Recomendações de política para proteger sites e arquivos do SharePoint
Este artigo descreve como implementar as políticas recomendadas de identidade e acesso a dispositivos Zero Trust para proteger o SharePoint e o OneDrive. Estas orientações baseiam-se nas políticas comuns de identidade e acesso a dispositivos.
Essas recomendações são baseadas em três níveis diferentes de segurança e proteção para arquivos do SharePoint que podem ser aplicados com base na granularidade de suas necessidades: ponto de partida, segurança empresarial e especializada. Você pode saber mais sobre essas camadas de segurança e os sistemas operacionais cliente recomendados, referenciados por essas recomendações na visão geral.
Além de implementar essas diretrizes, certifique-se de configurar sites do SharePoint com a quantidade certa de proteção, incluindo a definição de permissões apropriadas para conteúdo de segurança corporativo e especializado.
Atualização de políticas comuns para incluir o SharePoint e o OneDrive
Para proteger arquivos no SharePoint e no OneDrive, o diagrama a seguir ilustra quais políticas devem ser atualizadas a partir das políticas comuns de identidade e acesso a dispositivos.
Se você incluiu o SharePoint quando criou as políticas comuns, só precisará criar as novas políticas. Para políticas de Acesso Condicional, o SharePoint inclui o OneDrive.
As novas políticas implementam a proteção de dispositivo para conteúdo de segurança empresarial e especializado aplicando requisitos de acesso específicos aos sites do SharePoint que você especificar.
A tabela a seguir lista as políticas que você precisa revisar e atualizar ou criar novas para o SharePoint. As políticas comuns estão vinculadas às instruções de configuração associadas no artigo Common identity and device access policies .
| Nível de proteção | Políticas | Mais informações |
|---|---|---|
| Ponto de partida | Exigir MFA quando o risco de entrada for médio ou alto | Inclua o SharePoint na atribuição de aplicativos na nuvem. |
| Bloquear clientes que não suportam autenticação moderna | Inclua o SharePoint na atribuição de aplicativos na nuvem. | |
| Aplicar políticas de proteção de dados da APP | Certifique-se de que todas as aplicações recomendadas estão incluídas na lista de aplicações. Certifique-se de atualizar a política para cada plataforma (iOS, Android, Windows). | |
| Usar restrições impostas por aplicativos no SharePoint | Adicione esta nova política. Isso informa ao Microsoft Entra ID para usar as configurações especificadas no SharePoint. Esta política aplica-se a todos os utilizadores, mas afeta apenas o acesso a sites incluídos nas políticas de acesso do SharePoint. | |
| Enterprise | Exigir MFA quando o risco de entrada for baixo, médio ou alto | Inclua o SharePoint nas atribuições de aplicativos na nuvem. |
| Requer PCs e dispositivos móveis compatíveis | Inclua o SharePoint na lista de aplicativos na nuvem. | |
| Política de controle de acesso do SharePoint: permite acesso somente do navegador a sites específicos do SharePoint a partir de dispositivos não gerenciados. | Isso impede a edição e o download de arquivos. Use o PowerShell para especificar sites. | |
| Segurança especializada | Exigir sempre MFA | Inclua o SharePoint na atribuição de aplicativos na nuvem. |
| Política de controle de acesso do SharePoint: bloqueie o acesso a sites específicos do SharePoint a partir de dispositivos não gerenciados. | Use o PowerShell para especificar sites. |
Usar restrições impostas por aplicativos no SharePoint
Se você implementar controles de acesso no SharePoint, as políticas de Acesso Condicional serão criadas na ID do Microsoft Entra para informar a ID do Microsoft Entra para impor as políticas configuradas no SharePoint. Por padrão, essa política se aplica a todos os usuários, mas afeta apenas o acesso aos sites especificados usando o PowerShell quando você cria os controles de acesso no SharePoint. A política também pode ter escopo para usuários, grupos ou sites específicos.
Para configurar essa política, consulte "Bloquear ou limitar o acesso a conjuntos de sites específicos do SharePoint ou contas do OneDrive" em Controlar o acesso de dispositivos não gerenciados.
Políticas de controle de acesso do SharePoint
A Microsoft recomenda que você proteja o conteúdo em sites do SharePoint com conteúdo de segurança empresarial e especializado com controles de acesso de dispositivo. Para fazer isso, crie uma política que especifique o nível de proteção e os sites aos quais aplicar a proteção.
- Sites corporativos: permitem acesso somente ao navegador. Isso impede que os usuários baixem, imprimam ou sincronizem arquivos.
- Sites de segurança especializados: bloqueie o acesso de dispositivos não gerenciados.
Consulte "Bloquear ou limitar o acesso a conjuntos de sites específicos do SharePoint ou contas do OneDrive" em Controlar o acesso a partir de dispositivos não geridos.
Como funcionam estas políticas em conjunto
É importante entender que as permissões de site do SharePoint geralmente são baseadas na necessidade comercial de acesso a sites. Essas permissões são gerenciadas por proprietários de sites e podem ser altamente dinâmicas. O uso de políticas de acesso a dispositivos do SharePoint garante proteção a esses sites, independentemente de os usuários estarem atribuídos a um grupo do Microsoft Entra associado ao ponto de partida, à proteção corporativa ou à segurança especializada.
A ilustração a seguir fornece um exemplo de como as políticas de acesso a dispositivos do SharePoint protegem o acesso a sites para um usuário.
James tem políticas de Acesso Condicional de ponto de partida atribuídas, mas ele pode ter acesso a sites do SharePoint com proteção de segurança corporativa ou especializada.
- Se James acessar um site do qual ele é membro com proteção de segurança empresarial ou especializada usando seu PC, seu acesso é concedido.
- Se James acessar um site de proteção empresarial do qual ele é membro usando seu telefone não gerenciado, o que é permitido para usuários de ponto de partida, ele receberá acesso somente do navegador ao site corporativo devido à política de acesso ao dispositivo configurada para este site.
- Se James acessar um site de segurança especializado do qual ele é membro usando seu telefone não gerenciado, ele será bloqueado devido à política de acesso configurada para este site. Ele só pode acessar este site usando seu PC gerenciado.
Próximo passo
Configure políticas de Acesso Condicional para: