保護 SharePoint 網站和檔案的原則建議

本文說明如何實作建議的零信任身分識別和裝置存取原則,以保護 SharePoint 和商務用 OneDrive。 本指引是以 常見的身分識別和裝置存取原則為基礎。

這些建議是以 SharePoint 檔案的三種不同安全性和保護層級為基礎,可根據您需求的細微性來套用:起點企業和特殊安全性。 您可以在 概觀中深入瞭解這些安全性層級,以及這些建議所參考的建議用戶端作業系統。

除了實作本指引之外,請務必使用適當的保護數量來設定 SharePoint 網站,包括為企業和特殊安全性內容設定適當的許可權。

更新一般原則以包含 SharePoint 和 商務用 OneDrive

為了保護 SharePoint 和 OneDrive 中的檔案,下圖說明要從一般身分識別和裝置存取原則更新哪些原則。

保護 SharePoint 存取權的原則更新摘要

如果您在建立一般原則時包含 SharePoint,則只需要建立新的原則。 針對條件式存取原則,SharePoint 包含 OneDrive。

新原則會將特定存取需求套用至您指定的 SharePoint 網站,以實作企業版和特殊安全性內容的裝置保護。

下表列出您需要檢閱和更新或為 SharePoint 建立新的原則。 一般原則會連結至一般身分識別 和裝置存取 原則一文中相關聯的設定指示。

保護層級 原則 其他相關資訊
起點 登入風險時需要 MFA 在雲端應用程式指派中包含 SharePoint。
封鎖不支援新式驗證的用戶端 在雲端應用程式指派中包含 SharePoint。
套用應用程式資料保護原則 請確定所有建議的應用程式都包含在應用程式清單中。 請務必更新 iOS、Android、Windows) (每個平臺的原則。
在 SharePoint 中使用應用程式強制執行的限制 新增此新原則。 這會指示 Azure Active Directory (Azure AD) 使用 SharePoint 中指定的設定。 此原則適用于所有使用者,但只會影響 SharePoint 存取原則中所含網站的存取權。
企業 登入風險時需要 MFA 在雲端應用程式的指派中包含 SharePoint。
需要符合規範的電腦 行動裝置 在雲端應用程式清單中包含 SharePoint。
SharePoint 存取控制原則:允許僅限瀏覽器從非受控裝置存取特定 SharePoint 網站。 這可防止編輯和下載檔案。 使用 PowerShell 指定網站。
特製化安全性 一律 需要 MFA 在雲端應用程式指派中包含 SharePoint。
SharePoint 存取控制原則:封鎖從非受控裝置存取特定 SharePoint 網站。 使用 PowerShell 指定網站。

在 SharePoint 中使用應用程式強制執行的限制

如果您在 SharePoint 中實作存取控制,則會在 Azure AD 中建立條件式存取原則,以指示 Azure AD 強制執行您在 SharePoint 中設定的原則。 根據預設,此原則會套用至所有使用者,但只會影響您在 SharePoint 中建立存取控制時,使用 PowerShell 指定的網站存取權。 原則也可以限定特定使用者、群組或網站的範圍。

To configure this policy see "Block or limit access to specific SharePoint site collections or OneDrive accounts" in Control access from unmanaged devices.

SharePoint 存取控制原則

Microsoft 建議您使用企業版和具有裝置存取控制的特製化安全性內容,來保護 SharePoint 網站中的內容。 您可以建立原則來指定保護層級,以及要套用保護的網站來執行此動作。

  • 企業網站:允許僅限瀏覽器存取。 這可防止使用者編輯和下載檔案。
  • 特製化的安全性網站:封鎖來自非受控裝置的存取。

See "Block or limit access to specific SharePoint site collections or OneDrive accounts" in Control access from unmanaged devices.

這些原則如何一起運作

請務必瞭解 SharePoint 網站許可權通常是以存取網站的商務需求為基礎。 這些許可權是由網站擁有者管理,而且可以高度動態。 使用 SharePoint 裝置存取原則可確保這些網站的保護,不論使用者是指派給與起點、企業或特殊安全性保護相關聯的 Azure AD 群組。

下圖提供 SharePoint 裝置存取原則如何保護使用者網站存取權的範例。

SharePoint 裝置存取原則如何保護網站的範例

James 已指派起始點條件式存取原則,但可以透過企業或特殊安全性保護授與 SharePoint 網站的存取權。

  • 如果 James 使用電腦存取身為企業或特殊安全性保護成員的網站,則會授與他的存取權。
  • 如果 James 使用允許起始點使用者使用的非受控電話存取企業保護網站,則會因為為此網站設定的裝置存取原則,而收到僅限瀏覽器的企業網站存取權。
  • 如果 James 使用非受控電話存取其所屬的特殊安全性網站,則會因為為此網站設定的存取原則而封鎖他。 他只能使用受管理的電腦存取此網站。

下一步

步驟 4 - Microsoft 365 雲端應用程式的原則

針對下列專案設定條件式存取原則: