Richtlinienempfehlungen zum Schützen von SharePoint-Websites und -Dateien
In diesem Artikel wird beschrieben, wie Sie die empfohlenen Zero Trust Identitäts- und Gerätezugriffsrichtlinien zum Schutz von SharePoint und OneDrive for Business implementieren. Dieser Leitfaden baut auf den allgemeinen Identitäts- und Gerätezugriffsrichtlinien auf.
Diese Empfehlungen basieren auf drei verschiedenen Sicherheits- und Schutzebenen für SharePoint-Dateien, die basierend auf der Granularität Ihrer Anforderungen angewendet werden können: Startpunkt, Unternehmenssicherheit und spezialisierte Sicherheit. Weitere Informationen zu diesen Sicherheitsebenen und den empfohlenen Clientbetriebssystemen, auf die diese Empfehlungen verweisen, finden Sie in der Übersicht.
Stellen Sie zusätzlich zur Implementierung dieses Leitfadens sicher, dass Sie SharePoint-Websites mit dem richtigen Schutzumfang konfigurieren, einschließlich des Festlegens geeigneter Berechtigungen für Unternehmensinhalte und spezielle Sicherheitsinhalte.
Aktualisieren allgemeiner Richtlinien für SharePoint und OneDrive for Business
Zum Schützen von Dateien in SharePoint und OneDrive veranschaulicht das folgende Diagramm, welche Richtlinien aus den allgemeinen Identitäts- und Gerätezugriffsrichtlinien aktualisiert werden müssen.
Wenn Sie SharePoint beim Erstellen der allgemeinen Richtlinien eingeschlossen haben, müssen Sie nur die neuen Richtlinien erstellen. Für Richtlinien für bedingten Zugriff enthält SharePoint OneDrive.
Die neuen Richtlinien implementieren den Geräteschutz für Unternehmens- und spezielle Sicherheitsinhalte, indem bestimmte Zugriffsanforderungen auf von Ihnen angegebene SharePoint-Websites angewendet werden.
In der folgenden Tabelle sind die Richtlinien aufgeführt, die Sie entweder für SharePoint überprüfen und aktualisieren oder neu erstellen müssen. Die allgemeinen Richtlinien sind mit den zugehörigen Konfigurationsanweisungen im Artikel Allgemeine Identitäts- und Gerätezugriffsrichtlinien verknüpft .
| Schutzebene | Richtlinien | Weitere Informationen |
|---|---|---|
| Ausgangspunkt | MFA erforderlich, wenn das Anmelderisiko mittel oder hoch ist | Schließen Sie SharePoint in die Zuweisung von Cloud-Apps ein. |
| Blockieren von Clients, die die moderne Authentifizierung nicht unterstützen | Schließen Sie SharePoint in die Zuweisung von Cloud-Apps ein. | |
| Anwenden von APP-Datenschutzrichtlinien | Stellen Sie sicher, dass alle empfohlenen Apps in der Liste der Apps enthalten sind. Achten Sie darauf, die Richtlinie für jede Plattform (iOS, Android, Windows) zu aktualisieren. | |
| Verwenden von app-erzwungenen Einschränkungen in SharePoint | Fügen Sie diese neue Richtlinie hinzu. Dadurch wird Microsoft Entra-ID aufgefordert, die in SharePoint angegebenen Einstellungen zu verwenden. Diese Richtlinie gilt für alle Benutzer, wirkt sich jedoch nur auf den Zugriff auf Websites aus, die in SharePoint-Zugriffsrichtlinien enthalten sind. | |
| Unternehmen | MFA erforderlich, wenn das Anmelderisiko niedrig, mittel oder hoch ist | Schließen Sie SharePoint in die Zuweisungen von Cloud-Apps ein. |
| Erfordern konformer PCs und mobiler Geräte | Fügen Sie SharePoint in die Liste der Cloud-Apps ein. | |
| SharePoint-Zugriffssteuerungsrichtlinie: Zulassen des reinen Browserzugriffs auf bestimmte SharePoint-Websites von nicht verwalteten Geräten aus. | Dies verhindert das Bearbeiten und Herunterladen von Dateien. Verwenden Sie PowerShell, um Websites anzugeben. | |
| Spezialisierte Sicherheit | MFA immer erforderlich | Schließen Sie SharePoint in die Zuweisung von Cloud-Apps ein. |
| SharePoint-Zugriffssteuerungsrichtlinie: Blockieren Des Zugriffs auf bestimmte SharePoint-Websites von nicht verwalteten Geräten aus. | Verwenden Sie PowerShell, um Websites anzugeben. |
Verwenden von app-erzwungenen Einschränkungen in SharePoint
Wenn Sie Zugriffssteuerungen in SharePoint implementieren, werden Richtlinien für bedingten Zugriff in Microsoft Entra ID erstellt, um Microsoft Entra ID mitzuteilen, die Richtlinien zu erzwingen, die Sie in SharePoint konfigurieren. Standardmäßig gilt diese Richtlinie für alle Benutzer, wirkt sich jedoch nur auf den Zugriff auf die Websites aus, die Sie mithilfe von PowerShell angeben, wenn Sie die Zugriffssteuerungen in SharePoint erstellen. Die Richtlinie kann auch für bestimmte Benutzer, Gruppen oder Websites gelten.
Informationen zum Konfigurieren dieser Richtlinie finden Sie unter "Blockieren oder Einschränken des Zugriffs auf bestimmte SharePoint-Websitesammlungen oder OneDrive-Konten" unter Steuern des Zugriffs von nicht verwalteten Geräten.
SharePoint-Zugriffssteuerungsrichtlinien
Microsoft empfiehlt, Inhalte auf SharePoint-Websites mit Unternehmens- und speziellen Sicherheitsinhalten mit Gerätezugriffssteuerungen zu schützen. Dazu erstellen Sie eine Richtlinie, die die Schutzebene und die Websites angibt, auf die der Schutz angewendet werden soll.
- Unternehmenswebsites: Zulassen des reinen Browserzugriffs. Dadurch wird verhindert, dass Benutzer Dateien bearbeiten und herunterladen.
- Spezialisierte Sicherheitswebsites: Blockieren des Zugriffs von nicht verwalteten Geräten.
Weitere Informationen finden Sie unter Blockieren oder Einschränken des Zugriffs auf bestimmte SharePoint-Websitesammlungen oder OneDrive-Konten unter Steuern des Zugriffs von nicht verwalteten Geräten.
Wie diese Richtlinien zusammenarbeiten
Es ist wichtig zu verstehen, dass SharePoint-Websiteberechtigungen in der Regel auf der Geschäftlichen Anforderung für den Zugriff auf Websites basieren. Diese Berechtigungen werden von Websitebesitzern verwaltet und können sehr dynamisch sein. Die Verwendung von SharePoint-Gerätezugriffsrichtlinien stellt den Schutz für diese Websites sicher, unabhängig davon, ob Benutzer einer Microsoft Entra Gruppe zugewiesen sind, die dem Startpunkt-, Unternehmens- oder spezialisierten Sicherheitsschutz zugeordnet ist.
Die folgende Abbildung zeigt ein Beispiel dafür, wie SharePoint-Gerätezugriffsrichtlinien den Zugriff auf Websites für einen Benutzer schützen.
James hat Startpunkt-Richtlinien für bedingten Zugriff zugewiesen, aber er kann Zugriff auf SharePoint-Websites mit Unternehmens- oder speziellem Sicherheitsschutz erhalten.
- Wenn James über seinen PC auf eine Website zugreift, bei der er Mitglied ist, mit unternehmens- oder spezialisiertem Sicherheitsschutz, wird ihm der Zugriff gewährt.
- Wenn James auf eine Unternehmensschutzwebsite zugreift, deren Mitglied er ist, sein nicht verwaltetes Telefon verwendet, das für Benutzer des Startpunkts zulässig ist, erhält er aufgrund der für diese Website konfigurierten Gerätezugriffsrichtlinie nur Browserzugriff auf die Unternehmenswebsite.
- Wenn James über sein nicht verwaltetes Telefon auf eine spezielle Sicherheitswebsite zugreift, deren Mitglied er ist, wird er aufgrund der für diese Website konfigurierten Zugriffsrichtlinie blockiert. Er kann nur über seinen verwalteten PC auf diese Website zugreifen.
Nächster Schritt
Konfigurieren von Richtlinien für bedingten Zugriff für:
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für