Compartilhar via


Recomendações de política para proteger sites e arquivos do SharePoint

Esse artigo descreve como implementar as políticas de acesso de dispositivo e identidade de Confiança Zero recomendadas para proteger o SharePoint e o OneDrive. Essas diretrizes se baseiam nas políticas comuns de acesso a identidades e dispositivos.

Essas recomendações são baseadas em três níveis diferentes de segurança e proteção para o SharePoint que podem ser aplicados com base na granularidade das suas necessidades: ponto de partida, empresa e segurança especializada. Você pode saber mais sobre essas camadas de segurança e os sistemas operacionais cliente recomendados, referenciados por essas recomendações na visão geral.

Além de implementar essas diretrizes, configure sites do SharePoint com a quantidade certa de proteção, incluindo a configuração de permissões apropriadas para conteúdo de segurança corporativo e especializado.

Atualizando políticas comuns para incluir o SharePoint e o OneDrive

Para proteger arquivos no SharePoint e no OneDrive, o diagrama a seguir ilustra quais políticas atualizar das políticas comuns de acesso de identidade e dispositivo.

Diagrama que mostra o resumo das atualizações de política para proteger o acesso ao SharePoint

Se você incluiu o SharePoint ao criar as políticas comuns, só precisará criar as novas políticas. Para políticas de Acesso Condicional, o SharePoint inclui o OneDrive.

As novas políticas implementam a proteção do dispositivo para conteúdo de segurança corporativo e especializado aplicando requisitos de acesso específicos aos sites do SharePoint que você especificar.

A tabela a seguir lista as políticas necessárias para examinar e atualizar ou criar para o SharePoint. O link de políticas comuns para as instruções de configuração associadas no artigo Políticas comuns de acesso de identidade e dispositivo.

Nível de proteção Políticas Mais informações
Ponto inicial Exigir MFA quando o risco de iniciar sessão é médio ou alto Inclua o SharePoint na atribuição de aplicativos de nuvem.
Bloquear clientes que não dão suporte à autenticação moderna Inclua o SharePoint na atribuição de aplicativos de nuvem.
Aplicar políticas de proteção de dados de aplicativo Verifique se todos os aplicativos recomendados estão incluídos na lista de aplicativos. Atualize a política para cada plataforma (iOS, Android, Windows).
Usar restrições impostas pelo aplicativo no SharePoint Adicione essa nova política. Isso informa ao Microsoft Entra ID para usar as configurações especificadas no SharePoint. Essa política se aplica a todos os usuários, mas afeta apenas o acesso a sites incluídos nas políticas de acesso do SharePoint.
Empresa Exigir MFA quando o risco de iniciar sessão for baixo, médio ou alto Inclua o SharePoint nas atribuições de aplicativos de nuvem.
Exigir computadores e dispositivos móveis em conformidade Inclua o SharePoint na lista de aplicativos de nuvem.
Política de controle de acesso do SharePoint: permitir o acesso somente ao navegador a sites específicos do SharePoint de dispositivos não gerenciados. Isso impede a edição e o download de arquivos. Use o PowerShell para especificar sites.
Segurança especializada Exigir a MFA sempre Inclua o SharePoint na atribuição de aplicativos de nuvem.
Política de controle de acesso do SharePoint: bloquear o acesso a sites específicos do SharePoint de dispositivos não gerenciados. Use o PowerShell para especificar sites.

Use restrições impostas pelo aplicativo no SharePoint

Se você implementar controles de acesso no SharePoint, as políticas de Acesso Condicional serão criadas no Microsoft Entra ID para que ele imponha as políticas configuradas no SharePoint. Por padrão, essa política se aplica a todos os usuários, mas afeta apenas o acesso aos sites especificados usando o PowerShell quando você cria os controles de acesso no SharePoint. A política também pode ser definida para usuários, grupos ou sites específicos.

Para configurar essa política, consulte "Bloquear ou limitar o acesso a conjuntos de sites específicos do SharePoint ou contas do OneDrive" no Controle de acesso de dispositivos não gerenciados.

Políticas de controle de acesso do SharePoint

A Microsoft recomenda que você proteja o conteúdo em sites do SharePoint com conteúdo de segurança corporativo e especializado com controles de acesso ao dispositivo. Você faz isso criando uma política que especifica o nível de proteção e os sites aos quais aplicar a proteção.

  • Sites empresariais: permitir o acesso somente ao navegador. Isso impede que os usuários baixem, imprimam ou sincronizem arquivos.
  • Sites de segurança especializados: bloquear o acesso de dispositivos não gerenciados.

Consulte "Bloquear ou limitar o acesso a conjuntos de sites específicos do SharePoint ou contas do OneDrive" no Controle de acesso de dispositivos não gerenciados.

Como essas políticas funcionam em conjunto

É importante entender que as permissões de site do SharePoint normalmente são baseadas na necessidade de acesso de negócios aos sites. Essas permissões são gerenciadas por proprietários de site e podem ser altamente dinâmicas. O uso de políticas de acesso a dispositivos do SharePoint garante a proteção a esses sites, independentemente de os usuários serem atribuídos a um grupo do Microsoft Entra associado ao ponto de partida, à empresa ou à proteção de segurança especializada.

A ilustração a seguir fornece um exemplo de como as políticas de acesso ao dispositivo do SharePoint protegem o acesso a sites para um usuário.

Diagrama que mostra um exemplo de como as políticas de acesso ao dispositivo do SharePoint protegem sites.

James tem políticas de Acesso Condicional de ponto de partida atribuídas, mas ele pode ter acesso a sites do SharePoint com proteção de segurança corporativa ou especializada.

  • Se James acessar um site do qual ele é membro da proteção de segurança corporativa ou especializada usando seu computador, seu acesso será concedido.
  • Se James acessar um site de proteção empresarial do qual ele é membro do uso de seu telefone não gerenciado, que é permitido para usuários do ponto de partida, ele receberá acesso somente ao site corporativo devido à política de acesso ao dispositivo configurada para esse site.
  • Se James acessar um site de segurança especializado do qual é membro usando seu telefone não gerenciado, ele será bloqueado devido à política de acesso configurada para esse site. Ele só pode acessar esse site usando seu computador gerenciado.

Próxima etapa

Captura de tela da Etapa 4 – Políticas para aplicativos de nuvem do Microsoft 365.

Configurar políticas de Acesso Condicional para: