Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Microsoft 365
Aplikacje Microsoft

SharePoint Online — poziomy uprawnień i model bezpieczeństwa w praktyce

SharePoint Online to fundament współpracy zespołowej w ekosystemie Microsoft 365, a zarządzanie dostępem stanowi jego kręgosłup architektoniczny. Bez precyzyjni

14 min czytania·Zaktualizowano dzisiaj
Faktura VAT 23% + KSeFDostawa 1-3 min e-mailemGwarancja działania klucza5,0 / 5,0(KluczeSoft)

SharePoint Online to fundament współpracy zespołowej w ekosystemie Microsoft 365, a zarządzanie dostępem stanowi jego kręgosłup architektoniczny. Bez precyzyjnie skonfigurowanych poziomów uprawnień — od pełnej kontroli właściciela witryny po dostęp wyłącznie do odczytu dla gościa zewnętrznego — organizacje ryzykują nieautoryzowany wyciek danych, nieczytelny bałagan w strukturze informacyjnej i paraliż audytowy. Poniższy przewodnik rozkłada hierarchię uprawnień SharePoint Online na warstwy: od dziedziczenia i grup SharePoint, przez poziomy uprawnień (permission levels), grupy domyślne i niestandardowe, aż po integrację z Microsoft 365 Groups, Teams i regułami dostępu zewnętrznego. Wszystko oparte na realiach 2026 roku.

Anatomia modelu uprawnień SharePoint Online

Model bezpieczeństwa SharePoint Online opiera się na trójwarstwowej architekturze: obiekty podlegające zabezpieczeniom (securable objects), podmioty zabezpieczeń (security principals) i poziomy uprawnień (permission levels). Obiektem podlegającym zabezpieczeniom może być cała witryna (site collection lub site), biblioteka dokumentów, lista, folder, a nawet pojedynczy element lub dokument. Podmioty zabezpieczeń to użytkownicy, grupy SharePoint, grupy Microsoft 365 oraz konta gości — są to tożsamości, którym nadajemy prawo dostępu. Poziomy uprawnień to z kolei nazwane zestawy pojedynczych uprawnień szczegółowych, które definiują, co dany podmiot może zrobić z obiektem.

Każdy nowo utworzony obiekt w SharePoint Online — witryna, biblioteka, lista — domyślnie dziedziczy (inheritance) ustawienia uprawnień po swoim rodzicu. Oznacza to, że uprawnienia nadane na poziomie witryny głównej spływają kaskadowo do wszystkich podrzędnych bibliotek, list, folderów i elementów — chyba że administrator świadomie przerwie to dziedziczenie dla konkretnego zasobu. Mechanizm przerwania dziedziczenia (breaking permission inheritance) tworzy unikatową kopię zestawu uprawnień, która od tego momentu egzystuje niezależnie od rodzica. To potężne narzędzie, ale też najczęstsze źródło długu technicznego w architekturach SharePoint — każdy zepsuty łańcuch dziedziczenia to osobna wyspa, która będzie wymagać ręcznego zarządzania przy każdej rotacji kadrowej, audycie czy reorganizacji.

Domyślne poziomy uprawnień — od Pełnej kontroli po Ograniczony dostęp

SharePoint Online dostarcza siedem predefiniowanych poziomów uprawnień, które pokrywają spektrum od pełnego władztwa administracyjnego po ściśle ograniczony dostęp:

  • Pełna kontrola (Full Control) — najwyższy poziom, przyznawany domyślnie właścicielom witryny. Obejmuje wszystkie uprawnienia szczegółowe: zarządzanie uprawnieniami, tworzenie i usuwanie podwitryn, zarządzanie alertami, wyświetlanie danych użycia, modyfikowanie stron aplikacji internetowych. W praktyce oznacza możliwość usunięcia całej witryny, zmiany jej szablonu, a także modyfikowania uprawnień innych użytkowników — włącznie z odebraniem dostępu administratorowi globalnemu dzierżawy w kontekście tej konkretnej witryny (oczywiście administrator globalny może zawsze odzyskać dostęp przez panel administracyjny SharePoint).

  • Projektowanie (Design) — poziom dla osób odpowiedzialnych za wygląd i strukturę witryny, ale bez prawa do zarządzania uprawnieniami innych. Umożliwia tworzenie list i bibliotek dokumentów, edycję stron, zatwierdzanie elementów, dostosowywanie wyglądu witryny, dodawanie i personalizowanie składników Web Part. Często nadawany architektom informacji i webmasterom zespołowym, którzy nie powinni mieć dostępu do konfiguracji bezpieczeństwa.

  • Edytowanie (Edit) — poziom umożliwiający zarządzanie listami i bibliotekami oraz edycję stron. Uprawniony może dodawać, edytować i usuwać listy, biblioteki oraz ich zawartość, ale nie może zmieniać uprawnień ani usuwać samej witryny. To poziom typowo przyznawany członkom zespołu, którzy aktywnie współtworzą zawartość.

  • Współtworzenie (Contribute) — najczęściej nadawany poziom dla użytkowników biznesowych. Obejmuje możliwość wyświetlania, dodawania, aktualizowania i usuwania elementów list i dokumentów w istniejących bibliotekach. Użytkownik z tym poziomem nie może jednak tworzyć nowych list ani bibliotek, nie może też zarządzać strukturą witryny. W praktyce to poziom dla pracowników, którzy wrzucają dokumenty, edytują elementy list i współpracują nad zawartością w ustalonych ramach.

  • Odczyt (Read) — poziom wyłącznie do odczytu: użytkownik może przeglądać strony, elementy list i pobierać dokumenty, ale nie może niczego dodawać, modyfikować ani usuwać. Domyślnie przyznawany grupie Visitors. Warto pamiętać, że Odczyt nadal umożliwia pobieranie plików na lokalny dysk, chyba że skonfigurowano dodatkowe ograniczenia na poziomie zasad dostępu do informacji (Information Rights Management).

  • Ograniczony dostęp (Limited Access) — poziom szczególny, nadawany automatycznie przez SharePoint, gdy użytkownik otrzymuje dostęp do konkretnego elementu bez dostępu do obiektu nadrzędnego. Nie daje uprawnień do przeglądania całej witryny, a jedynie umożliwia dotarcie do konkretnego zasobu przez interfejs — na przykład przez bezpośredni link do dokumentu. Użytkownicy z tym poziomem nie zobaczą witryny w wynikach wyszukiwania, ale będą mogli otworzyć udostępniony dokument.

  • Tylko wyświetlanie (View Only) — poziom wprowadzony dla scenariuszy wymagających przeglądania bez możliwości pobierania. Użytkownik może przeglądać strony, listy i dokumenty w przeglądarce, ale nie może pobrać pliku, otworzyć go w aplikacji klienckiej ani wydrukować. Stosowany w architekturach wysokiej poufności, gdzie dokumenty muszą pozostać wyłącznie w kontrolowanym środowisku przeglądarki.

Domyślne grupy SharePoint i grupy Microsoft 365

Każda witryna zespołowa SharePoint Online połączona z Microsoft 365 Group otrzymuje trzy domyślne grupy SharePoint, które są automatycznie mapowane na odpowiadające im grupy Microsoft 365:

  • Właściciele witryny (Site Owners, poziom: Pełna kontrola) — mapowani na właścicieli grupy Microsoft 365. Mają pełną kontrolę nad witryną, włącznie z zarządzaniem uprawnieniami, usuwaniem podwitryn, zmianą wyglądu i konfiguracją funkcji. To oni zatwierdzają lub odrzucają żądania dostępu.

  • Członkowie witryny (Site Members, poziom: Edytowanie) — mapowani na członków grupy Microsoft 365. Domyślnie otrzymują uprawnienia do edycji i współtworzenia zawartości. W zależności od konfiguracji dzierżawy poziom domyślny może zostać obniżony do Współtworzenia — administratorzy globalni mogą zmienić to ustawienie w panelu administracyjnym SharePoint.

  • Odwiedzający witrynę (Site Visitors, poziom: Odczyt) — mapowani na osoby spoza grupy Microsoft 365, którym przyznano dostęp tylko do odczytu. Nie są członkami grupy w Microsoft 365, ale mają dostęp do zawartości witryny.

W przypadku witryn komunikacyjnych (Communication Sites) — które nie są połączone z Microsoft 365 Group — model domyślny jest zbliżony, jednak grupy nie są automatycznie synchronizowane z Entra ID (dawniej Azure AD). Witryny komunikacyjne generują własne grupy SharePoint w obrębie kolekcji witryn.

Od 2025 roku Microsoft wprowadził także możliwość dynamicznego przypisywania członkostwa w grupach Microsoft 365 na podstawie atrybutów użytkowników w Entra ID — na przykład działu, lokalizacji czy stanowiska. Oznacza to, że uprawnienia w SharePoint Online mogą być teraz przyznawane automatycznie na podstawie reguł biznesowych, bez ręcznej interwencji właściciela witryny — co znacząco redukuje ryzyko pozostawienia dostępu po zmianie roli pracownika.

Uprawnienia szczegółowe — co naprawdę kryje się za poziomami

Każdy poziom uprawnień (permission level) składa się z pakietu do trzydziestu trzech pojedynczych uprawnień szczegółowych (base permissions), pogrupowanych w trzy kategorie: uprawnienia list, uprawnienia witryn i uprawnienia osobiste. Zrozumienie tych składowych jest kluczowe dla tworzenia niestandardowych poziomów, które precyzyjnie odzwierciedlają modele biznesowe organizacji.

W kategorii uprawnień list znajdują się między innymi: Zarządzanie listami (Manage Lists) — tworzenie i usuwanie list, dodawanie kolumn; Dodawanie elementów, Edytowanie elementów, Usuwanie elementów, Wyświetlanie elementów, Zatwierdzanie elementów, Otwieranie elementów, Wyświetlanie wersji, Usuwanie wersji, Tworzenie alertów i Wyświetlanie stron aplikacji. W kategorii uprawnień witryn kluczowe są: Zarządzanie uprawnieniami, Wyświetlanie danych użycia, Tworzenie podwitryn, Zarządzanie witryną sieci Web, Dodawanie i dostosowywanie stron, Dodawanie i zmienianie wyglądu, Przeglądanie tematów i ich konfigurowanie, Zarządzanie funkcjami oraz Stosowanie arkuszy stylów i motywów. Kategoria uprawnień osobistych obejmuje: Zarządzanie widokami osobistymi, Dodawanie i usuwanie prywatnych składników Web Part oraz Aktualizowanie osobistych składników Web Part.

Nowością od połowy 2025 roku jest możliwość tworzenia niestandardowych poziomów uprawnień bezpośrednio przez interfejs SharePoint Admin Center oraz programowo przez Microsoft Graph API — wcześniej było to możliwe wyłącznie przez klasyczny interfejs uprawnień witryny lub PowerShell. Dzięki temu administratorzy mogą definiować poziom "Recenzent" z możliwością wyświetlania elementów i wersji, ale bez prawa do edycji i usuwania, albo poziom "Ankieter" pozwalający jedynie na dodawanie elementów do konkretnej listy, bez możliwości przeglądania elementów dodanych przez innych.

Dziedziczenie, przerwanie dziedziczenia i unikatowe uprawnienia

Dziedziczenie uprawnień jest domyślnym i zalecanym trybem pracy SharePoint Online — każdy nowy zasób automatycznie otrzymuje zestaw uprawnień identyczny z obiektem nadrzędnym. W zdrowym architektonicznie środowisku należy dążyć do minimalizacji liczby przerwań dziedziczenia, ponieważ każde z nich znacząco komplikuje zarządzanie cyklem życia uprawnień i zwiększa ryzyko pozostawienia dostępu osobom, które powinny go utracić.

Przerwanie dziedziczenia (breaking inheritance) wykonuje się na poziomie konkretnego zasobu — witryny, biblioteki, listy, folderu lub pojedynczego elementu — i tworzy jego własną, unikatową kopię uprawnień. Od tego momentu wszelkie zmiany w uprawnieniach rodzica nie będą już propagowane do tego zasobu. SharePoint oferuje dwie ścieżki przerwania dziedziczenia: utworzenie unikatowych uprawnień (kopiuje bieżący zestaw z rodzica i pozwala go modyfikować) oraz usunięcie wszystkich uprawnień i rozpoczęcie od zera.

W kontekście audytu i zgodności każdy zasób z unikatowymi uprawnieniami jest oznaczany w interfejsie ikoną tarczy — warto regularnie przeglądać takie zasoby przez panel uprawnień witryny lub przez PowerShell (cmdlet Get-SPOSite z parametrem sprawdzającym unikatowe zakresy). Microsoft rekomenduje, aby w ramach higieny uprawnień ograniczać liczbę zasobów z przerwanym dziedziczeniem do absolutnego minimum — w dużych organizacjach przyjęło się, że nie powinna ona przekraczać pięciu procent wszystkich zasobów w obrębie witryny, a każdy wyjątek powinien być udokumentowany przyczyną biznesową.

Udostępnianie zewnętrzne — poziomy dostępu dla gości

SharePoint Online oferuje wielopoziomowy model udostępniania zewnętrznego, konfigurowany na poziomie dzierżawy, a następnie uszczegóławiany na poziomie poszczególnych witryn. Administrator globalny może skonfigurować cztery poziomy udostępniania:

  • Tylko użytkownicy w organizacji — udostępnianie zewnętrzne całkowicie wyłączone; najbardziej restrykcyjny poziom, typowy dla sektora obronnego i instytucji rządowych.

  • Istniejący goście — umożliwia udostępnianie wyłącznie osobom, które już figurują w katalogu Entra ID jako goście; nowi użytkownicy zewnętrzni nie mogą zostać zaproszeni. Użyteczne w organizacjach, które scentralizowały proces zapraszania gości przez IT.

  • Nowi i istniejący goście (wymagane logowanie) — goście muszą uwierzytelnić się przez konto Microsoft, konto służbowe innej organizacji lub przez weryfikację kodu jednorazowego (OTP). Jest to najczęściej wybierany poziom w organizacjach komercyjnych: równoważy wygodę współpracy z kontrolą tożsamości. Od 2026 roku Microsoft domyślnie włącza uwierzytelnianie wieloskładnikowe dla gości, o ile dzierżawa ma skonfigurowane zasady dostępu warunkowego.

  • Każdy, kto ma link (Anyone with the link) — najbardziej liberalny poziom: dokumenty i foldery mogą być udostępniane przez anonimowe łącza, niewymagające uwierzytelnienia. Linki takie mogą być ograniczone czasowo, zabezpieczone hasłem lub blokować możliwość pobrania. Mimo wygody ten poziom generuje największe ryzyko wycieku danych i w większości organizacji jest ograniczany do konkretnych witryn lub całkowicie wyłączany.

Na poziomie witryny właściciel może dodatkowo ograniczyć udostępnianie — na przykład zezwolić tylko na udostępnianie z wymaganym logowaniem, nawet jeśli dzierżawa dopuszcza linki anonimowe. Co więcej, od aktualizacji z marca 2026 roku SharePoint obsługuje szczegółową kontrolę domen zewnętrznych: administrator może skonfigurować białą listę domen (allowlist), z których goście są automatycznie akceptowani, oraz czarną listę domen (blocklist), z których zaproszenia są odrzucane.

SharePoint Online a Microsoft Teams — jak uprawnienia się przenikają

Gdy tworzysz zespół w Microsoft Teams, w tle automatycznie powstaje witryna zespołowa SharePoint Online połączona z grupą Microsoft 365. Każdy kanał w Teams otrzymuje własny folder w domyślnej bibliotece dokumentów SharePoint, a uprawnienia do plików udostępnionych w kanale są dziedziczone z uprawnień samej witryny. Oznacza to, że każdy członek zespołu (a więc członek grupy Microsoft 365) ma domyślnie uprawnienia do edycji plików w kanałach standardowych.

Kanały prywatne w Teams wprowadzają dodatkową warstwę — dla każdego kanału prywatnego SharePoint tworzy osobną witrynę (tzw. private channel site) z własnym, niezależnym zestawem uprawnień. Tylko właściciele i członkowie danego kanału prywatnego mają dostęp do tej witryny, a pozostali członkowie zespołu nie widzą jej zawartości ani w Teams, ani przez interfejs SharePoint. Kanały współdzielone (shared channels), dostępne od 2023 roku, idą jeszcze dalej — umożliwiają współpracę z użytkownikami z innych dzierżaw Microsoft 365 bez konieczności zapraszania ich jako gości. Witryna SharePoint dla kanału współdzielonego (shared channel site) stosuje uprawnienia oparte na tożsamościach federacyjnych B2B Direct Connect, a dostępem zarządza się w obrębie samego kanału, a nie na poziomie grupy Microsoft 365.

Zespół, który rozumie tę architekturę, unika powszechnej pułapki — ręcznego modyfikowania uprawnień w bibliotece SharePoint dla kanałów, co rozsynchronizowuje stan z Teams i generuje problemy z wyświetlaniem plików w interfejsie aplikacji Teams. Zalecaną praktyką jest zarządzanie członkostwem wyłącznie przez interfejs Teams (dla kanałów prywatnych) i unikanie bezpośredniego ingerowania w grupy SharePoint powiązane z kanałami prywatnymi.

Narzędzia administratora — audyt, raportowanie i automatyzacja

Efektywne zarządzanie uprawnieniami w środowiskach liczących tysiące witryn nie jest możliwe wyłącznie przez interfejs graficzny. SharePoint Online dostarcza kilka warstw narzędzi administracyjnych:

  • SharePoint Admin Center — nowoczesny panel administracyjny dostępny pod adresem https://admin.microsoft.com/sharepoint, umożliwiający zarządzanie witrynami, udostępnianiem zewnętrznym, zasadami dostępu i limitami na poziomie dzierżawy. Od wersji z 2026 roku zawiera także rozszerzony panel raportowania uprawnień z możliwością filtrowania po zawieszonych kontach użytkowników, przeterminowanych linkach udostępniania i zasobach z przerwanym dziedziczeniem.

  • PowerShell (PnP PowerShell i SharePoint Online Management Shell) — skrypty umożliwiające masowy audyt uprawnień, raportowanie unikatowych zakresów, resetowanie dziedziczenia i migrację uprawnień między witrynami. Cmdlet Get-PnPListPermissions czy Get-PnPUniqueRoleAssignments pozwalają w kilka minut wygenerować pełny obraz sytuacji dla setek witryn — co ręcznie zajęłoby tygodnie.

  • Microsoft Graph API — endpointy REST pod /sites/{siteId}/permissions i /drives/{driveId}/items/{itemId}/permissions umożliwiają programowe zarządzanie uprawnieniami na każdym poziomie szczegółowości. W połączeniu z Azure Functions lub Power Automate pozwalają budować w pełni zautomatyzowane procesy przyznawania i odbierania dostępu — na przykład automatyczne usuwanie dostępu dla pracowników, którzy zmienili dział w systemie HR.

  • Microsoft Purview — zaawansowane funkcje audytu i zgodności: śledzenie dostępu do plików, wykrywanie nadmiernych uprawnień (oversharing), etykietowanie poufności z automatycznym szyfrowaniem i ograniczaniem dostępu na podstawie klasyfikacji dokumentu. W połowie 2026 roku Microsoft wprowadził do Purview nową funkcję Permission Drift Detection, która automatycznie wykrywa zmiany w uprawnieniach odbiegające od zdefiniowanego modelu bazowego i generuje alerty bezpieczeństwa.

Dla organizacji, które zarządzają wieloma dzierżawami lub potrzebują scentralizowanego widoku licencji i poziomów dostępu w produktach Microsoft, kluczesoft.pl oferuje narzędzia upraszczające administrację subskrypcjami i dostępem w chmurze Microsoft.

Częste pytania

Czy mogę zmienić domyślny poziom uprawnień dla członków witryny?

Tak. W SharePoint Admin Center, w ustawieniach witryny, właściciel może zmienić domyślny poziom uprawnień grupy Członkowie — na przykład z Edytowania na Współtworzenie. Zmiana dotyczy tylko tej konkretnej witryny i nie wpływa na inne witryny w dzierżawie. Można również skonfigurować domyślny poziom dla wszystkich nowych witryn przez szablon lub PowerShell.

Czy ograniczenie dostępu do folderu automatycznie ogranicza dostęp do plików w nim zawartych?

Tak — pod warunkiem że dziedziczenie nie zostało przerwane na poziomie konkretnego pliku. Gdy przerwiesz dziedziczenie na folderze i usuniesz z niego uprawnienia określonego użytkownika, ten użytkownik straci dostęp do plików w tym folderze — chyba że wcześniej plikowi nadano unikatowe uprawnienia z jawnym dostępem dla tego użytkownika.

Czy mogę nadać uprawnienia do pojedynczego dokumentu bez udostępniania całej biblioteki?

Tak. Wybierz dokument, wejdź w szczegóły, kliknij Zarządzaj dostępem, a następnie przerwij dziedziczenie i nadaj uprawnienia konkretnym osobom. SharePoint automatycznie przyzna tym osobom poziom Ograniczony dostęp do obiektów nadrzędnych, aby mogły dotrzeć do pliku przez interfejs.

Co się stanie z uprawnieniami, gdy usunę użytkownika z grupy Microsoft 365?

Użytkownik automatycznie traci dostęp do wszystkich witryn, bibliotek i plików powiązanych z tą grupą. Synchronizacja między grupą Microsoft 365 a grupami SharePoint zachodzi w czasie zbliżonym do rzeczywistego — w większości przypadków dostęp znika w ciągu kilku minut.

Czy linki "Każdy, kto ma link" są bezpieczne?

Linki tego typu dają dostęp każdej osobie, która wejdzie w ich posiadanie — bez uwierzytelnienia. Można je zabezpieczyć hasłem, ograniczyć czasowo (na przykład 7 lub 30 dni) i zablokować możliwość pobierania pliku. Mimo to w środowiskach przetwarzających dane wrażliwe zaleca się wyłączenie tej opcji na poziomie dzierżawy.

Jak sprawdzić, które zasoby mają unikatowe uprawnienia?

W SharePoint Admin Center dostępny jest raport "Zasoby z unikatowymi uprawnieniami", a poprzez PowerShell można wygenerować szczegółowy raport dla wybranej witryny używając Get-PnPSubWeb z parametrem -Includes HasUniqueRoleAssignments. Unikatowe zasoby są także oznaczane ikoną tarczy w interfejsie zarządzania uprawnieniami.

Czy mogę tworzyć własne poziomy uprawnień z wybranymi uprawnieniami szczegółowymi?

Tak. W ustawieniach zaawansowanych uprawnień witryny (strona _layouts/15/role.aspx) możesz utworzyć nowy poziom uprawnień, zaznaczając konkretne uprawnienia szczegółowe z listy trzydziestu trzech dostępnych opcji. Od 2025 roku można to również zrobić przez Microsoft Graph API.

Czy zewnętrzny gość może mieć uprawnienia właściciela witryny?

Tak, technicznie jest to możliwe — możesz dodać gościa do grupy Właściciele witryny. Microsoft zaleca jednak ostrożność: gość z pełną kontrolą może zmieniać uprawnienia, usuwać zawartość i zapraszać innych gości. W organizacjach z rygorystyczną polityką bezpieczeństwa takie rozwiązanie jest blokowane na poziomie zasad dostępu zewnętrznego.

Czy istnieje limit liczby unikatowych zakresów uprawnień w witrynie?

Tak. SharePoint Online nakłada limit techniczny 50 000 unikatowych zakresów uprawnień (unique security scopes) na kolekcję witryn. Przekroczenie tego limitu powoduje błędy przy próbie przerwania dziedziczenia i może skutkować degradacją wydajności. W praktyce oznacza to, że nie można nadać unikatowych uprawnień więcej niż pięćdziesięciu tysiącom pojedynczych zasobów w obrębie jednej kolekcji witryn. Dla porównania — przeciętna witryna zespołowa rzadko przekracza kilkaset takich zakresów, a problem dotyczy głównie bardzo dużych architektur dokumentacyjnych z drobnoziarnistą kontrolą dostępu na poziomie pojedynczych plików.

Jak uprawnienia SharePoint współpracują z etykietami poufności Microsoft Purview?

Etykiety poufności mogą automatycznie szyfrować dokumenty i ograniczać dostęp na podstawie uprawnień zdefiniowanych w etykiecie — niezależnie od uprawnień SharePoint. Na przykład dokument z etykietą "Poufne — tylko kadra zarządzająca" będzie nieczytelny dla członka witryny z poziomem Pełna kontrola, jeśli nie znajduje się on w grupie uprawnionych do odszyfrowania. Etykiety działają jako dodatkowa, równoległa warstwa ochrony ponad uprawnieniami SharePoint.

Najczęściej zadawane pytania

Tak. W SharePoint Admin Center, w ustawieniach witryny, właściciel może zmienić domyślny poziom uprawnień grupy Członkowie — na przykład z Edytowania na Współtworzenie. Zmiana dotyczy tylko tej konkretnej witryny i nie wpływa na inne witryny w dzierżawie. Można również skonfigurować domyślny poziom dla wszystkich nowych witryn przez szablon lub PowerShell.
Tak — pod warunkiem że dziedziczenie nie zostało przerwane na poziomie konkretnego pliku. Gdy przerwiesz dziedziczenie na folderze i usuniesz z niego uprawnienia określonego użytkownika, ten użytkownik straci dostęp do plików w tym folderze — chyba że wcześniej plikowi nadano unikatowe uprawnienia z jawnym dostępem dla tego użytkownika.
Tak. Wybierz dokument, wejdź w szczegóły, kliknij Zarządzaj dostępem, a następnie przerwij dziedziczenie i nadaj uprawnienia konkretnym osobom. SharePoint automatycznie przyzna tym osobom poziom Ograniczony dostęp do obiektów nadrzędnych, aby mogły dotrzeć do pliku przez interfejs.
Użytkownik automatycznie traci dostęp do wszystkich witryn, bibliotek i plików powiązanych z tą grupą. Synchronizacja między grupą Microsoft 365 a grupami SharePoint zachodzi w czasie zbliżonym do rzeczywistego — w większości przypadków dostęp znika w ciągu kilku minut.
Linki tego typu dają dostęp każdej osobie, która wejdzie w ich posiadanie — bez uwierzytelnienia. Można je zabezpieczyć hasłem, ograniczyć czasowo (na przykład 7 lub 30 dni) i zablokować możliwość pobierania pliku. Mimo to w środowiskach przetwarzających dane wrażliwe zaleca się wyłączenie tej opcji na poziomie dzierżawy.
W SharePoint Admin Center dostępny jest raport "Zasoby z unikatowymi uprawnieniami", a poprzez PowerShell można wygenerować szczegółowy raport dla wybranej witryny używając `Get-PnPSubWeb` z parametrem `-Includes HasUniqueRoleAssignments`. Unikatowe zasoby są także oznaczane ikoną tarczy w interfejsie zarządzania uprawnieniami.
Tak. W ustawieniach zaawansowanych uprawnień witryny (strona `_layouts/15/role.aspx`) możesz utworzyć nowy poziom uprawnień, zaznaczając konkretne uprawnienia szczegółowe z listy trzydziestu trzech dostępnych opcji. Od 2025 roku można to również zrobić przez Microsoft Graph API.
Tak, technicznie jest to możliwe — możesz dodać gościa do grupy Właściciele witryny. Microsoft zaleca jednak ostrożność: gość z pełną kontrolą może zmieniać uprawnienia, usuwać zawartość i zapraszać innych gości. W organizacjach z rygorystyczną polityką bezpieczeństwa takie rozwiązanie jest blokowane na poziomie zasad dostępu zewnętrznego.
Tak. SharePoint Online nakłada limit techniczny 50 000 unikatowych zakresów uprawnień (unique security scopes) na kolekcję witryn. Przekroczenie tego limitu powoduje błędy przy próbie przerwania dziedziczenia i może skutkować degradacją wydajności. W praktyce oznacza to, że nie można nadać unikatowych uprawnień więcej niż pięćdziesięciu tysiącom pojedynczych zasobów w obrębie jednej kolekcji witryn. Dla porównania — przeciętna witryna zespołowa rzadko przekracza kilkaset takich zakresów, a problem dotyczy głównie bardzo dużych architektur dokumentacyjnych z drobnoziarnistą kontrolą dostępu na poziomie pojedynczych plików.
Etykiety poufności mogą automatycznie szyfrować dokumenty i ograniczać dostęp na podstawie uprawnień zdefiniowanych w etykiecie — niezależnie od uprawnień SharePoint. Na przykład dokument z etykietą "Poufne — tylko kadra zarządzająca" będzie nieczytelny dla członka witryny z poziomem Pełna kontrola, jeśli nie znajduje się on w grupie uprawnionych do odszyfrowania. Etykiety działają jako dodatkowa, równoległa warstwa ochrony ponad uprawnieniami SharePoint.

Czy ten artykuł był pomocny?

SharePoint Online — poziomy uprawnień i model bezpieczeńs… | Centrum Pomocy KluczeSoft