Recomendaciones de directiva para proteger archivos y sitios de SharePoint

En este artículo se describe cómo implementar las directivas de acceso a dispositivos e identidades de Confianza cero recomendadas para proteger SharePoint y OneDrive para la Empresa. Esta guía se basa en las directivas comunes de acceso a dispositivos e identidades.

Estas recomendaciones se basan en tres niveles diferentes de seguridad y protección para archivos de SharePoint que se pueden aplicar en función de la granularidad de sus necesidades: punto de partida, empresa y seguridad especializada. Puede obtener más información sobre estos niveles de seguridad y los sistemas operativos de cliente recomendados a los que hacen referencia estas recomendaciones en la introducción.

Además de implementar esta guía, asegúrese de configurar sitios de SharePoint con la cantidad adecuada de protección, incluidos los permisos adecuados para el contenido de seguridad especializado y empresarial.

Actualización de directivas comunes para incluir SharePoint y OneDrive para la Empresa

Para proteger archivos en SharePoint y OneDrive, en el diagrama siguiente se muestran las directivas que se van a actualizar desde las directivas comunes de acceso a dispositivos e identidades.

Resumen de las actualizaciones de directivas para proteger el acceso a SharePoint

Si incluyó SharePoint al crear las directivas comunes, solo tendrá que crear las nuevas directivas. Para las directivas de acceso condicional, SharePoint incluye OneDrive.

Las nuevas directivas implementan la protección de dispositivos para contenido de seguridad especializado y empresarial mediante la aplicación de requisitos de acceso específicos a los sitios de SharePoint que especifique.

En la tabla siguiente se enumeran las directivas que debe revisar y actualizar o crear nuevas para SharePoint. Las directivas comunes se vinculan a las instrucciones de configuración asociadas en el artículo Directivas comunes de acceso a dispositivos e identidades .

Nivel de protección Directivas Más información
Punto de inicio Requerir MFA cuando el riesgo de inicio de sesión es medio o alto Incluya SharePoint en la asignación de aplicaciones en la nube.
Bloquear a los clientes que no sean compatibles con la autenticación moderna Incluya SharePoint en la asignación de aplicaciones en la nube.
Aplicación de directivas de protección de datos de APLICACIONES Asegúrese de que todas las aplicaciones recomendadas se incluyen en la lista de aplicaciones. Asegúrese de actualizar la directiva para cada plataforma (iOS, Android, Windows).
Uso de restricciones aplicadas por la aplicación en SharePoint Agregue esta nueva directiva. Esto indica a Microsoft Entra identificador que use la configuración especificada en SharePoint. Esta directiva se aplica a todos los usuarios, pero solo afecta al acceso a los sitios incluidos en las directivas de acceso de SharePoint.
Empresarial Requerir MFA cuando el riesgo de inicio de sesión es bajo, medio o alto Incluya SharePoint en las asignaciones de aplicaciones en la nube.
Requerir equipos compatibles y dispositivos móviles Incluya SharePoint en la lista de aplicaciones en la nube.
Directiva de control de acceso de SharePoint: permite el acceso solo del explorador a sitios específicos de SharePoint desde dispositivos no administrados. Esto impide la edición y descarga de archivos. Use PowerShell para especificar sitios.
Seguridad especializada Siempre se requiere MFA Incluya SharePoint en la asignación de aplicaciones en la nube.
Directiva de control de acceso de SharePoint: bloquear el acceso a sitios específicos de SharePoint desde dispositivos no administrados. Use PowerShell para especificar sitios.

Uso de restricciones aplicadas por la aplicación en SharePoint

Si implementa controles de acceso en SharePoint, las directivas de acceso condicional se crean en Microsoft Entra identificador para indicar a Microsoft Entra identificador que aplique las directivas que configure en SharePoint. De forma predeterminada, esta directiva se aplica a todos los usuarios, pero solo afecta al acceso a los sitios especificados mediante PowerShell al crear los controles de acceso en SharePoint. La directiva también se puede limitar a usuarios, grupos o sitios específicos.

Para configurar esta directiva, vea "Bloquear o limitar el acceso a colecciones de sitios de SharePoint específicas o cuentas de OneDrive" en Control del acceso desde dispositivos no administrados.

Directivas de control de acceso de SharePoint

Microsoft recomienda proteger el contenido de los sitios de SharePoint con contenido de seguridad empresarial y especializado con controles de acceso a dispositivos. Para ello, cree una directiva que especifique el nivel de protección y los sitios a los que aplicar la protección.

  • Sitios empresariales: permitir el acceso solo al explorador. Esto impide que los usuarios editen y descarguen archivos.
  • Sitios de seguridad especializados: bloquear el acceso desde dispositivos no administrados.

Vea "Bloquear o limitar el acceso a colecciones de sitios de SharePoint específicas o cuentas de OneDrive" en Control del acceso desde dispositivos no administrados.

Cómo funcionan conjuntamente estas directivas

Es importante comprender que los permisos de sitio de SharePoint suelen basarse en la necesidad empresarial de acceso a los sitios. Estos permisos los administran los propietarios del sitio y pueden ser muy dinámicos. El uso de directivas de acceso a dispositivos de SharePoint garantiza la protección de estos sitios, independientemente de si los usuarios están asignados a un grupo de Microsoft Entra asociado con el punto de partida, la empresa o la protección de seguridad especializada.

En la ilustración siguiente se proporciona un ejemplo de cómo las directivas de acceso a dispositivos de SharePoint protegen el acceso a los sitios de un usuario.

Ejemplo de cómo las directivas de acceso a dispositivos de SharePoint protegen los sitios

James tiene asignadas directivas de acceso condicional de punto de partida, pero se le puede conceder acceso a sitios de SharePoint con protección de seguridad empresarial o especializada.

  • Si James accede a un sitio del que es miembro con protección de seguridad empresarial o especializada mediante su PC, se concede su acceso.
  • Si James accede a un sitio de protección empresarial del que es miembro mediante su teléfono no administrado, lo que está permitido para los usuarios de punto de partida, recibirá acceso de solo explorador al sitio de empresa debido a la directiva de acceso del dispositivo configurada para este sitio.
  • Si James accede a un sitio de seguridad especializado del que es miembro mediante su teléfono no administrado, se le bloqueará debido a la directiva de acceso configurada para este sitio. Solo puede acceder a este sitio mediante su pc administrado.

Paso siguiente

Paso 4: Directivas para aplicaciones en la nube de Microsoft 365

Configurar directivas de acceso condicional para: