有关保护 SharePoint 网站和文件的策略建议
本文介绍如何实施建议的零信任标识和设备访问策略来保护 SharePoint 和 OneDrive。 本指南以通用标识和设备访问策略为基础。
这些建议基于 SharePoint 文件的三个不同安全和保护级别,可根据需求粒度进行应用:起点、企业和专业安全性。 你可以在概述中详细了解这些建议引用的安全层以及建议的客户端操作系统。
除了实施本指南之外,请务必为 SharePoint 网站配置适当的保护,包括为企业和专业安全性内容设置适当的权限。
更新通用策略以包括 SharePoint 和 OneDrive
下图演示了要从通用标识和设备访问策略更新哪些策略来保护 SharePoint 和 OneDrive 中的文件。
如果在创建通用策略时包含了 SharePoint,则只需创建新策略。 对于条件访问策略,SharePoint 包括 OneDrive。
新策略通过对指定的 SharePoint 网站应用特定的访问要求来实现对企业和专业性安全内容的设备保护。
下表列出了需要查看和更新的策略或为 SharePoint 创建的新策略。 通用策略链接到通用标识和设备访问策略一文中的相关配置说明。
保护级别 | 策略 | 详细信息 |
---|---|---|
起点 | 登录风险为中或高时需要 MFA | 将 SharePoint 包含在云应用的分配中。 |
阻止不支持新式验证的客户端 | 将 SharePoint 包含在云应用的分配中。 | |
应用 APP 数据保护策略 | 确保所有建议的应用都包含在应用列表中。 请务必更新每个平台(iOS、Android、Windows)的策略。 | |
在 SharePoint 中使用应用强制限制 | 添加此新策略。 这会告知 Microsoft Entra ID 使用 SharePoint 中指定的设置。 此策略应用于所有用户,但仅影响对 SharePoint 访问策略中包含的网站的访问。 | |
企业 | 登录风险为低、中或高时需要 MFA | 将 SharePoint 包含在云应用的分配中。 |
需要合规的电脑和移动设备 | 将 SharePoint 包含在云应用列表中。 | |
SharePoint 访问控制策略:仅允许从非托管设备通过浏览器访问特定的 SharePoint 网站。 | 这可以防止编辑和下载文件。 使用 PowerShell 指定网站。 | |
专用安全性 | 始终需要 MFA | 将 SharePoint 包含在云应用的分配中。 |
SharePoint 访问控制策略:阻止非托管设备访问特定的 SharePoint 网站。 | 使用 PowerShell 指定网站。 |
在 SharePoint 中使用应用强制限制
如果在 SharePoint 中实现访问控制,则会在 Microsoft Entra ID 中创建条件访问策略,以告知 Microsoft Entra ID 强制实施在 SharePoint 中配置的策略。 默认情况下,此策略适用于所有用户,但仅影响在 SharePoint 中创建访问控制时使用 PowerShell 指定的网站的访问。 该策略还可以针对特定用户、组或网站。
若要配置此策略,请参阅控制来自非托管设备的访问中的“阻止或限制对特定 SharePoint 网站集或 OneDrive 帐户的访问”。
SharePoint 访问控制策略
Microsoft 建议使用设备访问控制来保护 SharePoint 网站中包含企业和专业安全性内容的内容。 可以通过创建指定保护级别和要应用保护的网站的策略来实现此目的。
- 企业网站:仅允许通过浏览器访问。 这可以防止用户编辑和下载文件。
- 专业安全性网站:阻止来自非托管设备的访问。
请参阅控制来自非托管设备的访问中的“阻止或限制对特定 SharePoint 网站集或 OneDrive 帐户的访问”。
这些策略如何协同工作
请务必了解,SharePoint 网站权限通常基于访问网站的业务需求。 这些权限由网站所有者管理,并且可能是高度动态的。 使用 SharePoint 设备访问策略可确保对这些网站的保护,无论用户是否已分配到与起点、企业或专业安全性保护关联的 Microsoft Entra 组。
下图提供了 SharePoint 设备访问策略如何保护用户对网站的访问的示例。
为 James 分配了起点条件访问策略,但可以授予他对具有企业或专业安全性保护的 SharePoint 网站的访问权限。
- 如果 James 使用电脑访问他所属的具有企业或专业安全性保护的网站,就会为他授予访问权限。
- 如果 James 访问企业保护网站(他是使用非托管电话的成员,允许起点用户这样做),则由于为此网站配置的设备访问策略,他只能通过浏览器访问企业网站。
- 如果 James 使用非托管电话访问他所属的专业安全性网站,则由于为此网站配置的访问策略,他将受到阻止。 他只能使用托管的电脑访问此网站。
下一步
为以下项配置条件访问策略: