Richtlinien für bedingten Zugriff und SharePoint

Mithilfe Microsoft Entra Authentifizierungskontexts können Sie strengere Zugriffsbedingungen erzwingen, wenn Benutzer auf SharePoint-Websites zugreifen.

Verwenden Sie Authentifizierungskontexte, um eine Microsoft Entra Richtlinie für bedingten Zugriff mit einer SharePoint-Website zu verbinden. Sie können Richtlinien direkt auf die Website oder über eine Vertraulichkeitsbezeichnung anwenden.

Sie können diese Funktion nicht auf die Stammwebsite in SharePoint anwenden (z. B https://contoso.sharepoint.com. ).

Screenshot: Dashboard von Richtlinien für bedingten Zugriff.

Bevor Sie beginnen

Überprüfen Sie die Voraussetzungen für die erweiterte Verwaltung von SharePoint.

Darüber hinaus benötigen Sie eine der folgenden Lizenzen:

  • Microsoft 365 E5/A5 Compliance
  • Microsoft 365 E5 Information Protection und Governance

Begrenzungen

Einige Apps funktionieren nicht mit Authentifizierungskontexten. Testen Sie Apps auf einer Website mit aktiviertem Authentifizierungskontext, bevor Sie dieses Feature allgemein bereitstellen.

Die folgenden Apps und Szenarien funktionieren nicht mit Authentifizierungskontexten:

  • Ältere Versionen von Office-Apps (siehe Liste der unterstützten Versionen)
  • Mobile SharePoint-Apps (iOS und Android)
  • Viva Engage
  • Sie können die OneNote-App einem Kanal nicht hinzufügen, wenn die zugeordnete SharePoint-Website über einen Authentifizierungskontext verfügt.
  • Das Hochladen der Besprechungsaufzeichnung im Teams-Kanal schlägt auf Websites mit einem Authentifizierungskontext fehl.
  • Das Umbenennen von SharePoint-Ordnern in Teams schlägt fehl, wenn die Website über einen Authentifizierungskontext verfügt.
  • Bei der Planung des Teams-Webinars tritt ein Fehler auf, wenn OneDrive über einen Authentifizierungskontext verfügt.
  • Die OneDrive-Synchronisation App synchronisiert keine Websites mit einem Authentifizierungskontext.
  • Das Zuordnen eines Authentifizierungskontexts zur Websitesammlung des Unternehmensanwendungskatalogs wird nicht unterstützt.
  • Das Feature "SharePoint-Liste in Power BI visualisieren" unterstützt derzeit keinen Authentifizierungskontext.
  • Outlook unter Windows, Mac, Android und iOS unterstützt keine Kommunikation mit SharePoint-Websites, die durch einen Authentifizierungskontext geschützt sind.
  • Das Feature zum Herunterladen mehrerer Dateien funktioniert derzeit nicht, wenn sowohl der Authentifizierungskontext als auch "App-Steuerung für bedingten Zugriff verwenden" in der Sitzungssteuerung in der Richtlinie für bedingten Zugriff aktiviert sind.
  • Das Feature zum Herunterladen mehrerer Dateien funktioniert nicht, wenn ein Authentifizierungskontext direkt auf einer SharePoint-Website ohne aktive Richtlinie für bedingten Zugriff festgelegt wird, die diesen Kontext verwendet, oder wenn die Richtlinie vorhanden, aber deaktiviert ist.
  • Das Feature zum Kopieren und Verschieben von Dateien zwischen verschiedenen Regionen (geoübergreifend) funktioniert derzeit nicht, wenn ein Authentifizierungskontext auf die Zielwebsite angewendet wird.
  • Das Exportieren nach Excel als Excel-Webabfrage (IQY) unterstützt derzeit keinen Authentifizierungskontext.

Einrichten eines Authentifizierungskontexts

Führen Sie die folgenden grundlegenden Schritte aus, um einen Authentifizierungskontext für bezeichnete Websites einzurichten:

  1. Fügen Sie einen Authentifizierungskontext in Microsoft Entra ID hinzu.

  2. Erstellen Sie eine Richtlinie für bedingten Zugriff, die für diesen Authentifizierungskontext gilt und über die Bedingungen und Zugriffssteuerungen verfügt, die Sie verwenden möchten.

  3. Führen Sie einen der folgenden Schritte aus:

    1. Legen Sie eine Vertraulichkeitsbezeichnung fest, um den Authentifizierungskontext auf bezeichnete Websites anzuwenden.

    2. Wenden Sie den Authentifizierungskontext direkt auf eine Website an.

In diesem Artikel sehen Sie das Beispiel, in dem Gäste vor dem Zugriff auf eine sensible SharePoint-Website den Nutzungsbedingungen zustimmen müssen. Sie können auch alle anderen Bedingungen für bedingten Zugriff und Zugriffssteuerungen verwenden, die Sie möglicherweise für Ihre organization benötigen.

Hinzufügen eines Authentifizierungskontexts

Fügen Sie zunächst einen Authentifizierungskontext in Microsoft Entra ID hinzu.

So fügen Sie einen Authentifizierungskontext hinzu:

  1. Wählen Sie Microsoft Entra Bedingter Zugriff unter Verwaltendie Option Authentifizierungskontext aus.

  2. Wählen Sie Neuer Authentifizierungskontext aus.

  3. Geben Sie einen Namen und eine Beschreibung ein, und aktivieren Sie das Kontrollkästchen In Apps veröffentlichen .

    Screenshot der Benutzeroberfläche zum Hinzufügen des Authentifizierungskontexts

  4. Klicken Sie auf Speichern.

Erstellen einer Richtlinie für bedingten Zugriff

Erstellen Sie als Nächstes eine Richtlinie für bedingten Zugriff, die für diesen Authentifizierungskontext gilt und von Gästen verlangt wird, dass sie den Nutzungsbedingungen als Zugriffsbedingung zustimmen.

So erstellen Sie eine Richtlinie für den bedingten Zugriff:

  1. Wählen Sie Microsoft Entra Bedingter Zugriffdie Option Neue Richtlinie aus.

  2. Geben Sie einen Namen für die Richtlinie ein.

  3. Wählen Sie auf der Registerkarte Benutzer und Gruppen die Option Benutzer und Gruppen auswählen aus, und aktivieren Sie dann das Kontrollkästchen Gast oder externe Benutzer .

  4. Wählen Sie Gastbenutzer für die B2B-Zusammenarbeit aus der Dropdownliste aus.

  5. Wählen Sie auf der Registerkarte Cloud-Apps oder -Aktionen unter Auswählen, wofür diese Richtlinie gilt die Option Authentifizierungskontext aus, und aktivieren Sie das Kontrollkästchen für den von Ihnen erstellten Authentifizierungskontext.

    Screenshot: Authentifizierungskontextoptionen in Cloud-Apps oder Aktionseinstellungen für eine Richtlinie für bedingten Zugriff.

  6. Aktivieren Sie auf der Registerkarte Gewähren das Kontrollkästchen für die Nutzungsbedingungen, die Sie verwenden möchten, und wählen Sie dann Auswählen aus.

  7. Wählen Sie aus, ob Sie die Richtlinie aktivieren möchten, und wählen Sie dann Erstellen aus.

Direktes Anwenden des Authentifizierungskontexts auf eine Website

Sie können einen Authentifizierungskontext direkt auf eine SharePoint-Website anwenden, indem Sie das PowerShell-Cmdlet Set-SPOSite verwenden.

Hinweis

Diese Funktion erfordert eine Microsoft 365 E5- oder Microsoft Erweiterte SharePoint-Verwaltung-Lizenz.

Im folgenden Beispiel wenden Sie den zuvor erstellten Authentifizierungskontext auf eine Website namens "Research" an.

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

Festlegen einer Vertraulichkeitsbezeichnung zum Anwenden des Authentifizierungskontexts auf bezeichnete Websites

Wenn Sie eine Vertraulichkeitsbezeichnung verwenden möchten, um den Authentifizierungskontext anzuwenden, aktualisieren Sie eine Vertraulichkeitsbezeichnung (oder erstellen Sie eine neue), um den Authentifizierungskontext zu verwenden.

Hinweis

Vertraulichkeitsbezeichnungen erfordern Microsoft 365 E5 oder Microsoft 365 E3 sowie die Advanced Compliance-Lizenz.

So aktualisieren Sie eine Vertraulichkeitsbezeichnung

  1. Wählen Sie im Microsoft Purview-Portal auf der Registerkarte Informationsschutz die Bezeichnung aus, die Sie aktualisieren möchten, und wählen Sie dann Bezeichnung bearbeiten aus.

  2. Wählen Sie Weiter aus, bis Sie sich auf der Seite Schutzeinstellungen für Gruppen und Websites definieren befinden.

  3. Stellen Sie sicher, dass das Kontrollkästchen Einstellungen für externe Freigabe und bedingten Zugriff aktiviert ist, und wählen Sie dann Weiter aus.

  4. Aktivieren Sie auf der Seite Einstellungen für die externe Freigabe und den Gerätezugriff definieren das Kontrollkästchen Microsoft Entra bedingten Zugriff zum Schützen von bezeichneten SharePoint-Websites verwenden.

  5. Wählen Sie die Option Vorhandenen Authentifizierungskontext auswählen aus.

  6. Wählen Sie in der Dropdownliste den Authentifizierungskontext aus, den Sie verwenden möchten.

    Screenshot der Einstellungen für Microsoft Entra Authentifizierungskontext-Vertraulichkeitsbezeichnung

  7. Wählen Sie Weiter aus, bis Sie sich auf der Seite Einstellungen überprüfen und fertig stellen befinden, und wählen Sie dann Bezeichnung speichern aus.

Nachdem Sie die Bezeichnung aktualisiert haben, müssen Gäste, die auf eine SharePoint-Website (oder die registerkarte Files in einem Team) mit dieser Bezeichnung zugreifen, den Nutzungsbedingungen zustimmen, bevor sie Zugriff auf diese Website erhalten.

Blockieren von Hintergrund-Apps

Wenn Sie den Authentifizierungskontext auf einer Website festlegen, können Administratoren den Zugriff von Hintergrund-Apps auf diese Website für die Apps verhindern, die diesem Authentifizierungskontext in einer Richtlinie für bedingten Zugriff zugewiesen sind. Sie können eine Richtlinie für bedingten Zugriff so konfigurieren, dass ausgewählten Anwendungsprinzipalen (Nicht-Microsoft-Anwendungen) ein bestimmter Authentifizierungskontext zugewiesen werden kann. Sie müssen dieses Feature mithilfe des folgenden Cmdlets explizit aktivieren. Sie sollten über mindestens eine Richtlinie für bedingten Zugriff verfügen, bei der ein Anwendungsprinzipal konfiguriert ist.

Set-SPOTenant -BlockAppAccessWithAuthenticationContext $false/$true (default false)

Integration von Drittanbieter-Apps

Apps von Drittanbietern, die Websites mit angefügtem Authentifizierungskontext verwenden, müssen Anspruchsabfragen verarbeiten können. Weitere Informationen finden Sie im Entwicklerhandbuch zum Authentifizierungskontext für bedingten Zugriff.

Siehe auch

Vertraulichkeitsbezeichnungen zum Schutz von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites verwenden

Bedingter Zugriff: Cloud-Apps, Aktionen und Authentifizierungskontext

Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance

  • Last updated on