Udostępnij za pośrednictwem


Zalecenia dotyczące zasad dotyczących zabezpieczania witryn i plików programu SharePoint

W tym artykule opisano sposób implementowania zalecanych zasad dostępu do tożsamości zerowej i urządzeń w celu ochrony programów SharePoint i OneDrive. Te wskazówki opierają się na typowych zasadach tożsamości i dostępu do urządzeń.

Te zalecenia są oparte na trzech różnych warstwach zabezpieczeń i ochrony plików programu SharePoint, które można stosować na podstawie stopnia szczegółowości potrzeb: punktu początkowego, przedsiębiorstwa i wyspecjalizowanych zabezpieczeń. Więcej informacji o tych warstwach zabezpieczeń i zalecanych systemach operacyjnych klienta można dowiedzieć się więcej, do których odwołuje się te zalecenia, w omówieniu.

Oprócz zaimplementowania tych wskazówek pamiętaj, aby skonfigurować witryny programu SharePoint z odpowiednią ilością ochrony, w tym ustawianie odpowiednich uprawnień dla zawartości przedsiębiorstwa i wyspecjalizowanej zawartości zabezpieczeń.

Aktualizowanie typowych zasad w celu uwzględnienia programów SharePoint i OneDrive

Aby chronić pliki w programach SharePoint i OneDrive, na poniższym diagramie pokazano, które zasady mają być aktualizowane na podstawie typowych zasad dostępu do tożsamości i urządzeń.

Diagram przedstawiający podsumowanie aktualizacji zasad dotyczących ochrony dostępu do programu SharePoint

Jeśli program SharePoint został uwzględniony podczas tworzenia wspólnych zasad, musisz utworzyć tylko nowe zasady. W przypadku zasad dostępu warunkowego program SharePoint zawiera usługę OneDrive.

Nowe zasady implementują ochronę urządzeń dla przedsiębiorstw i wyspecjalizowanej zawartości zabezpieczeń, stosując określone wymagania dostępu do określonych witryn programu SharePoint.

W poniższej tabeli wymieniono zasady, które należy przejrzeć i zaktualizować lub utworzyć nowe dla programu SharePoint. Typowe zasady łączą się ze skojarzonymi instrukcjami konfiguracji w artykule Common identity and device access policies (Typowe zasady dostępu do tożsamości i urządzeń).

Poziom ochrony Zasady Więcej informacji
Punkt początkowy Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie Uwzględnij program SharePoint w przypisaniu aplikacji w chmurze.
Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania Uwzględnij program SharePoint w przypisaniu aplikacji w chmurze.
Stosowanie zasad ochrony danych aplikacji Upewnij się, że wszystkie zalecane aplikacje znajdują się na liście aplikacji. Pamiętaj, aby zaktualizować zasady dla każdej platformy (iOS, Android, Windows).
Używanie ograniczeń wymuszonych przez aplikację w programie SharePoint Dodaj te nowe zasady. Informuje to, że identyfikator Entra firmy Microsoft ma używać ustawień określonych w programie SharePoint. Te zasady dotyczą wszystkich użytkowników, ale mają wpływ tylko na dostęp do witryn zawartych w zasadach dostępu programu SharePoint.
Przedsiębiorstwo Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest niskie, średnie lub wysokie Dołącz program SharePoint do przypisań aplikacji w chmurze.
Wymaganie zgodnych komputerów i urządzeń przenośnych Uwzględnij program SharePoint na liście aplikacji w chmurze.
Zasady kontroli dostępu programu SharePoint: zezwalaj tylko na dostęp przeglądarki do określonych witryn programu SharePoint z urządzeń niezarządzanych. Uniemożliwia to edytowanie i pobieranie plików. Użyj programu PowerShell, aby określić witryny.
Wyspecjalizowane zabezpieczenia Zawsze wymagaj uwierzytelniania wieloskładnikowego Uwzględnij program SharePoint w przypisaniu aplikacji w chmurze.
Zasady kontroli dostępu programu SharePoint: blokuj dostęp do określonych witryn programu SharePoint z urządzeń niezarządzanych. Użyj programu PowerShell, aby określić witryny.

Używanie ograniczeń wymuszanych przez aplikację w programie SharePoint

W przypadku implementowania kontroli dostępu w programie SharePoint zasady dostępu warunkowego są tworzone w usłudze Microsoft Entra ID, aby poinformować microsoft Entra ID o wymuszaniu zasad skonfigurowanych w programie SharePoint. Domyślnie te zasady dotyczą wszystkich użytkowników, ale mają wpływ tylko na dostęp do witryn, które są określone przy użyciu programu PowerShell podczas tworzenia kontroli dostępu w programie SharePoint. Zasady mogą być również ograniczone do określonych użytkowników, grup lub witryn.

Aby skonfigurować te zasady, zobacz sekcję "Blokuj lub ograniczaj dostęp do określonych zbiorów witryn programu SharePoint lub kont usługi OneDrive" w temacie Kontrola dostępu z urządzeń niezarządzanych.

Zasady kontroli dostępu programu SharePoint

Firma Microsoft zaleca ochronę zawartości w witrynach programu SharePoint przy użyciu zawartości przedsiębiorstwa i wyspecjalizowanej zawartości zabezpieczeń za pomocą kontroli dostępu do urządzeń. W tym celu należy utworzyć zasady określające poziom ochrony i lokacje, do których ma być zastosowana ochrona.

  • Witryny przedsiębiorstwa: zezwalaj na dostęp tylko do przeglądarki. Uniemożliwia to użytkownikom pobieranie, drukowanie lub synchronizowanie plików.
  • Wyspecjalizowane lokacje zabezpieczeń: blokuj dostęp z urządzeń niezarządzanych.

Zobacz "Blokuj lub ograniczaj dostęp do określonych zbiorów witryn programu SharePoint lub kont usługi OneDrive" w temacie Kontrola dostępu z urządzeń niezarządzanych.

Jak te zasady współpracują ze sobą

Ważne jest, aby zrozumieć, że uprawnienia witryny programu SharePoint są zwykle oparte na potrzebie biznesowej dostępu do witryn. Te uprawnienia są zarządzane przez właścicieli witryn i mogą być wysoce dynamiczne. Korzystanie z zasad dostępu urządzeń programu SharePoint zapewnia ochronę tych witryn niezależnie od tego, czy użytkownicy są przypisani do grupy firmy Microsoft Entra skojarzonej z punktem wyjścia, przedsiębiorstwem lub wyspecjalizowaną ochroną zabezpieczeń.

Poniższa ilustracja przedstawia przykład sposobu, w jaki zasady dostępu urządzeń programu SharePoint chronią dostęp do witryn dla użytkownika.

Diagram przedstawiający przykład sposobu ochrony witryn przez zasady dostępu urządzeń programu SharePoint.

James ma przypisane zasady dostępu warunkowego, ale może mieć dostęp do witryn programu SharePoint z ochroną przedsiębiorstwa lub wyspecjalizowaną ochroną zabezpieczeń.

  • Jeśli James uzyskuje dostęp do witryny, jest członkiem przedsiębiorstwa lub wyspecjalizowanej ochrony zabezpieczeń przy użyciu swojego komputera, jego dostęp jest udzielany.
  • Jeśli James uzyskuje dostęp do witryny ochrony przedsiębiorstwa, jest członkiem swojego niezarządzanego telefonu, który jest dozwolony dla użytkowników punktu początkowego, otrzyma dostęp tylko do przeglądarki w witrynie przedsiębiorstwa ze względu na zasady dostępu urządzeń skonfigurowane dla tej witryny.
  • Jeśli James uzyskuje dostęp do wyspecjalizowanej witryny zabezpieczeń, jest członkiem swojego niezarządzanego telefonu, zostanie zablokowany z powodu zasad dostępu skonfigurowanych dla tej witryny. Dostęp do tej witryny można uzyskać tylko przy użyciu zarządzanego komputera.

Następny krok

Zrzut ekranu przedstawiający krok 4 — zasady dla aplikacji w chmurze platformy Microsoft 365.

Skonfiguruj zasady dostępu warunkowego dla: