Политика условного доступа для сайтов SharePoint и OneDrive
Для некоторых функций, приведенных в этой статье, требуется Microsoft SharePoint Premium — расширенное управление SharePoint
С помощью контекста проверки подлинности Microsoft Entra можно применять более строгие условия доступа при доступе пользователей к сайтам SharePoint.
Контексты проверки подлинности можно использовать для подключения политики условного доступа Microsoft Entra к сайту SharePoint. Политики можно применять непосредственно к сайту или с помощью метки конфиденциальности.
Эту возможность нельзя применить к корневому сайту в SharePoint (например, https://contoso.sharepoint.com).
Требования
Для использования контекста проверки подлинности с сайтами SharePoint требуется одна из следующих лицензий:
- Microsoft SharePoint Premium — расширенное управление SharePoint
- Microsoft 365 E5/A5/G5
- Соответствие требованиям Microsoft 365 E5 или A5
- Защита информации и управление данными в Microsoft 365 E5
- Office 365 E5/A5/G5
Ограничения
Некоторые приложения не работают с контекстами проверки подлинности. Мы рекомендуем тестировать приложения на сайте с включенным контекстом проверки подлинности перед широким развертыванием этой функции.
Следующие приложения и сценарии не работают с контекстами проверки подлинности:
- Более ранняя версия приложений Office (см. список поддерживаемых версий)
- Viva Engage
- Веб-приложение Teams
- Приложение OneNote нельзя добавить в канал, если связанный сайт SharePoint имеет контекст проверки подлинности.
- Сбой отправки записи собраний канала Teams на сайтах с контекстом проверки подлинности.
- Переименование папок SharePoint в Teams завершается ошибкой, если сайт имеет контекст проверки подлинности.
- Планирование вебинара Teams завершается сбоем, если в OneDrive есть контекст проверки подлинности.
- Сторонние приложения
- Приложение синхронизации OneDrive не будет синхронизировать сайты с контекстом проверки подлинности.
- Связывание контекста проверки подлинности с семейством веб-сайтов каталога корпоративных приложений не поддерживается.
- Функция "Визуализация списка SharePoint в Power BI" в настоящее время не поддерживает контекст проверки подлинности.
- Outlook для Windows, Mac, Android и iOS не поддерживает обмен данными с сайтами SharePoint, защищенными контекстом проверки подлинности.
- Функция загрузки из нескольких файлов в настоящее время не работает, если в политике условного доступа включены контекст проверки подлинности и "Использовать управление условным доступом к приложениям" в управлении сеансом.
Настройка контекста проверки подлинности
Настройка контекста проверки подлинности для помеченных сайтов требует следующих основных действий:
Добавьте контекст проверки подлинности в Идентификатор Microsoft Entra.
Создайте политику условного доступа, которая применяется к контексту проверки подлинности и содержит необходимые условия и элементы управления доступом.
Выполните одно из следующих действий.
- Установите метку конфиденциальности, чтобы применить контекст проверки подлинности к помеченным сайтам.
- Применение контекста проверки подлинности непосредственно к сайту
В этой статье мы рассмотрим пример требования гостей принять условия использования , прежде чем получить доступ к конфиденциальному сайту SharePoint. Вы также можете использовать любые другие условия условного доступа и элементы управления доступом, которые могут потребоваться для вашей организации.
Добавление контекста проверки подлинности
Сначала добавьте контекст проверки подлинности в идентификатор Microsoft Entra.
Чтобы добавить контекст проверки подлинности, выполните приведенные далее действия.
В разделе Условный доступ Microsoft Entra в разделе Управление выберите Контекст проверки подлинности.
Выберите Новый контекст проверки подлинности.
Введите имя и описание и установите флажок Опубликовать в приложениях .
Выберите Сохранить.
Создание политики условного доступа
Затем создайте политику условного доступа, которая применяется к контексту проверки подлинности и требует, чтобы гости согласились с условиями использования в качестве условия доступа.
Чтобы создать политику условного доступа, выполните следующие действия:
В разделе Условный доступ Microsoft Entra выберите Новая политика.
Введите имя политики.
На вкладке Пользователи и группы выберите параметр Выбрать пользователей и группы , а затем установите флажок Гостевые или внешние пользователи .
Выберите гостевых пользователей совместной работы B2B в раскрывающемся списке.
На вкладке Облачные приложения или действия в разделе Выберите, к чему применяется эта политика, выберите Контекст проверки подлинности и установите флажок для созданного контекста проверки подлинности.
На вкладке Предоставление установите флажок для условий использования, которые вы хотите использовать, а затем нажмите кнопку Выбрать.
Выберите, хотите ли вы включить политику, а затем нажмите кнопку Создать.
Применение контекста проверки подлинности непосредственно к сайту
Контекст проверки подлинности можно напрямую применить к сайту SharePoint с помощью командлета PowerShell Set-SPOSite .
Примечание.
Для этой возможности требуется лицензия Microsoft 365 E5 или Microsoft SharePoint Premium — Расширенное управление SharePoint.
В следующем примере мы применяем созданный выше контекст проверки подлинности к сайту с именем research.
Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"
Установка метки конфиденциальности для применения контекста проверки подлинности к помеченным сайтам
Если вы хотите использовать метку конфиденциальности для применения контекста проверки подлинности, обновите метку конфиденциальности (или создайте новую), чтобы использовать контекст проверки подлинности.
Примечание.
Для меток конфиденциальности требуется Microsoft 365 E5 или Microsoft 365 E3, а также лицензия на расширенное соответствие требованиям.
Обновление метки конфиденциальности
На портале соответствия требованиям Microsoft Purview на вкладке Защита информации выберите метку, которую требуется обновить, а затем выберите Изменить метку.
Нажимайте кнопку Далее, пока не перейдете на страницу Определение параметров защиты для групп и сайтов.
Убедитесь, что установлен флажок Внешний общий доступ и условный доступ , а затем нажмите кнопку Далее.
На странице Определение параметров внешнего общего доступа и доступа к устройствам установите флажок Использовать условный доступ Microsoft Entra для защиты помеченных сайтов SharePoint .
Выберите параметр Выбрать существующий контекст проверки подлинности .
В раскрывающемся списке выберите контекст проверки подлинности, который вы хотите использовать.
Нажимайте кнопку Далее, пока не перейдете на страницу Проверка параметров и завершение, а затем нажмите кнопку Сохранить метку.
После обновления метки гости, обращаюющиеся к сайту SharePoint (или вкладке Файлы в команде) с этой меткой, должны будут согласиться с условиями использования, прежде чем получить доступ к такому сайту.
Блокировка фоновых приложений (развертывание в предварительной версии)
Если на сайте задан контекст проверки подлинности, администраторы могут запретить фоновым приложениям доступ к этому сайту для приложений, назначенных с этим контекстом проверки подлинности в политике условного доступа. Политику условного доступа можно настроить таким образом, чтобы определенный контекст проверки подлинности можно было назначить выбранным принципам приложения (приложениям сторонних поставщиков). Необходимо явно включить эту функцию с помощью следующего командлета. У вас должна быть по крайней мере одна политика условного доступа с настроенным принципом приложения.
Set-SPOTenant -BlockAPPAccessToSitesWithAuthenticationContext $false/$true (default false)
См. также
Условный доступ: облачные приложения, действия и контекст проверки подлинности
Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям