Consigli sui criteri per la protezione di file e siti di SharePoint
Questo articolo descrive come implementare i criteri consigliati per l'identità Zero Trust e l'accesso ai dispositivi per proteggere SharePoint e OneDrive for Business. Queste linee guida si basano sui criteri comuni di identità e accesso ai dispositivi.
Queste raccomandazioni si basano su tre diversi livelli di sicurezza e protezione per i file di SharePoint che possono essere applicati in base alla granularità delle proprie esigenze: punto di partenza, organizzazione e sicurezza specializzata. È possibile ottenere altre informazioni su questi livelli di sicurezza e sui sistemi operativi client consigliati, a cui fanno riferimento queste raccomandazioni nella panoramica.
Oltre all'implementazione di queste linee guida, assicurarsi di configurare i siti di SharePoint con la giusta quantità di protezione, inclusa l'impostazione delle autorizzazioni appropriate per il contenuto di sicurezza aziendale e specializzato.
Aggiornamento dei criteri comuni per includere SharePoint e OneDrive for Business
Per proteggere i file in SharePoint e OneDrive, il diagramma seguente illustra i criteri da aggiornare dai criteri comuni di identità e accesso ai dispositivi.
Se è stato incluso SharePoint quando sono stati creati i criteri comuni, è sufficiente creare i nuovi criteri. Per i criteri di accesso condizionale, SharePoint include OneDrive.
I nuovi criteri implementano la protezione dei dispositivi per il contenuto di sicurezza aziendale e specializzato applicando requisiti di accesso specifici ai siti di SharePoint specificati.
Nella tabella seguente sono elencati i criteri che è necessario esaminare e aggiornare o creare per SharePoint. I criteri comuni sono collegati alle istruzioni di configurazione associate nell'articolo Criteri comuni di identità e accesso ai dispositivi .
| Livello di protezione | Criteri | Altre informazioni |
|---|---|---|
| Punto iniziale | Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto | Includere SharePoint nell'assegnazione di app cloud. |
| Bloccare i client che non supportano l'autenticazione moderna | Includere SharePoint nell'assegnazione di app cloud. | |
| Applicare i criteri di protezione dei dati app | Assicurarsi che tutte le app consigliate siano incluse nell'elenco delle app. Assicurarsi di aggiornare i criteri per ogni piattaforma (iOS, Android, Windows). | |
| Usare le restrizioni applicate dall'app in SharePoint | Aggiungere questo nuovo criterio. In questo modo Microsoft Entra ID di usare le impostazioni specificate in SharePoint. Questo criterio si applica a tutti gli utenti, ma influisce solo sull'accesso ai siti inclusi nei criteri di accesso di SharePoint. | |
| Aziendale | Richiedere l'autenticazione a più fattori quando il rischio di accesso è basso, medio o alto | Includere SharePoint nelle assegnazioni delle app cloud. |
| Richiedere PC e dispositivi mobili conformi | Includere SharePoint nell'elenco delle app cloud. | |
| Criteri di controllo di accesso di SharePoint: consente l'accesso solo browser a siti di SharePoint specifici da dispositivi non gestiti. | Ciò impedisce la modifica e il download di file. Usare PowerShell per specificare i siti. | |
| Sicurezza specializzata | Richiedere sempre l'autenticazione a più fattori | Includere SharePoint nell'assegnazione di app cloud. |
| Criteri di controllo di accesso di SharePoint: bloccare l'accesso a siti di SharePoint specifici da dispositivi non gestiti. | Usare PowerShell per specificare i siti. |
Usare le restrizioni applicate dall'app in SharePoint
Se si implementano controlli di accesso in SharePoint, i criteri di accesso condizionale vengono creati in Microsoft Entra ID per indicare a Microsoft Entra ID di applicare i criteri configurati in SharePoint. Per impostazione predefinita, questo criterio si applica a tutti gli utenti, ma influisce solo sull'accesso ai siti specificati tramite PowerShell quando si creano i controlli di accesso in SharePoint. I criteri possono anche essere con ambito per utenti, gruppi o siti specifici.
Per configurare questo criterio, vedere "Bloccare o limitare l'accesso a raccolte siti di SharePoint o account OneDrive specifici" in Controllare l'accesso da dispositivi non gestiti.
Criteri di controllo di accesso di SharePoint
Microsoft consiglia di proteggere il contenuto nei siti di SharePoint con contenuti di sicurezza aziendali e specializzati con controlli di accesso ai dispositivi. A tale scopo, creare un criterio che specifichi il livello di protezione e i siti a cui applicare la protezione.
- Siti aziendali: consente l'accesso solo browser. Ciò impedisce agli utenti di modificare e scaricare file.
- Siti di sicurezza specializzati: bloccare l'accesso da dispositivi non gestiti.
Vedere "Bloccare o limitare l'accesso a raccolte siti di SharePoint o account OneDrive specifici" in Controllare l'accesso da dispositivi non gestiti.
Funzionamento di questi criteri
È importante comprendere che le autorizzazioni del sito di SharePoint sono in genere basate sulle esigenze aziendali per l'accesso ai siti. Queste autorizzazioni sono gestite dai proprietari del sito e possono essere altamente dinamiche. L'uso dei criteri di accesso ai dispositivi di SharePoint garantisce la protezione di questi siti, indipendentemente dal fatto che gli utenti siano assegnati a un gruppo di Microsoft Entra associato a una protezione di sicurezza iniziale, aziendale o specializzata.
La figura seguente fornisce un esempio di come i criteri di accesso ai dispositivi di SharePoint proteggono l'accesso ai siti per un utente.
James ha assegnato criteri di accesso condizionale al punto di partenza, ma può avere accesso ai siti di SharePoint con protezione della sicurezza aziendale o specializzata.
- Se James accede a un sito di cui è membro con protezione di sicurezza aziendale o specializzata usando il suo PC, il suo accesso viene concesso.
- Se James accede a un sito di protezione aziendale di cui è membro usando il proprio telefono non gestito, consentito per gli utenti del punto di partenza, riceverà l'accesso solo browser al sito aziendale a causa dei criteri di accesso del dispositivo configurati per questo sito.
- Se James accede a un sito di sicurezza specializzato di cui è membro usando il telefono non gestito, verrà bloccato a causa dei criteri di accesso configurati per questo sito. Può accedere a questo sito solo usando il suo PC gestito.
Passaggio successivo
Configurare i criteri di accesso condizionale per:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per