Teams/SharePoint: come modificare i permessi predefiniti del gruppo Members (lettura, contribuzione e blocco download)

Vuoi impedire che il gruppo “Members” di un Team continui ad avere privilegi di modifica sul sito SharePoint collegato? In questa guida trasformi “Members” in un ruolo a sola lettura (o “Contribuire”), mantieni integro il Team e, se serve, blocchi anche il download dei file.

Indice

Contesto e obiettivo

Quando crei un Team in Microsoft Teams, viene generato automaticamente un sito SharePoint collegato e tre gruppi predefiniti con livelli di autorizzazione standard:

Owners → Controllo completo
Members → Edit (Modifica)
Visitors → Read (Lettura)

In molte organizzazioni, i nuovi assunti o i collaboratori esterni non devono caricare, modificare o eliminare file. L’obiettivo è quindi ridurre i privilegi del gruppo “Members” (o togliere del tutto le sue autorizzazioni sul sito) e inserire gli utenti in un gruppo a sola lettura, senza rompere l’associazione tra Team e Microsoft 365 Group e senza impattare negativamente su Teams.

Perché “Members” sembra bloccato

Nei siti collegati a un Microsoft 365 Group, SharePoint considera il gruppo “Members” come Gruppo predefinito del sito. Finché questo è il caso, i pulsanti Elimina o Modifica autorizzazioni per “Members” risultano disattivati. Il trucco è semplice: crei un nuovo gruppo con il livello desiderato e lo imposti come nuovo Gruppo predefinito. Così SharePoint “sblocca” i comandi per “Members”, permettendoti di abbassarne i privilegi o rimuoverne l’assegnazione al sito.

Prerequisiti e impatto

Requisito	Dettagli
Ruolo amministrativo	Site Owner del sito SharePoint collegato al Team, o SharePoint Admin/Global Admin per automazioni centralizzate.
Conoscenza base	Livelli di autorizzazione SharePoint (Read, Edit, Contribute, View Only, ecc.).
Impatto su Teams	Riducendo i permessi di “Members” sul sito, gli utenti non potranno più caricare/modificare file nella scheda “File” dei canali. Le chat in Teams non sono toccate; l’accesso ai file sì.
Eccezioni	I canali privati e i canali condivisi hanno siti SharePoint separati: vanno gestiti a parte.

Riepilogo rapido: la soluzione

Passo	Azione	Scopo
1	Crea un nuovo gruppo SharePoint (es. “Read Only” o “Contribuisci”) con livello di autorizzazione personalizzato.	Avere un contenitore con i permessi desiderati.
2	Imposta questo gruppo come Gruppo predefinito del sito: Impostazioni sito → Autorizzazioni sito → Impostazioni avanzate → Imposta gruppo predefinito.	Sbloccare la modifica dei permessi per “Members”.
3	Seleziona “Members” e riduci il livello da Edit a Read / Contribute o rimuovi l’assegnazione di permessi sul sito.	Eliminare i privilegi di scrittura non necessari.
4	Non eliminare il gruppo “Members”.	Mantenere l’integrità del Team e del Microsoft 365 Group.
5	Gestisci l’ereditarietà (sito, raccolte, cartelle) interrompendola dove servono eccezioni.	Evitare sovrascritture dalle autorizzazioni ereditate.
6	Inserisci i nuovi utenti direttamente in “Read Only” (o “Visitors”) se devono solo leggere.	Impedire la concessione automatica di privilegi superiori.
7	Automatizza con PowerShell/PnP, modelli di provisioning o policy di governance.	Standardizzare e risparmiare tempo.

Guida dettagliata passo‑per‑passo

Crea un gruppo con il livello giusto

Vai su Impostazioni (icona a ingranaggio) → Autorizzazioni sito → Impostazioni avanzate.
Apri Livelli di autorizzazione:
- Se vuoi una semplice lettura, puoi usare Read o creare un livello personalizzato (es. “Read Only (No Download)” se intendi applicare blocchi con policy a livello tenant—vedi più sotto).
- Se vuoi consentire agli utenti di caricare/modificare elementi ma non modificare la struttura del sito, crea un livello sul modello Contribuire. Spunta solo le voci relative a Aggiungi/Modifica/Elimina elementi e Visualizza pagine. Evita diritti come Gestisci liste, Aggiungi/Rimuovi app, Crea sottositi, Gestisci autorizzazioni.
Torni in Autorizzazioni sito e fai clic su Crea un gruppo. Dai un nome chiaro (es. “Read Only” o “Contribuisci”), imposta il livello creato/ scelto e, opzionalmente, definisci Owners del gruppo.

Imposta il nuovo gruppo come “Gruppo predefinito”

Da Autorizzazioni sito → Impostazioni avanzate, fai clic su Imposta gruppo predefinito.
Scegli il gruppo creato (es. “Read Only”). Conferma.

Risultato: i comandi per “Members” non sono più grigi: puoi modificarne i permessi o rimuovere l’assegnazione al sito.

Riduci i permessi di “Members” o rimuovili dal sito

Seleziona il gruppo Members nella pagina Autorizzazioni sito.
Clic su Modifica autorizzazioni utente, quindi:
- Abbassa il livello da Edit a Read o al tuo livello “Contribuire”, oppure
- Rimuovi l’assegnazione di permessi sul sito (il gruppo esiste ancora, ma non ha più diritti su quel sito).

Importante: non eliminare il gruppo “Members”. È collegato al Microsoft 365 Group del Team; la sua eliminazione può causare perdita di accesso o effetti collaterali sulle appartenenze.

Gestisci l’ereditarietà

Se il sito eredita le autorizzazioni da un sito padre, usa Interrompi l’ereditarietà prima di cambiare i livelli (stessa cosa per una singola raccolta o cartella). In questo modo eviti che una modifica a monte sovrascriva i tuoi settaggi. Per aree che richiedono eccezioni (es. una cartella “Consegne” dove alcuni devono poter caricare), interrompi l’ereditarietà a livello di cartella e assegna Contribuire solo a chi serve.

Inserisci i nuovi utenti nel gruppo corretto

Ogni volta che aggiungi persone che devono solo leggere:

Mettili nel gruppo Read Only o Visitors anziché aggiungerli al Team come membri standard.
Se devi farli partecipare alla chat ma non vuoi che modifichino file, valuta di tenerli come membri del Team in Teams ma ridotti a lettura sul sito (come descritto). L’esperienza nella scheda “File” diventerà read‑only.

Modelli di autorizzazione consigliati

Scenario	Gruppi & livelli	Note operative
Accesso in sola lettura per nuovi assunti	“Read Only”/“Visitors” → Read; “Owners” → Full Control; “Members” → Read o rimosso dal sito	Niente upload nella scheda “File”. Prevedi cartelle di consegna ad hoc se servono eccezioni.
Utenti che devono caricare file ma non cambiare la struttura	Gruppo “Contribuisci” → Contribute (personalizzato); “Members” → Read	Possono aggiungere/modificare/eliminare elementi ma non creare app/sottositi né cambiare autorizzazioni.
Team misto (core editor + ampia platea lectura)	“Editors” → Edit solo per pochi; “Read Only” per la maggioranza; “Members” → Read	Riduci la superficie di rischio lasciando Edit a un gruppo ristretto.

Bloccare il download: cosa funziona davvero

Il livello View Only (Visualizzazione) non impedisce il download dei file Office moderni (aperti in Office per il Web). Per vietare il download considera una o più delle seguenti opzioni:

Etichette di riservatezza (Sensitivity Labels) con crittografia
Applica una label che nega “Salva con nome/Esporta/Scarica” a tutti tranne che ai ruoli previsti. Vantaggio: controllo per file, anche fuori da SharePoint/Teams. Richiede licenze di conformità idonee.
Accesso condizionale e restrizioni di sessione
Per dispositivi non gestiti, imposta l’accesso web limitato o il Block download a livello di sessione. Vantaggio: protezione uniforme per siti senza toccare i file. Richiede licenze Azure AD P1/P2.
IRM/DRM a livello di raccolta
Abilita Gestione diritti sulla libreria documenti. I file scaricati restano protetti. Nota: esperienza utente più vincolata e prerequisiti per il client.

Opzione	Portata	Pro	Contro
Sensitivity Labels	Per file/cartelle/siti	Protezione persistente, fine‑grained	Progettazione etichette, formazione utenti
Conditional Access (Block download)	Per tenant, sito o contesto dispositivo	Veloce, centralizzato	Dipende dallo stato del dispositivo/contesto
IRM su libreria	Per singola raccolta	Protezione anche dopo il download	Configurazione e requisiti client

Eccezioni: canali privati e condivisi

I canali privati e i canali condivisi di Teams creano siti SharePoint dedicati con autorizzazioni indipendenti rispetto al sito del Team principale. Se demoti “Members” nel sito principale, non stai toccando i siti dei canali privati/condivisi. Replica le stesse impostazioni anche su quei siti quando necessario (nuovo gruppo, nuovo gruppo predefinito, riduzione permessi del relativo “Members”).

Controlli post‑implementazione

Verifica rapida: con un account di test appartenente a “Members”, prova a caricare un file nella scheda “File” di un canale. Dovrebbe fallire se hai impostato Read.
Raccolte con ereditarietà interrotta: controlla che non abbiano ancora “Members” con Edit assegnato in modo puntuale.
Audit: monitora modifiche inattese tramite log unificato o report di SharePoint.
Esperienza utente: comunica in anticipo che l’area file diventerà in sola lettura per alcuni utenti, suggerendo il canale di consegna alternativo (cartella “Drop‑off”, modulo, richiesta approvazione, ecc.).

Automazione: script PnP PowerShell di esempio

Lo script seguente crea un gruppo “Read Only”, lo imposta come gruppo predefinito del sito e demota l’attuale “Members” da Edit a Read. Eseguilo prima in un ambiente di test.

# Prerequisiti:
- Modulo PnP.PowerShell installato
- Permessi da Site Collection Admin o Owner
- Esegui in PowerShell 7+ dove possibile

$SiteUrl = "[https://contoso.sharepoint.com/sites/TeamNome](https://contoso.sharepoint.com/sites/TeamNome)"

Connect-PnPOnline -Url $SiteUrl -Interactive

1) Memorizza il gruppo Members attuale (quello associato quando arrivi)

$originalMembersGroup = Get-PnPGroup -AssociatedMemberGroup

2) Crea (se manca) un gruppo Read Only con livello Read

$readGroupName = "Read Only"
$readGroup = Get-PnPGroup -Identity $readGroupName -ErrorAction SilentlyContinue
if (-not $readGroup) {
New-PnPGroup -Title $readGroupName -Description "Gruppo a sola lettura per il sito" -PermissionLevels "Read" | Out-Null
$readGroup = Get-PnPGroup -Identity $readGroupName
}

3) Imposta il nuovo gruppo come Gruppo predefinito (Associated Member Group)

Set-PnPWeb -AssociatedMemberGroup $readGroup

4) Demota il vecchio Members: rimuovi Edit, aggiungi Read

(usa l'oggetto salvato prima del cambio di default)

try {
Remove-PnPRoleAssignment -Principal $originalMembersGroup -RoleDefinitionBindings "Edit" -ErrorAction SilentlyContinue
Add-PnPRoleAssignment    -Principal $originalMembersGroup -RoleDefinitionBindings "Read"
Write-Host "Il gruppo '$($originalMembersGroup.Title)' è stato demotato a Read."
} catch {
Write-Warning "Impossibile aggiornare i permessi di '$($originalMembersGroup.Title)': $($_.Exception.Message)"
}

5) (Opzionale) Rimuovi il ruolo dal sito se preferisci gestire solo con il nuovo gruppo

Remove-PnPRoleAssignment -Principal $originalMembersGroup -RoleDefinitionBindings "Read"

Nota: il gruppo 'Members' NON viene eliminato dal tenant né dal Team; semplicemente non ha più diritti su questo sito.

Adatta i nomi dei gruppi alla tua convenzione (“TeamNome Members”, “TeamNome Owners”, ecc.). Per creare un livello personalizzato “Contribuire”, puoi clonare “Contribute” e togliere le voci che non ti servono tramite interfaccia o API.

Automazione con modelli di provisioning

Se crei spesso nuovi Team, prepara un modello di provisioning che:

aggiunge il gruppo “Read Only” (o “Contribuisci”),
lo imposta come Gruppo predefinito,
demota “Members” al livello desiderato,
crea eventuali cartelle con autorizzazioni dedicate (ereditarietà interrotta).

Puoi farlo con PnP Provisioning Templates o orchestrazioni basate su PowerShell/Graph dopo la creazione del Team.

Edit vs. Contribuire: differenze operative

Capacità	Edit	Contribuire	Read
Aggiungere/modificare/eliminare file	Sì	Sì	No
Gestire liste/raccolte (creare/eliminare)	Sì	No	No
Modificare pagine del sito/app	Sì	No	No
Gestire autorizzazioni	No (di norma)	No	No
Scaricare file	Sì	Sì	Sì (a meno di policy dedicate)

Bloccare il download in pratica: flussi consigliati

Con etichette di riservatezza

Definisci una label (es. “Interno – No download”).
Abilita la crittografia e limita diritti (solo View senza Export/Print per i gruppi/utenti target).
Pubblica la label e applicala (automatica o manuale) ai file o a una libreria.

Con accesso condizionale

Identifica le condizioni (dispositivo non gestito, posizione, rischio accesso).
Applica una policy che consenta web‑only, limited oppure block download per SharePoint/OneDrive.
Valuta esclusioni per ruoli operativi o dispositivi gestiti.

Con IRM sulla libreria

Abilita la protezione dei diritti nella raccolta documenti.
Configura scadenza/limitazioni (niente stampa, niente copia, scadenza accesso offline).
Testa su client diversi (web, desktop, mobile) per assicurare l’esperienza desiderata.

FAQ e problemi comuni

Perché i pulsanti per “Members” sono grigi?

Perché “Members” è il Gruppo predefinito del sito. Impostando un nuovo gruppo predefinito, i pulsanti si sbloccano.

Posso eliminare del tutto “Members”?

No. È legato al Microsoft 365 Group del Team. Eliminarlo può causare problemi di accesso e gestione future.

Se metto “Members” a sola lettura, cosa cambia in Teams?

Gli utenti possono continuare a chattare e partecipare alle riunioni, ma non potranno caricare o modificare file nella scheda “File” dei canali.

“View Only” blocca il download?

Non per i file Office moderni. Usa etichette di riservatezza, accesso condizionale o IRM per una protezione efficace dal download.

Devo ripetere la procedura per canali privati/condivisi?

Sì, ognuno ha un sito SharePoint separato con proprie autorizzazioni.

Checklist operativa

Gruppo “Read Only” creato con livello corretto.
Impostato come Gruppo predefinito del sito.
“Members” demotato a Read o rimosso dal sito.
Eventuali raccolte/cartelle con ereditarietà interrotta revisionate.
Nuovi utenti assegnati a “Read Only”/“Visitors”.
Policy di block download applicata se necessario.
Test con account non privilegiato completato.
Comunicazione agli utenti inviata.

Rischi principali e come evitarli

Rottura dei flussi di lavoro: alcuni processi automatizzati potrebbero contare su permessi Edit. Mappa e aggiorna i runbook.
Falsi positivi nel blocco download: se allinei policy troppo restrittive, servizi legittimi (es. anteprime) possono degradare. Applica per gradi.
Eccezioni “nascoste”: librerie con ereditarietà interrotta che lasciano “Edit” a “Members”. Usa report periodici per individuarle.
Confusione utenti: chiarisci come chiedere l’elevazione temporanea (es. “Contribuire per 48h”).

Esempio di piano di rollback

Reimposta il gruppo “Members” come Gruppo predefinito (se servisse ripristinare).
Riassegna Edit a “Members” con Modifica autorizzazioni utente o via script.
Ripristina l’ereditarietà sulle raccolte modificate (se modificata).

Conclusione

Con il cambio del Gruppo predefinito e una semplice riassegnazione dei ruoli, puoi ridurre in sicurezza i permessi del gruppo “Members” nel sito SharePoint collegato a Teams. Aggiungendo etichette di riservatezza, accesso condizionale o IRM ottieni anche il blocco del download dove richiesto, senza compromettere l’integrità del Team o la collaborazione. Standardizzando questi passaggi con script e modelli, la tua governance diventa ripetibile e a prova di errore.

Approfondimenti utili

Edit vs. Contribute: Edit consente anche gestione di pagine, app, raccolte e impostazioni del sito; Contribuire consente di aggiungere/modificare/eliminare elementi in liste e raccolte ma non la modifica della struttura del sito.
Blocco download: “View Only” non impedisce il download di file moderni. Per vietarlo servono:
1. Policy a livello di SharePoint o Etichette di riservatezza con crittografia;
2. Impostazioni di Accesso Condizionale (sessione web limitata/blocco download);
3. Configurazioni DLP o IRM su libreria.
Gruppi Microsoft 365: “Owners” e “Members” appartengono allo stesso Group del tenant. Cambiare i permessi su un sito specifico è sicuro; eliminarli no.