IT 管理员 - SharePoint 和 OneDrive 非托管设备访问控制

作为 Microsoft 365 中的至少 SharePoint 管理员,你可以阻止或限制从非托管设备访问 SharePoint 和 OneDrive 内容, (那些未加入混合 AD 或未在Intune) 合规的设备。 可以阻止或限制对以下内容的访问:

  • 组织中的所有用户,或仅部分用户或安全组。

  • 组织中的所有网站,或仅部分网站。

阻止访问有助于确保安全,但会降低可用性和工作效率。 访问被阻止时,用户将看到以下错误。

访问被阻止时的体验

限制访问允许用户消除非托管设备上数据意外丢失的风险,并保持高效工作。 限制访问时,托管设备上的用户将拥有完全访问权限 (,除非他们使用受支持的浏览器) 中列出的 浏览器 和操作系统组合之一。 非托管设备上的用户将具有仅浏览器访问权限,无法下载、打印或同步文件。 且无法通过应用(包括 Microsoft Office 桌面应用)访问内容。 限制访问时,可以选择允许或阻止在浏览器中编辑文件。 限制 Web 访问时,用户将在网站顶部看到以下消息。

Web 访问受限时的体验

注意

控制跨 Microsoft 365 的设备访问

本文中的过程仅影响非托管设备的 SharePoint 访问。 如果要将非托管设备的控制扩展到 SharePoint 之外,可以改为为组织中的所有应用和服务创建Microsoft Entra条件访问策略。 若要专门为 Microsoft 365 服务 配置此策略,请在“云应用或操作”下选择“Office 365”云应用。

Microsoft Entra条件访问策略中Office 365云应用的屏幕截图

使用影响所有 Microsoft 365 服务的策略可以为用户提供更好的安全性和更好的体验。 例如,当仅阻止访问 SharePoint 中非托管设备时,用户可以使用非托管设备访问团队中的聊天,但当用户尝试访问“文件”选项卡时将失去访问权限。使用 Office 365 云应用有助于避免 服务依赖项 的问题。

阻止访问

  1. 转到新的 SharePoint 管理中心的“访问控制”,并使用对组织具有管理员权限的帐户登录。

    注意

    如果Office 365由世纪互联 (中国) 运营,请登录Microsoft 365 管理中心,然后浏览到 SharePoint 管理中心并打开“访问控制”页面。

  2. 选择“未托管的设备”。

    SharePoint 管理中心中的“非托管设备”窗格

  3. 选择 “阻止访问”,然后选择“ 保存”。

    重要

    选择此选项将禁用以前从此页面创建的任何条件访问策略,并创建适用于所有用户的新条件访问策略。 对以前的策略所做的任何自定义都不会继续执行。

    注意

    策略最长可能需要 24 小时才能生效。 它不会对已从非托管设备登录的用户生效。

    重要

    如果阻止或限制来自非托管设备的访问,我们还建议阻止来自不使用新式身份验证的应用的访问。 Office 2013 之前的一些第三方应用和 Office 版本不使用新式身份验证,并且无法强制实施基于设备的限制。 这意味着它们允许用户绕过你在 Azure 中配置的条件访问策略。 在新 SharePoint 管理中心的“访问控制”中,选择“不使用新式身份验证的应用”,选择“阻止访问”,然后选择“保存”。

限制访问

  1. 转到新的 SharePoint 管理中心的“访问控制”,并使用对组织具有管理员权限的帐户登录。

    注意

    如果Office 365由世纪互联 (中国) 运营,请登录到Microsoft 365 管理中心,然后浏览到 SharePoint 管理中心,选择“要展开的策略”,然后选择“访问控制”。

  2. 选择“未托管的设备”。

  3. 选择 “允许受限的仅限 Web 的访问”,然后选择“ 保存”。 (请注意,选择此选项将禁用以前从此页面创建的任何条件访问策略,并创建适用于所有用户的新条件访问策略。对以前的策略所做的任何自定义都不会继续执行。)

    新的 SharePoint 管理中心中的“非托管设备”窗格

    如果还原回到“允许完全访问”,则更改可能需要长达 24 小时才能生效。

    重要

    如果阻止或限制来自非托管设备的访问,我们还建议阻止来自不使用新式身份验证的应用的访问。 Office 2013 之前的一些第三方应用和 Office 版本不使用新式身份验证,并且无法强制实施基于设备的限制。 这意味着它们允许用户绕过你在 Azure 中配置的条件访问策略。 在新 SharePoint 管理中心的“访问控制”中,选择“不使用新式身份验证的应用”,选择“阻止访问”,然后选择“保存”。

    注意

    如果限制从非托管设备访问和编辑网站,图像 Web 部件不会显示上传到网站资产库或直接上传到 Web 部件的图像。 若要解决此问题,可以使用此 SPList API 来免除网站资产库上的阻止下载策略。 这允许 Web 部件从网站资产库下载图像。

    当 SharePoint 中非托管设备的访问控制设置为“允许受限且仅限 Web 的访问”时,无法下载 SharePoint 文件,但可以预览。 Office 文件的预览在 SharePoint 中工作,但预览在 Microsoft Viva Engage 中不起作用。

使用 PowerShell 限制访问

  1. 下载最新的SharePoint在线管理壳

    注意

    如果安装了以前版本的 SharePoint Online 命令行管理程序,请转到添加或删除程序,然后卸载“SharePoint Online 命令行管理程序”。

  2. 至少以 Microsoft 365 中的 SharePoint 管理员身份连接到 SharePoint 。 若要了解具体操作步骤,请参阅 SharePoint 在线管理壳入门

  3. 运行以下命令:

    Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
    

    注意

    默认情况下,此策略允许用户在其 Web 浏览器中查看和编辑文件。 若要对此进行更改,请参阅 高级配置

阻止或限制对特定 SharePoint 网站或 OneDrive 的访问

若要阻止或限制对特定网站的访问,请执行以下步骤。 如果已配置组织范围策略,则指定的站点级别设置必须至少与组织级别设置一样严格。

  1. 按照使用应用强制实施的限制中的步骤,在 Microsoft Entra 管理中心手动创建策略。

  2. 使用 PowerShell 或 敏感度标签设置站点级别设置:

  3. 若要使用 PowerShell: 请下载最新的 SharePoint Online 命令行管理程序

    注意

    如果你已安装早期版本的SharePoint Online Management Shell,请进入添加或删除程序并卸载 "SharePoint Online Management Shell"。

  4. 至少以 Microsoft 365 中的 SharePoint 管理员身份连接到 SharePoint 。 若要了解具体操作步骤,请参阅 SharePoint 在线管理壳入门

  5. 运行以下命令之一。

    阻止访问单个站点:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess
    

    限制对单个站点的访问:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess
    

    若要一次更新多个站点,请使用以下命令作为示例:

    Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Set-SPOSite -ConditionalAccessPolicy AllowLimitedAccess
    

    此示例获取每个用户的 OneDrive,并将其作为数组传递给 Set-SPOSite 以限制访问。

注意

默认情况下,包含 Web 访问的设置允许用户在其 Web 浏览器中查看和编辑文件。 若要对此进行更改,请参阅 高级配置

高级配置

以下参数可用于 -ConditionalAccessPolicy AllowLimitedAccess 组织范围的设置和站点级设置:

-AllowEditing $false 阻止用户在浏览器中编辑 Office 文件。

-ReadOnlyForUnmanagedDevices $true 使受影响的用户整个网站为只读。

-LimitedAccessFileType OfficeOnlineFilesOnly 允许用户在浏览器中仅预览 Office 文件。 此选项可提高安全性,但可能会影响用户的工作效率。

-LimitedAccessFileType WebPreviewableFiles (默认) 允许用户在浏览器中预览 Office 文件。 此选项可针对用户工作效率进行优化,但对非 Office 文件的安全性较低。 警告:已知此选项会导致 PDF 和图像类型的文件出现问题,因为它们可能需要下载到最终用户的计算机才能在浏览器中呈现。 请仔细规划此控制措施的使用。 否则,用户可能会遇到意外的“拒绝访问”错误。

-LimitedAccessFileType OtherFiles 允许用户下载无法预览的文件,例如 .zip 和 .exe。 此选项提供的安全性较低。 如果启用此模式,则下载 .zip 或 .exe 等文件,只需复制文件的 URL 并粘贴到浏览器中, (示例: https://contoso.sharepoint.com/:u:/r/sites/test/Shared%20Documents/test1.zip) 。

参数 AllowDownlownloadingNonWebViewableFiles 已停止。 请改用 LimitedAccessFileType。

使用条件访问策略阻止或限制来自非托管设备的访问时,组织外部人员将受到影响。 如果用户与特定人员共享项目, (他们必须输入发送到其电子邮件地址) 的验证码,则可以通过运行以下命令将其从此策略中免除。

Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false

注意

不需要登录) 的“任何人”链接 (可共享链接不受这些策略的影响。 具有指向文件或文件夹的“任何人”链接的人员将能够下载该项目。 对于启用条件访问策略的所有站点,应禁用“任何人”链接。

应用影响

阻止访问和阻止下载可能会影响某些应用中的用户体验,包括某些 Office 应用。 建议为某些用户启用策略,并测试组织中使用的应用的体验。 在 Office 中,请确保在策略处于打开状态时检查 Power Apps 和 Power Automate 中的行为。

注意

在服务中以“仅应用”模式运行的应用(如防病毒应用和搜索爬网程序)将从策略中免除。

如果使用经典 SharePoint 网站模板,则网站图像可能无法正确呈现。 这是因为该策略会阻止将原始图像文件下载到浏览器。

对于新租户,默认禁用使用仅 ACS 应用访问令牌的应用。 建议使用Microsoft Entra ID新式且更安全的仅限应用的模型。 但是,可以通过运行 set-spotenant -DisableCustomAppAuthentication $false (需要最新的 SharePoint 管理员 PowerShell) 来更改行为。

需要更多帮助吗?

SharePoint Q&A

另请参阅

有关保护 SharePoint 网站和文件的策略建议

根据定义的网络位置控制对 SharePoint 和 OneDrive 数据的访问