Поделиться через

Рекомендации по политике для защиты сайтов и файлов SharePoint

  • Статья

В этой статье описывается, как реализовать рекомендуемые политики удостоверений и доступа к устройствам для защиты SharePoint и OneDrive. Это руководство основывается на общих политиках доступа к удостоверениям и устройствам.

Эти рекомендации основаны на трех различных уровнях безопасности и защиты, которые можно применить на основе детализации ваших потребностей: уровень начальной точки, корпоративный уровеньи уровень специализированной безопасности. Эти политики применяются на основе детализации ваших потребностей. Дополнительные сведения см. в рекомендуемых политик безопасности и конфигураций.

Кроме того, необходимо настроить сайты SharePoint с правильным объемом защиты, включая соответствующие разрешения для корпоративного и специализированного содержимого безопасности.

Обновление распространенных политик для включения SharePoint и OneDrive

Чтобы защитить файлы в SharePoint и OneDrive, на следующей схеме показано, какие политики следует обновить из общих политик доступа к удостоверениям и устройствам.

Схема с сводной информацией об обновлениях политики для защиты доступа к SharePoint

Если вы включили SharePoint в область действия политик при их настройке, необходимо создать только новые политики. В политиках условного доступа SharePoint включает OneDrive.

Новые политики реализуют защиту устройств для корпоративного и специализированного содержимого безопасности, применяя определенные требования к доступу к указанным сайтам SharePoint.

В следующей таблице перечислены политики, которые необходимо обновить или создать для SharePoint. Каждая политика безопасности содержит ссылку на соответствующие инструкции по настройке в Общих политиках удостоверений и доступа к устройствам.

Уровень защиты Политики Дополнительные сведения
Начальная точка Требовать многофакторную проверку подлинности, если риск входа является средним или высоким Включите SharePoint в назначение облачных приложений.
Блокировать клиенты, не поддерживающие современную проверку подлинности Включите SharePoint в назначение облачных приложений.
Применение политик защиты данных APP Убедитесь, что все рекомендуемые приложения включены в список приложений. Обязательно обновите политику для каждой платформы (iOS/iPadOS, Android и Windows).
Использование примененных приложений ограничений в SharePoint Добавьте эту новую политику. Этот параметр сообщает идентификатору Microsoft Entra использовать параметры, указанные в SharePoint. Эта политика применяется ко всем пользователям, но влияет только на доступ к сайтам, включенным в политики доступа SharePoint.
Функции корпоративного уровня Требовать многофакторную проверку подлинности, если риск входа низкий, среднийили высокий Включите SharePoint в назначения облачных приложений.
Требовать совместимые компьютеры и мобильные устройства Включите SharePoint в список облачных приложений.
Политика управления доступом SharePoint. Разрешить доступ только в браузере к определенным сайтам SharePoint с неуправляемых устройств. Эта политика предотвращает редактирование и скачивание файлов. Используйте PowerShell для указания сайтов.
Специализированная безопасность Всегда требуется многофакторная проверка подлинности Включите SharePoint в назначение облачных приложений.
Политика управления доступом SharePoint: блокировка доступа к определенным сайтам SharePoint с неуправляемых устройств. Используйте PowerShell для указания сайтов.

Использование ограничений, примененных к приложению, в SharePoint

При реализации элементов управления доступом в SharePoint политики условного доступа создаются в идентификаторе Microsoft Entra, которые применяют политики, настроенные в SharePoint. По умолчанию эта политика применяется ко всем пользователям, но влияет только на доступ к сайтам, указанным при создании элементов управления доступом в SharePoint. Политика также может быть ограничена определенными пользователями, группами или сайтами.

Сведения о настройке этой политики см. в разделе Блокировать или ограничить доступ к конкретному сайту SharePoint или OneDrive.

Политики управления доступом SharePoint

Мы рекомендуем использовать элементы управления доступом устройств для защиты содержимого на сайтах SharePoint, содержащих корпоративную и специализированную безопасность. Создайте политику, указывающую уровень защиты и сайты, получающие защиту:

  • корпоративные сайты: разрешить доступ только в браузере. Этот параметр запрещает пользователям скачивание, печать или синхронизацию файлов.
  • специализированные сайты безопасности: блокировка доступа с неуправляемых устройств.

Дополнительные сведения см. в разделе Блокировать или ограничить доступ к конкретному сайту SharePoint или OneDrive.

Как эти политики работают вместе

Важно понимать, что разрешения сайта SharePoint обычно основаны на бизнес-потребности в доступе к сайтам. Владельцы сайтов управляют этими разрешениями, что может быть очень динамическим. Использование политик доступа к устройствам SharePoint обеспечивает защиту этих сайтов независимо от того, назначены ли пользователи группе Microsoft Entra, связанной с начальной точкой, предприятием или специализированной защитой безопасности.

На следующем рисунке приведен пример того, как политики доступа к устройствам SharePoint защищают доступ к сайтам для пользователя.

Схема, демонстрирующая, как политики доступа к устройствам SharePoint защищают сайты.

У Джеймса назначены базовые политики условного доступа, но он может получить доступ к сайтам SharePoint с корпоративной или специализированной защитой системы безопасности.

  • Джеймс является членом сайта с корпоративной или специализированной защитой безопасности. Когда он обращается к сайту с помощью своего компьютера, доступ предоставляется.
  • Джеймс является пользователем сайта с корпоративной защитой. Когда он обращается к сайту с помощью неуправляемого телефона, он получает доступ только в браузере из-за политики доступа к устройству сайта.
  • Джеймс является членом сайта с специализированной защитой безопасности. Когда он обращается к сайту с помощью его неуправляемого телефона, доступ блокируется из-за политики доступа к устройству сайта. Он может получить доступ только к сайту с помощью управляемого компьютера.

Следующий шаг

Снимок экрана: шаг 4. Политики для облачных приложений Microsoft 365.

Настройка политик условного доступа для следующих условий: