共用方式為

條件存取政策

透過 Microsoft Entra 認證上下文,當使用者存取 SharePoint 網站時,你可以強制執行更嚴格的存取條件。

你可以使用認證上下文,將 Microsoft Entra 條件存取政策連接到 SharePoint 網站。 政策可以直接套用到網站,或透過敏感性標籤。

此功能無法套用到 SharePoint (https://contoso.sharepoint.com 的根站,例如) 。

條件存取政策儀表板的截圖。

你需要什麼來設定條件存取政策?

執照要求是什麼?

您的組織需要擁有正確的授權,並符合某些管理權限或角色,才能使用本文所述的功能。

首先,您的組織必須擁有以下其中一種基本授權:

  • Office 365 E3、E5 或 A5
  • Microsoft 365 E1、E3、E5 或 A5

此外,你至少需要以下一項執照:

  • Microsoft 365 Copilot授權:組織中至少有一位使用者必須被指派 Copilot 授權 (該使用者不必是 SharePoint 管理員) 。
  • Microsoft SharePoint 進階管理授權: 可單獨購買。

管理員要求

你必須是 SharePoint 管理員 或擁有同等權限。

其他資訊

如果您的組織擁有 Copilot 執照,且至少有一人被指派 Copilot 執照,SharePoint 管理員會自動取得 Copilot 部署所需的 SharePoint 進階管理功能

對於沒有 Copilot 授權的組織,你可以 購買獨立的 SharePoint 進階管理授權,使用 SharePoint 進階管理功能。

此外,您還需要以下其中一種執照:

  • Microsoft SharePoint 進階管理
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5 合規性
  • Microsoft 365 E5 資訊保護和控管
  • Office 365 E5/A5/G5

限制

有些應用程式無法支援認證上下文。 我們建議在啟用認證上下文的網站上測試應用程式,再廣泛部署此功能。

以下應用程式與情境無法支援認證情境:

  • 舊版 Office 應用程式 (查看 支援版本清單)
  • SharePoint 行動應用程式 (iOS 和 Android)
  • Viva Engage
  • 如果關聯的 SharePoint 網站有認證上下文,OneNote 應用程式就無法加入頻道。
  • Teams 頻道會議錄影上傳在有認證上下文的網站上失敗。
  • 如果網站有認證上下文,Teams 中的 SharePoint 資料夾重新命名會失敗。
  • 如果 OneDrive 有認證上下文,Teams 線上研討會排程會失敗。
  • OneDrive 同步處理應用程式無法同步有認證情境的網站。
  • 不支援將認證上下文關聯到企業應用程式目錄網站集合。
  • 「在 Power BI 中視覺化 SharePoint 清單」功能目前不支援認證上下文。
  • Windows、Mac、Android 和 iOS 上的 Outlook 不支援與受認證上下文保護的 SharePoint 網站通訊。
  • 當條件存取政策中同時啟用認證情境與會話控制中的「使用條件存取應用程式控制」時,多檔案下載功能目前無法運作。
  • 跨地理) (檔案複製與移動功能目前在對目的地網站套用驗證情境時無法運作。
  • 匯出到 Excel 作為 Excel 網頁查詢 (IQY) 目前不支援認證上下文。

建立認證上下文

為標籤網站設定認證上下文需要以下基本步驟:

  1. 在 Microsoft Entra ID 中加入認證上下文。

  2. 建立一個條件存取政策,適用於該認證情境,並包含你想要使用的條件和存取控制。

  3. 執行下列其中一項:

    1. 設定敏感性標籤,將認證上下文套用到有標籤的網站。
    2. 直接將認證上下文套用到網站

本文將探討一個範例:要求訪客在存取敏感 SharePoint 網站前必須同意 使用條款 。 你也可以使用組織所需的其他條件存取條件和存取控制。

新增認證上下文

首先,在 Microsoft Entra ID 中加入認證上下文。

為了補充認證上下文:

  1. Microsoft Entra 條件存取中,在管理中選擇「認證上下文」。

  2. 選擇 新的認證上下文

  3. 輸入名稱和描述,並選擇「 發佈到應用程式 」的勾選框。

    新增認證上下文介面截圖

  4. 選取 [儲存]

建立條件式存取原則

接著,建立一套適用於該認證情境的條件存取政策,並要求訪客同意使用條款作為存取條件。

要建立條件存取政策:

  1. Microsoft Entra 條件存取中,選擇新政策

  2. 請輸入保單名稱。

  3. 「使用者與群組 」標籤中,選擇 「選擇使用者與群組 」選項,然後勾選 「訪客或外部使用者 」勾選框。

  4. 從下拉選單選擇 B2B 合作訪客用戶

  5. 雲端應用程式或動作 標籤中,選擇 此政策適用的範圍,選擇 認證情境,並勾選你所建立的驗證情境的勾選框。

    雲端應用程式中驗證情境選項的截圖,或條件存取政策的動作設定。

  6. 補助 金標籤中,勾選你想使用的使用條款勾選框,然後選擇 選擇

  7. 選擇是否啟用該政策,然後選擇 建立

直接將認證上下文套用到網站

你可以直接使用 Set-SPOSite PowerShell 指令檔,將認證情境套用到 SharePoint 網站。

注意事項

此功能需持有 Microsoft 365 E5 或 Microsoft SharePoint 進階管理授權。

在以下範例中,我們將上述建立的認證上下文套用到一個名為「research」的網站。

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

設定敏感標籤,將認證上下文套用到有標籤的網站

如果你想用敏感性標籤套用認證上下文,可以更新敏感性標籤 (或建立新的標籤) 使用認證上下文。

注意事項

敏感性標籤需取得 Microsoft 365 E5 或 Microsoft 365 E3 以及進階合規授權。

更新敏感標籤

  1. Microsoft Purview 入口網站資訊保護 標籤中,選擇你想更新的標籤,然後選擇 編輯標籤

  2. 選擇 「下一步 」直到你進入 「定義群組與網站的保護設定 」頁面。

  3. 確認已勾選 外部分享與條件存取設定 勾選框,然後選擇 「下一步」。

  4. 「定義外部共享與裝置存取設定」頁面,選擇「使用 Microsoft Entra 條件存取以保護標記為 SharePoint 網站的勾選框。」

  5. 選擇「 選擇現有的認證情境 」選項。

  6. 在下拉選單中,選擇你想使用的認證上下文。

    Microsoft Entra 認證情境敏感標籤設定截圖

  7. 選擇 「下一步 」直到你進入 「檢視你的設定並完成 」頁面,然後選擇 「儲存標籤」。

標籤更新後,訪客若存取帶有該標籤的 SharePoint 網站 (或團隊) 中的 檔案 分頁,必須先同意使用條款,才能取得該網站存取權限。

封鎖背景應用程式

若網站設定了驗證上下文,管理員可在條件存取政策中選擇阻止背景應用程式存取該網站,針對該認證上下文的應用程式。 你可以設定條件存取政策,讓非Microsoft應用程式) (指定應用程式原則指定特定的認證情境。 你需要透過以下 cmdlet 明確啟用此功能。 你應該至少有一個條件存取政策,並設定了應用程式原則。

Set-SPOTenant -BlockAppAccessWithAuthenticationContext $false/$true (default false)

第三方應用程式整合

使用帶有認證上下文的網站的第三方應用程式,必須能夠處理理賠挑戰。 如果你有第三方應用程式,建議測試這些應用程式,並閱讀 這裡的指引。

另請參閱

使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容

條件存取:雲端應用程式、動作與認證情境

安全性與合規性的 Microsoft 365 授權指導方針

  • Last updated on