Richtlinienempfehlungen zum Sichern von SharePoint-Websites und -Dateien
In diesem Artikel wird beschrieben, wie Sie die empfohlenen Zero Trust-Identitäts- und Gerätezugriffsrichtlinien zum Schutz von SharePoint und OneDrive implementieren. Dieser Leitfaden basiert auf den allgemeinen Identitäts- und Gerätezugriffsrichtlinien.
Diese Empfehlungen basieren auf drei verschiedenen Sicherheits- und Schutzebenen für SharePoint-Dateien, die basierend auf der Granularität Ihrer Anforderungen angewendet werden können: Ausgangspunkt, Unternehmen und spezialisierte Sicherheit. Weitere Informationen zu diesen Sicherheitsstufen und den empfohlenen Clientbetriebssystemen finden Sie in der Übersicht unter diesen Empfehlungen.
Achten Sie zusätzlich zur Implementierung dieser Anleitung darauf, SharePoint-Websites mit dem richtigen Schutzumfang zu konfigurieren, einschließlich der Einstellung geeigneter Berechtigungen für Unternehmens- und spezialisierte Sicherheitsinhalte.
Aktualisieren allgemeiner Richtlinien für SharePoint und OneDrive
Zum Schutz von Dateien in SharePoint und OneDrive veranschaulicht das folgende Diagramm, welche Richtlinien aus den allgemeinen Identitäts- und Gerätezugriffsrichtlinien aktualisiert werden sollen.
Wenn Sie SharePoint beim Erstellen der allgemeinen Richtlinien hinzugefügt haben, müssen Sie nur die neuen Richtlinien erstellen. Für Richtlinien für bedingten Zugriff enthält SharePoint OneDrive.
Die neuen Richtlinien implementieren den Geräteschutz für Unternehmens- und spezielle Sicherheitsinhalte, indem sie bestimmte Zugriffsanforderungen auf von Ihnen angegebene SharePoint-Websites anwenden.
In der folgenden Tabelle sind die Richtlinien aufgeführt, die Sie entweder überprüfen und aktualisieren oder für SharePoint neu erstellen müssen. Die allgemeinen Richtlinien verknüpfen sich mit den zugehörigen Konfigurationsanweisungen im Artikel Allgemeine Identitäts- und Gerätezugriffsrichtlinien.
Schutzebene | Richtlinien | Weitere Informationen |
---|---|---|
Startpunkt | rfordern Sie MFA, wenn das Anmelderisiko mittel oder hoch ist | Schließen Sie SharePoint in die Zuweisung von Cloud-Apps ein. |
Blockieren Sie Clients, die die moderne Authentifizierung nicht unterstützen | Schließen Sie SharePoint in die Zuweisung von Cloud-Apps ein. | |
Wenden Sie die APP-Datenschutzrichtlinien an | Achten Sie darauf, dass alle empfohlenen Apps in der Liste der Apps enthalten sind. Achten Sie darauf, die Richtlinie für jede Plattform (iOS, Android, Windows) zu aktualisieren. | |
Verwenden von erzwungenen Einschränkungen der App in SharePoint | Fügen Sie diese neue Richtlinie hinzu. Dadurch wird Microsoft Entra ID mitgeteilt, die in SharePoint angegebenen Einstellungen zu verwenden. Diese Richtlinie gilt für alle Benutzer, wirkt sich jedoch nur auf den Zugriff auf Websites aus, die in SharePoint-Zugriffsrichtlinien enthalten sind. | |
Enterprise | Erfordern Sie MFA, wenn das Anmelderisiko niedrig, mittel oder hoch ist | Fügen Sie SharePoint in die Zuweisungen von Cloud-Apps ein. |
Erfordert kompatible PCs und Mobilgeräte | Fügen Sie SharePoint in die Liste der Cloud-Apps ein. | |
SharePoint-Zugriffssteuerungsrichtlinie: Zulassen des reinen Browserzugriffs auf bestimmte SharePoint-Websites von nicht verwalteten Geräten. | Dadurch wird das Bearbeiten und Herunterladen von Dateien verhindert. Verwenden Sie PowerShell, um Websites anzugeben. | |
Spezialisierte Sicherheit | Erfordern Sie immer MFA | Schließen Sie SharePoint in die Zuweisung von Cloud-Apps ein. |
SharePoint-Zugriffssteuerungsrichtlinie: Blockieren des Zugriffs auf bestimmte SharePoint-Websites von nicht verwalteten Geräten. | Verwenden Sie PowerShell, um Websites anzugeben. |
Verwenden von Apps erzwungene Einschränkungen in SharePoint
Wenn Sie Zugriffssteuerungen in SharePoint implementieren, werden Richtlinien für bedingten Zugriff in Microsoft Entra ID erstellt, um Microsoft Entra ID mitzuteilen, die Richtlinien zu erzwingen, die Sie in SharePoint konfigurieren. Diese Richtlinie gilt standardmäßig für alle Benutzer, wirkt sich jedoch nur auf den Zugriff auf die Websites aus, die Sie mithilfe von PowerShell angeben, wenn Sie die Zugriffssteuerelemente in SharePoint erstellen. Die Richtlinie kann auch auf bestimmte Benutzer, Gruppen oder Websites festgelegt werden.
Informationen zum Konfigurieren dieser Richtlinie finden Sie unter „Blockieren oder Einschränken des Zugriffs auf bestimmte SharePoint-Websitesammlungen oder OneDrive-Konten“ unter Steuern des Zugriffs von nicht verwalteten Geräten.
SharePoint-Zugriffssteuerungsrichtlinien
Microsoft empfiehlt, Inhalte auf SharePoint-Websites mit Unternehmens- und speziellen Sicherheitsinhalten mit Zugriffssteuerungen für Geräte zu schützen. Dazu erstellen Sie eine Richtlinie, die den Schutzgrad und die Websites angibt, auf die der Schutz angewendet werden soll.
- Unternehmenswebsites: Zulassen des reinen Browserzugriffs. Dadurch wird verhindert, dass Benutzer Dateien herunterladen, drucken oder synchronisieren.
- Spezielle Sicherheitswebsites: Zugriff von nicht verwalteten Geräten blockieren.
Siehe „Blockieren oder Einschränken des Zugriffs auf bestimmte SharePoint-Websitesammlungen oder OneDrive-Konten“ unter Steuern des Zugriffs von nicht verwalteten Geräten.
Wie diese Richtlinien zusammenarbeiten
Es ist wichtig zu verstehen, dass SharePoint-Websiteberechtigungen in der Regel auf dem geschäftlichen Bedarf für den Zugriff auf Websites basieren. Diese Berechtigungen werden von Websitebesitzern verwaltet und können sehr dynamisch sein. Durch die Verwendung von SharePoint-Gerätezugriffsrichtlinien wird der Schutz für diese Websites sichergestellt, unabhängig davon, ob Benutzern eine Microsoft Entra-Gruppe zugewiesen ist, die dem Startpunkt, dem Unternehmen oder dem speziellen Sicherheitsschutz zugeordnet ist.
Die folgende Abbildung zeigt ein Beispiel dafür, wie SharePoint-Gerätezugriffsrichtlinien den Zugriff auf Websites für einen Benutzer schützen.
James verfügt über zugewiesene Richtlinien für bedingten Zugriff, aber er kann Zugriff auf SharePoint-Websites mit Unternehmens- oder speziellem Sicherheitsschutz erhalten.
- Wenn James auf eine Website zugreift und er ein Mitglied von der Enterprise ist oder spezialisierten Sicherheitsschutz mit seinem PC hat, wird sein Zugriff gewährt.
- Wenn James auf eine Unternehmensschutzwebsite zugreift und Mitglied seines nicht verwalteten Telefons ist, das für Ausgangspunkte zugelassen ist, dann erhält er browsergeschützten Zugriff auf die Unternehmenswebsite aufgrund der für diese Website konfigurierten Gerätezugriffsrichtlinie.
- Wenn James auf eine spezielle Sicherheitswebsite zugreift und Mitglied seines nicht verwalteten Telefon ist, wird er aufgrund der für diese Website konfigurierten Zugriffsrichtlinie blockiert. Er kann nur über seinen verwalteten PC auf diese Website zugreifen.
Nächster Schritt
Konfigurieren von Richtlinien für Folgendes: