保護 SharePoint 網站和檔案的原則建議
本文說明如何實作建議 零信任 身分識別和裝置存取原則來保護 SharePoint 和 OneDrive。 本指南以一般身分識別和裝置存取原則為基礎。
這些建議是以三種不同的安全性和保護層級為基礎,可根據需求的數據粒度套用:起點、企業,以及 特製化安全性。 您可以根據需求的數據粒度來套用這些原則。 如需詳細資訊,請參閱 建議的安全策略和組態簡介。
此外,您必須使用正確的保護數量來設定 SharePoint 網站,包括適用於企業和特製化安全性內容的適當許可權。
更新通用原則以包含 SharePoint 和 OneDrive
為了保護 SharePoint 和 OneDrive 中的檔案,下圖說明要從通用身分識別和裝置存取原則更新哪些原則。
如果您在設定 SharePoint 原則的範圍中包含 SharePoint,則只需要建立新的原則。 在條件式存取原則中,SharePoint 包含 OneDrive。
新的原則會藉由將特定存取需求套用至指定的 SharePoint 網站,以實作企業和特製化安全性內容的裝置保護。
下表列出您需要更新或建立 SharePoint 的原則。 每個原則都會連結到 通用身分識別和裝置存取原則中相關聯的設定指示,。
| 保護等級 | 原則 | 其他相關資訊 |
|---|---|---|
| 起點 | 登入風險為 中 或 高時需要 MFA | 在雲端應用程式的指派中包含 SharePoint。 |
| 封鎖不支援新式驗證的用戶端 | 在雲端應用程式的指派中包含 SharePoint。 | |
| 套用APP數據保護原則 | 請確定所有建議的應用程式都包含在應用程式清單中。 請務必更新每個平台的原則(iOS/iPadOS、Android 和 Windows)。 | |
| 在 SharePoint 中使用應用程式強制限制 | 新增此新原則。 此設定會告知Microsoft Entra ID 使用 SharePoint 中指定的設定。 此原則適用於所有使用者,但只會影響存取 SharePoint 存取原則中包含的網站。 | |
| 企業 | 當登入風險 低、中等或 高時, 需要 MFA | 在雲端應用程式的指派中包含 SharePoint。 |
| 需要符合規範的計算機 和 行動裝置 | 將 SharePoint 包含在雲端應用程式清單中。 | |
| SharePoint 訪問控制原則:允許僅從非受控裝置存取特定 SharePoint 網站。 | 此原則可防止編輯和下載檔案。 使用 PowerShell 來指定網站。 | |
| 特製化安全性 | 一律 需要 MFA | 在雲端應用程式的指派中包含 SharePoint。 |
| SharePoint 訪問控制原則:封鎖從非受控裝置存取特定 SharePoint 網站。 | 使用 PowerShell 來指定網站。 |
在 SharePoint 中使用應用程式強制執行的限制
如果您在 SharePoint 中實作訪問控制,條件式存取原則會在 Microsoft Entra ID 中建立,以強制執行您在 SharePoint 中設定的原則。 根據預設,此原則會套用至所有使用者,但只會影響您在 SharePoint 中建立訪問控制時使用 PowerShell 指定的網站存取權。 此原則也可以針對特定使用者、群組或網站設定範圍。
若要設定此原則,請參閱 封鎖或限制特定 SharePoint 網站或 OneDrive的存取權。
SharePoint 訪問控制原則
建議您使用裝置訪問控制來保護 SharePoint 網站中包含企業和特殊安全性的內容。 建立原則,指定保護層級和接收保護的網站:
- Enterprise 網站:允許僅限瀏覽器存取。 此設定可防止使用者下載、列印或同步處理檔案。
- 特製化安全性網站:封鎖非受控裝置的存取。
如需詳細資訊,請參閱 封鎖或限制特定 SharePoint 網站或 OneDrive的存取。
這些原則如何一起運作
請務必瞭解 SharePoint 網站許可權通常是根據企業需要存取網站。 網站擁有者會管理這些許可權,這可以是高度動態的。 不論使用者是否已指派給與起點、企業或特製化安全性保護相關聯的 Microsoft Entra 群組,使用 SharePoint 裝置存取原則可確保這些網站的保護。
下圖提供 SharePoint 裝置存取原則如何保護使用者網站存取權的範例。
James 被指派了初始條件式存取原則,但他仍然能夠存取具備企業或專業安全保護的 SharePoint 網站。
- James 是具有企業或特殊安全性保護的網站成員。 當他使用計算機存取網站時,會授與存取權。
- James 是具有企業保護的網站成員。 當他使用 Unmanaged 手機存取網站時,由於網站的裝置存取原則,他會收到僅限瀏覽器的存取權。
- James 是具有特殊安全性保護的網站成員。 當他使用 Unmanaged 手機存取網站時,會因為網站的裝置存取原則而遭到封鎖。 他只能使用受控計算機存取網站。
後續步驟
針對下列項目設定條件式存取原則: