透過使用 Microsoft Entra 認證上下文,當使用者存取 SharePoint 網站時,可以強制執行更嚴格的存取條件。
利用認證上下文將 Microsoft Entra 條件存取政策連接到 SharePoint 網站。 你可以直接套用政策到網站,或透過敏感度標籤套用。
例如,你無法將此功能套用到 SharePoint (的根站,例如 https://contoso.sharepoint.com) 。
開始之前
請檢視 SharePoint 進階管理的先修條件。
此外,您需要以下其中一種執照:
- Microsoft 365 E5/A5 合規性
- Microsoft 365 E5 資訊保護和控管
限制
有些應用程式無法支援認證上下文。 在啟用認證上下文的網站上測試應用程式,再廣泛部署此功能。
以下應用程式與情境無法支援認證情境:
- 舊版 Office 應用程式 (查看 支援版本清單)
- SharePoint 行動應用程式 (iOS 和 Android)
- Viva Engage
- 如果關聯的 SharePoint 網站有認證上下文,你就無法將 OneNote 應用程式加入頻道。
- Teams 頻道會議錄影上傳在有認證上下文的網站上失敗。
- 如果網站有認證上下文,Teams 中的 SharePoint 資料夾重新命名會失敗。
- 如果 OneDrive 有認證上下文,Teams 線上研討會排程會失敗。
- OneDrive 同步處理應用程式無法同步有認證情境的網站。
- 不支援將認證上下文關聯到企業應用程式目錄網站集合。
- 「在 Power BI 中視覺化 SharePoint 清單」功能目前不支援認證上下文。
- Windows、Mac、Android 和 iOS 上的 Outlook 不支援與受認證上下文保護的 SharePoint 網站通訊。
- 當條件存取政策中同時啟用認證情境與會話控制中的「使用條件存取應用程式控制」時,多檔案下載功能目前無法運作。
- 如果驗證情境直接設定在 SharePoint 網站,且沒有使用該情境啟用的條件存取政策,或該政策存在但被停用,多檔案下載功能將無法運作。
- 跨地理) (檔案複製與移動功能目前在對目的地網站套用驗證情境時無法運作。
- 匯出到 Excel 作為 Excel 網頁查詢 (IQY) 目前不支援認證上下文。
建立認證情境
要為標籤網站設定認證情境,請完成以下基本步驟:
在 Microsoft Entra ID 中加入認證上下文。
建立一個條件存取政策,適用於該認證情境,並包含你想要使用的條件和存取控制。
執行下列其中一個步驟:
設定敏感性標籤,將認證上下文套用到有標籤的網站。
直接將認證上下文套用到網站。
本文中,您看到範例說明訪客必須同意 使用條款 ,才能存取敏感的 SharePoint 網站。 你也可以使用組織所需的其他條件存取條件和存取控制。
新增認證上下文
首先,在 Microsoft Entra ID 中加入認證上下文。
為了補充認證上下文:
在 Microsoft Entra 條件存取中,在管理中選擇「認證上下文」。
選擇 新的認證上下文。
輸入名稱和描述,並選擇 「發佈到應用程式 」的勾選框。
選取 [儲存]。
建立條件式存取原則
接著,建立一套適用於該認證情境的條件存取政策,並要求訪客同意使用條款作為存取條件。
若要建立條件式存取原則:
在 Microsoft Entra 條件存取中,選擇新政策。
輸入保單名稱。
在 「使用者與群組 」標籤中,選擇 「選擇使用者與群組 」選項,然後勾選 「訪客或外部使用者 」勾選框。
從下拉選單選擇 B2B 合作訪客用戶 。
在 雲端應用程式或動作 標籤中,選擇 此政策適用的範圍,選擇 認證情境,並勾選你所建立的驗證情境的勾選框。
在 補助 金標籤中,勾選你想使用的使用條款勾選框,然後選擇 選擇。
選擇是否啟用該政策,然後選擇 建立。
直接將認證上下文套用到網站
你可以直接使用 Set-SPOSite PowerShell 指令檔,將認證情境套用到 SharePoint 網站。
注意事項
此功能需持有 Microsoft 365 E5 或 Microsoft SharePoint 進階管理授權。
在以下範例中,你將先前建立的認證上下文套用到一個名為「research」的網站。
Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"
設定敏感標籤,將認證上下文套用到有標籤的網站
如果你想用敏感性標籤套用認證上下文,可以更新敏感性標籤 (或建立新的標籤) 使用認證上下文。
注意事項
敏感性標籤需取得 Microsoft 365 E5 或 Microsoft 365 E3 以及進階合規授權。
更新敏感標籤
在 Microsoft Purview 入口網站的 資訊保護 標籤中,選擇你想更新的標籤,然後選擇 編輯標籤。
選擇 「下一步 」直到你進入 「定義群組與網站的保護設定 」頁面。
確認已勾選 外部分享與條件存取設定 勾選框,然後選擇 「下一步」。
在「定義外部共享與裝置存取設定」頁面,選擇「使用 Microsoft Entra 條件存取以保護標記為 SharePoint 網站的勾選框。」
選擇「 選擇現有的認證情境 」選項。
在下拉選單中,選擇你想使用的認證上下文。
選擇 「下一步 」直到你進入 「檢視你的設定並完成 」頁面,然後選擇 「儲存標籤」。
更新標籤後,訪客若存取 SharePoint 網站 (或團隊) 中Files標籤頁,必須先同意使用條款後才能存取該網站。
封鎖背景應用程式
如果你在某個網站設定了認證情境,管理員可以在條件存取政策中選擇阻止背景應用程式存取該網站,針對該認證情境下的應用程式。 你可以設定條件存取政策,讓特定的認證上下文被指派給非Microsoft應用程式 () 的應用程式主體。 你需要用以下 cmdlet 明確開啟這個功能。 你應該至少有一個條件存取政策,並設定了應用程式主體。
Set-SPOTenant -BlockAppAccessWithAuthenticationContext $false/$true (default false)
第三方應用程式整合
使用帶有認證上下文網站的第三方應用程式,必須能夠處理理賠挑戰。 請參閱 條件存取驗證上下文開發者指南。
另請參閱
使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容