IT-Administratoren– Zugriffssteuerungen für nicht verwaltete SharePoint- und OneDrive-Geräte
Als SharePoint-Administrator in Microsoft 365 können Sie den Zugriff auf SharePoint- und OneDrive-Inhalte von nicht verwalteten Geräten (solche, die nicht hybrid in AD eingebunden sind oder in Intune kompatibel sind) blockieren oder einschränken. Sie können den Zugriff blockieren oder einschränken für:
Alle Benutzer in der Organisation oder nur bestimmte Benutzer oder Sicherheitsgruppen.
Alle Websites in der Organisation oder nur bestimmte Websites.
Das Blockieren des Zugriffs sorgt für mehr Sicherheit, geht allerdings zu Lasten von Benutzerfreundlichkeit und Produktivität. Wenn der Zugriff blockiert wird, wird benutzern der folgende Fehler angezeigt.
Das Einschränken des Zugriffs gibt dem Benutzer die Möglichkeit, produktiv zu bleiben, und senkt gleichzeitig das Risiko eines versehentlichen Datenverlusts bei nicht verwalteten Geräten. Wenn Sie den Zugriff einschränken, haben Benutzer auf verwalteten Geräten Vollzugriff (es sei denn, sie verwenden eine der unter Unterstützte Browser und Betriebssystemkombinationen aufgeführten Kombinationen von Browser und Betriebssystem). Benutzer auf nicht verwalteten Geräten haben nur Browserzugriff, ohne Dateien herunterzuladen, zu drucken oder zu synchronisieren. Sie können außerdem nicht über Apps, einschließlich der Microsoft Office-Desktop-Apps, auf Inhalte zugreifen. Bei eingeschränktem Zugriff können Sie das Bearbeiten von Dateien im Browser wahlweise zulassen oder blockieren. Wenn der Webzugriff eingeschränkt ist, wird benutzern oben auf Websites die folgende Meldung angezeigt.
Hinweis
- Das Blockieren oder Einschränken des Zugriffs auf nicht verwalteten Geräten basiert auf Microsoft Entra Richtlinien für bedingten Zugriff. Informationen zur Microsoft Entra ID Lizenzierung Eine Übersicht über den bedingten Zugriff in Microsoft Entra ID finden Sie unter Bedingter Zugriff in Microsoft Entra ID.
- Informationen zu empfohlenen SharePoint-Zugriffsrichtlinien finden Sie unter Richtlinienempfehlungen zum Schützen von SharePoint-Websites und -Dateien.
- Wenn Sie den Zugriff auf nicht verwalteten Geräten einschränken, müssen Benutzer auf verwalteten Geräten eine der unterstützten Betriebssystem- und Browserkombinationen verwenden, oder sie haben auch eingeschränkten Zugriff.
- Da Microsoft Entra ID keine Multi-Geo-Funktionen bietet, wirkt sich das Blockieren oder Einschränken nicht verwalteter Geräte auf alle geografischen Elemente innerhalb des Microsoft 365-Mandanten aus.
Steuern des Gerätezugriffs in Microsoft 365
Die Verfahren in diesem Artikel wirken sich nur auf den SharePoint-Zugriff durch nicht verwaltete Geräte aus. Wenn Sie die Kontrolle über nicht verwaltete Geräte über SharePoint hinaus erweitern möchten, können Sie stattdessen eine Microsoft Entra Richtlinie für bedingten Zugriff für alle Apps und Dienste in Ihrem organization erstellen. Um diese Richtlinie speziell für Microsoft 365-Dienste zu konfigurieren, wählen Sie die Office 365-Cloud-App unter Cloud-Apps oder -Aktionen aus.
Die Verwendung einer Richtlinie, die alle Microsoft 365-Dienste betrifft, kann zu einer besseren Sicherheit und einer besseren Benutzererfahrung führen. Wenn Sie beispielsweise nur den Zugriff auf nicht verwaltete Geräte in SharePoint blockieren, können Benutzer auf den Chat in einem Team mit einem nicht verwalteten Gerät zugreifen, verlieren jedoch den Zugriff, wenn sie versuchen, auf die Registerkarte Dateien zuzugreifen. Durch die Verwendung der Office 365-Cloud-App können Probleme mit Dienstabhängigkeiten vermieden werden.
Zugriff blockieren
Wechseln Sie im neuen SharePoint Admin Center zur Zugriffssteuerung, und melden Sie sich mit einem Konto an, das über Administratorberechtigungen für Ihre organization verfügt.
Hinweis
Wenn Sie Office 365 von 21Vianet (China) betrieben haben, melden Sie sich beim Microsoft 365 Admin Center an, navigieren Sie zum SharePoint Admin Center, und öffnen Sie die Seite Zugriffssteuerung.
Wählen Sie nicht verwaltete Geräteaus.
Wählen Sie Zugriff blockieren und dann Speichern aus.
Wichtig
Wenn Sie diese Option auswählen, werden alle vorherigen Richtlinien für bedingten Zugriff deaktiviert, die Sie auf dieser Seite erstellt haben, und es wird eine neue Richtlinie für bedingten Zugriff erstellt, die für alle Benutzer gilt. Alle Anpassungen, die Sie an vorherigen Richtlinien vorgenommen haben, werden nicht übernommen.
Hinweis
Es kann bis zu 24 Stunden dauern, bis die Richtlinie wirksam wird. Es wird nicht für Benutzer wirksam, die bereits von nicht verwalteten Geräten angemeldet sind.
Wichtig
Wenn Sie den Zugriff von nicht verwalteten Geräten blockieren oder einschränken, wird empfohlen, auch den Zugriff von Apps zu blockieren, die keine moderne Authentifizierung verwenden. Einige Apps und Versionen von Office von Drittanbietern vor Office 2013 verwenden keine moderne Authentifizierung und können keine gerätebasierten Einschränkungen erzwingen. Dies bedeutet, dass Benutzer richtlinien für bedingten Zugriff umgehen können, die Sie in Azure konfigurieren. Wählen Sie unter Zugriffssteuerung im neuen SharePoint Admin Centerdie Option Apps, die keine moderne Authentifizierung verwenden, zugriff blockieren und dann Speichern aus.
Beschränken des Zugriffs
Wechseln Sie im neuen SharePoint Admin Center zur Zugriffssteuerung, und melden Sie sich mit einem Konto an, das über Administratorberechtigungen für Ihre organization verfügt.
Hinweis
Wenn Sie Office 365 von 21Vianet (China) betrieben haben, melden Sie sich beim Microsoft 365 Admin Center an, navigieren Sie zum SharePoint Admin Center, wählen Sie Richtlinien aus, um sie zu erweitern, und wählen Sie dann Access Control aus.
Wählen Sie nicht verwaltete Geräteaus.
Wählen Sie Eingeschränkten Zugriff nur im Web zulassen und dann Speichern aus. (Beachten Sie, dass durch Auswahl dieser Option alle vorherigen Richtlinien für bedingten Zugriff deaktiviert werden, die Sie auf dieser Seite erstellt haben, und eine neue Richtlinie für bedingten Zugriff erstellt wird, die für alle Benutzer gilt. Alle Anpassungen, die Sie an vorherigen Richtlinien vorgenommen haben, werden nicht übernommen.)
Wenn Sie wieder vollzugriff zulassen rückgängig machen, kann es bis zu 24 Stunden dauern, bis die Änderungen wirksam werden.
Wichtig
Wenn Sie den Zugriff von nicht verwalteten Geräten blockieren oder einschränken, wird empfohlen, auch den Zugriff von Apps zu blockieren, die keine moderne Authentifizierung verwenden. Einige Apps und Versionen von Office von Drittanbietern vor Office 2013 verwenden keine moderne Authentifizierung und können keine gerätebasierten Einschränkungen erzwingen. Dies bedeutet, dass Benutzer richtlinien für bedingten Zugriff umgehen können, die Sie in Azure konfigurieren. Wählen Sie unter Zugriffssteuerung im neuen SharePoint Admin Centerdie Option Apps, die keine moderne Authentifizierung verwenden, zugriff blockieren und dann Speichern aus.
Hinweis
Wenn Sie den Zugriff auf eine Website einschränken und eine Website von einem nicht verwalteten Gerät aus bearbeiten, zeigen Bildwebparts keine Bilder an, die Sie in die Bibliothek der Websiteobjekte oder direkt in das Webpart hochladen. Um dieses Problem zu umgehen, können Sie diese SPList-API verwenden, um die Richtlinie zum Blockieren des Downloads in der Bibliothek der Websiteobjekte auszunehmen. Dadurch kann das Webpart Bilder aus der Bibliothek der Websiteobjekte herunterladen.
Wenn Access Control für nicht verwaltete Geräte in SharePoint auf Eingeschränkten, reinen Webzugriff zulassen festgelegt ist, können SharePoint-Dateien nicht heruntergeladen, aber in der Vorschau angezeigt werden. Die Vorschauversionen von Office-Dateien funktionieren in SharePoint, aber die Vorschauen funktionieren nicht in Microsoft Viva Engage.
Einschränken des Zugriffs mithilfe von PowerShell
Neueste Microsoft Office SharePoint Online-Verwaltungsshell herunterladen.
Hinweis
Wenn Sie eine frühere Version der SharePoint Online-Verwaltungsshell installiert haben, wechseln Sie zu Programme hinzufügen oder entfernen, und deinstallieren Sie "SharePoint Online-Verwaltungsshell".
Stellen Sie eine Verbindung mit SharePoint als SharePoint-Administrator in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.
Führen Sie den folgenden Befehl aus:
Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
Hinweis
Standardmäßig ermöglicht diese Richtlinie Benutzern das Anzeigen und Bearbeiten von Dateien in ihrem Webbrowser. Informationen dazu, wie Sie dies ändern, finden Sie unter Erweiterte Konfigurationen.
Blockieren oder Einschränken des Zugriffs auf eine bestimmte SharePoint-Website oder OneDrive
Führen Sie die folgenden Schritte aus, um den Zugriff auf bestimmte Websites zu blockieren oder einzuschränken. Wenn Sie die organization-wide-Richtlinie konfiguriert haben, muss die von Ihnen angegebene Einstellung auf Standortebene mindestens so restriktiv sein wie die Einstellung auf organization ebene.
Erstellen Sie manuell eine Richtlinie im Microsoft Entra Admin Center, indem Sie die Schritte unter Verwenden von App-erzwungenen Einschränkungen ausführen.
Legen Sie die Einstellung auf Websiteebene mithilfe von PowerShell oder einer Vertraulichkeitsbezeichnung fest:
Um PowerShell zu verwenden, fahren Sie mit dem nächsten Schritt fort.
Informationen zur Verwendung einer Vertraulichkeitsbezeichnung finden Sie in den folgenden Anweisungen, und geben Sie die Bezeichnungseinstellung für Den Zugriff von nicht verwalteten Geräten an: Verwenden Sie Vertraulichkeitsbezeichnungen zum Schützen von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites.
So verwenden Sie PowerShell: Laden Sie die neueste SharePoint Online-Verwaltungsshell herunter.
Hinweis
Wenn Sie eine frühere Version der Microsoft Office SharePoint Online-Verwaltungsshell installiert haben, gehen Sie zu Programme hinzufügen oder entfernen und deinstallieren Sie "SharePoint Online-Verwaltungsshell".
Stellen Sie eine Verbindung mit SharePoint als SharePoint-Administrator in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.
Führen Sie einen der folgenden Befehle aus.
So blockieren Sie den Zugriff auf eine einzelne Website:
Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess
So beschränken Sie den Zugriff auf eine einzelne Website:
Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess
Um mehrere Standorte gleichzeitig zu aktualisieren, verwenden Sie den folgenden Befehl als Beispiel:
Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Set-SPOSite -ConditionalAccessPolicy AllowLimitedAccess
In diesem Beispiel wird oneDrive für jeden Benutzer abgerufen und als Array an Set-SPOSite übergeben, um den Zugriff einzuschränken.
Hinweis
Standardmäßig ermöglicht eine Einstellung, die Webzugriff enthält, Benutzern das Anzeigen und Bearbeiten von Dateien in ihrem Webbrowser. Informationen dazu, wie Sie dies ändern, finden Sie unter Erweiterte Konfigurationen.
Erweiterte Konfigurationen
Die folgenden Parameter können mit -ConditionalAccessPolicy AllowLimitedAccess
sowohl für die einstellung organization als auch für die Einstellung auf Websiteebene verwendet werden:
-AllowEditing $false
Verhindert, dass Benutzer Office-Dateien im Browser bearbeiten.
-ReadOnlyForUnmanagedDevices $true
Sorgt dafür, dass die gesamte Website für die betroffenen Benutzer schreibgeschützt ist.
-LimitedAccessFileType OfficeOnlineFilesOnly
Ermöglicht Benutzern, nur eine Vorschau von Office-Dateien im Browser anzuzeigen. Diese Option erhöht zwar die Sicherheit, kann aber die Produktivität der Benutzer einschränken.
-LimitedAccessFileType WebPreviewableFiles
(Standard) Ermöglicht Benutzern die Vorschau von Office-Dateien im Browser. Diese Option optimiert die Benutzerproduktivität, bietet jedoch weniger Sicherheit für Dateien, die keine Office-Dateien sind.
Warnung: Diese Option verursacht bekanntermaßen Probleme mit PDF- und Bilddateitypen, da sie zum Rendern im Browser auf den Computer des Endbenutzers heruntergeladen werden müssen. Planen Sie die Verwendung dieser Kontrolle sorgfältig. Andernfalls könnten Ihre Benutzer mit unerwarteten „Zugriff verweigert“-Fehlern konfrontiert werden.
-LimitedAccessFileType OtherFiles
Ermöglicht Benutzern das Herunterladen von Dateien, die nicht in der Vorschau angezeigt werden können, z. B. .zip und .exe. Diese Option bietet weniger Sicherheit. Wenn dieser Modus aktiviert ist, kopieren Sie zum Herunterladen von Dateien wie .zip oder .exe einfach die URL der Datei, und fügen Sie sie in den Browser ein (Beispiel: https://contoso.sharepoint.com/:u:/r/sites/test/Shared%20Documents/test1.zip).
Der AllowDownlownloadingNonWebViewableFiles
Parameter wurde nicht mehr unterstützt. Verwenden Sie stattdessen LimitedAccessFileType.
Personen außerhalb des organization sind betroffen, wenn Sie Richtlinien für bedingten Zugriff verwenden, um den Zugriff von nicht verwalteten Geräten zu blockieren oder einzuschränken. Wenn Benutzer Elemente für bestimmte Personen freigegeben haben (die einen an ihre E-Mail-Adresse gesendeten Prüfcode eingeben müssen), können Sie sie von dieser Richtlinie ausschließen, indem Sie den folgenden Befehl ausführen.
Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false
Hinweis
"Jeder"-Links (freigabefähige Links, die keine Anmeldung erfordern) sind von diesen Richtlinien nicht betroffen. Personen, die über einen "Jeder"-Link zu einer Datei oder einem Ordner verfügen, können das Element herunterladen. Für alle Websites, auf denen Sie Richtlinien für bedingten Zugriff aktivieren, sollten Sie "Jeder"-Links deaktivieren.
App-Auswirkungen
Das Blockieren des Zugriffs und das Blockieren von Downloads kann sich auf die Benutzererfahrung in einigen Apps auswirken, einschließlich einiger Office-Apps. Es wird empfohlen, die Richtlinie für einige Benutzer zu aktivieren und die Erfahrung mit den apps zu testen, die in Ihrem organization verwendet werden. Überprüfen Sie in Office das Verhalten in Power Apps und Power Automate, wenn Ihre Richtlinie aktiviert ist.
Hinweis
Apps, die im Dienst nur im App-Modus ausgeführt werden, z. B. Antiviren-Apps und Suchcrawler, sind von der Richtlinie ausgenommen.
Wenn Sie klassische SharePoint-Websitevorlagen verwenden, werden Websitebilder möglicherweise nicht ordnungsgemäß gerendert. Dies liegt daran, dass die Richtlinie verhindert, dass die ursprünglichen Bilddateien in den Browser heruntergeladen werden.
Für neue Mandanten sind Apps, die nur ein ACS-App-Zugriffstoken verwenden, standardmäßig deaktiviert. Es wird empfohlen, das Microsoft Entra ID reines App-Modell zu verwenden, das modern und sicherer ist. Sie können das Verhalten jedoch ändern, indem Sie ausführen set-spotenant -DisableCustomAppAuthentication $false
(erfordert die neueste SharePoint-Administrator-PowerShell).
Benötigen Sie weitere Hilfe?
Siehe auch
Richtlinienempfehlungen zum Schützen von SharePoint-Websites und -Dateien
Steuern des Zugriffs auf SharePoint- und OneDrive-Daten basierend auf definierten Netzwerkstandorten