Рекомендации по политике для защиты сайтов и файлов SharePoint
В этой статье описывается, как реализовать рекомендуемые политики удостоверений и доступа к устройствам для защиты SharePoint и OneDrive для бизнеса. Это руководство основывается на общих политиках доступа к удостоверениям и устройствам.
Эти рекомендации основаны на трех различных уровнях безопасности и защиты файлов SharePoint, которые можно применять в зависимости от степени детализации ваших потребностей: начальная точка, корпоративная и специализированная безопасность. Дополнительные сведения об этих уровнях безопасности и рекомендуемых клиентских операционных системах см. в обзоре этих рекомендаций.
В дополнение к реализации этого руководства обязательно настройте сайты SharePoint с правильным объемом защиты, включая настройку соответствующих разрешений для корпоративного и специализированного содержимого безопасности.
Обновление общих политик для включения SharePoint и OneDrive для бизнеса
Чтобы защитить файлы в SharePoint и OneDrive, на следующей схеме показано, какие политики следует обновить с помощью общих политик доступа к удостоверениям и устройствам.
Если вы включили SharePoint при создании общих политик, вам потребуется только создать новые политики. Для политик условного доступа SharePoint включает OneDrive.
Новые политики реализуют защиту устройств для корпоративного и специализированного содержимого безопасности, применяя определенные требования к доступу к указанным вами сайтам SharePoint.
В следующей таблице перечислены политики, необходимые для просмотра и обновления или создания новых для SharePoint. Общие политики ссылаться на соответствующие инструкции по настройке, приведенные в статье Общие политики доступа к удостоверениям и устройствам .
| Уровень защиты | Политики | Дополнительная информация |
|---|---|---|
| Отправная точка | Требовать MFA, если риск входа средний или высокий | Включите SharePoint в назначение облачных приложений. |
| Блокирование клиентов, не поддерживающих современную проверку подлинности | Включите SharePoint в назначение облачных приложений. | |
| Применение политик защиты данных APP | Убедитесь, что все рекомендуемые приложения включены в список приложений. Обязательно обновите политику для каждой платформы (iOS, Android, Windows). | |
| Использование ограничений, применяемых приложениями, в SharePoint | Добавьте эту новую политику. Это указывает Microsoft Entra идентификатору использовать параметры, указанные в SharePoint. Эта политика применяется ко всем пользователям, но влияет только на доступ к сайтам, включенным в политики доступа SharePoint. | |
| Enterprise | Требовать MFA, если риск входа низкий, средний или высокий | Включите SharePoint в назначения облачных приложений. |
| Требовать соответствующие требованиям компьютеры и мобильные устройства | Включите SharePoint в список облачных приложений. | |
| Политика управления доступом SharePoint: разрешить доступ только в браузере к определенным сайтам SharePoint с неуправляемых устройств. | Это предотвращает редактирование и скачивание файлов. Используйте PowerShell для указания сайтов. | |
| Специализированная безопасность | Всегда требуется многофакторная проверка подлинности | Включите SharePoint в назначение облачных приложений. |
| Политика управления доступом SharePoint. Блокировка доступа к определенным сайтам SharePoint с неуправляемых устройств. | Используйте PowerShell для указания сайтов. |
Использование ограничений, применяемых приложениями, в SharePoint
Если вы реализуете элементы управления доступом в SharePoint, политики условного доступа создаются в Microsoft Entra идентификаторе, чтобы Microsoft Entra идентификатор применял политики, настроенные в SharePoint. По умолчанию эта политика применяется ко всем пользователям, но влияет только на доступ к сайтам, указанным с помощью PowerShell при создании элементов управления доступом в SharePoint. Политика также может быть ограничена определенными пользователями, группами или сайтами.
Сведения о настройке этой политики см. в разделе "Блокировка или ограничение доступа к определенным семействам веб-сайтов SharePoint или учетным записям OneDrive" статьи Управление доступом с неуправляемых устройств.
Политики управления доступом SharePoint
Корпорация Майкрософт рекомендует защищать содержимое на сайтах SharePoint с помощью корпоративного и специализированного содержимого безопасности с помощью элементов управления доступом к устройствам. Для этого создайте политику, которая определяет уровень защиты и сайты, к которым применяется защита.
- Корпоративные сайты: разрешить доступ только для браузера. Это не позволяет пользователям редактировать и скачивать файлы.
- Специализированные сайты безопасности. Блокировка доступа с неуправляемых устройств.
См. раздел Блокировка или ограничение доступа к определенным семействам веб-сайтов SharePoint или учетным записям OneDrive в разделе Управление доступом с неуправляемых устройств.
Совместная работа этих политик
Важно понимать, что разрешения сайта SharePoint обычно основаны на бизнес-потребности в доступе к сайтам. Эти разрешения управляются владельцами сайтов и могут быть высокодинамичны. Использование политик доступа к устройствам SharePoint обеспечивает защиту этих сайтов независимо от того, назначены ли пользователи Microsoft Entra группе, связанной с начальной точкой, предприятием или специализированной защитой безопасности.
На следующем рисунке показан пример того, как политики доступа к устройствам SharePoint защищают доступ к сайтам для пользователя.
Джеймсу назначены политики условного доступа с начальной точки, но ему можно предоставить доступ к сайтам SharePoint с корпоративной или специализированной защитой безопасности.
- Если Джеймс получает доступ к сайту, членом которому он является, с корпоративной или специализированной защитой безопасности с помощью своего компьютера, ему предоставляется доступ.
- Если Джеймс обращается к корпоративному сайту защиты, участником которого он является, используя свой неуправляемый телефон, который разрешен для пользователей начальной точки, он получит доступ только для браузера к корпоративному сайту из-за политики доступа устройства, настроенной для этого сайта.
- Если Джеймс обращается к специализированным сайту безопасности, членом который он является, используя свой неуправляемый телефон, он будет заблокирован из-за политики доступа, настроенной для этого сайта. Он может получить доступ к этому сайту только с помощью своего управляемого компьютера.
Следующее действие
Настройка политик условного доступа для:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по