Doporučení zásad pro zabezpečení sharepointových webů a souborů

Článek
04/27/2024

Tento článek popisuje, jak implementovat doporučené zásady nulová důvěra (Zero Trust) identit a přístupu zařízení k ochraně SharePointu a OneDrive pro firmy. Tyto doprovodné materiály vycházejí z běžných zásad přístupu k identitám a zařízením.

Tato doporučení jsou založená na třech různých úrovních zabezpečení a ochrany sharepointových souborů, které se dají použít na základě členitosti vašich potřeb: výchozí bod, podnikové a specializované zabezpečení. Další informace o těchto úrovních zabezpečení a doporučených klientských operačních systémech najdete v přehledu, na které odkazují tato doporučení.

Kromě implementace těchto pokynů nezapomeňte nakonfigurovat sharepointové weby se správnou úrovní ochrany, včetně nastavení odpovídajících oprávnění pro podnikový a specializovaný obsah zabezpečení.

Aktualizace běžných zásad tak, aby zahrnovaly SharePoint a OneDrive pro firmy

Pokud chcete chránit soubory na SharePointu a OneDrivu, následující diagram znázorňuje, které zásady se mají aktualizovat z běžných zásad přístupu k identitám a zařízením.

Pokud jste při vytváření běžných zásad zahrnuli SharePoint, stačí vytvořit nové zásady. V případě zásad podmíněného přístupu zahrnuje SharePoint OneDrive.

Nové zásady implementují ochranu zařízení pro podnikový a specializovaný obsah zabezpečení tím, že uplatňují specifické požadavky na přístup na weby SharePointu, které zadáte.

Následující tabulka uvádí zásady, které je potřeba zkontrolovat a aktualizovat nebo vytvořit nové pro SharePoint. Běžné zásady odkazují na související pokyny ke konfiguraci v článku Běžné zásady přístupu k identitám a zařízením .

Úroveň ochrany	Zásady	Další informace
Bodem	Vyžadování vícefaktorového ověřování, pokud je riziko přihlášení střední nebo vysoké	Do přiřazení cloudových aplikací zahrňte SharePoint.
	Blokování klientů, kteří nepodporují moderní ověřování	Do přiřazení cloudových aplikací zahrňte SharePoint.
	Použití zásad ochrany dat aplikací	Ujistěte se, že seznam aplikací obsahuje všechny doporučené aplikace. Nezapomeňte aktualizovat zásady pro každou platformu (iOS, Android, Windows).
	Použití omezení vynucených aplikací v SharePointu	Přidejte tuto novou zásadu. To Microsoft Entra ID informuje, že má použít nastavení zadaná v SharePointu. Tato zásada platí pro všechny uživatele, ale má vliv jenom na přístup k webům, které jsou součástí zásad přístupu k SharePointu.
Enterprise	Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení nízké, střední nebo vysoké	Do přiřazení cloudových aplikací zahrňte SharePoint.
	Vyžadování vyhovujících počítačů a mobilních zařízení	Do seznamu cloudových aplikací zahrňte SharePoint.
	Zásady řízení přístupu SharePointu: Povolí přístup k určitým sharepointovým webům jenom v prohlížeči z nespravovaných zařízení.	Tím se zabrání úpravám a stahování souborů. K určení lokalit použijte PowerShell.
Specializované zabezpečení	Vždy vyžadovat vícefaktorové ověřování	Do přiřazení cloudových aplikací zahrňte SharePoint.
	Zásady řízení přístupu SharePointu: Zablokuje přístup ke konkrétním webům SharePointu z nespravovaných zařízení.	K určení lokalit použijte PowerShell.

Použití omezení vynucených aplikací v SharePointu

Pokud implementujete řízení přístupu v SharePointu, zásady podmíněného přístupu se vytvoří v Microsoft Entra ID, aby Microsoft Entra ID vynutily zásady, které konfigurujete v SharePointu. Ve výchozím nastavení se tato zásada vztahuje na všechny uživatele, ale má vliv jenom na přístup k webům, které zadáte pomocí PowerShellu při vytváření řízení přístupu v SharePointu. Zásady je také možné omezit na konkrétní uživatele, skupiny nebo weby.

Pokud chcete tuto zásadu nakonfigurovat, přečtěte si téma Blokování nebo omezení přístupu k určitým kolekcím sharepointových webů nebo účtům OneDrivu v tématu Řízení přístupu z nespravovaných zařízení.

Zásady řízení přístupu na SharePointu

Microsoft doporučuje chránit obsah na sharepointových webech pomocí podnikového a specializovaného obsahu zabezpečení pomocí řízení přístupu zařízení. Uděláte to tak, že vytvoříte zásadu, která určuje úroveň ochrany a weby, na které se má ochrana použít.

Podnikové weby: Povolí přístup jenom v prohlížeči. Uživatelům se tím zabrání v úpravách a stahování souborů.
Specializované weby zabezpečení: Zablokují přístup z nespravovaných zařízení.

Viz "Blokování nebo omezení přístupu k určitým kolekcím sharepointových webů nebo účtům OneDrivu" v tématu Řízení přístupu z nespravovaných zařízení.

Jak tyto zásady fungují společně

Je důležité si uvědomit, že oprávnění sharepointového webu jsou obvykle založená na obchodní potřebě přístupu k webům. Tato oprávnění spravují vlastníci webu a můžou být vysoce dynamická. Použití zásad přístupu k sharepointovým zařízením zajišťuje ochranu těchto webů bez ohledu na to, jestli jsou uživatelé přiřazeni ke skupině Microsoft Entra přidružené k výchozímu bodu, podnikové nebo specializované ochraně zabezpečení.

Následující obrázek ukazuje, jak zásady přístupu k sharepointovým zařízením chrání přístup k webům pro uživatele.

James má přiřazené zásady podmíněného přístupu, ale může mít přístup k sharepointovým webům s podnikovou nebo specializovanou ochranou zabezpečení.

Pokud James přistupuje na web, na který je členem s podnikovou nebo specializovanou ochranou zabezpečení pomocí svého počítače, je mu přístup udělen.
Pokud James přistupuje k podnikovému webu ochrany, na kterém je členem, používá svůj nespravovaný telefon, který je povolený pro uživatele výchozího bodu, bude mít přístup k podnikovému webu jenom v prohlížeči kvůli zásadám přístupu zařízení nakonfigurovaným pro tento web.
Pokud James přistupuje ke specializovanému webu zabezpečení, na který je členem, používá svůj nespravovaný telefon, bude zablokován kvůli zásadám přístupu nakonfigurovaným pro tento web. K tomuto webu má přístup pouze pomocí svého spravovaného počítače.

Další krok

Nakonfigurujte zásady podmíněného přístupu pro: