Dela via


Principrekommendationer för att skydda SharePoint-webbplatser och -filer

Den här artikeln beskriver hur du implementerar de rekommenderade Nolltillit principer för identitets- och enhetsåtkomst för att skydda SharePoint och OneDrive. Den här vägledningen bygger på vanliga principer för identitets- och enhetsåtkomst.

Dessa rekommendationer baseras på tre olika nivåer av säkerhet och skydd för SharePoint-filer som kan tillämpas baserat på dina behovs kornighet: startpunkt, företag och specialiserad säkerhet. Du kan lära dig mer om dessa säkerhetsnivåer och de rekommenderade klientoperativsystemen som refereras till av dessa rekommendationer i översikten.

Förutom att implementera den här vägledningen måste du konfigurera SharePoint-webbplatser med rätt skydd, inklusive att ange lämpliga behörigheter för företag och specialiserat säkerhetsinnehåll.

Uppdatera vanliga principer för att inkludera SharePoint och OneDrive

För att skydda filer i SharePoint och OneDrive visar följande diagram vilka principer som ska uppdateras från vanliga principer för identitets- och enhetsåtkomst.

Diagram som visar sammanfattningen av principuppdateringar för att skydda åtkomsten till SharePoint

Om du inkluderade SharePoint när du skapade de vanliga principerna behöver du bara skapa de nya principerna. För principer för villkorsstyrd åtkomst innehåller SharePoint OneDrive.

De nya principerna implementerar enhetsskydd för företags- och specialsäkerhetsinnehåll genom att tillämpa specifika åtkomstkrav på SharePoint-webbplatser som du anger.

I följande tabell visas de principer som du antingen behöver granska och uppdatera eller skapa nya för SharePoint. Den gemensamma principlänken till de associerade konfigurationsinstruktionerna i artikeln Vanliga principer för identitets- och enhetsåtkomst .

Skyddsnivå Principer Mer information
Utgångspunkt Kräv MFA när inloggningsrisken är medelhög eller hög Inkludera SharePoint i tilldelningen av molnappar.
Blockera klienter som inte stöder modern autentisering Inkludera SharePoint i tilldelningen av molnappar.
Tillämpa APP-dataskyddsprinciper Se till att alla rekommenderade appar ingår i listan över appar. Se till att uppdatera principen för varje plattform (iOS, Android, Windows).
Använda apptvingande begränsningar i SharePoint Lägg till den här nya principen. Detta talar om för Microsoft Entra-ID att använda inställningarna som anges i SharePoint. Den här principen gäller för alla användare, men påverkar bara åtkomsten till webbplatser som ingår i SharePoint-åtkomstprinciper.
Enterprise Kräv MFA när inloggningsrisken är låg, medelhög eller hög Inkludera SharePoint i tilldelningarna av molnappar.
Kräv kompatibla datorer och mobila enheter Ta med SharePoint i listan över molnappar.
SharePoint-åtkomstkontrollprincip: Tillåt endast webbläsaråtkomst till specifika SharePoint-webbplatser från ohanterade enheter. Detta förhindrar redigering och nedladdning av filer. Använd PowerShell för att ange webbplatser.
Specialiserad säkerhet Kräv alltid MFA Inkludera SharePoint i tilldelningen av molnappar.
SharePoint-åtkomstkontrollprincip: Blockera åtkomst till specifika SharePoint-webbplatser från ohanterade enheter. Använd PowerShell för att ange webbplatser.

Använda apptvingande begränsningar i SharePoint

Om du implementerar åtkomstkontroller i SharePoint skapas principer för villkorsstyrd åtkomst i Microsoft Entra-ID för att instruera Microsoft Entra-ID att tillämpa de principer som du konfigurerar i SharePoint. Som standard gäller den här principen för alla användare, men påverkar bara åtkomsten till de webbplatser som du anger med hjälp av PowerShell när du skapar åtkomstkontrollerna i SharePoint. Principen kan också begränsas för specifika användare, grupper eller webbplatser.

Information om hur du konfigurerar den här principen finns i "Blockera eller begränsa åtkomst till specifika SharePoint-webbplatssamlingar eller OneDrive-konton" i Kontrollera åtkomst från ohanterade enheter.

SharePoint-principer för åtkomstkontroll

Microsoft rekommenderar att du skyddar innehåll på SharePoint-webbplatser med företags- och specialsäkerhetsinnehåll med enhetsåtkomstkontroller. Det gör du genom att skapa en princip som anger skyddsnivån och de platser som skyddet ska tillämpas på.

  • Företagswebbplatser: Tillåt endast webbläsaråtkomst. Detta hindrar användare från att redigera och ladda ned filer.
  • Specialiserade säkerhetswebbplatser: Blockera åtkomst från ohanterade enheter.

Se "Blockera eller begränsa åtkomst till specifika SharePoint-webbplatssamlingar eller OneDrive-konton" i Kontrollera åtkomst från ohanterade enheter.

Hur dessa principer fungerar tillsammans

Det är viktigt att förstå att SharePoint-webbplatsbehörigheter vanligtvis baseras på företagets behov av åtkomst till webbplatser. Dessa behörigheter hanteras av webbplatsägare och kan vara mycket dynamiska. Att använda SharePoint-enhetsåtkomstprinciper garanterar skydd för dessa webbplatser, oavsett om användare tilldelas till en Microsoft Entra-grupp som är associerad med startpunkt, företag eller specialiserat säkerhetsskydd.

Följande bild innehåller ett exempel på hur SharePoint-enhetsåtkomstprinciper skyddar åtkomsten till webbplatser för en användare.

Diagram som visar ett exempel på hur SharePoint-enhetsåtkomstprinciper skyddar webbplatser.

James har tilldelats principer för villkorsstyrd åtkomst, men han kan få åtkomst till SharePoint-webbplatser med företags- eller specialiserat säkerhetsskydd.

  • Om James kommer åt en webbplats som han är medlem i med företag eller specialiserat säkerhetsskydd med hjälp av sin dator, beviljas hans åtkomst.
  • Om James kommer åt en företagsskyddsplats som han är medlem i med att använda sin ohanterade telefon, vilket är tillåtet för startpunktsanvändare, får han webbläsaråtkomst till företagswebbplatsen på grund av den enhetsåtkomstprincip som konfigurerats för den här webbplatsen.
  • Om James kommer åt en specialiserad säkerhetswebbplats som han är medlem i med att använda sin ohanterade telefon blockeras han på grund av den åtkomstprincip som konfigurerats för den här webbplatsen. Han kan bara komma åt den här webbplatsen med hjälp av sin hanterade dator.

Gå vidare

Skärmbild av steg 4 – Principer för Microsoft 365-molnappar.

Konfigurera principer för villkorlig åtkomst för: