保護 SharePoint 網站和檔案的原則建議
本文說明如何實作建議的 零信任 身分識別和裝置存取原則,以保護 SharePoint 和 OneDrive。 本指南以一般身分識別和裝置存取原則為基礎。
這些建議是以 SharePoint 檔案的三個不同層級安全性和保護為基礎,可根據您的需求粒度套用: 起點、 企業和 特製化安全性。 您可以在概觀中深入瞭解這些安全性層級,以及這些建議所參考的建議用戶端操作系統。
除了實作本指南之外,請務必使用正確的保護量來設定 SharePoint 網站,包括為企業和特製化安全性內容設定適當的許可權。
更新通用原則以包含 SharePoint 和 OneDrive
為了保護 SharePoint 和 OneDrive 中的檔案,下圖說明要從通用身分識別和裝置存取原則更新哪些原則。
如果您在建立通用原則時包含 SharePoint,則只需要建立新的原則。 針對條件式存取原則,SharePoint 包含 OneDrive。
新原則會將特定存取需求套用至您指定的 SharePoint 網站,以實作企業和特製化安全性內容的裝置保護。
下表列出您需要檢閱和更新或為 SharePoint 建立新的原則。 通用身分識別和裝置存取原則一文中相關聯的設定指示連結。
保護等級 | 原則 | 其他相關資訊 |
---|---|---|
起點 | 登入風險為 中 或 高時需要 MFA | 在雲端應用程式的指派中包含 SharePoint。 |
封鎖不支援新式驗證的用戶端 | 在雲端應用程式的指派中包含 SharePoint。 | |
套用APP數據保護原則 | 請確定所有建議的應用程式都包含在應用程式清單中。 請務必更新每個平台的原則(iOS、Android、Windows)。 | |
在 SharePoint 中使用應用程式強制限制 | 新增此新原則。 這會告訴 Microsoft Entra ID 使用 SharePoint 中指定的設定。 此原則適用於所有使用者,但只會影響存取 SharePoint 存取原則中包含的網站。 | |
企業 | 登入風險低、中或高時需要 MFA | 在雲端應用程式的指派中包含 SharePoint。 |
需要符合規範的計算機 和 行動裝置 | 將 SharePoint 包含在雲端應用程式清單中。 | |
SharePoint 訪問控制原則:允許僅從非受控裝置存取特定 SharePoint 網站。 | 這可防止編輯和下載檔案。 使用 PowerShell 來指定網站。 | |
特製化安全性 | 一律 需要 MFA | 在雲端應用程式的指派中包含 SharePoint。 |
SharePoint 訪問控制原則:封鎖從非受控裝置存取特定 SharePoint 網站。 | 使用 PowerShell 來指定網站。 |
在 SharePoint 中使用應用程式強制執行的限制
如果您在 SharePoint 中實作訪問控制,則會在 Microsoft Entra ID 中建立條件式存取原則,告知 Microsoft Entra ID 強制執行您在 SharePoint 中設定的原則。 根據預設,此原則會套用至所有使用者,但只會影響您在 SharePoint 中建立訪問控制時使用 PowerShell 指定的網站存取權。 此原則也可以針對特定使用者、群組或網站設定範圍。
若要設定此原則,請參閱控制從非受控裝置存取中的「封鎖或限制特定 SharePoint 網站集合或 OneDrive 帳戶的存取」。
SharePoint 訪問控制原則
Microsoft 建議您使用企業版保護 SharePoint 網站中的內容,並使用裝置訪問控制來保護特殊安全性內容。 您可以建立一個原則,以指定要套用保護的層級和月臺。
- 企業網站:允許僅限瀏覽器存取。 這可防止使用者編輯和下載檔案。
- 特製化安全性網站:封鎖來自非受控裝置的存取。
請參閱控制非受控裝置的存取中的<封鎖或限制特定 SharePoint 網站集合或 OneDrive 帳戶的存取>。
這些原則如何一起運作
請務必瞭解 SharePoint 網站許可權通常是根據企業需要存取網站。 這些許可權是由網站擁有者所管理,而且高度動態。 不論使用者是否已指派給與起點、企業或特製化安全性保護相關聯的 Microsoft Entra 群組,使用 SharePoint 裝置存取原則可確保保護這些網站。
下圖提供 SharePoint 裝置存取原則如何保護使用者網站存取權的範例。
James 已指派條件式存取原則,但他可以使用企業或特殊安全性保護來存取 SharePoint 網站。
- 如果 James 存取某個網站,他是使用電腦擁有企業或特殊安全性保護的成員,則會授與他的存取權。
- 如果 James 存取企業保護網站,他是使用其 Unmanaged 手機的成員,這是允許起點使用者的,他會收到僅限瀏覽器存取企業網站,因為為此網站設定的裝置存取原則。
- 如果 James 存取特殊安全性網站,他是使用其 Unmanaged 手機的成員,他將會因為為此網站設定的存取原則而遭到封鎖。 他只能使用受控計算機存取此網站。
後續步驟
針對下列項目設定條件式存取原則: