SharePoint possono semplificare la gestione delle autorizzazioni. Invece di gestire le autorizzazioni per decine o centinaia di singoli utenti, si gestiscono le autorizzazioni per pochi gruppi. Questo è particolarmente utile in caso sia necessario cambiare gli amministratori della raccolta siti per il sito.

 Nota    I gruppi di SharePoint possono contenere singoli utenti, gruppi di sicurezza di Windows o una combinazione dei due. È possibile aggiungere gruppi di sicurezza di Windows a un gruppo di SharePoint, ma non aggiungere un gruppo di distribuzione (lista di distribuzione) di Windows a un gruppo di SharePoint.Per informazioni sull'uso dei gruppi di sicurezza e distribuzione di Windows inclusi in Servizi di dominio Active Directory, vedere Scegliere i gruppi di sicurezza (SharePoint Server 2010).

Gruppi di SharePoint predefiniti

I gruppi di SharePoint usati più frequentemente in un sito sono quelli che SharePoint crea automaticamente alla creazione di un sito, ovvero i gruppi di SharePoint predefiniti. Per creare un sito si usa un modello di sito e ogni modello include una raccolta di gruppi di SharePoint predefiniti. Un modello Sito del team, ad esempio, include automaticamente questi gruppi predefiniti:

  • Visitatori, a cui è assegnato il livello di autorizzazione Lettura
  • Membri, a cui è assegnato il livello di autorizzazione Modifica
  • Proprietari, a cui è assegnato il livello di autorizzazione Controllo completo

A questi gruppi di SharePoint predefiniti sono assegnati livelli di autorizzazione che corrispondono ai livelli di accesso degli utenti e consentono di raggruppare le persone che utilizzano il sito in modo simile. Ad esempio, è possibile che alcune persone debbano solo seguire il contenuto del sito (Visitatori), altre modificarlo (Membri) e altre ancora cambiare elementi del sito stesso (Proprietari).

Procedure consigliate: raggruppare utenti che richiedono un tipo di accesso simile

L'illustrazione che segue mostra diversi utenti e descrive il tipo di lavoro svolto.

Diagramma che mostra tre cluster di utenti: persone che aggiungono e modificano documenti, persone che visitano il sito per restare aggiornate, persone che creano e gestiscono il sito stesso

È possibile organizzare questi utenti in gruppi di SharePoint, ad esempio Visitatori, Membri e Proprietari, per raggrupparli in base ai tipi di accesso che devono avere nel sito. L'illustrazione seguente mostra gli utenti assegnati a tali gruppi.

Diagramma che mostra tre set di persone del diagramma precedente, ora separate in tre gruppi di SharePoint. Quelle che modificano i documenti sono ora i Collaboratori, quelle che seguono il sito sono ora i Visitatori, quelle che creano il sito sono ora i Proprietari sito.

Inizio pagina Inizio pagina

Livelli di autorizzazione

Una sola autorizzazione di SharePoint consente l'accesso a una sola azione. Quando, ad esempio, un utente ha l'autorizzazione Visualizzazione elemento, può visualizzare e leggere gli elementi in un sito. Un livello di autorizzazione è la combinazione di queste singole autorizzazioni di SharePoint. SharePoint, ad esempio, raccoglie Apertura sito, Visualizzazione pagine e Visualizzazione elementi nel livello di autorizzazione Lettura.

Ogni persona in un gruppo di SharePoint avrà il livello di autorizzazione concesso al gruppo. SharePoint crea automaticamente più livelli di autorizzazione e li assegna ai gruppi di SharePoint predefiniti. Se inoltre nei livelli di autorizzazione predefiniti non sono disponibili le opzioni desiderate, è possibile creare livelli personalizzati.

È opportuno assegnare livelli di autorizzazione a un gruppo di SharePoint, invece di concedere singole autorizzazioni. Queste combinazioni fanno in modo che il sito funzioni diversamente a seconda degli utenti, concedendo autorizzazioni per l'esecuzione di determinate azioni ad alcuni utenti e bloccandone invece altri. Possono ad esempio impedire ad alcuni utenti di eliminare documenti in un sito.

Gruppi di SharePoint predefiniti e livelli di autorizzazione

Ai gruppi di SharePoint predefiniti vengono assegnati livelli di autorizzazione in modo automatico. L'assegnazione è talmente accurata che molti utenti di SharePoint non hanno mai l'esigenza di creare gruppi di SharePoint o livelli di autorizzazione personalizzati.

Il livello di autorizzazione Controllo completo viene assegnato ad esempio al gruppo Proprietari. Gli utenti con questo livello di autorizzazione possono usare la struttura e i componenti del sito, incluse la concessione di autorizzazioni e l'esecuzione delle attività associate a elenchi, librerie ed elementi, come prevedibile.

A tutti i gruppi di SharePoint predefiniti, come i gruppi Visitatori, Membri e Proprietari, vengono assegnati livelli di autorizzazione predefiniti, ad esempio Lettura, Modifica e Controllo completo. Ogni gruppo di utenti dispone pertanto delle autorizzazioni di SharePoint appropriate per eseguire le proprie attività.

Se un amministratore di una raccolta siti non è soddisfatto dei livelli di autorizzazione predefiniti, può crearne di personalizzati.

Per ulteriori informazioni sui livelli di autorizzazione, vedere Livelli di autorizzazione predefiniti (Foundation), Livelli di autorizzazione predefiniti (SharePoint Server), Livelli di autorizzazione predefiniti (SharePoint Online).

Inizio pagina Inizio pagina

 
 
Si applica a:
Amministratore di Office 365 Enterprise, Amministratore di Office 365 Small Business, Amministrazione di Office 365 Midsize Business, Interfaccia di amministrazione di SharePoint, Office 365 Enterprise, Office 365 Midsize Business user, Office 365 Small Business, SharePoint Foundation 2013, SharePoint Online Enterprise (E3 ed E4), SharePoint Online Midsize Business, SharePoint Online per aziende (E1 & E2), SharePoint Online Small Business, SharePoint Server 2013 Enterprise, SharePoint Server 2013 Standard, Sito Web di SharePoint Online