Рекомендации по политике для защиты сайтов и файлов SharePoint
В этой статье описывается, как реализовать рекомендуемые политики удостоверений и доступа к устройствам для защиты SharePoint и OneDrive. Это руководство основывается на общих политиках доступа к удостоверениям и устройствам.
Эти рекомендации основаны на трех различных уровнях безопасности и защиты файлов SharePoint, которые могут применяться на основе детализации ваших потребностей: начальной точки, предприятия и специализированной безопасности. Дополнительные сведения об этих уровнях безопасности и рекомендуемых клиентских операционных системах, на которые ссылаются эти рекомендации, см. в обзоре.
Помимо реализации этого руководства, обязательно настройте сайты SharePoint с правильным объемом защиты, включая настройку соответствующих разрешений для корпоративного и специализированного содержимого безопасности.
Обновление распространенных политик для включения SharePoint и OneDrive
Чтобы защитить файлы в SharePoint и OneDrive, на следующей схеме показано, какие политики следует обновить из общих политик доступа к удостоверениям и устройствам.
Если вы включили SharePoint при создании общих политик, необходимо создать только новые политики. Для политик условного доступа SharePoint включает OneDrive.
Новые политики реализуют защиту устройств для корпоративного и специализированного содержимого безопасности, применяя определенные требования к доступу к указанным сайтам SharePoint.
В следующей таблице перечислены политики, которые необходимо просмотреть и обновить или создать для SharePoint. Общие политики ссылались на связанные инструкции по настройке в статье "Общие политики идентификации и доступа к устройствам".
Уровень защиты | Политики | Дополнительные сведения |
---|---|---|
Начальная точка | Требовать многофакторную проверку подлинности, если риск входа является средним или высоким | Включите SharePoint в назначение облачных приложений. |
Блокировать клиенты, не поддерживающие современную проверку подлинности | Включите SharePoint в назначение облачных приложений. | |
Применение политик защиты данных APP | Убедитесь, что все рекомендуемые приложения включены в список приложений. Обязательно обновите политику для каждой платформы (iOS, Android, Windows). | |
Использование примененных приложений ограничений в SharePoint | Добавьте эту новую политику. Это сообщает идентификатору Microsoft Entra использовать параметры, указанные в SharePoint. Эта политика применяется ко всем пользователям, но влияет только на доступ к сайтам, включенным в политики доступа SharePoint. | |
Функции корпоративного уровня | Требовать многофакторную проверку подлинности, если риск входа низкий, средний или высокий | Включите SharePoint в назначения облачных приложений. |
Требовать совместимые компьютеры и мобильные устройства | Включите SharePoint в список облачных приложений. | |
Политика управления доступом SharePoint. Разрешить доступ только в браузере к определенным сайтам SharePoint с неуправляемых устройств. | Это предотвращает редактирование и скачивание файлов. Используйте PowerShell для указания сайтов. | |
Специализированная безопасность | Всегда требуется многофакторная проверка подлинности | Включите SharePoint в назначение облачных приложений. |
Политика управления доступом SharePoint: блокировка доступа к определенным сайтам SharePoint с неуправляемых устройств. | Используйте PowerShell для указания сайтов. |
Использование ограничений, примененных к приложению, в SharePoint
Если вы реализуете элементы управления доступом в SharePoint, политики условного доступа создаются в идентификаторе Microsoft Entra, чтобы сообщить идентификатору Microsoft Entra, чтобы применить политики, настроенные в SharePoint. По умолчанию эта политика применяется ко всем пользователям, но влияет только на доступ к сайтам, указанным при создании элементов управления доступом в SharePoint. Политика также может быть ограничена определенными пользователями, группами или сайтами.
Сведения о настройке этой политики см. в разделе "Блокировка или ограничение доступа к определенным семействам веб-сайтов SharePoint или учетным записям OneDrive" в разделе "Управление доступом с неуправляемых устройств".
Политики управления доступом SharePoint
Корпорация Майкрософт рекомендует защитить содержимое на сайтах SharePoint с корпоративным и специализированным содержимым безопасности с помощью элементов управления доступом устройств. Для этого создайте политику, указывающую уровень защиты и сайты для применения защиты.
- Корпоративные сайты: разрешить доступ только в браузере. Это предотвращает загрузку, печать или синхронизацию файлов пользователями.
- Специализированные сайты безопасности: блокировка доступа с неуправляемых устройств.
См. раздел "Блокировать или ограничить доступ к определенным семействам веб-сайтов SharePoint или учетным записям OneDrive" в разделе "Контроль доступа с неуправляемых устройств".
Как эти политики работают вместе
Важно понимать, что разрешения сайта SharePoint обычно основаны на бизнес-потребности в доступе к сайтам. Эти разрешения управляются владельцами сайтов и могут быть очень динамическими. Использование политик доступа к устройствам SharePoint обеспечивает защиту этих сайтов независимо от того, назначены ли пользователи группе Microsoft Entra, связанной с начальной точкой, предприятием или специализированной защитой безопасности.
На следующем рисунке приведен пример того, как политики доступа к устройствам SharePoint защищают доступ к сайтам для пользователя.
Джеймс имеет назначенные политики условного доступа, но он может быть предоставлен доступ к сайтам SharePoint с корпоративной или специализированной защитой безопасности.
- Если Джеймс обращается к сайту, он является членом корпоративной или специализированной защиты безопасности с помощью своего компьютера, его доступ предоставляется.
- Если Джеймс обращается к сайту защиты предприятия, он является членом его неуправляемого телефона, который разрешен для пользователей начальной точки, он получит доступ только для браузера к корпоративному сайту из-за политики доступа устройств, настроенной для этого сайта.
- Если Джеймс обращается к специализированным сайту безопасности, он является членом использования его неуправляемого телефона, он будет заблокирован из-за политики доступа, настроенной для этого сайта. Он может получить доступ только к этому сайту с помощью управляемого компьютера.
Следующий шаг
Настройка политик условного доступа для следующих условий: