Zalecenia dotyczące zasad dotyczących zabezpieczania witryn i plików programu SharePoint
W tym artykule opisano sposób implementowania zalecanych zasad dostępu do tożsamości zerowej i urządzeń w celu ochrony programów SharePoint i OneDrive. Te wskazówki opierają się na typowych zasadach tożsamości i dostępu do urządzeń.
Te zalecenia są oparte na trzech różnych warstwach zabezpieczeń i ochrony plików programu SharePoint, które można stosować na podstawie stopnia szczegółowości potrzeb: punktu początkowego, przedsiębiorstwa i wyspecjalizowanych zabezpieczeń. Więcej informacji o tych warstwach zabezpieczeń i zalecanych systemach operacyjnych klienta można dowiedzieć się więcej, do których odwołuje się te zalecenia, w omówieniu.
Oprócz zaimplementowania tych wskazówek pamiętaj, aby skonfigurować witryny programu SharePoint z odpowiednią ilością ochrony, w tym ustawianie odpowiednich uprawnień dla zawartości przedsiębiorstwa i wyspecjalizowanej zawartości zabezpieczeń.
Aktualizowanie typowych zasad w celu uwzględnienia programów SharePoint i OneDrive
Aby chronić pliki w programach SharePoint i OneDrive, na poniższym diagramie pokazano, które zasady mają być aktualizowane na podstawie typowych zasad dostępu do tożsamości i urządzeń.
Jeśli program SharePoint został uwzględniony podczas tworzenia wspólnych zasad, musisz utworzyć tylko nowe zasady. W przypadku zasad dostępu warunkowego program SharePoint zawiera usługę OneDrive.
Nowe zasady implementują ochronę urządzeń dla przedsiębiorstw i wyspecjalizowanej zawartości zabezpieczeń, stosując określone wymagania dostępu do określonych witryn programu SharePoint.
W poniższej tabeli wymieniono zasady, które należy przejrzeć i zaktualizować lub utworzyć nowe dla programu SharePoint. Typowe zasady łączą się ze skojarzonymi instrukcjami konfiguracji w artykule Common identity and device access policies (Typowe zasady dostępu do tożsamości i urządzeń).
| Poziom ochrony | Zasady | Więcej informacji |
|---|---|---|
| Punkt początkowy | Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie | Uwzględnij program SharePoint w przypisaniu aplikacji w chmurze. |
| Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania | Uwzględnij program SharePoint w przypisaniu aplikacji w chmurze. | |
| Stosowanie zasad ochrony danych aplikacji | Upewnij się, że wszystkie zalecane aplikacje znajdują się na liście aplikacji. Pamiętaj, aby zaktualizować zasady dla każdej platformy (iOS, Android, Windows). | |
| Używanie ograniczeń wymuszonych przez aplikację w programie SharePoint | Dodaj te nowe zasady. Informuje to, że identyfikator Entra firmy Microsoft ma używać ustawień określonych w programie SharePoint. Te zasady dotyczą wszystkich użytkowników, ale mają wpływ tylko na dostęp do witryn zawartych w zasadach dostępu programu SharePoint. | |
| Przedsiębiorstwo | Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest niskie, średnie lub wysokie | Dołącz program SharePoint do przypisań aplikacji w chmurze. |
| Wymaganie zgodnych komputerów i urządzeń przenośnych | Uwzględnij program SharePoint na liście aplikacji w chmurze. | |
| Zasady kontroli dostępu programu SharePoint: zezwalaj tylko na dostęp przeglądarki do określonych witryn programu SharePoint z urządzeń niezarządzanych. | Uniemożliwia to edytowanie i pobieranie plików. Użyj programu PowerShell, aby określić witryny. | |
| Wyspecjalizowane zabezpieczenia | Zawsze wymagaj uwierzytelniania wieloskładnikowego | Uwzględnij program SharePoint w przypisaniu aplikacji w chmurze. |
| Zasady kontroli dostępu programu SharePoint: blokuj dostęp do określonych witryn programu SharePoint z urządzeń niezarządzanych. | Użyj programu PowerShell, aby określić witryny. |
Używanie ograniczeń wymuszanych przez aplikację w programie SharePoint
W przypadku implementowania kontroli dostępu w programie SharePoint zasady dostępu warunkowego są tworzone w usłudze Microsoft Entra ID, aby poinformować microsoft Entra ID o wymuszaniu zasad skonfigurowanych w programie SharePoint. Domyślnie te zasady dotyczą wszystkich użytkowników, ale mają wpływ tylko na dostęp do witryn, które są określone przy użyciu programu PowerShell podczas tworzenia kontroli dostępu w programie SharePoint. Zasady mogą być również ograniczone do określonych użytkowników, grup lub witryn.
Aby skonfigurować te zasady, zobacz sekcję "Blokuj lub ograniczaj dostęp do określonych zbiorów witryn programu SharePoint lub kont usługi OneDrive" w temacie Kontrola dostępu z urządzeń niezarządzanych.
Zasady kontroli dostępu programu SharePoint
Firma Microsoft zaleca ochronę zawartości w witrynach programu SharePoint przy użyciu zawartości przedsiębiorstwa i wyspecjalizowanej zawartości zabezpieczeń za pomocą kontroli dostępu do urządzeń. W tym celu należy utworzyć zasady określające poziom ochrony i lokacje, do których ma być zastosowana ochrona.
- Witryny przedsiębiorstwa: zezwalaj na dostęp tylko do przeglądarki. Uniemożliwia to użytkownikom edytowanie i pobieranie plików.
- Wyspecjalizowane lokacje zabezpieczeń: blokuj dostęp z urządzeń niezarządzanych.
Zobacz "Blokuj lub ograniczaj dostęp do określonych zbiorów witryn programu SharePoint lub kont usługi OneDrive" w temacie Kontrola dostępu z urządzeń niezarządzanych.
Jak te zasady współpracują ze sobą
Ważne jest, aby zrozumieć, że uprawnienia witryny programu SharePoint są zwykle oparte na potrzebie biznesowej dostępu do witryn. Te uprawnienia są zarządzane przez właścicieli witryn i mogą być wysoce dynamiczne. Korzystanie z zasad dostępu urządzeń programu SharePoint zapewnia ochronę tych witryn niezależnie od tego, czy użytkownicy są przypisani do grupy firmy Microsoft Entra skojarzonej z punktem wyjścia, przedsiębiorstwem lub wyspecjalizowaną ochroną zabezpieczeń.
Poniższa ilustracja przedstawia przykład sposobu, w jaki zasady dostępu urządzeń programu SharePoint chronią dostęp do witryn dla użytkownika.
James ma przypisane zasady dostępu warunkowego, ale może mieć dostęp do witryn programu SharePoint z ochroną przedsiębiorstwa lub wyspecjalizowaną ochroną zabezpieczeń.
- Jeśli James uzyskuje dostęp do witryny, jest członkiem przedsiębiorstwa lub wyspecjalizowanej ochrony zabezpieczeń przy użyciu swojego komputera, jego dostęp jest udzielany.
- Jeśli James uzyskuje dostęp do witryny ochrony przedsiębiorstwa, jest członkiem swojego niezarządzanego telefonu, który jest dozwolony dla użytkowników punktu początkowego, otrzyma dostęp tylko do przeglądarki w witrynie przedsiębiorstwa ze względu na zasady dostępu urządzeń skonfigurowane dla tej witryny.
- Jeśli James uzyskuje dostęp do wyspecjalizowanej witryny zabezpieczeń, jest członkiem swojego niezarządzanego telefonu, zostanie zablokowany z powodu zasad dostępu skonfigurowanych dla tej witryny. Dostęp do tej witryny można uzyskać tylko przy użyciu zarządzanego komputera.
Następny krok
Skonfiguruj zasady dostępu warunkowego dla:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla