SharePoint 网站和 OneDrive 的条件访问策略

  • 项目

本文中的某些功能需要Microsoft Syntex - SharePoint 高级管理

使用Microsoft Entra身份验证上下文,可以在用户访问 SharePoint 网站时强制实施更严格的访问条件。

可以使用身份验证上下文将Microsoft Entra条件访问策略连接到 SharePoint 网站。 策略可以直接应用于站点,也可以通过敏感度标签应用。

请注意,此功能不能应用于 SharePoint (中的根网站, https://contoso.sharepoint.com 例如,) 。

要求

对 SharePoint 网站使用身份验证上下文需要以下许可证之一:

  • Microsoft Syntex - SharePoint 高级管理
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5 合规
  • Microsoft 365 E5 信息保护和治理
  • Office 365 E5/A5/G5

限制

某些应用不适用于身份验证上下文。 建议在广泛部署此功能之前,先在启用了身份验证上下文的站点上测试应用。

以下应用和方案不适用于身份验证上下文:

  • 旧版 Office 应用 (查看 受支持版本列表)
  • Viva Engage
  • Teams Web 应用
  • 如果关联的 SharePoint 网站具有身份验证上下文,则无法将 OneNote 应用添加到通道。
  • Teams 频道会议录制在具有身份验证上下文的站点上上传失败。
  • 如果网站具有身份验证上下文,则 Teams 中的 SharePoint 文件夹重命名失败。
  • 如果 OneDrive 具有身份验证上下文,Teams 网络研讨会计划将失败。
  • 第三方应用
  • OneDrive 同步应用不会将站点与身份验证上下文同步。
  • 不支持将身份验证上下文关联到企业应用程序目录网站集。
  • “在 Power BI 中可视化 SharePoint 列表”功能当前不支持身份验证上下文。
  • Windows、Mac、Android 和 iOS 版 Outlook 不支持与受身份验证上下文保护的 SharePoint 站点通信。

设置身份验证上下文

为标记的网站设置身份验证上下文需要以下基本步骤:

  1. 在 Microsoft Entra ID 中添加身份验证上下文。

  2. 创建一个条件访问策略,该策略适用于该身份验证上下文,并具有要使用的条件和访问控制。

  3. 执行下列操作之一:

    1. 设置敏感度标签以将身份验证上下文应用于已标记的网站。
    2. 将身份验证上下文直接应用于站点

在本文中,我们将介绍要求来宾在访问敏感 SharePoint 网站之前同意 使用条款 的示例。 还可以使用组织可能需要的任何其他条件访问条件和访问控制。

添加身份验证上下文

首先,在 Microsoft Entra ID 中添加身份验证上下文。

添加身份验证上下文:

  1. “Microsoft Entra条件访问”中的“管理”下,单击“身份验证上下文”。

  2. 单击“ 新建身份验证上下文”。

  3. 键入名称和说明,然后选择“发布到应用检查”框。

    添加身份验证上下文 UI 的屏幕截图

  4. 单击保存

创建条件访问策略

接下来,创建一个条件访问策略,该策略适用于该身份验证上下文,并要求来宾同意使用条款作为访问条件。

若要创建条件访问策略,请执行以下操作:

  1. “Microsoft Entra条件访问”中,单击“新建策略”。

  2. 键入策略的名称。

  3. 在“用户和组”选项卡上,选择“选择用户和组”选项,然后选择“来宾或外部用户检查”框。

  4. 从下拉列表中选择 B2B 协作来宾用户

  5. 在“云应用或操作”选项卡上的“选择适用于此策略的内容”下,选择“身份验证上下文”,然后选择你创建的身份验证上下文的“检查”框。

    云应用中的身份验证上下文选项或条件访问策略的操作设置的屏幕截图。

  6. 在“授予”选项卡上,选择要使用的使用条款检查框,然后单击“选择”。

  7. 选择是否要启用策略,然后单击“ 创建”。

将身份验证上下文直接应用于站点

可以使用 Set-SPOSite PowerShell cmdlet 将身份验证上下文直接应用于 SharePoint 网站。

注意

此功能需要Microsoft 365 E5或Microsoft Syntex - SharePoint 高级管理许可证。

在以下示例中,我们将上面创建的身份验证上下文应用到名为“research”的网站。

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

设置敏感度标签以将身份验证上下文应用于已标记的网站

如果要使用敏感度标签来应用身份验证上下文,请更新敏感度标签 (或创建一个新标签) 以使用身份验证上下文。

注意

敏感度标签需要Microsoft 365 E5或Microsoft 365 E3以及高级合规性许可证。

更新敏感度标签

  1. Microsoft Purview 合规门户的“信息保护”选项卡上,单击要更新的标签,然后单击“编辑标签”。

  2. 单击“ 下一步 ”,直到位于 “定义组和网站的保护设置 ”页上。

  3. 确保选中“外部共享和条件访问设置检查”框,然后单击“下一步”。

  4. “定义外部共享和设备访问设置”页上,选中“使用Microsoft Entra条件访问来保护已标记的 SharePoint 网站检查”框。

  5. 选择“ 选择现有身份验证上下文 ”选项。

  6. 在下拉列表中,选择要使用的身份验证上下文。

    Microsoft Entra身份验证上下文敏感度标签设置的屏幕截图

  7. 单击“ 下一步 ”,直到处于 “查看设置并完成 ”页上,然后单击“ 保存标签”。

更新标签后,访问 SharePoint 网站 (或具有该标签的团队) 中的 “文件 ”选项卡的来宾必须同意使用条款,然后才能访问该网站。

在预览版) 中推出 (阻止后台应用

如果在站点上设置了身份验证上下文,则管理员可以选择阻止后台应用在条件访问策略中为分配了该身份验证上下文的应用访问该站点。 可以配置条件访问策略,以便可将特定的身份验证上下文分配给所选应用程序原则 (非 Microsoft 应用程序) 。 需要通过以下 cmdlet 显式启用此功能。 请注意,应至少有一个条件访问策略,其中配置了应用程序主体。

Set-SPOTenant -BlockAPPAccessToSitesWithAuthentcationContext $false/$true (default false)

另请参阅

使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容

条件访问:云应用、操作和身份验证上下文

Microsoft 365 安全性与合规性许可指南