Udostępnij za pośrednictwem

Zalecenia dotyczące zasad dotyczących zabezpieczania witryn i plików programu SharePoint

  • Artykuł

W tym artykule opisano sposób implementowania zalecanych zasad dostępu do tożsamości zerowej i urządzeń w celu ochrony programów SharePoint i OneDrive. Te wskazówki opierają się na typowych zasadach tożsamości i dostępu do urządzeń.

Te zalecenia są oparte na trzech różnych warstwach zabezpieczeń i ochrony, które można zastosować na podstawie szczegółowości Twoich potrzeb: warstwa początkowa, warstwa korporacyjnai wyspecjalizowana warstwa zabezpieczeń. Te zasady są stosowane w oparciu o stopień szczegółowości Twoich potrzeb. Aby uzyskać więcej informacji, zobacz wprowadzenie do zalecanych zasad zabezpieczeń i konfiguracji.

Ponadto należy skonfigurować witryny programu SharePoint z odpowiednią ilością ochrony, w tym odpowiednie uprawnienia dla zawartości zabezpieczeń dla przedsiębiorstw i wyspecjalizowanej zawartości zabezpieczeń.

Aktualizowanie typowych zasad w celu uwzględnienia programów SharePoint i OneDrive

Aby chronić pliki w programach SharePoint i OneDrive, na poniższym diagramie pokazano, które zasady mają być aktualizowane na podstawie typowych zasad dostępu do tożsamości i urządzeń.

Diagram przedstawiający podsumowanie aktualizacji zasad dotyczących ochrony dostępu do programu SharePoint

Jeśli program SharePoint został uwzględniony w zakresie zasad podczas ich konfigurowania, musisz utworzyć tylko nowe zasady. W zasadach dostępu warunkowego program SharePoint zawiera usługę OneDrive.

Nowe zasady implementują ochronę urządzeń dla przedsiębiorstw i wyspecjalizowanej zawartości zabezpieczeń, stosując określone wymagania dostępu do określonych witryn programu SharePoint.

W poniższej tabeli wymieniono zasady, które należy zaktualizować lub utworzyć dla programu SharePoint. Każda polityka zawiera linki do skojarzonych instrukcji konfiguracji w wspólne polityki tożsamości i dostępu do urządzeń.

Poziom ochrony Zasady Więcej informacji
Punkt początkowy Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie Uwzględnij program SharePoint w przypisaniu aplikacji w chmurze.
Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania Uwzględnij program SharePoint w przypisaniu aplikacji w chmurze.
Stosowanie zasad ochrony danych aplikacji Upewnij się, że wszystkie zalecane aplikacje znajdują się na liście aplikacji. Pamiętaj, aby zaktualizować zasady dla każdej platformy (iOS/iPadOS, Android i Windows).
Używanie ograniczeń wymuszonych przez aplikację w programie SharePoint Dodaj te nowe zasady. To ustawienie informuje Microsoft Entra ID o użyciu ustawień w programie SharePoint. Te zasady dotyczą wszystkich użytkowników, ale mają wpływ tylko na dostęp do witryn zawartych w zasadach dostępu programu SharePoint.
Przedsiębiorstwo Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest niskie, średnielub wysokie Dołącz program SharePoint do przypisań aplikacji w chmurze.
Wymaganie zgodnych komputerów i urządzeń przenośnych Uwzględnij program SharePoint na liście aplikacji w chmurze.
Zasady kontroli dostępu programu SharePoint: zezwalaj tylko na dostęp przeglądarki do określonych witryn programu SharePoint z urządzeń niezarządzanych. Te zasady uniemożliwiają edytowanie i pobieranie plików. Użyj programu PowerShell, aby określić witryny.
Wyspecjalizowane zabezpieczenia Zawsze wymagaj uwierzytelniania wieloskładnikowego Uwzględnij program SharePoint w przypisaniu aplikacji w chmurze.
Zasady kontroli dostępu programu SharePoint: blokuj dostęp do określonych witryn programu SharePoint z urządzeń niezarządzanych. Użyj programu PowerShell, aby określić witryny.

Używanie ograniczeń wymuszanych przez aplikację w programie SharePoint

W przypadku implementowania kontroli dostępu w programie SharePoint zasady dostępu warunkowego są tworzone w identyfikatorze Entra firmy Microsoft, które wymuszają zasady konfigurowane w programie SharePoint. Domyślnie te zasady dotyczą wszystkich użytkowników, ale mają wpływ tylko na dostęp do witryn, które są określone przy użyciu programu PowerShell podczas tworzenia kontroli dostępu w programie SharePoint. Zasady mogą być również ograniczone do określonych użytkowników, grup lub witryn.

Aby skonfigurować te zasady, zobacz Blokuj lub ograniczaj dostęp do określonej witryny programu SharePoint lub usługi OneDrive.

Zasady kontroli dostępu programu SharePoint

Zalecamy używanie mechanizmów kontroli dostępu do urządzeń w celu ochrony zawartości w witrynach programu SharePoint, które zawierają zabezpieczenia korporacyjne i specjalistyczne. Utwórz zasady określające poziom ochrony i lokacje, które otrzymują ochronę:

  • witryny korporacyjne: zezwalaj na dostęp wyłącznie przez przeglądarkę. To ustawienie uniemożliwia użytkownikom pobieranie, drukowanie lub synchronizowanie plików.
  • Specjalne strony zabezpieczeń: blokuj dostęp z urządzeń niezarządzanych.

Aby uzyskać więcej informacji, zobacz Blokowanie lub ograniczanie dostępu do określonej witryny programu SharePoint lub usługi OneDrive.

Jak te zasady współpracują ze sobą

Ważne jest, aby zrozumieć, że uprawnienia witryny programu SharePoint są zwykle oparte na potrzebie biznesowej dostępu do witryn. Właściciele witryn zarządzają tymi uprawnieniami, co może być wysoce dynamiczne. Korzystanie z zasad dostępu urządzeń programu SharePoint zapewnia ochronę tych witryn niezależnie od tego, czy użytkownicy są przypisani do grupy firmy Microsoft Entra skojarzonej z punktem wyjścia, przedsiębiorstwem lub wyspecjalizowaną ochroną zabezpieczeń.

Poniższa ilustracja przedstawia przykład sposobu, w jaki zasady dostępu urządzeń programu SharePoint chronią dostęp do witryn dla użytkownika.

Diagram przedstawiający przykład sposobu ochrony witryn przez zasady dostępu urządzeń programu SharePoint.

James ma przypisane bazowe zasady dostępu warunkowego, ale może uzyskać dostęp do witryn programu SharePoint z ochroną zabezpieczeń na poziomie przedsiębiorstwa lub specjalistyczną.

  • James jest członkiem witryny z ochroną bezpieczeństwa klasy korporacyjnej lub specjalistycznej. Gdy uzyskuje dostęp do witryny przy użyciu swojego komputera, dostęp zostaje udzielony.
  • James jest użytkownikiem witryny z zabezpieczeniami klasy korporacyjnej. Gdy uzyskuje dostęp do witryny przy użyciu niezarządzanych telefonów, otrzymuje dostęp tylko do przeglądarki ze względu na zasady dostępu do urządzeń witryny.
  • James jest członkiem witryny z wyspecjalizowaną ochroną. Gdy uzyskuje dostęp do witryny przy użyciu swojego niezarządzanego telefonu, dostęp jest blokowany z powodu polityki dostępu do urządzeń na witrynie. Dostęp do witryny można uzyskać tylko przy użyciu zarządzanego komputera.

Następny krok

Zrzut ekranu przedstawiający krok 4 — zasady dla aplikacji w chmurze platformy Microsoft 365.

Skonfiguruj zasady dostępu warunkowego dla: