有关保护 SharePoint 网站和文件的策略建议
本文介绍如何实现建议的零信任标识和设备访问策略来保护 SharePoint 和OneDrive for Business。 本指南基于 通用标识和设备访问策略。
这些建议基于三个不同的安全层和保护 SharePoint 文件,可根据需求粒度应用这些层: 起点、 企业和 专用安全性。 可以在 概述中了解有关这些安全层和建议的客户端操作系统的详细信息。
除了实施本指南外,请确保使用适当数量的保护配置 SharePoint 网站,包括为企业和专用安全内容设置适当的权限。
更新常见策略以包括 SharePoint 和 OneDrive for Business
为了保护 SharePoint 和 OneDrive 中的文件,下图说明了从通用标识和设备访问策略更新哪些策略。
如果在创建通用策略时包含 SharePoint,则只需创建新策略。 对于条件访问策略,SharePoint 包括 OneDrive。
新策略通过对指定的 SharePoint 网站应用特定的访问要求,为企业和专用安全内容实现设备保护。
下表列出了需要查看和更新 SharePoint 或新建 SharePoint 的策略。 常见策略链接到 通用标识和设备访问策略 一文中的关联配置说明。
| 保护级别 | 策略 | 更多信息 |
|---|---|---|
| 起点 | 当登录风险中等或较高时需要 MFA | 在云应用的分配中包含 SharePoint。 |
| 阻止不支持新式身份验证的客户端 | 在云应用的分配中包含 SharePoint。 | |
| 应用 APP 数据保护策略 | 请确保所有推荐的应用都包含在应用列表中。 请务必更新每个平台 (iOS、Android、Windows) 的策略。 | |
| 在 SharePoint 中使用应用强制实施的限制 | 添加此新策略。 这会告知Microsoft Entra ID使用 SharePoint 中指定的设置。 此策略适用于所有用户,但仅影响对 SharePoint 访问策略中包含的网站的访问。 | |
| 企业 | 当登录风险较低、中等或较高时需要 MFA | 在云应用的分配中包含 SharePoint。 |
| 需要合规的电脑 和 移动设备 | 在云应用程序列表中包括 SharePoint。 | |
| SharePoint 访问控制策略:允许仅浏览器从非托管设备访问特定 SharePoint 网站。 | 这会阻止编辑和下载文件。 使用 PowerShell 指定站点。 | |
| 专用安全性 | 始终 需要 MFA | 在云应用的分配中包含 SharePoint。 |
| SharePoint 访问控制策略:阻止从非托管设备访问特定 SharePoint 网站。 | 使用 PowerShell 指定站点。 |
在 SharePoint 中使用应用强制实施的限制
如果在 SharePoint 中实现访问控制,则会在 Microsoft Entra ID 中创建条件访问策略,以告知Microsoft Entra ID强制实施在 SharePoint 中配置的策略。 默认情况下,此策略适用于所有用户,但仅影响在 SharePoint 中创建访问控制时使用 PowerShell 指定的网站的访问。 还可以将策略的范围限定为特定用户、组或站点。
若要配置此策略,请参阅 控制来自非托管设备的访问中的“阻止或限制对特定 SharePoint 网站集或 OneDrive 帐户的访问”。
SharePoint 访问控制策略
Microsoft 建议使用企业版和专用安全内容通过设备访问控制保护 SharePoint 网站中的内容。 为此,可以创建一个策略,该策略指定要对其应用保护的级别和站点。
- 企业站点:允许仅浏览器访问。 这会阻止用户编辑和下载文件。
- 专用安全站点:阻止来自非托管设备的访问。
请参阅 控制来自非托管设备的访问中的“阻止或限制对特定 SharePoint 网站集或 OneDrive 帐户的访问”。
这些策略如何协同工作
请务必了解,SharePoint 网站权限通常基于访问网站的业务需求。 这些权限由网站所有者管理,并且可能具有高度动态性。 无论用户是分配到与起点、企业安全保护还是专用安全保护关联的Microsoft Entra组,使用 SharePoint 设备访问策略可确保对这些站点的保护。
下图提供了 SharePoint 设备访问策略如何保护用户访问网站的示例。
James 已分配有起始点条件访问策略,但他可以通过企业或专用安全保护来访问 SharePoint 网站。
- 如果 James 使用电脑访问其是企业或专用安全保护成员的网站,则会授予他的访问权限。
- 如果 James 访问企业保护站点,他是使用其非托管手机(允许起始点用户使用)的成员,则由于为此站点配置的设备访问策略,他将收到对企业站点的仅限浏览器访问权限。
- 如果 James 访问专用安全站点,他是使用其非托管手机的成员,他将被阻止,因为为此站点配置的访问策略。 他只能使用托管电脑访问此网站。
后续步骤
为以下项配置条件访问策略:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈