Политики условного доступа и SharePoint

С помощью контекста проверки подлинности Microsoft Entra можно применять более строгие условия доступа при доступе пользователей к сайтам SharePoint.

Используйте контексты проверки подлинности для подключения политики условного доступа Microsoft Entra к сайту SharePoint. Политики можно применять непосредственно к сайту или с помощью метки конфиденциальности.

Эту возможность нельзя применить к корневому сайту в SharePoint (например, https://contoso.sharepoint.com).

Снимок экрана: панель мониторинга политики условного доступа.

Подготовка к работе

Ознакомьтесь с предварительными условиями для расширенного управления SharePoint.

Кроме того, вам потребуется одна из следующих лицензий:

  • Соответствие требованиям Microsoft 365 E5 или A5
  • Защита информации и управление данными в Microsoft 365 E5

Ограничения

Некоторые приложения не работают с контекстами проверки подлинности. Протестируйте приложения на сайте с включенным контекстом проверки подлинности перед широким развертыванием этой функции.

Следующие приложения и сценарии не работают с контекстами проверки подлинности:

  • Более старые версии приложений Office (см. список поддерживаемых версий)
  • Мобильные приложения SharePoint (iOS и Android)
  • Viva Engage
  • Вы не можете добавить приложение OneNote в канал, если связанный сайт SharePoint имеет контекст проверки подлинности.
  • Сбой отправки записи собраний канала Teams на сайтах с контекстом проверки подлинности.
  • Переименование папок SharePoint в Teams завершается ошибкой, если сайт имеет контекст проверки подлинности.
  • Планирование вебинара Teams завершается сбоем, если в OneDrive есть контекст проверки подлинности.
  • Приложение приложение синхронизации OneDrive не будет синхронизировать сайты с контекстом проверки подлинности.
  • Связывание контекста проверки подлинности с семейством веб-сайтов каталога корпоративных приложений не поддерживается.
  • Функция "Визуализация списка SharePoint в Power BI" в настоящее время не поддерживает контекст проверки подлинности.
  • Outlook для Windows, Mac, Android и iOS не поддерживает обмен данными с сайтами SharePoint, защищенными контекстом проверки подлинности.
  • Функция загрузки из нескольких файлов в настоящее время не работает, если в политике условного доступа включены контекст проверки подлинности и "Использовать управление условным доступом к приложениям" в управлении сеансом.
  • Функция загрузки нескольких файлов не будет работать, если контекст проверки подлинности задан непосредственно на сайте SharePoint без активной политики условного доступа с использованием этого контекста или если политика существует, но отключена.
  • Функция копирования и перемещения файлов между разными регионами (между регионами) в настоящее время не работает при применении контекста проверки подлинности к целевому сайту.
  • Экспорт в Excel в виде веб-запроса Excel (IQY) в настоящее время не поддерживает контекст проверки подлинности.

Настройка контекста проверки подлинности

Чтобы настроить контекст проверки подлинности для помеченных сайтов, выполните следующие основные действия:

  1. Добавьте контекст проверки подлинности в Microsoft Entra ID.

  2. Создайте политику условного доступа, которая применяется к контексту проверки подлинности и содержит необходимые условия и элементы управления доступом.

  3. Выполните одно из следующих действий:

    1. Установите метку конфиденциальности, чтобы применить контекст проверки подлинности к помеченным сайтам.

    2. Примените контекст проверки подлинности непосредственно к сайту.

В этой статье вы увидите пример требования гостей принять условия использования , прежде чем получить доступ к конфиденциальному сайту SharePoint. Вы также можете использовать любые другие условия условного доступа и элементы управления доступом, которые могут потребоваться для вашей организации.

Добавление контекста проверки подлинности

Сначала добавьте контекст проверки подлинности в Microsoft Entra ID.

Чтобы добавить контекст проверки подлинности, выполните приведенные далее действия.

  1. В Microsoft Entra условный доступ в разделе Управление выберите Контекст проверки подлинности.

  2. Выберите Новый контекст проверки подлинности.

  3. Введите имя и описание и выберите поле Опубликовать в приложениях проверка.

    Снимок экрана: добавление пользовательского интерфейса контекста проверки подлинности

  4. Выберите Сохранить.

Создание политики условного доступа

Затем создайте политику условного доступа, которая применяется к контексту проверки подлинности и требует, чтобы гости согласились с условиями использования в качестве условия доступа.

Чтобы создать политику условного доступа:

  1. В Microsoft Entra условный доступ выберите Новая политика.

  2. Введите имя политики.

  3. На вкладке Пользователи и группы выберите параметр Выбрать пользователей и группы, а затем выберите проверка гость или внешние пользователи.

  4. Выберите гостевых пользователей совместной работы B2B в раскрывающемся списке.

  5. На вкладке Облачные приложения или действия в разделе Выберите, к чему применяется эта политика, выберите Контекст проверки подлинности и выберите поле проверка для созданного контекста проверки подлинности.

    Снимок экрана: параметры контекста проверки подлинности в облачных приложениях или параметры действий для политики условного доступа.

  6. На вкладке Предоставление выберите поле проверка для условий использования, которые вы хотите использовать, а затем нажмите кнопку Выбрать.

  7. Выберите, хотите ли вы включить политику, а затем нажмите кнопку Создать.

Применение контекста проверки подлинности непосредственно к сайту

Контекст проверки подлинности можно напрямую применить к сайту SharePoint с помощью командлета PowerShell Set-SPOSite .

Примечание.

Для этой возможности требуется лицензия Microsoft 365 E5 или Microsoft Расширенное управление SharePoint.

В следующем примере вы применяете созданный ранее контекст проверки подлинности к сайту с именем research.

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

Установка метки конфиденциальности для применения контекста проверки подлинности к помеченным сайтам

Если вы хотите использовать метку конфиденциальности для применения контекста проверки подлинности, обновите метку конфиденциальности (или создайте новую), чтобы использовать контекст проверки подлинности.

Примечание.

Для меток конфиденциальности требуется Microsoft 365 E5 или Microsoft 365 E3 плюс лицензия на расширенное соответствие требованиям.

Обновление метки конфиденциальности

  1. На портале Microsoft Purview на вкладке Защита информации выберите метку, которую нужно обновить, а затем выберите Изменить метку.

  2. Нажимайте кнопку Далее, пока не перейдете на страницу Определение параметров защиты для групп и сайтов.

  3. Убедитесь, что выбран флажок Внешний общий доступ и условный доступ проверка, а затем нажмите кнопку Далее.

  4. На странице Определение параметров внешнего общего доступа и доступа к устройствам установите флажок Использовать условный доступ Microsoft Entra для защиты помеченных сайтов SharePoint проверка.

  5. Выберите параметр Выбрать существующий контекст проверки подлинности .

  6. В раскрывающемся списке выберите контекст проверки подлинности, который вы хотите использовать.

    Снимок экрана: параметры меток конфиденциальности контекста проверки подлинности Microsoft Entra

  7. Нажимайте кнопку Далее, пока не перейдете на страницу Проверка параметров и завершение, а затем нажмите кнопку Сохранить метку.

После обновления метки гости, обращаюющиеся к сайту SharePoint (или вкладке Files в команде) с этой меткой, должны согласиться с условиями использования, прежде чем получить доступ к такому сайту.

Блокировка фоновых приложений

Если вы задали контекст проверки подлинности на сайте, администраторы могут запретить фоновым приложениям доступ к этому сайту для приложений, назначенных с этим контекстом проверки подлинности в политике условного доступа. Политику условного доступа можно настроить таким образом, чтобы выбранным субъектам приложений (приложениям сторонних поставщиков) можно назначить определенный контекст проверки подлинности. Необходимо явно включить эту функцию с помощью следующего командлета. У вас должна быть по крайней мере одна политика условного доступа с настроенным субъектом приложения.

Set-SPOTenant -BlockAppAccessWithAuthenticationContext $false/$true (default false)

Интеграция сторонних приложений

Сторонние приложения, использующие сайты с подключенным контекстом проверки подлинности, должны иметь возможность обрабатывать запрос утверждений. См . руководство разработчика по контексту проверки подлинности условного доступа.

См. также

Используйте метки конфиденциальности, чтобы защитить контент в Microsoft Teams, в группах Microsoft 365 и на сайтах SharePoint.

Условный доступ: облачные приложения, действия и контекст проверки подлинности

Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям

  • Last updated on