Политика условного доступа для сайтов SharePoint и OneDrive

Для некоторых функций этой статьи требуется Microsoft Syntex — Расширенное управление SharePoint

С помощью Microsoft Entra контексте проверки подлинности можно применять более строгие условия доступа при доступе пользователей к сайтам SharePoint.

Контексты проверки подлинности можно использовать для подключения политики условного доступа Microsoft Entra к сайту SharePoint. Политики можно применять непосредственно к сайту или с помощью метки конфиденциальности.

Обратите внимание, что эту возможность нельзя применить к корневому сайту в SharePoint (например, https://contoso.sharepoint.com).

Требования

Для использования контекста проверки подлинности с сайтами SharePoint требуется одна из следующих лицензий:

• Microsoft Syntex — расширенное управление SharePoint
• Microsoft 365 E5/A5/G5
• Соответствие требованиям Microsoft 365 E5 или A5
• Защита информации и управление данными в Microsoft 365 E5
• Office 365 E5/A5/G5

Ограничения

Некоторые приложения не работают с контекстами проверки подлинности. Мы рекомендуем тестировать приложения на сайте с включенным контекстом проверки подлинности перед широким развертыванием этой функции.

Следующие приложения и сценарии не работают с контекстами проверки подлинности:

• Более ранняя версия приложений Office (см. список поддерживаемых версий)
• Viva Engage
• Веб-приложение Teams
• Приложение OneNote нельзя добавить в канал, если связанный сайт SharePoint имеет контекст проверки подлинности.
• Сбой отправки записи собраний канала Teams на сайтах с контекстом проверки подлинности.
• Переименование папок SharePoint в Teams завершается ошибкой, если сайт имеет контекст проверки подлинности.
• Планирование вебинара Teams завершается сбоем, если в OneDrive есть контекст проверки подлинности.
• Сторонние приложения
• Приложение приложение синхронизации OneDrive не будет синхронизировать сайты с контекстом проверки подлинности.
• Связывание контекста проверки подлинности с семейством веб-сайтов каталога корпоративных приложений не поддерживается.
• Функция "Визуализация списка SharePoint в Power BI" в настоящее время не поддерживает контекст проверки подлинности.
• Outlook в Windows, Mac, Android и iOS не поддерживает обмен данными с сайтами SharePoint, защищенными контекстом проверки подлинности.

Настройка контекста проверки подлинности

Настройка контекста проверки подлинности для помеченных сайтов требует следующих основных действий:

1. Добавьте контекст проверки подлинности в Microsoft Entra ID.

2. Создайте политику условного доступа, которая применяется к контексту проверки подлинности и содержит необходимые условия и элементы управления доступом.

3. Выполните одно из следующих действий.

   1. Установите метку конфиденциальности, чтобы применить контекст проверки подлинности к помеченным сайтам.
   2. Применение контекста проверки подлинности непосредственно к сайту

В этой статье мы рассмотрим пример требования гостей принять условия использования , прежде чем получить доступ к конфиденциальному сайту SharePoint. Вы также можете использовать любые другие условия условного доступа и элементы управления доступом, которые могут потребоваться для вашей организации.

Добавление контекста проверки подлинности

Сначала добавьте контекст проверки подлинности в Microsoft Entra ID.

Чтобы добавить контекст проверки подлинности, выполните приведенные далее действия.

1. В Microsoft Entra условный доступ в разделе Управление щелкните Контекст проверки подлинности.

2. Щелкните Новый контекст проверки подлинности.

3. Введите имя и описание и установите флажок Опубликовать в приложениях проверка.

   

4. Нажмите кнопку Сохранить.

Создание политики условного доступа

Затем создайте политику условного доступа, которая применяется к контексту проверки подлинности и требует, чтобы гости согласились с условиями использования в качестве условия доступа.

Чтобы создать политику условного доступа, выполните следующие действия:

1. В Microsoft Entra условный доступ щелкните Создать политику.

2. Введите имя политики.

3. На вкладке Пользователи и группы выберите параметр Выбрать пользователей и группы, а затем выберите проверка гость или внешние пользователи.

4. Выберите гостевых пользователей совместной работы B2B в раскрывающемся списке.

5. На вкладке Облачные приложения или действия в разделе Выберите, к чему применяется эта политика, выберите Контекст проверки подлинности и выберите поле проверка для созданного контекста проверки подлинности.

   

6. На вкладке Предоставление выберите поле проверка для условий использования, которые вы хотите использовать, и нажмите кнопку Выбрать.

7. Выберите, хотите ли вы включить политику, и нажмите кнопку Создать.

Применение контекста проверки подлинности непосредственно к сайту

Контекст проверки подлинности можно напрямую применить к сайту SharePoint с помощью командлета PowerShell Set-SPOSite .

Примечание.

Для этой возможности требуется лицензия Microsoft 365 E5 или Microsoft Syntex — SharePoint Advanced Management.

В следующем примере мы применяем созданный выше контекст проверки подлинности к сайту с именем research.

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

Установка метки конфиденциальности для применения контекста проверки подлинности к помеченным сайтам

Если вы хотите использовать метку конфиденциальности для применения контекста проверки подлинности, обновите метку конфиденциальности (или создайте новую), чтобы использовать контекст проверки подлинности.

Примечание.

Для меток конфиденциальности требуется Microsoft 365 E5 или Microsoft 365 E3 плюс лицензия на расширенное соответствие требованиям.

Обновление метки конфиденциальности

1. В Портал соответствия требованиям Microsoft Purview на вкладке Защита информации щелкните метку, которую нужно обновить, и нажмите кнопку Изменить метку.

2. Нажимайте кнопку Далее , пока не перейдете на страницу Определение параметров защиты для групп и сайтов .

3. Убедитесь, что выбран флажок Внешний общий доступ и условный доступ проверка, а затем нажмите кнопку Далее.

4. На странице Определение параметров внешнего общего доступа и доступа к устройствам установите флажок Использовать условный доступ Microsoft Entra для защиты помеченных сайтов SharePoint проверка.

5. Выберите параметр Выбрать существующий контекст проверки подлинности .

6. В раскрывающемся списке выберите контекст проверки подлинности, который вы хотите использовать.

   

7. Нажимайте кнопку Далее , пока не перейдете на страницу Проверка параметров и завершение , а затем нажмите кнопку Сохранить метку.

После обновления метки гости, обращаюющиеся к сайту SharePoint (или вкладке Файлы в команде) с этой меткой, должны будут согласиться с условиями использования, прежде чем получить доступ к такому сайту.

Блокировка фоновых приложений (развертывание в предварительной версии)

Если на сайте задан контекст проверки подлинности, администраторы могут запретить фоновым приложениям доступ к этому сайту для приложений, назначенных с этим контекстом проверки подлинности в политике условного доступа. Политику условного доступа можно настроить таким образом, чтобы определенный контекст проверки подлинности можно было назначить выбранным принципам приложения (приложениям сторонних поставщиков). Вам потребуется явно включить эту функцию с помощью следующего командлета. Обратите внимание, что у вас должна быть по крайней мере одна политика условного доступа с настроенным принципом приложения.

Set-SPOTenant -BlockAPPAccessToSitesWithAuthentcationContext $false/$true (default false)

См. также

Используйте метки конфиденциальности, чтобы защитить контент в Microsoft Teams, в группах Microsoft 365 и на сайтах SharePoint.

Условный доступ: облачные приложения, действия и контекст проверки подлинности

Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям