Doporučení zásad pro zabezpečení sharepointových webů a souborů
Tento článek popisuje, jak implementovat doporučené zásady nulová důvěra (Zero Trust) identit a přístupu zařízení k ochraně SharePointu a OneDrivu. Tyto pokyny vycházejí z běžných zásad přístupu k identitám a zařízením.
Tato doporučení jsou založená na třech různých úrovních zabezpečení a ochrany sharepointových souborů, které se dají použít na základě členitosti vašich potřeb: výchozí bod, podnik a specializované zabezpečení. Další informace o těchto úrovních zabezpečení a doporučených klientských operačníchsystémechch
Kromě implementace těchto pokynů nezapomeňte nakonfigurovat sharepointové weby se správnou ochranou, včetně nastavení vhodných oprávnění pro podnikový a specializovaný obsah zabezpečení.
Aktualizace běžných zásad pro zahrnutí SharePointu a OneDrivu
Pokud chcete chránit soubory na SharePointu a OneDrivu, následující diagram znázorňuje, které zásady se mají aktualizovat z běžných zásad identit a přístupu k zařízením.
Pokud jste při vytváření společných zásad zahrnuli SharePoint, stačí vytvořit jenom nové zásady. Pro zásady podmíněného přístupu obsahuje SharePoint OneDrive.
Nové zásady implementují ochranu zařízení pro podnikový a specializovaný obsah zabezpečení použitím specifických požadavků na přístup na weby SharePointu, které určíte.
Následující tabulka uvádí zásady, které potřebujete zkontrolovat a aktualizovat, nebo vytvořit nové pro SharePoint. Společné zásady odkazují na přidružené pokyny ke konfiguraci v článku Společné zásady identit a přístupu zařízení.
| Úroveň ochrany | Zásady | Více informací |
|---|---|---|
| Výchozí bod | Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení střední nebo vysoké | Zahrnutí SharePointu do přiřazení cloudových aplikací |
| Blokování klientů, kteří nepodporují moderní ověřování | Zahrnutí SharePointu do přiřazení cloudových aplikací | |
| Použití zásad ochrany dat APP | Ujistěte se, že jsou všechny doporučené aplikace zahrnuté do seznamu aplikací. Nezapomeňte aktualizovat zásady pro každou platformu (iOS, Android, Windows). | |
| Použití omezení vynucených aplikací v SharePointu | Přidejte tuto novou zásadu. To informuje Microsoft Entra ID, aby používalo nastavení zadané v SharePointu. Tato zásada platí pro všechny uživatele, ale má vliv jenom na přístup k webům zahrnutým v zásadách přístupu k SharePointu. | |
| Enterprise | Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení nízké, střední nebo vysoké | Zahrňte SharePoint do přiřazení cloudových aplikací. |
| Vyžadování kompatibilních počítačů a mobilních zařízení | Do seznamu cloudových aplikací zahrňte SharePoint. | |
| Zásady řízení přístupu k SharePointu: Povolí přístup jenom pro prohlížeč na konkrétní sharepointové weby z nespravovaných zařízení. | Tím zabráníte úpravám a stahování souborů. K určení webů použijte PowerShell. | |
| Specializované zabezpečení | Vždy vyžadovat vícefaktorové ověřování | Zahrnutí SharePointu do přiřazení cloudových aplikací |
| Zásady řízení přístupu k SharePointu: Zablokují přístup k určitým webům SharePointu z nespravovaných zařízení. | K určení webů použijte PowerShell. |
Použití omezení vynucených aplikací v SharePointu
Pokud implementujete řízení přístupu v SharePointu, zásady podmíněného přístupu se vytvoří v Microsoft Entra ID, aby microsoft Entra ID vynucovaly zásady, které nakonfigurujete v SharePointu. Ve výchozím nastavení se tato zásada vztahuje na všechny uživatele, ale má vliv jenom na přístup k webům, které zadáte pomocí PowerShellu při vytváření ovládacích prvků přístupu v SharePointu. Zásady mohou být také vymezeny pro konkrétní uživatele, skupiny nebo weby.
Pokud chcete nakonfigurovat tuto zásadu, přečtěte si téma Blokování nebo omezení přístupu ke konkrétním kolekcím sharepointových webů nebo účtům OneDrivu v části Řízení přístupu z nespravovaných zařízení.
Zásady řízení přístupu k SharePointu
Microsoft doporučuje chránit obsah na sharepointových webech pomocí podnikového a specializovaného obsahu zabezpečení pomocí řízení přístupu zařízení. Uděláte to tak, že vytvoříte zásadu, která určuje úroveň ochrany a weby, na které se má ochrana použít.
- Podnikové weby: Povolí přístup jen pro prohlížeč. Uživatelé tak nemůžou stahovat, tisknout nebo synchronizovat soubory.
- Specializované weby zabezpečení: Zablokuje přístup z nespravovaných zařízení.
Informace o blokování nebo omezení přístupu ke konkrétním kolekcím sharepointových webů nebo účtům OneDrivu najdete v tématu Řízení přístupu z nespravovaných zařízení.
Jak tyto zásady spolupracují
Je důležité si uvědomit, že oprávnění sharepointového webu jsou obvykle založená na potřebě firmy pro přístup k webům. Tato oprávnění spravují vlastníci webů a můžou být vysoce dynamická. Použití zásad přístupu k zařízením SharePointu zajišťuje ochranu těchto webů bez ohledu na to, jestli jsou uživatelé přiřazeni ke skupině Microsoft Entra přidružené k výchozímu bodu, podniku nebo specializované ochraně zabezpečení.
Následující obrázek ukazuje, jak zásady přístupu k zařízením SharePointu chrání přístup k webům pro uživatele.
James má přiřazené zásady podmíněného přístupu, ale může mu být udělen přístup k sharepointovým webům s podnikovou nebo specializovanou ochranou zabezpečení.
- Pokud James přistupuje k webu, je členem podnikové nebo specializované bezpečnostní ochrany pomocí svého počítače, jeho přístup je udělen.
- Pokud James přistupuje k webu podnikové ochrany, je členem svého nespravovaného telefonu, který je povolený pro uživatele výchozího bodu, obdrží přístup jen pro prohlížeč k podnikovému webu kvůli zásadám přístupu zařízení nakonfigurovaným pro tento web.
- Pokud James přistupuje ke specializovanému webu zabezpečení, je členem svého nespravovaného telefonu, bude zablokován kvůli zásadám přístupu nakonfigurovaným pro tento web. K tomuto webu má přístup pouze pomocí spravovaného počítače.
Další krok
Konfigurace zásad podmíněného přístupu pro: