ИТ-администраторы — неуправляемые элементы управления доступом к устройствам SharePoint и OneDrive
Как минимум администратор SharePoint в Microsoft 365, вы можете заблокировать или ограничить доступ к содержимому SharePoint и OneDrive с неуправляемых устройств (которые не присоединены к гибридной службе AD или не соответствуют Intune). Можно заблокировать или ограничить доступ:
для всех сотрудников компании или только для некоторых пользователей либо групп безопасности;
ко всем сайтам организации или только к некоторым сайтам.
Блокирование доступа помогает обеспечить безопасность, но может негативно влиять на удобство использования и продуктивность. Если доступ заблокирован, пользователи увидят следующую ошибку.
Ограниченный доступ не мешает работе пользователей, при этом сокращая риск непреднамеренной потери данных на неуправляемых устройствах. При ограничении доступа пользователи на управляемых устройствах будут иметь полный доступ (если только они не используют одно из сочетаний браузера и операционной системы, перечисленных в разделе Поддерживаемые браузеры). Пользователи на неуправляемых устройствах будут иметь доступ только в браузере без возможности скачивания, печати или синхронизации файлов. Кроме того, они не смогут получать доступ к содержимому через приложения, включая классические приложения Microsoft Office. При ограничении доступа вы можете разрешить или запретить редактирование файлов в браузере. Если доступ к Интернету ограничен, пользователи увидят следующее сообщение в верхней части сайтов.
Примечание.
- Блокировка или ограничение доступа на неуправляемых устройствах зависит от Microsoft Entra политик условного доступа. Сведения о лицензировании Microsoft Entra ID. Общие сведения об условном доступе в Microsoft Entra ID см. в статье Условный доступ в Microsoft Entra ID.
- Сведения о рекомендуемых политиках доступа SharePoint см. в статье Рекомендации по политике для защиты сайтов и файлов SharePoint.
- При ограничении доступа на неуправляемых устройствах пользователи на управляемых устройствах должны использовать одно из поддерживаемых сочетаний ОС и браузера, в противном случае у них также будет ограниченный доступ.
- Так как Microsoft Entra ID не предоставляет возможности с несколькими регионами, блокировка или ограничение неуправляемых устройств повлияет на все географические расположения в клиенте Microsoft 365.
Управление доступом устройств в Microsoft 365
Процедуры, описанные в этой статье, влияют только на доступ к SharePoint неуправляемых устройств. Если вы хотите расширить управление неуправляемых устройств за пределами SharePoint, можно создать политику условного доступа Microsoft Entra для всех приложений и служб в вашей организации. Чтобы настроить эту политику для служб Microsoft 365, выберите облачное приложение Office 365 в разделе Облачные приложения или действия.
Использование политики, охватывающей все службы Microsoft 365, может способствовать укреплению безопасности и повышению удобства для пользователей. Например, если заблокировать доступ неуправляемых устройств только в SharePoint, пользователи смогут получать доступ к чату в команде, используя неуправляемое устройство, но не смогут получить доступ к вкладке Файлы. Использование облачного приложения Office 365 поможет избежать проблем с зависимостями служб.
Блокировать доступ
Перейдите в раздел Управление доступом в новом Центре администрирования SharePoint и войдите с учетной записью, которая имеет разрешения администратора для вашей организации.
Примечание.
Если вы Office 365 управляете компанией 21Vianet (Китай), войдите в Центр администрирования Microsoft 365, а затем перейдите в Центр администрирования SharePoint и откройте страницу Управление доступом.
Выберите Неуправляемые устройства.
Выберите Блокировать доступ, а затем нажмите кнопку Сохранить.
Важно!
При выборе этого параметра отключается все предыдущие политики условного доступа, созданные на этой странице, и создается новая политика условного доступа, которая применяется ко всем пользователям. Все настройки, внесенные в предыдущие политики, не будут перенесены.
Примечание.
Политика может ввести в силу до 24 часов. Он не вступит в силу для пользователей, которые уже вошли в систему с неуправляемых устройств.
Важно!
Если вы блокируете или ограничиваете доступ с неуправляемых устройств, рекомендуется также блокировать доступ из приложений, которые не используют современную проверку подлинности. Некоторые сторонние приложения и версии Office до Office 2013 не используют современную проверку подлинности и не могут применять ограничения на основе устройств. Это означает, что пользователи могут обходить политики условного доступа, настроенные в Azure. В разделе Управление доступом в новом Центре администрирования SharePoint выберите Приложения, которые не используют современную проверку подлинности, выберите Блокировать доступ, а затем нажмите кнопку Сохранить.
Ограничение доступа
Перейдите в раздел Управление доступом в новом Центре администрирования SharePoint и войдите с учетной записью, которая имеет разрешения администратора для вашей организации.
Примечание.
Если вы Office 365 управляете компанией 21Vianet (Китай), войдите в Центр администрирования Microsoft 365, перейдите в Центр администрирования SharePoint и выберите Политики для развертывания, а затем выберите контроль доступа.
Выберите Неуправляемые устройства.
Выберите Разрешить ограниченный доступ только через Интернет, а затем нажмите кнопку Сохранить. (Обратите внимание, что при выборе этого параметра будут отключены все предыдущие политики условного доступа, созданные на этой странице, и создается новая политика условного доступа, которая применяется ко всем пользователям. Все настройки, внесенные в предыдущие политики, не будут перенесены.)
Если вы отменить изменения обратно в поле Разрешить полный доступ, это может занять до 24 часов, чтобы изменения вступили в силу.
Важно!
Если вы блокируете или ограничиваете доступ с неуправляемых устройств, рекомендуется также блокировать доступ из приложений, которые не используют современную проверку подлинности. Некоторые сторонние приложения и версии Office до Office 2013 не используют современную проверку подлинности и не могут применять ограничения на основе устройств. Это означает, что пользователи могут обходить политики условного доступа, настроенные в Azure. В разделе Управление доступом в новом Центре администрирования SharePoint выберите Приложения, которые не используют современную проверку подлинности, выберите Блокировать доступ, а затем нажмите кнопку Сохранить.
Примечание.
Если ограничить доступ к сайту и изменить его с неуправляемого устройства, веб-части изображений не будут отображать изображения, которые вы отправляете в библиотеку ресурсов сайта или непосредственно в веб-часть. Чтобы обойти эту проблему, можно использовать этот API SPList , чтобы исключить политику загрузки блоков в библиотеке ресурсов сайта. Это позволяет веб-части скачивать изображения из библиотеки ресурсов сайта.
Если контроль доступа для неуправляемых устройств в SharePoint установлено значение Разрешить ограниченный доступ только через Интернет, файлы SharePoint нельзя скачать, но их можно просмотреть. Предварительные версии файлов Office работают в SharePoint, но они не работают в Microsoft Viva Engage.
Ограничение доступа с помощью PowerShell
Скачайте последнюю версию командной консоли SharePoint Online.
Примечание.
Если вы установили предыдущую версию командной консоли SharePoint Online, перейдите в раздел Добавление или удаление программ и удалите командную консоль SharePoint Online.
Подключитесь к SharePoint как минимум администратору SharePoint в Microsoft 365. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.
Выполните следующую команду:
Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
Примечание.
По умолчанию эта политика позволяет пользователям просматривать и редактировать файлы в веб-браузере. Чтобы изменить это, см. дополнительные конфигурации.
Блокировка или ограничение доступа к определенному сайту SharePoint или OneDrive
Чтобы заблокировать или ограничить доступ к определенным сайтам, выполните следующие действия. Если вы настроили политику на уровне организации, указанный параметр уровня сайта должен быть по меньшей мере столь же строгим, как и параметр уровня организации.
Создайте политику вручную в Центр администрирования Microsoft Entra, выполнив действия, описанные в разделе Использование ограничений, применяемых приложением.
Задайте параметр уровня сайта с помощью PowerShell или метки конфиденциальности:
Чтобы использовать PowerShell, перейдите к следующему шагу.
Чтобы использовать метку конфиденциальности, ознакомьтесь со следующими инструкциями и укажите параметр метки для доступа с неуправляемых устройств: Использование меток конфиденциальности для защиты содержимого в Microsoft Teams, группах Microsoft 365 и сайтах SharePoint.
Чтобы использовать PowerShell, скачайте последнюю версию командной консоли SharePoint Online.
Примечание.
Если вы установили предыдущую версию командной консоли SharePoint Online, перейдите к разделу "Установка и удаление программ" и удалите компонент "Командная консоль SharePoint Online".
Подключитесь к SharePoint как минимум администратору SharePoint в Microsoft 365. Сведения о том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.
Выполните одну из следующих команд.
Чтобы заблокировать доступ к одному сайту, выполните приведенные далее действия.
Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess
Чтобы ограничить доступ к одному сайту, выполните приведенные далее действия.
Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess
Чтобы обновить несколько сайтов одновременно, используйте следующую команду в качестве примера:
Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Set-SPOSite -ConditionalAccessPolicy AllowLimitedAccess
В этом примере получается OneDrive для каждого пользователя и передается в виде массива в Set-SPOSite для ограничения доступа.
Примечание.
По умолчанию параметр, включающий веб-доступ, позволяет пользователям просматривать и редактировать файлы в веб-браузере. Чтобы изменить это, см. дополнительные конфигурации.
Расширенные конфигурации
Следующие параметры можно использовать как -ConditionalAccessPolicy AllowLimitedAccess
для параметра на уровне организации, так и для параметра уровня сайта:
-AllowEditing $false
Запрещает пользователям редактировать файлы Office в браузере.
-ReadOnlyForUnmanagedDevices $true
Делает весь сайт доступен только для чтения для затронутых пользователей.
-LimitedAccessFileType OfficeOnlineFilesOnly
Позволяет пользователям просматривать только файлы Office в браузере. Этот параметр повышает безопасность, но может стать барьером для повышения производительности пользователей.
-LimitedAccessFileType WebPreviewableFiles
(по умолчанию) Позволяет пользователям просматривать файлы Office в браузере. Этот параметр оптимизирует производительность пользователей, но обеспечивает меньшую безопасность для файлов, которые не являются файлами Office.
Внимание! Этот параметр вызывает проблемы с PDF-файлами и файлами изображений, так как может требоваться их скачивание на компьютер пользователя для отображения в браузере. Тщательно планируйте использование этого элемента управления. В противном случае ваши пользователи могут столкнуться с непредвиденными ошибками "В доступе отказано".
-LimitedAccessFileType OtherFiles
Позволяет пользователям скачивать файлы, которые невозможно просмотреть, например .zip и .exe. Этот параметр обеспечивает меньшую безопасность. Если этот режим включен, для скачивания таких файлов, как .zip или .exe, просто скопируйте URL-адрес файла и вставьте его в браузер (например, https://contoso.sharepoint.com/:u:/r/sites/test/Shared%20Documents/test1.zip).
Параметр AllowDownlownloadingNonWebViewableFiles
не поддерживается. Вместо этого используйте LimitedAccessFileType.
Люди за пределами организации будут затронуты при использовании политик условного доступа для блокировки или ограничения доступа с неуправляемых устройств. Если пользователи совместно используют элементы для определенных пользователей (которые должны ввести код проверки, отправленный на их адрес электронной почты), их можно исключить из этой политики, выполнив следующую команду.
Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false
Примечание.
Эти политики не затрагивают ссылки "Любой пользователь" (ссылки для общего доступа, не требующие входа). Люди, у которых есть ссылка "Любой пользователь" на файл или папку, смогут скачать элемент. Для всех сайтов, где вы включаете политики условного доступа, следует отключить ссылки "Любой".
Влияние приложения
Блокировка доступа и скачивание могут повлиять на взаимодействие с пользователем в некоторых приложениях, включая некоторые приложения Office. Мы рекомендуем включить политику для некоторых пользователей и протестировать взаимодействие с приложениями, используемыми в вашей организации. В Office убедитесь, что проверка поведение в Power Apps и Power Automate, когда ваша политика включена.
Примечание.
Приложения, выполняемые в службе в режиме "только для приложений", такие как антивирусные приложения и поисковые сканеры, исключаются из политики.
Если вы используете классические шаблоны сайтов SharePoint, изображения сайтов могут отображаться неправильно. Это связано с тем, что политика запрещает загрузку исходных файлов изображений в браузер.
Для новых клиентов приложения, использующие маркер доступа только для приложений ACS, по умолчанию отключены. Мы рекомендуем использовать модель Microsoft Entra ID только для приложений, которая является современной и более безопасной. Но вы можете изменить поведение, запустив set-spotenant -DisableCustomAppAuthentication $false
(требуется последняя версия PowerShell для администратора SharePoint).
Нужна дополнительная помощь?
См. также
Рекомендации по политике для защиты сайтов и файлов SharePoint
Управление доступом к данным SharePoint и OneDrive на основе определенных сетевых расположений