Recomendações de política para proteger sites e arquivos do SharePoint
Este artigo descreve como implementar as políticas recomendadas Confiança Zero identidade e acesso ao dispositivo para proteger o SharePoint e OneDrive for Business. Essas diretrizes se baseiam nas políticas comuns de identidade e acesso ao dispositivo.
Essas recomendações são baseadas em três camadas diferentes de segurança e proteção para arquivos do SharePoint que podem ser aplicadas com base na granularidade de suas necessidades: ponto de partida, empresa e segurança especializada. Você pode saber mais sobre essas camadas de segurança e os sistemas operacionais cliente recomendados, referenciados por essas recomendações na visão geral.
Além de implementar essas diretrizes, certifique-se de configurar sites do SharePoint com a quantidade certa de proteção, incluindo a configuração de permissões apropriadas para conteúdo de segurança corporativo e especializado.
Atualizar políticas comuns para incluir o SharePoint e OneDrive for Business
Para proteger arquivos no SharePoint e no OneDrive, o diagrama a seguir ilustra quais políticas atualizar das políticas comuns de acesso à identidade e ao dispositivo.
Se você incluiu o SharePoint ao criar as políticas comuns, só precisará criar as novas políticas. Para políticas de acesso condicional, o SharePoint inclui o OneDrive.
As novas políticas implementam a proteção do dispositivo para conteúdo de segurança corporativo e especializado aplicando requisitos de acesso específicos aos sites do SharePoint especificados.
A tabela a seguir lista as políticas necessárias para examinar e atualizar ou criar novas para o SharePoint. As políticas comuns vinculam-se às instruções de configuração associadas no artigo Políticas comuns de acesso de dispositivo e identidade .
| Nível de Proteção | Políticas | Mais informações |
|---|---|---|
| Ponto de partida | Exigir MFA quando o risco de entrada é médio ou alto | Inclua o SharePoint na atribuição de aplicativos de nuvem. |
| Bloquear clientes sem suporte para a autenticação moderna | Inclua o SharePoint na atribuição de aplicativos de nuvem. | |
| Aplicar políticas de proteção de dados do APP | Verifique se todos os aplicativos recomendados estão incluídos na lista de aplicativos. Atualize a política para cada plataforma (iOS, Android, Windows). | |
| Usar restrições impostas por aplicativo no SharePoint | Adicione essa nova política. Isso informa Microsoft Entra ID usar as configurações especificadas no SharePoint. Essa política se aplica a todos os usuários, mas afeta apenas o acesso a sites incluídos nas políticas de acesso do SharePoint. | |
| Empresarial | Exigir MFA quando o risco de entrada for baixo, médio ou alto | Inclua o SharePoint nas atribuições de aplicativos de nuvem. |
| Exigir computadores e dispositivos móveis compatíveis | Inclua o SharePoint na lista de aplicativos de nuvem. | |
| Política de controle de acesso do SharePoint: permitir acesso somente ao navegador a sites específicos do SharePoint de dispositivos não gerenciados. | Isso impede a edição e o download de arquivos. Use o PowerShell para especificar sites. | |
| Segurança especializada | Sempre exigir MFA | Inclua o SharePoint na atribuição de aplicativos de nuvem. |
| Política de controle de acesso do SharePoint: bloquear o acesso a sites específicos do SharePoint de dispositivos não gerenciados. | Use o PowerShell para especificar sites. |
Usar restrições impostas pelo aplicativo no SharePoint
Se você implementar controles de acesso no SharePoint, as políticas de Acesso Condicional serão criadas em Microsoft Entra ID para informar Microsoft Entra ID para impor as políticas configuradas no SharePoint. Por padrão, essa política se aplica a todos os usuários, mas afeta apenas o acesso aos sites que você especifica usando o PowerShell ao criar os controles de acesso no SharePoint. A política também pode ser escopo para usuários, grupos ou sites específicos.
Para configurar essa política, consulte "Bloquear ou limitar o acesso a coleções de sites ou contas do OneDrive específicas do SharePoint" no acesso de controle de dispositivos não gerenciados.
Políticas de controle de acesso do SharePoint
A Microsoft recomenda que você proteja o conteúdo em sites do SharePoint com conteúdo de segurança corporativo e especializado com controles de acesso ao dispositivo. Você faz isso criando uma política que especifica o nível de proteção e os sites aos quais aplicar a proteção.
- Sites corporativos: permitir o acesso somente ao navegador. Isso impede que os usuários editem e baixem arquivos.
- Sites de segurança especializados: bloquear o acesso de dispositivos não gerenciados.
Consulte "Bloquear ou limitar o acesso a coleções específicas de sites do SharePoint ou contas do OneDrive" no acesso de controle de dispositivos não gerenciados.
Como essas políticas funcionam juntas
É importante entender que as permissões de site do SharePoint normalmente são baseadas na necessidade comercial de acesso aos sites. Essas permissões são gerenciadas pelos proprietários do site e podem ser altamente dinâmicas. O uso de políticas de acesso ao dispositivo do SharePoint garante a proteção a esses sites, independentemente de os usuários serem atribuídos a um grupo de Microsoft Entra associado ao ponto de partida, à empresa ou à proteção de segurança especializada.
A ilustração a seguir fornece um exemplo de como as políticas de acesso ao dispositivo do SharePoint protegem o acesso a sites para um usuário.
James tem o ponto de partida políticas de acesso condicional atribuídas, mas ele pode ter acesso a sites do SharePoint com proteção de segurança corporativa ou especializada.
- Se James acessar um site do qual ele é membro da proteção de segurança corporativa ou especializada usando seu computador, seu acesso será concedido.
- Se James acessar um site de proteção empresarial, ele será membro do uso de seu telefone não gerenciado, o que é permitido para usuários de ponto de partida, ele receberá acesso somente ao navegador ao site corporativo devido à política de acesso ao dispositivo configurada para este site.
- Se James acessar um site de segurança especializado do qual é membro usando seu telefone não gerenciado, ele será bloqueado devido à política de acesso configurada para este site. Ele só pode acessar este site usando seu computador gerenciado.
Próxima etapa
Configurar políticas de acesso condicional para:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de