Doporučení zásad pro zabezpečení sharepointových webů a souborů
Tento článek popisuje, jak implementovat doporučené zásady nulová důvěra (Zero Trust) identit a přístupu zařízení k ochraně SharePointu a OneDrive pro firmy. Tyto doprovodné materiály vycházejí z běžných zásad přístupu k identitám a zařízením.
Tato doporučení jsou založená na třech různých úrovních zabezpečení a ochrany sharepointových souborů, které se dají použít na základě členitosti vašich potřeb: výchozí bod, podnikové a specializované zabezpečení. Další informace o těchto úrovních zabezpečení a doporučených klientských operačních systémech najdete v přehledu, na které odkazují tato doporučení.
Kromě implementace těchto pokynů nezapomeňte nakonfigurovat sharepointové weby se správnou úrovní ochrany, včetně nastavení odpovídajících oprávnění pro podnikový a specializovaný obsah zabezpečení.
Aktualizace běžných zásad tak, aby zahrnovaly SharePoint a OneDrive pro firmy
Pokud chcete chránit soubory na SharePointu a OneDrivu, následující diagram znázorňuje, které zásady se mají aktualizovat z běžných zásad přístupu k identitám a zařízením.
Pokud jste při vytváření běžných zásad zahrnuli SharePoint, stačí vytvořit nové zásady. V případě zásad podmíněného přístupu zahrnuje SharePoint OneDrive.
Nové zásady implementují ochranu zařízení pro podnikový a specializovaný obsah zabezpečení tím, že uplatňují specifické požadavky na přístup na weby SharePointu, které zadáte.
Následující tabulka uvádí zásady, které je potřeba zkontrolovat a aktualizovat nebo vytvořit nové pro SharePoint. Běžné zásady odkazují na související pokyny ke konfiguraci v článku Běžné zásady přístupu k identitám a zařízením .
Úroveň ochrany | Zásady | Další informace |
---|---|---|
Bodem | Vyžadování vícefaktorového ověřování, pokud je riziko přihlášení střední nebo vysoké | Do přiřazení cloudových aplikací zahrňte SharePoint. |
Blokování klientů, kteří nepodporují moderní ověřování | Do přiřazení cloudových aplikací zahrňte SharePoint. | |
Použití zásad ochrany dat aplikací | Ujistěte se, že seznam aplikací obsahuje všechny doporučené aplikace. Nezapomeňte aktualizovat zásady pro každou platformu (iOS, Android, Windows). | |
Použití omezení vynucených aplikací v SharePointu | Přidejte tuto novou zásadu. To Microsoft Entra ID informuje, že má použít nastavení zadaná v SharePointu. Tato zásada platí pro všechny uživatele, ale má vliv jenom na přístup k webům, které jsou součástí zásad přístupu k SharePointu. | |
Enterprise | Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení nízké, střední nebo vysoké | Do přiřazení cloudových aplikací zahrňte SharePoint. |
Vyžadování vyhovujících počítačů a mobilních zařízení | Do seznamu cloudových aplikací zahrňte SharePoint. | |
Zásady řízení přístupu SharePointu: Povolí přístup k určitým sharepointovým webům jenom v prohlížeči z nespravovaných zařízení. | Tím se zabrání úpravám a stahování souborů. K určení lokalit použijte PowerShell. | |
Specializované zabezpečení | Vždy vyžadovat vícefaktorové ověřování | Do přiřazení cloudových aplikací zahrňte SharePoint. |
Zásady řízení přístupu SharePointu: Zablokuje přístup ke konkrétním webům SharePointu z nespravovaných zařízení. | K určení lokalit použijte PowerShell. |
Použití omezení vynucených aplikací v SharePointu
Pokud implementujete řízení přístupu v SharePointu, zásady podmíněného přístupu se vytvoří v Microsoft Entra ID, aby Microsoft Entra ID vynutily zásady, které konfigurujete v SharePointu. Ve výchozím nastavení se tato zásada vztahuje na všechny uživatele, ale má vliv jenom na přístup k webům, které zadáte pomocí PowerShellu při vytváření řízení přístupu v SharePointu. Zásady je také možné omezit na konkrétní uživatele, skupiny nebo weby.
Pokud chcete tuto zásadu nakonfigurovat, přečtěte si téma Blokování nebo omezení přístupu k určitým kolekcím sharepointových webů nebo účtům OneDrivu v tématu Řízení přístupu z nespravovaných zařízení.
Zásady řízení přístupu na SharePointu
Microsoft doporučuje chránit obsah na sharepointových webech pomocí podnikového a specializovaného obsahu zabezpečení pomocí řízení přístupu zařízení. Uděláte to tak, že vytvoříte zásadu, která určuje úroveň ochrany a weby, na které se má ochrana použít.
- Podnikové weby: Povolí přístup jenom v prohlížeči. Uživatelům se tím zabrání v úpravách a stahování souborů.
- Specializované weby zabezpečení: Zablokují přístup z nespravovaných zařízení.
Viz "Blokování nebo omezení přístupu k určitým kolekcím sharepointových webů nebo účtům OneDrivu" v tématu Řízení přístupu z nespravovaných zařízení.
Jak tyto zásady fungují společně
Je důležité si uvědomit, že oprávnění sharepointového webu jsou obvykle založená na obchodní potřebě přístupu k webům. Tato oprávnění spravují vlastníci webu a můžou být vysoce dynamická. Použití zásad přístupu k sharepointovým zařízením zajišťuje ochranu těchto webů bez ohledu na to, jestli jsou uživatelé přiřazeni ke skupině Microsoft Entra přidružené k výchozímu bodu, podnikové nebo specializované ochraně zabezpečení.
Následující obrázek ukazuje, jak zásady přístupu k sharepointovým zařízením chrání přístup k webům pro uživatele.
James má přiřazené zásady podmíněného přístupu, ale může mít přístup k sharepointovým webům s podnikovou nebo specializovanou ochranou zabezpečení.
- Pokud James přistupuje na web, na který je členem s podnikovou nebo specializovanou ochranou zabezpečení pomocí svého počítače, je mu přístup udělen.
- Pokud James přistupuje k podnikovému webu ochrany, na kterém je členem, používá svůj nespravovaný telefon, který je povolený pro uživatele výchozího bodu, bude mít přístup k podnikovému webu jenom v prohlížeči kvůli zásadám přístupu zařízení nakonfigurovaným pro tento web.
- Pokud James přistupuje ke specializovanému webu zabezpečení, na který je členem, používá svůj nespravovaný telefon, bude zablokován kvůli zásadám přístupu nakonfigurovaným pro tento web. K tomuto webu má přístup pouze pomocí svého spravovaného počítače.
Další krok
Nakonfigurujte zásady podmíněného přístupu pro:
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro