共用方式為


保護 SharePoint 網站和檔案的原則建議

本文說明如何實作建議 零信任 身分識別和裝置存取原則來保護 SharePoint 和 OneDrive。 本指南以一般身分識別和裝置存取原則為基礎

這些建議是以 SharePoint 檔案的三個不同層級安全性和保護為基礎,可根據您的需求粒度套用: 起點企業特製化安全性。 您可以在概觀深入瞭解這些安全性層級,以及這些建議所參考的建議用戶端操作系統。

除了實作本指南之外,請務必使用正確的保護量來設定 SharePoint 網站,包括為企業和特製化安全性內容設定適當的許可權。

更新通用原則以包含 SharePoint 和 OneDrive

為了保護 SharePoint 和 OneDrive 中的檔案,下圖說明要從通用身分識別和裝置存取原則更新哪些原則。

此圖顯示保護 SharePoint 存取權的原則更新摘要

如果您在建立通用原則時包含 SharePoint,則只需要建立新的原則。 針對條件式存取原則,SharePoint 包含 OneDrive。

新原則會將特定存取需求套用至您指定的 SharePoint 網站,以實作企業和特製化安全性內容的裝置保護。

下表列出您需要檢閱和更新或為 SharePoint 建立新的原則。 通用身分識別和裝置存取原則一文中相關聯的設定指示連結。

保護等級 原則 其他相關資訊
起點 登入風險為 高時需要 MFA 在雲端應用程式的指派中包含 SharePoint。
封鎖不支援新式驗證的用戶端 在雲端應用程式的指派中包含 SharePoint。
套用APP數據保護原則 請確定所有建議的應用程式都包含在應用程式清單中。 請務必更新每個平台的原則(iOS、Android、Windows)。
在 SharePoint 中使用應用程式強制限制 新增此新原則。 這會告訴Microsoft Entra ID使用 SharePoint 中指定的設定。 此原則適用於所有使用者,但只會影響存取 SharePoint 存取原則中包含的網站。
企業 登入風險低高時需要 MFA 在雲端應用程式的指派中包含 SharePoint。
需要符合規範的計算機 行動裝置 將 SharePoint 包含在雲端應用程式清單中。
SharePoint 訪問控制原則:允許僅從非受控裝置存取特定 SharePoint 網站。 這可防止編輯和下載檔案。 使用 PowerShell 來指定網站。
特製化安全性 一律 需要 MFA 在雲端應用程式的指派中包含 SharePoint。
SharePoint 訪問控制原則:封鎖從非受控裝置存取特定 SharePoint 網站。 使用 PowerShell 來指定網站。

在 SharePoint 中使用應用程式強制執行的限制

如果您在 SharePoint 中實作訪問控制,條件式存取原則會在 Microsoft Entra ID 中建立,告知Microsoft Entra ID 強制執行您在 SharePoint 中設定的原則。 根據預設,此原則會套用至所有使用者,但只會影響您在 SharePoint 中建立訪問控制時使用 PowerShell 指定的網站存取權。 此原則也可以針對特定使用者、群組或網站設定範圍。

若要設定此原則,請參閱控制從非受控裝置存取中的「封鎖或限制特定 SharePoint 網站集合或 OneDrive 帳戶的存取」

SharePoint 訪問控制原則

Microsoft建議您使用企業版和裝置存取控制的特殊安全性內容來保護 SharePoint 網站中的內容。 您可以建立一個原則,以指定要套用保護的層級和月臺。

  • 企業網站:允許僅限瀏覽器存取。 這可防止用戶下載、列印或同步處理檔案。
  • 特製化安全性網站:封鎖來自非受控裝置的存取。

請參閱控制非受控裝置的存取中的<封鎖或限制特定 SharePoint 網站集合或 OneDrive 帳戶的存取>。

這些原則如何一起運作

請務必瞭解 SharePoint 網站許可權通常是根據企業需要存取網站。 這些許可權是由網站擁有者所管理,而且高度動態。 不論使用者是否已指派給與起點、企業或特製化安全性保護相關聯的 Microsoft Entra 群組,使用 SharePoint 裝置存取原則可確保這些網站的保護。

下圖提供 SharePoint 裝置存取原則如何保護使用者網站存取權的範例。

此圖顯示 SharePoint 裝置存取原則如何保護網站的範例。

James 已指派條件式存取原則,但他可以使用企業或特殊安全性保護來存取 SharePoint 網站。

  • 如果 James 存取某個網站,他是使用電腦擁有企業或特殊安全性保護的成員,則會授與他的存取權。
  • 如果 James 存取企業保護網站,他是使用其 Unmanaged 手機的成員,這是允許起點使用者的,他會收到僅限瀏覽器存取企業網站,因為為此網站設定的裝置存取原則。
  • 如果 James 存取特殊安全性網站,他是使用其 Unmanaged 手機的成員,他將會因為為此網站設定的存取原則而遭到封鎖。 他只能使用受控計算機存取此網站。

後續步驟

步驟 4 - Microsoft 365 雲端應用程式的原則螢幕快照。

針對下列項目設定條件式存取原則: