Bagikan melalui


Rekomendasi kebijakan untuk mengamankan situs dan file SharePoint

Artikel ini menjelaskan cara menerapkan identitas Zero Trust dan kebijakan akses perangkat yang direkomendasikan untuk melindungi SharePoint dan OneDrive. Panduan ini dibangun berdasarkan identitas umum dan kebijakan akses perangkat.

Rekomendasi ini didasarkan pada tiga tingkat keamanan dan perlindungan yang berbeda untuk file SharePoint yang dapat diterapkan berdasarkan granularitas kebutuhan Anda: titik awal, perusahaan, dan keamanan khusus. Anda dapat mempelajari selengkapnya tentang tingkat keamanan ini, dan sistem operasi klien yang direkomendasikan, yang direferensikan oleh rekomendasi ini dalam gambaran umum.

Selain menerapkan panduan ini, pastikan untuk mengonfigurasi situs SharePoint dengan jumlah perlindungan yang tepat, termasuk mengatur izin yang sesuai untuk perusahaan dan konten keamanan khusus.

Memperbarui kebijakan umum untuk menyertakan SharePoint dan OneDrive

Untuk melindungi file di SharePoint dan OneDrive, diagram berikut mengilustrasikan kebijakan mana yang akan diperbarui dari identitas umum dan kebijakan akses perangkat.

Diagram yang memperlihatkan ringkasan pembaruan kebijakan untuk melindungi akses ke SharePoint

Jika Anda menyertakan SharePoint saat membuat kebijakan umum, Anda hanya perlu membuat kebijakan baru. Untuk kebijakan Akses Bersyar, SharePoint menyertakan OneDrive.

Kebijakan baru menerapkan perlindungan perangkat untuk perusahaan dan konten keamanan khusus dengan menerapkan persyaratan akses tertentu ke situs SharePoint yang Anda tentukan.

Tabel berikut ini mencantumkan kebijakan yang perlu Anda tinjau dan perbarui atau buat baru untuk SharePoint. Kebijakan umum ditautkan ke instruksi konfigurasi terkait di artikel Identitas umum dan kebijakan akses perangkat.

Tingkat perlindungan Kebijakan Informasi selengkapnya
Titik awal Memerlukan MFA ketika risiko masuk sedang atau tinggi Sertakan SharePoint dalam penugasan aplikasi cloud.
Memblokir klien yang tidak mendukung autentikasi modern Sertakan SharePoint dalam penugasan aplikasi cloud.
Menerapkan kebijakan perlindungan data APP Pastikan semua aplikasi yang direkomendasikan disertakan dalam daftar aplikasi. Pastikan untuk memperbarui kebijakan untuk setiap platform (iOS, Android, Windows).
Menggunakan pembatasan yang diberlakukan aplikasi di SharePoint Tambahkan kebijakan baru ini. Ini memberi tahu Microsoft Entra ID untuk menggunakan pengaturan yang ditentukan di SharePoint. Kebijakan ini berlaku untuk semua pengguna, tetapi hanya memengaruhi akses ke situs yang disertakan dalam kebijakan akses SharePoint.
Perusahaan Memerlukan MFA ketika risiko masuk rendah, sedang, atau tinggi Sertakan SharePoint dalam penugasan aplikasi cloud.
Memerlukan PC dan perangkat seluler yang sesuai Sertakan SharePoint dalam daftar aplikasi cloud.
Kebijakan kontrol akses SharePoint: Izinkan akses khusus browser ke situs SharePoint tertentu dari perangkat yang tidak dikelola. Ini mencegah pengeditan dan pengunduhan file. Gunakan PowerShell untuk menentukan situs.
Keamanan khusus Selalu memerlukan MFA Sertakan SharePoint dalam penugasan aplikasi cloud.
Kebijakan kontrol akses SharePoint: Memblokir akses ke situs SharePoint tertentu dari perangkat yang tidak dikelola. Gunakan PowerShell untuk menentukan situs.

Menggunakan pembatasan yang diberlakukan aplikasi di SharePoint

Jika Anda menerapkan kontrol akses di SharePoint, kebijakan Akses Bersyar dibuat di ID Microsoft Entra untuk memberi tahu ID Microsoft Entra untuk menerapkan kebijakan yang Anda konfigurasi di SharePoint. Secara default, kebijakan ini berlaku untuk semua pengguna, tetapi hanya memengaruhi akses ke situs yang Anda tentukan menggunakan PowerShell saat Anda membuat kontrol akses di SharePoint. Kebijakan ini juga dapat dilingkup untuk pengguna, grup, atau situs tertentu.

Untuk mengonfigurasi kebijakan ini, lihat "Memblokir atau membatasi akses ke kumpulan situs SharePoint atau akun OneDrive tertentu" di Mengontrol akses dari perangkat yang tidak dikelola.

Kebijakan kontrol akses SharePoint

Microsoft menyarankan Anda melindungi konten di situs SharePoint dengan konten keamanan perusahaan dan khusus dengan kontrol akses perangkat. Anda melakukan ini dengan membuat kebijakan yang menentukan tingkat perlindungan dan situs untuk menerapkan perlindungan.

  • Situs perusahaan: Izinkan akses khusus browser. Ini mencegah pengguna mengedit dan mengunduh file.
  • Situs keamanan khusus: Memblokir akses dari perangkat yang tidak dikelola.

Lihat "Memblokir atau membatasi akses ke kumpulan situs SharePoint atau akun OneDrive tertentu" di Mengontrol akses dari perangkat yang tidak dikelola.

Bagaimana kebijakan ini bekerja sama

Penting untuk dipahami bahwa izin situs SharePoint biasanya didasarkan pada kebutuhan bisnis untuk akses ke situs. Izin ini dikelola oleh pemilik situs dan bisa sangat dinamis. Menggunakan kebijakan akses perangkat SharePoint memastikan perlindungan ke situs ini, terlepas dari apakah pengguna ditetapkan ke grup Microsoft Entra yang terkait dengan titik awal, perusahaan, atau perlindungan keamanan khusus.

Ilustrasi berikut ini menyediakan contoh bagaimana kebijakan akses perangkat SharePoint melindungi akses ke situs untuk pengguna.

Diagram yang memperlihatkan contoh bagaimana kebijakan akses perangkat SharePoint melindungi situs.

James memiliki titik awal kebijakan Akses Bersyar yang ditetapkan, tetapi dia dapat diberikan akses ke situs SharePoint dengan perusahaan atau perlindungan keamanan khusus.

  • Jika James mengakses situs, ia adalah anggota dengan perusahaan atau perlindungan keamanan khusus menggunakan PC-nya, aksesnya diberikan.
  • Jika James mengakses situs perlindungan perusahaan, ia adalah anggota menggunakan ponselnya yang tidak dikelola, yang diizinkan untuk pengguna titik awal, ia akan menerima akses hanya browser ke situs perusahaan karena kebijakan akses perangkat yang dikonfigurasi untuk situs ini.
  • Jika James mengakses situs keamanan khusus, ia adalah anggota menggunakan ponselnya yang tidak dikelola, ia akan diblokir karena kebijakan akses yang dikonfigurasi untuk situs ini. Dia hanya dapat mengakses situs ini menggunakan PC terkelolanya.

Langkah selanjutnya

Cuplikan layar Langkah 4 - Kebijakan untuk aplikasi cloud Microsoft 365.

Mengonfigurasi kebijakan Akses Bersyar untuk: