Beleidsaanaanveling voor het beveiligen van SharePoint-sites en -bestanden
In dit artikel wordt beschreven hoe u het aanbevolen beleid voor Zero Trust-identiteit en apparaattoegang implementeert om SharePoint en OneDrive te beveiligen. Deze richtlijnen zijn gebaseerd op het algemene beleid voor identiteiten en apparaattoegang.
Deze aanbevelingen zijn gebaseerd op drie verschillende beveiligings- en beveiligingslagen die kunnen worden toegepast op basis van de granulariteit van uw behoeften: startpunt, enterprise-en gespecialiseerde beveiliging. U past dit beleid toe op basis van de granulariteit van uw behoeften. Zie voor meer informatie de inleiding van de aanbevolen beveiligingsbeleid en configuraties.
Daarnaast moet u SharePoint-sites configureren met de juiste mate van beveiliging, inclusief de juiste machtigingen voor bedrijfs- en gespecialiseerde beveiligingsinhoud.
Algemene beleidsregels bijwerken om SharePoint en OneDrive op te nemen
Als u bestanden in SharePoint en OneDrive wilt beveiligen, ziet u in het volgende diagram welke beleidsregels moeten worden bijgewerkt van het algemene beleid voor identiteits- en apparaattoegang.
Als u SharePoint hebt opgenomen in het bereik van het beleid wanneer u ze instelt, hoeft u alleen het nieuwe beleid te maken. In het beleid voor voorwaardelijke toegang bevat SharePoint OneDrive.
Het nieuwe beleid implementeert apparaatbeveiliging voor bedrijfs- en gespecialiseerde beveiligingsinhoud door specifieke toegangsvereisten toe te passen op de opgegeven SharePoint-sites.
De volgende tabel bevat de beleidsregels die u moet bijwerken of maken voor SharePoint. Elk beleid wordt gekoppeld aan de bijbehorende configuratie-instructies in Algemene beleidsregels voor identiteit en apparaattoegang.
| Beveiligingsniveau | Beleid | Meer informatie |
|---|---|---|
| Beginpunt | MFA vereisen wanneer het aanmeldingsrisico gemiddeld of hoog is | SharePoint opnemen in de toewijzing van cloud-apps. |
| Clients blokkeren die geen ondersteuning bieden voor moderne verificatie | SharePoint opnemen in de toewijzing van cloud-apps. | |
| Beleid voor app-gegevensbeveiliging toepassen | Zorg ervoor dat alle aanbevolen apps zijn opgenomen in de lijst met apps. Zorg ervoor dat u het beleid voor elk platform bijwerkt (iOS/iPadOS, Android en Windows). | |
| Afgedwongen beperkingen voor apps gebruiken in SharePoint | Voeg dit nieuwe beleid toe. Met deze instelling wordt aan Microsoft Entra-id doorgegeven dat de instellingen moeten worden gebruikt die zijn opgegeven in SharePoint. Dit beleid is van toepassing op alle gebruikers, maar is alleen van invloed op de toegang tot sites die zijn opgenomen in sharePoint-toegangsbeleid. | |
| Enterprise | MFA vereisen wanneer het aanmeldrisico laag, gemiddeld, of hoogis | SharePoint opnemen in de toewijzingen van cloud-apps. |
| Compatibele pc's en mobiele apparaten vereisen | SharePoint opnemen in de lijst met cloud-apps. | |
| SharePoint-toegangsbeheerbeleid: alleen toegang via de browser tot specifieke SharePoint-sites vanaf niet-beheerde apparaten toestaan. | Dit beleid voorkomt het bewerken en downloaden van bestanden. Gebruik PowerShell om sites op te geven. | |
| Gespecialiseerde beveiliging | MFA altijd vereisen | SharePoint opnemen in de toewijzing van cloud-apps. |
| SharePoint-toegangsbeheerbeleid: toegang tot specifieke SharePoint-sites blokkeren vanaf niet-beheerde apparaten. | Gebruik PowerShell om sites op te geven. |
Door apps afgedwongen beperkingen gebruiken in SharePoint
Als u toegangsbeheer implementeert in SharePoint, worden beleidsregels voor voorwaardelijke toegang gemaakt in Microsoft Entra-id die het beleid afdwingen dat u configureert in SharePoint. Dit beleid is standaard van toepassing op alle gebruikers, maar heeft alleen invloed op de toegang tot de sites die u opgeeft met Behulp van PowerShell wanneer u de toegangsbeheer in SharePoint maakt. Het beleid kan ook worden afgestemd op specifieke gebruikers, groepen of sites.
Zie De toegang tot een specifieke SharePoint-site of OneDrive-blokkeren of beperken om dit beleid te configureren.
SharePoint-beleid voor toegangsbeheer
Het is raadzaam om besturingselementen voor apparaattoegang te gebruiken om inhoud op SharePoint-sites te beveiligen die bedrijfs- en gespecialiseerde beveiliging bevatten. Maak een beleid dat het beveiligingsniveau en de sites opgeeft die de beveiliging ontvangen:
- Enterprise-sites: alleen toegang tot browsers toestaan. Met deze instelling voorkomt u dat gebruikers bestanden downloaden, afdrukken of synchroniseren.
- Gespecialiseerde beveiligingssites: Toegang vanaf niet-beheerde apparaten blokkeren.
Zie Toegang tot een specifieke SharePoint-site of OneDrive-blokkeren of beperken voor meer informatie.
Hoe deze beleidsregels samenwerken
Het is belangrijk om te weten dat SharePoint-sitemachtigingen doorgaans zijn gebaseerd op zakelijke toegang tot sites. Site-eigenaren beheren deze machtigingen, die zeer dynamisch kunnen zijn. Het gebruik van sharePoint-beleid voor apparaattoegang zorgt voor beveiliging voor deze sites, ongeacht of gebruikers zijn toegewezen aan een Microsoft Entra-groep die is gekoppeld aan het beginpunt, de onderneming of gespecialiseerde beveiliging.
In de volgende afbeelding ziet u een voorbeeld van hoe het toegangsbeleid voor SharePoint-apparaten de toegang tot sites voor een gebruiker beveiligt.
James heeft een uitgangspunt waarbij hij beleid voor voorwaardelijke toegang toegewezen krijgt, maar hij kan toch toegang krijgen tot SharePoint-sites met enterprise- of gespecialiseerde beveiliging.
- James is lid van een site met bedrijfs- of gespecialiseerde beveiliging. Wanneer hij toegang heeft tot de site met zijn pc, wordt toegang verleend.
- James is lid van een site met bedrijfsbeveiliging. Wanneer hij toegang heeft tot de site via zijn onbeheerde telefoon, ontvangt hij alleen toegang via de browser vanwege het toegangsbeleid voor apparaten van de site.
- James is lid van een site met gespecialiseerde beveiliging. Wanneer hij toegang heeft tot de site via zijn onbeheerde telefoon, wordt de toegang geblokkeerd vanwege het toegangsbeleid voor apparaten van de site. Hij heeft alleen toegang tot de site met zijn beheerde pc.
Volgende stap
Beleid voor voorwaardelijke toegang configureren voor: