Поделиться через

Политика условного доступа для сайтов SharePoint и OneDrive

  • Статья

Для некоторых функций, приведенных в этой статье, требуется microsoft SharePoint премиум — Расширенное управление SharePoint

С помощью Microsoft Entra контексте проверки подлинности можно применять более строгие условия доступа при доступе пользователей к сайтам SharePoint.

Контексты проверки подлинности можно использовать для подключения политики условного доступа Microsoft Entra к сайту SharePoint. Политики можно применять непосредственно к сайту или с помощью метки конфиденциальности.

Эту возможность нельзя применить к корневому сайту в SharePoint (например, https://contoso.sharepoint.com).

Требования

Для использования контекста проверки подлинности с сайтами SharePoint требуется одна из следующих лицензий:

  • Microsoft SharePoint премиум — расширенное управление SharePoint
  • Microsoft 365 E5/A5/G5
  • Соответствие требованиям Microsoft 365 E5 или A5
  • Защита информации и управление данными в Microsoft 365 E5
  • Office 365 E5/A5/G5

Ограничения

Некоторые приложения не работают с контекстами проверки подлинности. Мы рекомендуем тестировать приложения на сайте с включенным контекстом проверки подлинности перед широким развертыванием этой функции.

Следующие приложения и сценарии не работают с контекстами проверки подлинности:

  • Более ранняя версия приложений Office (см. список поддерживаемых версий)
  • Viva Engage
  • Приложение OneNote нельзя добавить в канал, если связанный сайт SharePoint имеет контекст проверки подлинности.
  • Сбой отправки записи собраний канала Teams на сайтах с контекстом проверки подлинности.
  • Переименование папок SharePoint в Teams завершается ошибкой, если сайт имеет контекст проверки подлинности.
  • Планирование вебинара Teams завершается сбоем, если в OneDrive есть контекст проверки подлинности.
  • Приложение приложение синхронизации OneDrive не будет синхронизировать сайты с контекстом проверки подлинности.
  • Связывание контекста проверки подлинности с семейством веб-сайтов каталога корпоративных приложений не поддерживается.
  • Функция "Визуализация списка SharePoint в Power BI" в настоящее время не поддерживает контекст проверки подлинности.
  • Outlook для Windows, Mac, Android и iOS не поддерживает обмен данными с сайтами SharePoint, защищенными контекстом проверки подлинности.
  • Функция загрузки из нескольких файлов в настоящее время не работает, если в политике условного доступа включены контекст проверки подлинности и "Использовать управление условным доступом к приложениям" в управлении сеансом.
  • Функция копирования и перемещения файлов между разными регионами (между регионами) в настоящее время не работает при применении контекста проверки подлинности к целевому сайту.

Настройка контекста проверки подлинности

Настройка контекста проверки подлинности для помеченных сайтов требует следующих основных действий:

  1. Добавьте контекст проверки подлинности в Microsoft Entra ID.

  2. Создайте политику условного доступа, которая применяется к контексту проверки подлинности и содержит необходимые условия и элементы управления доступом.

  3. Выполните одно из следующих действий.

    1. Установите метку конфиденциальности, чтобы применить контекст проверки подлинности к помеченным сайтам.
    2. Применение контекста проверки подлинности непосредственно к сайту

В этой статье мы рассмотрим пример требования гостей принять условия использования , прежде чем получить доступ к конфиденциальному сайту SharePoint. Вы также можете использовать любые другие условия условного доступа и элементы управления доступом, которые могут потребоваться для вашей организации.

Добавление контекста проверки подлинности

Сначала добавьте контекст проверки подлинности в Microsoft Entra ID.

Чтобы добавить контекст проверки подлинности, выполните приведенные далее действия.

  1. В Microsoft Entra условный доступ в разделе Управление выберите Контекст проверки подлинности.

  2. Выберите Новый контекст проверки подлинности.

  3. Введите имя и описание и установите флажок Опубликовать в приложениях проверка.

    Снимок экрана: добавление пользовательского интерфейса контекста проверки подлинности

  4. Выберите Сохранить.

Создание политики условного доступа

Затем создайте политику условного доступа, которая применяется к контексту проверки подлинности и требует, чтобы гости согласились с условиями использования в качестве условия доступа.

Чтобы создать политику условного доступа, выполните следующие действия:

  1. В Microsoft Entra условный доступ выберите Новая политика.

  2. Введите имя политики.

  3. На вкладке Пользователи и группы выберите параметр Выбрать пользователей и группы, а затем выберите проверка гость или внешние пользователи.

  4. Выберите гостевых пользователей совместной работы B2B в раскрывающемся списке.

  5. На вкладке Облачные приложения или действия в разделе Выберите, к чему применяется эта политика, выберите Контекст проверки подлинности и выберите поле проверка для созданного контекста проверки подлинности.

    Снимок экрана: параметры контекста проверки подлинности в облачных приложениях или параметры действий для политики условного доступа.

  6. На вкладке Предоставление выберите поле проверка для условий использования, которые вы хотите использовать, а затем нажмите кнопку Выбрать.

  7. Выберите, хотите ли вы включить политику, а затем нажмите кнопку Создать.

Применение контекста проверки подлинности непосредственно к сайту

Контекст проверки подлинности можно напрямую применить к сайту SharePoint с помощью командлета PowerShell Set-SPOSite .

Примечание.

Для этой возможности требуется лицензия Microsoft 365 E5 или Microsoft SharePoint премиум — SharePoint Advanced Management.

В следующем примере мы применяем созданный выше контекст проверки подлинности к сайту с именем research.

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

Установка метки конфиденциальности для применения контекста проверки подлинности к помеченным сайтам

Если вы хотите использовать метку конфиденциальности для применения контекста проверки подлинности, обновите метку конфиденциальности (или создайте новую), чтобы использовать контекст проверки подлинности.

Примечание.

Для меток конфиденциальности требуется Microsoft 365 E5 или Microsoft 365 E3 плюс лицензия на расширенное соответствие требованиям.

Обновление метки конфиденциальности

  1. В Портал соответствия требованиям Microsoft Purview на вкладке Защита информации выберите метку, которую нужно обновить, а затем выберите Изменить метку.

  2. Нажимайте кнопку Далее, пока не перейдете на страницу Определение параметров защиты для групп и сайтов.

  3. Убедитесь, что выбран флажок Внешний общий доступ и условный доступ проверка, а затем нажмите кнопку Далее.

  4. На странице Определение параметров внешнего общего доступа и доступа к устройствам установите флажок Использовать условный доступ Microsoft Entra для защиты помеченных сайтов SharePoint проверка.

  5. Выберите параметр Выбрать существующий контекст проверки подлинности .

  6. В раскрывающемся списке выберите контекст проверки подлинности, который вы хотите использовать.

    Снимок экрана: параметры меток конфиденциальности контекста проверки подлинности Microsoft Entra

  7. Нажимайте кнопку Далее, пока не перейдете на страницу Проверка параметров и завершение, а затем нажмите кнопку Сохранить метку.

После обновления метки гости, обращаюющиеся к сайту SharePoint (или вкладке Файлы в команде) с этой меткой, должны будут согласиться с условиями использования, прежде чем получить доступ к такому сайту.

Блокировка фоновых приложений

Если на сайте задан контекст проверки подлинности, администраторы могут запретить фоновым приложениям доступ к этому сайту для приложений, назначенных с этим контекстом проверки подлинности в политике условного доступа. Политику условного доступа можно настроить таким образом, чтобы определенный контекст проверки подлинности можно было назначить выбранным принципам приложения (приложениям сторонних поставщиков). Необходимо явно включить эту функцию с помощью следующего командлета. У вас должна быть по крайней мере одна политика условного доступа с настроенным принципом приложения.

Set-SPOTenant -BlockAPPAccessToSitesWithAuthenticationContext $false/$true (default false)

Интеграция сторонних приложений

Сторонние приложения, использующие сайты с подключенным контекстом проверки подлинности, должны иметь возможность обрабатывать запросы на утверждения. Если у вас есть сторонние приложения, мы рекомендуем протестировать приложения, и вы изучите инструкции здесь.

См. также

Используйте метки конфиденциальности, чтобы защитить контент в Microsoft Teams, в группах Microsoft 365 и на сайтах SharePoint.

Условный доступ: облачные приложения, действия и контекст проверки подлинности

Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям