通过

安全性和合规性

  • 项目

Microsoft 的 SharePoint Embedded 提供了一种更快的方法来创建存储在各种应用程序中的安全且合规的文档。 SharePoint Embedded 使用 Microsoft 全面的合规性和数据治理解决方案来帮助组织管理风险、保护和治理敏感数据,以及响应法规要求。 安全性和合规性解决方案在 SharePoint Embedded 平台中的工作方式与目前在 Microsoft 365 (Microsoft 365) 平台上的工作方式类似,以便以安全、受保护的方式存储数据,满足客户的业务和合规性策略,同时使合规性和 SharePoint 管理员能够轻松地对内容强制实施关键安全性和合规性策略。

在本文中,我们将介绍目前对驻留在 SharePoint Embedded 平台中的内容所支持的安全性和合规性策略及其功能和限制。

由于 SharePoint Embedded 设计没有任何用户界面,因此本机不支持某些需要用户交互的符合性方案。 管理容器的拥有应用程序可以选择支持这些方案,并使用现有的 Microsoft 图形 API为最终用户提供最佳体验。

使用 Microsoft Purview 的合规性策略

目前,SharePoint Embedded 支持 Microsoft Purview 下的以下合规性功能。 可以按照以下步骤检索需要应用策略的容器的详细信息。

  1. 查看在指定租户中注册的已注册 SharePoint Embedded 应用程序的列表:

    Get-SPOApplication

  2. 通过提供步骤 1 中返回的 ApplicationID,检索 SharePoint Embedded 应用程序中的容器列表

    Get-SPOContainer -OwningApplicationId <OwningApplicationID>

  3. 通过提供步骤 2 中返回的 ContainerID,检索容器的详细信息,包括 ContainerSiteURL。

    Get-SPOContainer -OwningApplicationId <ApplicationID> -Identity<ContainerID>

有关如何检索 ContainerSiteURL 以在容器级别设置本文中所述的各种符合性策略的信息,请参阅 Get-SPOContainer

Audit

SharePoint Embedded 提供的审核功能镜像 SharePoint 中当前支持的现有审核功能。 在 SharePoint Embedded 中托管的各种应用程序中执行的所有用户和管理员操作都会捕获、记录并保留在组织的统一审核日志中。 有关审核的详细信息,请参阅 Microsoft Purview 中的审核解决方案

除了现有文件属性外,还记录与 SharePoint Embedded 相关的审核事件,并使用以下更多数据来帮助筛选审核搜索结果以隔离相关的 SharePoint Embedded 内容:

  • ContainerInstanceId
  • ContainerTypeId

审核事件

电子数据展示

合规性管理员可以使用 Microsoft Purview 中的电子数据展示工具来搜索/保留/导出 SharePoint Embedded 平台中托管的内容。 有关电子数据展示的详细信息,请参阅Microsoft Purview 电子数据展示解决方案

若要对所有 SharePoint Embedded 内容执行电子数据展示搜索,管理员应在 Microsoft Purview 中配置电子数据展示搜索时选择 “所有” SharePoint 网站。 这将启用搜索存储在所有 SharePoint 网站和所有 SharePoint Embedded 容器中的内容。

电子数据展示搜索

若要将电子数据展示搜索限制为一个/几个 SharePoint Embedded 容器,管理员可以在“SharePoint 网站”工作负载下“选择网站”,并提供所需的容器 URL。

在电子数据展示搜索中选择网站

数据生命周期管理 (DLM)

SharePoint Embedded 支持保留,并使用 Microsoft Purview 合规门户保留存储在其应用程序中的内容的策略。 有关 DLM 的详细信息,请参阅了解Microsoft Purview 数据生命周期管理

如果为“所有网站”配置了策略,则现有保留策略将应用于所有 SharePoint Embedded 容器。 同样 ,在所有 SharePoint 网站工作负载上创建新的保留/保留策略会自动在 SharePoint Embedded 中的所有 SharePoint 网站和所有容器上强制实施该策略。

保留策略

若要选择性地在一个或多个 SharePoint Embedded 容器上强制实施策略,请复制容器 URL 并将策略配置为仅在这些容器上选择性地强制实施。

强制实施保留策略

由于 SharePoint Embedded 没有内置用户界面,因此本机不支持需要用户交互的 DLM 方案。 例如,如果最终用户尝试使用 SharePoint Embedded 应用程序 (应用程序) 在容器上应用保留标签,则控制对容器的访问的应用程序必须提供该功能。 在这种情况下,可以使用 DLM 功能的图形 API。

数据丢失防护 (DLP)

使用 Microsoft Purview,管理员可以使用 SharePoint Embedded 识别、监视和自动保护存储在应用程序中的敏感项目。 有关 DLP 的更多详细信息,请参阅 了解数据丢失防护(预览版)

与保留策略一样,可以通过选择在“所有网站”上配置策略,在所有 SharePoint 网站和 SharePoint Embedded 容器上强制实施 DLP 策略。

DLP 策略

管理员还可以通过在策略配置期间指定相关容器 URL,将 DLP 策略的强制实施限制为特定的 SharePoint Embedded 容器。

配置 DLP 策略

DLP 目前支持的几种方案需要 SharePoint Embedded 本身不支持的用户交互。 例如,根据配置,阻止外部共享的 DLP 策略可能允许最终用户提供替代策略的业务理由。 呈现此 DLP 标志文件项的客户端应用需要支持此类用户交互。

目前为 SharePoint 中托管的文件显示策略提示,以便用户随时了解 DLP 标记的文件项和相应的限制。 同样,对于要为 SharePoint Embedded 中托管的文件显示策略提示,客户端应用可以选择通过利用现有 Graph API 来实现此目的来提供更多支持。

安全功能

容器上的敏感度标签

全局管理员和 SharePoint 管理员可以使用新创建的 SharePoint PowerShell cmdlet 在 SharePoint Embedded 容器上设置和删除敏感度标签:

Set-SPOContainer -Identity <ContainerID/ContainerSiteURL> -SensitivityLabel <SensitivityLabelGUID>

若要详细了解如何设置敏感度标签,请参阅 了解敏感度标签

阻止下载策略

阻止下载策略允许 SharePoint 管理员或全局管理员使用以下 SharePoint PowerShell cmdlet 阻止从 SharePoint Embedded 容器下载文件。

Set-SPOSite -Identity <ContainerSiteURL> -BlockDownloadPolicy $true

需要 SharePoint 高级管理 (SAM) 许可证才能强制实施此策略。 阅读有关高级功能的完整文档,请参阅 SharePoint 网站和 OneDrive 的阻止下载策略

条件访问策略

SharePoint Embedded 支持基本的条件访问策略配置,例如:

  • AllowFullAccess:允许从桌面应用、移动应用和 Web 进行完全访问
  • AllowLimitedAccess:允许受限的仅限 Web 的访问
  • BlockAccess:阻止访问

以下 PowerShell cmdlet 提供这些设置。 AuthorizationContext不久也会支持 。

Set-SPOContainer -Identity <ContainerSiteURL> -ConditionalAccessPolicy <SPOConditionalAccessPolicyType>

若要详细了解条件访问策略,请参阅 控制来自非托管设备的访问