共用方式為

SharePoint 網站和 OneDrive 的條件式存取原則

  • 發行項

本文中的某些功能需要 Microsoft SharePoint Premium - SharePoint 進階管理

透過 Microsoft Entra 驗證內容,您可以在使用者存取 SharePoint 網站時強制執行更嚴格的存取條件。

您可以使用驗證內容,將 Microsoft Entra 條件式存取原則 連線到 SharePoint 網站。 原則可以直接套用至網站或透過敏感度標籤。

此功能無法套用至 SharePoint (中的根網站, https://contoso.sharepoint.com 例如,) 。

需求

搭配 SharePoint 網站使用驗證內容需要下列其中一個授權:

  • Microsoft SharePoint Premium - SharePoint 進階管理
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5 合規性
  • Microsoft 365 E5 資訊保護和控管
  • Office 365 E5/A5/G5

限制

有些應用程式無法使用驗證內容。 建議您先在已啟用驗證內容的網站上測試應用程式,再廣泛部署這項功能。

下列應用程式和案例不適用於驗證內容:

  • 舊版 Office 應用程式 (查看 支援的版本清單)
  • Viva Engage
  • Teams Web 應用程式
  • 如果相關聯的 SharePoint 網站具有驗證內容,則無法將 OneNote 應用程式新增至通道。
  • 在具有驗證內容的網站上,Teams 頻道會議錄製上傳失敗。
  • 如果網站具有驗證內容,Teams 中的 SharePoint 資料夾重新命名會失敗。
  • 如果 OneDrive 具有驗證內容,Teams 網路研討會排程就會失敗。
  • 協力廠商應用程式
  • OneDrive 同步處理應用程式不會將網站與驗證內容同步。
  • 不支援將驗證內容關聯至企業應用程式類別目錄網站集合。
  • 「在 Power BI 中將 SharePoint 列表可視化」功能目前不支持驗證內容。
  • Windows、Mac、Android 和 iOS 版 Outlook 不支援與受驗證內容保護的 SharePoint 網站通訊。
  • 當條件式存取原則中已啟用會話控件中的驗證內容和「使用條件式存取應用程控」時,多檔案下載功能目前無法運作。

設定驗證內容

設定已標記網站的驗證內容需要下列基本步驟:

  1. 在 Microsoft Entra ID 中新增驗證內容。

  2. 建立條件式存取原則,以套用至該驗證內容,並具有您想要使用的條件和訪問控制。

  3. 執行下列其中一項:

    1. 設定敏感度標籤,將驗證內容套用至標記的網站。
    2. 將驗證內容直接套用至網站

在本文中,我們將探討要求來賓在取得敏感性 SharePoint 網站的存取權之前,先同意 使用規定 。 您也可以使用組織可能需要的任何其他條件式存取條件和存取控制。

新增驗證內容

首先,在 Microsoft Entra ID 中新增驗證內容。

若要新增驗證內容:

  1. [Microsoft Entra 條件式存取] 的 [ 管理] 底下,選取 [ 驗證內容]

  2. 取 [新增驗證內容]

  3. 輸入名稱和描述,然後選取 [ 發佈至應用程式] 複選框。

    新增驗證內容UI的螢幕快照

  4. 選取 [儲存]

建立條件式存取原則

接下來,建立條件式存取原則,以套用至該驗證內容,並要求來賓同意使用規定作為存取條件。

若要建立條件式存取原則:

  1. [Microsoft Entra 條件式存取] 中,選取 [ 新增原則]

  2. 輸入原則的名稱。

  3. 在 [ 使用者和群組] 索引標籤 上,選擇 [ 選取使用者和群組 ] 選項,然後選取 [ 來賓或外部使用者] 複選框。

  4. 從下拉式清單中選擇 [B2B 共同作業來賓使用者 ]。

  5. 在 [ 雲端應用程式或動作] 索引 標籤的 [ 選取此原則適用專案] 下,選擇 [ 驗證內容],然後選取您所建立之驗證內容的複選框。

    雲端應用程式中的驗證內容選項螢幕快照,或條件式存取原則的動作設定。

  6. 在 [ 授與] 索引標籤上,選取您要使用的使用規定複選框,然後選取 [ 選取]

  7. 選擇是否要啟用原則,然後選取 [ 建立]

將驗證內容直接套用至網站

您可以使用 Set-SPOSite PowerShell Cmdlet,直接將驗證內容套用至 SharePoint 網站。

注意事項

此功能需要 Microsoft 365 E5 或 Microsoft SharePoint Premium - SharePoint 進階管理授權。

在下列範例中,我們會將上述建立的驗證內容套用至名為 “research” 的網站。

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

設定敏感度標籤以將驗證內容套用至標記的網站

如果您想要使用敏感度標籤來套用驗證內容,請更新敏感度標籤 (或建立新的敏感度標籤) 以使用驗證內容。

注意事項

敏感度標籤需要 Microsoft 365 E5 或 Microsoft 365 E3 加上進階合規性授權。

更新敏感度標籤

  1. Microsoft Purview 合規性入口網站的 [ 信息保護 ] 索引標籤上,選取您要更新的標籤,然後選取 [ 編輯卷標]

  2. 取 [下一步 ],直到您在 [ 定義群組和網站的保護設定 ] 頁面上。

  3. 確定已選取 [ 外部共享和條件式存取設定 ] 複選框,然後選取 [ 下一步]

  4. 在 [ 定義外部共用和裝置存取設定] 頁面上,選取 [ 使用 Microsoft Entra 條件式存取來保護標示的 SharePoint 網站 ] 複選框。

  5. 選取 [ 選擇現有的驗證內容 ] 選項。

  6. 在下拉式清單中,選擇您想要使用的驗證內容。

    Microsoft Entra 驗證內容敏感度標籤設定的螢幕快照

  7. 取 [下一步 ],直到您在 [ 檢閱設定並完成 ] 頁面上,然後選取 [ 儲存卷標]

更新標籤之後,存取 SharePoint 網站 (或具有該標籤之小組) 的 [ 檔案 ] 索引標籤的來賓必須先同意使用規定,才能存取該網站。

封鎖在預覽 () 中推出背景應用程式

如果在網站上設定驗證內容,系統管理員可以選擇防止背景應用程式在條件式存取原則中使用該驗證內容指派的應用程式存取該網站。 您可以設定條件式存取原則,以便將特定驗證內容指派給非 Microsoft 應用程式) (選擇的應用程式原則。 您必須透過下列 Cmdlet 明確開啟這項功能。 您應該至少有一個已設定應用程式主體的條件式存取原則。

Set-SPOTenant -BlockAPPAccessToSitesWithAuthenticationContext $false/$true (default false)

另請參閱

使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容

條件式存取:雲端應用程式、動作和驗證內容

安全性與合規性的 Microsoft 365 授權指導方針