Suggerimenti per i criteri per la protezione di siti e file di SharePoint
Questo articolo descrive come implementare i criteri di identità e accesso ai dispositivi Zero Trust consigliati per proteggere SharePoint e OneDrive. Queste linee guida si basa sui criteri comuni di identità e accesso ai dispositivi.
Queste raccomandazioni si basano su tre livelli diversi di sicurezza e protezione che possono essere applicati in base alla granularità delle esigenze: punto di partenza, enterprisee sicurezza specializzata. Questi criteri vengono applicati in base alla granularità delle esigenze. Per ulteriori informazioni, vedere l'introduzione ai criteri di sicurezza consigliati e alle configurazioni consigliate .
Inoltre, è necessario configurare i siti di SharePoint con la giusta quantità di protezione, incluse le autorizzazioni appropriate per il contenuto di sicurezza aziendale e specializzato.
Aggiornamento dei criteri comuni per includere SharePoint e OneDrive
Per proteggere i file in SharePoint e OneDrive, il diagramma seguente illustra i criteri da aggiornare dai criteri comuni di accesso alle identità e ai dispositivi.
Se SharePoint è stato incluso nell'ambito dei criteri durante la configurazione, è sufficiente creare i nuovi criteri. Nei criteri di accesso condizionale SharePoint include OneDrive.
I nuovi criteri implementano la protezione dei dispositivi per il contenuto di sicurezza aziendale e specializzato applicando requisiti di accesso specifici ai siti di SharePoint specificati.
Nella tabella seguente sono elencati i criteri che è necessario aggiornare o creare per SharePoint. Ogni criterio è collegato alle istruzioni di configurazione associate in Criteri comuni di identità e accesso ai dispositivi.
| Livello di protezione | Criteri | Ulteriori informazioni |
|---|---|---|
| Punto di partenza | Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto | Includere SharePoint nell'assegnazione di app cloud. |
| Bloccare i client che non supportano l'autenticazione moderna | Includere SharePoint nell'assegnazione di app cloud. | |
| Applicare i criteri di protezione dei dati delle app | Assicurarsi che tutte le app consigliate siano incluse nell'elenco delle app. Assicurarsi di aggiornare i criteri per ogni piattaforma (iOS/iPadOS, Android e Windows). | |
| Usare le restrizioni applicate dall'app in SharePoint | Aggiungere questo nuovo criterio. Questa impostazione indica a Microsoft Entra ID di usare le impostazioni specificate in SharePoint. Questo criterio si applica a tutti gli utenti, ma influisce solo sull'accesso ai siti inclusi nei criteri di accesso di SharePoint. | |
| Funzionalità per le aziende | Richiedi autenticazione a più fattori quando il rischio di accesso è basso, medioo alto | Includere SharePoint nelle assegnazioni di app cloud. |
| Richiedere PC e dispositivi mobili conformi | Includere SharePoint nell'elenco delle app cloud. | |
| Criteri di controllo di accesso di SharePoint: consente l'accesso solo browser a siti di SharePoint specifici da dispositivi non gestiti. | Questo criterio impedisce la modifica e il download dei file. Usare PowerShell per specificare i siti. | |
| Sicurezza specializzata | Richiedere sempre l'autenticazione a più fattori | Includere SharePoint nell'assegnazione di app cloud. |
| Criteri di controllo di accesso di SharePoint: blocca l'accesso a siti di SharePoint specifici da dispositivi non gestiti. | Usare PowerShell per specificare i siti. |
Usare le restrizioni applicate dall'app in SharePoint
Se si implementano i controlli di accesso in SharePoint, i criteri di accesso condizionale vengono creati in Microsoft Entra ID che applicano i criteri configurati in SharePoint. Per impostazione predefinita, questo criterio si applica a tutti gli utenti, ma influisce solo sull'accesso ai siti specificati tramite PowerShell quando si creano i controlli di accesso in SharePoint. I criteri possono anche essere definiti come ambito per utenti, gruppi o siti specifici.
Per configurare questo criterio, vedere Bloccare o limitare l'accesso a un sito di SharePoint specifico o a OneDrive.
Criteri di controllo di accesso di SharePoint
È consigliabile usare i controlli di accesso dei dispositivi per proteggere il contenuto nei siti di SharePoint che contengono sicurezza aziendale e specializzata. Creare un criterio che specifica il livello di protezione e i siti che ricevono la protezione:
- Siti aziendali: consente l'accesso solo al browser. Questa impostazione impedisce agli utenti di scaricare, stampare o sincronizzare i file.
- Siti di sicurezza specializzati: blocca l'accesso da dispositivi non gestiti.
Per altre informazioni, vedere Bloccare o limitare l'accesso a un sito di SharePoint specifico o a OneDrive.
Come interagiscono questi criteri
È importante comprendere che le autorizzazioni del sito di SharePoint sono in genere basate sulla necessità aziendale di accedere ai siti. I proprietari del sito gestiscono queste autorizzazioni, che possono essere altamente dinamiche. L'uso dei criteri di accesso ai dispositivi di SharePoint garantisce la protezione per questi siti, indipendentemente dal fatto che gli utenti siano assegnati a un gruppo Microsoft Entra associato al punto di partenza, all'organizzazione o alla protezione della sicurezza specializzata.
La figura seguente fornisce un esempio di come i criteri di accesso ai dispositivi SharePoint proteggono l'accesso ai siti per un utente.
James ha dei criteri di accesso condizionale di base assegnati, ma può accedere ai siti di SharePoint con protezione aziendale o di sicurezza specializzata.
- James è membro di un sito con protezione aziendale o di sicurezza specializzata. Quando accede al sito usando il pc, viene concesso l'accesso.
- James è membro di un sito con protezione aziendale. Quando accede al sito usando il telefono non gestito, riceve l'accesso solo tramite browser a causa della politica di accesso ai dispositivi del sito.
- James è membro di un sito con protezione di sicurezza specializzata. Quando accede al sito usando il telefono non gestito, l'accesso viene bloccato a causa dei criteri di accesso al dispositivo del sito. Può accedere al sito solo usando il pc gestito.
Passaggio successivo
Configurare i criteri di accesso condizionale per: