У нас есть локальная служба Active Directory, которая использует Azure Active Directory Connect для синхронизации объектов пользователей и групп с Azure AD / Office 365. Наша организация заинтересована в том, чтобы начать использовать SharePoint, но мы изо всех сил пытаемся найти лучший способ использовать наши существующие группы безопасности в Active Directory как средство контроля доступа к сайтам SharePoint.
Какой из этих сценариев развертывания жизнеспособен:
В качестве альтернативы, есть ли лучший способ достичь поставленной выше цели?
оба жизнеспособны. Когда дело доходит до разрешений SharePoint, лучше наследовать разрешения. Легче поддерживать и проверять.
Ваши семейства сайтов - это границы вашей безопасности. Лучший выбор (IMO) - иметь сайт, на котором библиотеки наследуют разрешения.
Следующим шагом будет нарушение наследования на уровне библиотеки. Иногда это требуется в зависимости от сценария и обслуживаемого контента. Я бы рекомендовал попытаться избежать нарушения наследования на уровне элементов (папок и документов) - это становится кошмаром.
Отнеситесь ко всему этому также с долей скептицизма - в SharePoint Online, если вы разрешите совместное использование контента, ваши разрешения могут динамически меняться в зависимости от того, кому разрешено делиться контентом, внутренним и внешним.