Doporučení zásad pro zabezpečení sharepointových webů a souborů
Tento článek popisuje, jak implementovat doporučené zásady nulová důvěra (Zero Trust) identit a přístupu zařízení k ochraně SharePointu a OneDrivu. Tyto pokyny vycházejí z běžných zásad přístupu k identitám a zařízením.
Tato doporučení jsou založená na třech různých úrovních zabezpečení a ochrany, které je možné použít na základě členitosti vašich potřeb: výchozí bod, podnikovéa specializovanézabezpečení . Tyto zásady použijete na základě členitosti vašich potřeb. Další informace najdete v tématu úvod do doporučených zásad zabezpečení a konfigurací.
Musíte také nakonfigurovat sharepointové weby se správnou úrovní ochrany, včetně vhodných oprávnění pro podnikový a specializovaný obsah zabezpečení.
Aktualizace běžných zásad pro zahrnutí SharePointu a OneDrivu
Pokud chcete chránit soubory na SharePointu a OneDrivu, následující diagram znázorňuje, které zásady se mají aktualizovat z běžných zásad identit a přístupu k zařízením.
Pokud jste při nastavování zásad zahrnuli SharePoint do rozsahu zásad, stačí vytvořit jenom nové zásady. SharePoint v zásadách podmíněného přístupu zahrnuje OneDrive.
Nové zásady zavádějí ochranu pro podnikové systémy a specializovaný bezpečnostní obsah tím, že na určené weby SharePoint uplatňují konkrétní požadavky na přístup.
Následující tabulka uvádí zásady, které potřebujete aktualizovat nebo vytvořit pro SharePoint. Každá zásada odkazuje na přidružené pokyny ke konfiguraci v běžné zásady identit a přístupu k zařízením.
| Úroveň ochrany | Zásady | Více informací |
|---|---|---|
| Výchozí bod | Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení střední nebo vysoké | Zahrnutí SharePointu do přiřazení cloudových aplikací |
| Blokování klientů, kteří nepodporují moderní ověřování | Zahrnutí SharePointu do přiřazení cloudových aplikací | |
| Použití zásad ochrany dat APP | Ujistěte se, že jsou všechny doporučené aplikace zahrnuté do seznamu aplikací. Nezapomeňte aktualizovat zásady pro každou platformu (iOS/iPadOS, Android a Windows). | |
| Použití omezení vynucených aplikací v SharePointu | Přidejte tuto novou zásadu. Toto nastavení říká Microsoft Entra ID, aby používalo nastavení ze SharePointu. Tato zásada platí pro všechny uživatele, ale má vliv jenom na přístup k webům zahrnutým v zásadách přístupu k SharePointu. | |
| Enterprise | Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení nízké, střední, nebo vysoké | Zahrňte SharePoint do přiřazení cloudových aplikací. |
| Vyžadování kompatibilních počítačů a mobilních zařízení | Do seznamu cloudových aplikací zahrňte SharePoint. | |
| Zásady řízení přístupu k SharePointu: Povolí přístup jenom pro prohlížeč na konkrétní sharepointové weby z nespravovaných zařízení. | Tato zásada brání úpravám a stahování souborů. K určení webů použijte PowerShell. | |
| Specializované zabezpečení | Vždy vyžadovat vícefaktorové ověřování | Zahrnutí SharePointu do přiřazení cloudových aplikací |
| Zásady řízení přístupu k SharePointu: Zablokují přístup k určitým webům SharePointu z nespravovaných zařízení. | K určení webů použijte PowerShell. |
Použití omezení vynucených aplikací v SharePointu
Pokud implementujete řízení přístupu v SharePointu, vytvoří se zásady podmíněného přístupu v MICROSOFT Entra ID, které vynucují zásady, které konfigurujete v SharePointu. Ve výchozím nastavení se tato zásada vztahuje na všechny uživatele, ale má vliv jenom na přístup k webům, které zadáte pomocí PowerShellu při vytváření ovládacích prvků přístupu v SharePointu. Zásady mohou být také vymezeny pro konkrétní uživatele, skupiny nebo weby.
Pokud chcete tuto zásadu nakonfigurovat, přečtěte si téma Blokovat nebo omezit přístup na konkrétní sharepointový web neboOneDrive .
Zásady řízení přístupu k SharePointu
K ochraně obsahu na sharepointových webech, které obsahují podnikové a specializované zabezpečení, doporučujeme používat řízení přístupu zařízení. Vytvořte zásadu, která určuje úroveň ochrany a lokality, které obdrží ochranu:
- podnikové weby: Povolí přístup jen pro prohlížeč. Toto nastavení zabrání uživatelům stahovat, tisknout nebo synchronizovat soubory.
- Speciální zabezpečené stránky: Zablokovat přístup z nespravovaných zařízení.
Další informace najdete v tématu Blokování nebo omezení přístupu na konkrétní sharepointový web nebo onedrive.
Jak tyto zásady spolupracují
Je důležité si uvědomit, že oprávnění sharepointového webu jsou obvykle založená na potřebě firmy pro přístup k webům. Vlastníci webu tato oprávnění spravují, což může být vysoce dynamické. Použití zásad přístupu k zařízením SharePointu zajišťuje ochranu těchto webů bez ohledu na to, jestli jsou uživatelé přiřazeni ke skupině Microsoft Entra přidružené k výchozímu bodu, podniku nebo specializované ochraně zabezpečení.
Následující obrázek ukazuje, jak zásady přístupu k zařízením SharePointu chrání přístup k webům pro uživatele.
James má základní přiřazené zásady podmíněného přístupu, ale může získat přístup k SharePoint webům s podnikovou nebo specializovanou ochranou.
- James je členem webu s podnikovou nebo specializovanou ochranou zabezpečení. Když k webu přistupuje pomocí svého počítače, udělí se mu přístup.
- James je členem webu s podnikovou ochranou. Když přistupuje k webu pomocí nespravovaného telefonu, obdrží přístup pouze prohlížeče kvůli zásadě přístupu k zařízením na webu.
- James je členem webu se specializovaným zabezpečením. Když přistoupil k webu pomocí nespravovaného telefonu, byl přístup zablokován kvůli zásadám přístupu k zařízením na webu. Má přístup jenom k webu pomocí spravovaného počítače.
Další krok
Konfigurace zásad podmíněného přístupu pro: