Delen via

Beleidsaanaanveling voor het beveiligen van SharePoint-sites en -bestanden

  • Artikel

In dit artikel wordt beschreven hoe u het aanbevolen beleid voor Zero Trust-identiteit en apparaattoegang implementeert om SharePoint en OneDrive te beveiligen. Deze richtlijnen zijn gebaseerd op het algemene beleid voor identiteiten en apparaattoegang.

Deze aanbevelingen zijn gebaseerd op drie verschillende beveiligings- en beveiligingslagen voor SharePoint-bestanden die kunnen worden toegepast op basis van de granulariteit van uw behoeften: beginpunt, onderneming en gespecialiseerde beveiliging. In het overzicht vindt u meer informatie over deze beveiligingslagen en de aanbevolen clientbesturingssystemen waarnaar wordt verwezen door deze aanbevelingen.

Naast het implementeren van deze richtlijnen moet u SharePoint-sites configureren met de juiste mate van beveiliging, inclusief het instellen van de juiste machtigingen voor bedrijfs- en gespecialiseerde beveiligingsinhoud.

Algemene beleidsregels bijwerken om SharePoint en OneDrive op te nemen

Als u bestanden in SharePoint en OneDrive wilt beveiligen, ziet u in het volgende diagram welke beleidsregels moeten worden bijgewerkt van het algemene beleid voor identiteits- en apparaattoegang.

Diagram met de samenvatting van beleidsupdates voor het beveiligen van de toegang tot SharePoint

Als u SharePoint hebt opgenomen bij het maken van het algemene beleid, hoeft u alleen het nieuwe beleid te maken. Voor beleid voor voorwaardelijke toegang bevat SharePoint OneDrive.

Het nieuwe beleid implementeert apparaatbeveiliging voor bedrijfs- en gespecialiseerde beveiligingsinhoud door specifieke toegangsvereisten toe te passen op SharePoint-sites die u opgeeft.

De volgende tabel bevat de beleidsregels die u moet controleren en bijwerken of nieuwe maken voor SharePoint. De algemene beleidsregels zijn gekoppeld aan de bijbehorende configuratie-instructies in het artikel Algemene beleidsregels voor identiteiten en apparaattoegang .

Beveiligingsniveau Beleidsregels Meer informatie
Uitgangspunt MFA vereisen wanneer het aanmeldingsrisico gemiddeld of hoog is SharePoint opnemen in de toewijzing van cloud-apps.
Clients blokkeren die geen ondersteuning bieden voor moderne verificatie SharePoint opnemen in de toewijzing van cloud-apps.
Beleid voor app-gegevensbeveiliging toepassen Zorg ervoor dat alle aanbevolen apps zijn opgenomen in de lijst met apps. Zorg ervoor dat u het beleid voor elk platform bijwerkt (iOS, Android, Windows).
Afgedwongen beperkingen voor apps gebruiken in SharePoint Voeg dit nieuwe beleid toe. Dit vertelt Microsoft Entra-id dat de instellingen moeten worden gebruikt die zijn opgegeven in SharePoint. Dit beleid is van toepassing op alle gebruikers, maar is alleen van invloed op de toegang tot sites die zijn opgenomen in sharePoint-toegangsbeleid.
Enterprise MFA vereisen wanneer het aanmeldingsrisico laag, gemiddeld of hoog is SharePoint opnemen in de toewijzingen van cloud-apps.
Compatibele pc's en mobiele apparaten vereisen SharePoint opnemen in de lijst met cloud-apps.
SharePoint-toegangsbeheerbeleid: alleen toegang via de browser tot specifieke SharePoint-sites vanaf niet-beheerde apparaten toestaan. Dit voorkomt het bewerken en downloaden van bestanden. Gebruik PowerShell om sites op te geven.
Gespecialiseerde beveiliging MFA altijd vereisen SharePoint opnemen in de toewijzing van cloud-apps.
SharePoint-toegangsbeheerbeleid: toegang tot specifieke SharePoint-sites blokkeren vanaf niet-beheerde apparaten. Gebruik PowerShell om sites op te geven.

Door apps afgedwongen beperkingen gebruiken in SharePoint

Als u toegangsbeheer implementeert in SharePoint, worden beleidsregels voor voorwaardelijke toegang gemaakt in Microsoft Entra-id om Microsoft Entra-id te laten weten dat de beleidsregels die u in SharePoint configureert, moeten worden afgedwongen. Dit beleid is standaard van toepassing op alle gebruikers, maar heeft alleen invloed op de toegang tot de sites die u opgeeft met Behulp van PowerShell wanneer u de toegangsbeheer in SharePoint maakt. Het beleid kan ook worden afgestemd op specifieke gebruikers, groepen of sites.

Zie 'Toegang tot specifieke SharePoint-siteverzamelingen of OneDrive-accounts blokkeren of beperken' in Toegang vanaf niet-beheerde apparaten beheren om dit beleid te configureren.

SharePoint-beleid voor toegangsbeheer

Microsoft raadt u aan om inhoud op SharePoint-sites te beveiligen met bedrijfs- en gespecialiseerde beveiligingsinhoud met besturingselementen voor apparaattoegang. U doet dit door een beleid te maken dat het beveiligingsniveau en de sites opgeeft waarop de beveiliging moet worden toegepast.

  • Bedrijfssites: alleen toegang tot browsers toestaan. Hiermee voorkomt u dat gebruikers bestanden kunnen bewerken en downloaden.
  • Gespecialiseerde beveiligingssites: toegang blokkeren vanaf niet-beheerde apparaten.

Zie 'Toegang tot specifieke SharePoint-siteverzamelingen of OneDrive-accounts blokkeren of beperken' in Toegang beheren vanaf niet-beheerde apparaten.

Hoe deze beleidsregels samenwerken

Het is belangrijk om te weten dat SharePoint-sitemachtigingen doorgaans zijn gebaseerd op zakelijke toegang tot sites. Deze machtigingen worden beheerd door site-eigenaren en kunnen zeer dynamisch zijn. Het gebruik van sharePoint-beleid voor apparaattoegang zorgt voor beveiliging voor deze sites, ongeacht of gebruikers zijn toegewezen aan een Microsoft Entra-groep die is gekoppeld aan het beginpunt, de onderneming of gespecialiseerde beveiliging.

In de volgende afbeelding ziet u een voorbeeld van hoe het toegangsbeleid voor SharePoint-apparaten de toegang tot sites voor een gebruiker beveiligt.

Diagram met een voorbeeld van hoe het toegangsbeleid voor SharePoint-apparaten sites beveiligt.

James heeft het uitgangspunt dat beleid voor voorwaardelijke toegang is toegewezen, maar hij kan toegang krijgen tot SharePoint-sites met enterprise- of gespecialiseerde beveiliging.

  • Als James toegang heeft tot een site waarvan hij lid is van een onderneming of gespecialiseerde beveiliging met behulp van zijn pc, wordt zijn toegang verleend.
  • Als James toegang krijgt tot een bedrijfsbeveiligingssite, is hij lid van het gebruik van zijn onbeheerde telefoon, die is toegestaan voor gebruikers van het beginpunt, ontvangt hij alleen toegang tot de bedrijfssite vanwege het apparaattoegangsbeleid dat is geconfigureerd voor deze site.
  • Als James toegang heeft tot een gespecialiseerde beveiligingssite die hij lid is van het gebruik van zijn onbeheerde telefoon, wordt hij geblokkeerd vanwege het toegangsbeleid dat is geconfigureerd voor deze site. Hij heeft alleen toegang tot deze site met zijn beheerde pc.

Volgende stap

Schermopname van stap 4- Beleid voor Microsoft 365-cloud-apps.

Beleid voor voorwaardelijke toegang configureren voor: