Recomendações de políticas para proteger sites e ficheiros do SharePoint
Este artigo descreve como implementar as políticas recomendadas de identidade Confiança Zero e acesso de dispositivos para proteger o SharePoint e OneDrive para Empresas. Esta documentação de orientação baseia-se nas políticas comuns de identidade e acesso de dispositivos.
Estas recomendações baseiam-se em três camadas diferentes de segurança e proteção para ficheiros do SharePoint que podem ser aplicados com base na granularidade das suas necessidades: ponto de partida, empresa e segurança especializada. Pode saber mais sobre estas camadas de segurança e os sistemas operativos cliente recomendados, referenciados por estas recomendações na descrição geral.
Além de implementar esta documentação de orientação, certifique-se de que configura sites do SharePoint com a quantidade certa de proteção, incluindo a definição de permissões adequadas para conteúdo de segurança empresarial e especializado.
Atualizar políticas comuns para incluir o SharePoint e OneDrive para Empresas
Para proteger ficheiros no SharePoint e no OneDrive, o diagrama seguinte ilustra as políticas a atualizar a partir das políticas comuns de acesso a dispositivos e identidades.
Se incluiu o SharePoint quando criou as políticas comuns, só precisa de criar as novas políticas. Para políticas de Acesso Condicional, o SharePoint inclui o OneDrive.
As novas políticas implementam a proteção de dispositivos para conteúdo de segurança empresarial e especializado ao aplicar requisitos de acesso específicos a sites do SharePoint que especificar.
A tabela seguinte lista as políticas que tem de rever e atualizar ou criar novas para o SharePoint. As políticas comuns ligam-se às instruções de configuração associadas no artigo Identidade comum e políticas de acesso de dispositivos .
| Nível de proteção | Políticas | Mais informações |
|---|---|---|
| Ponto de partida | Exigir MFA quando o risco de início de sessão é médio ou elevado | Inclua o SharePoint na atribuição de aplicações na cloud. |
| Bloquear clientes que não suportam a autenticação moderna | Inclua o SharePoint na atribuição de aplicações na cloud. | |
| Aplicar políticas de proteção de dados da APLICAÇÃO | Certifique-se de que todas as aplicações recomendadas estão incluídas na lista de aplicações. Certifique-se de que atualiza a política para cada plataforma (iOS, Android, Windows). | |
| Utilizar restrições impostas pela aplicação no SharePoint | Adicione esta nova política. Isto indica aos Microsoft Entra ID para utilizarem as definições especificadas no SharePoint. Esta política aplica-se a todos os utilizadores, mas afeta apenas o acesso a sites incluídos nas políticas de acesso do SharePoint. | |
| Enterprise | Exigir MFA quando o risco de início de sessão é baixo, médio ou elevado | Inclua o SharePoint nas atribuições de aplicações na cloud. |
| Exigir PCs compatíveis e dispositivos móveis | Inclua o SharePoint na lista de aplicações na cloud. | |
| Política de controlo de acesso do SharePoint: permita o acesso apenas ao browser a sites específicos do SharePoint a partir de dispositivos não geridos. | Isto impede a edição e transferência de ficheiros. Utilize o PowerShell para especificar sites. | |
| Segurança especializada | Exigir sempre MFA | Inclua o SharePoint na atribuição de aplicações na cloud. |
| Política de controlo de acesso do SharePoint: bloquear o acesso a sites específicos do SharePoint a partir de dispositivos não geridos. | Utilize o PowerShell para especificar sites. |
Utilizar restrições impostas pela aplicação no SharePoint
Se implementar controlos de acesso no SharePoint, as políticas de Acesso Condicional são criadas no Microsoft Entra ID para indicar aos Microsoft Entra ID para imporem as políticas que configurar no SharePoint. Por predefinição, esta política aplica-se a todos os utilizadores, mas afeta apenas o acesso aos sites que especificar com o PowerShell quando cria os controlos de acesso no SharePoint. A política também pode ser confinada a utilizadores, grupos ou sites específicos.
Para configurar esta política, consulte "Bloquear ou limitar o acesso a coleções de sites específicas do SharePoint ou contas do OneDrive" em Controlar o acesso a partir de dispositivos não geridos.
Políticas de controlo de acesso do SharePoint
A Microsoft recomenda que proteja conteúdos em sites do SharePoint com conteúdo de segurança empresarial e especializado com controlos de acesso de dispositivos. Para tal, crie uma política que especifique o nível de proteção e os sites aos quais pretende aplicar a proteção.
- Sites empresariais: permitir o acesso apenas ao browser. Isto impede que os utilizadores editem e transfiram ficheiros.
- Sites de segurança especializados: bloqueie o acesso a partir de dispositivos não geridos.
Consulte "Bloquear ou limitar o acesso a coleções de sites do SharePoint ou contas do OneDrive específicas" em Controlar o acesso a partir de dispositivos não geridos.
Como estas políticas funcionam em conjunto
É importante compreender que as permissões de sites do SharePoint se baseiam normalmente na necessidade empresarial de acesso a sites. Estas permissões são geridas pelos proprietários do site e podem ser altamente dinâmicas. A utilização de políticas de acesso a dispositivos sharePoint garante proteção para estes sites, independentemente de os utilizadores estarem atribuídos a um grupo de Microsoft Entra associado a um ponto de partida, empresa ou proteção de segurança especializada.
A ilustração seguinte fornece um exemplo de como as políticas de acesso a dispositivos SharePoint protegem o acesso a sites de um utilizador.
O Tiago tem políticas de Acesso Condicional de ponto de partida atribuídas, mas pode ter acesso a sites do SharePoint com proteção de segurança empresarial ou especializada.
- Se o Tiago aceder a um site do qual é membro da proteção de segurança empresarial ou especializada através do PC, é concedido o seu acesso.
- Se o James aceder a um site de proteção empresarial, é membro da utilização do seu telemóvel não gerido, que é permitido para utilizadores de ponto de partida, receberá acesso apenas ao browser ao site da empresa devido à política de acesso do dispositivo configurada para este site.
- Se o James aceder a um site de segurança especializado, é membro do telemóvel não gerido, será bloqueado devido à política de acesso configurada para este site. Ele só pode aceder a este site através do seu PC gerido.
Passo seguinte
Configurar políticas de Acesso Condicional para:
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários