Steuern des Zugriffs auf SharePoint- und OneDrive-Daten anhand der NetzwerkadresseControl access to SharePoint and OneDrive data based on network location

Als IT-Administrator können Sie den Zugriff auf SharePoint-und OneDrive-Ressourcen in Microsoft 365 basierend auf definierten Netzwerkstandorten, denen Sie Vertrauen, Steuern.As an IT admin, you can control access to SharePoint and OneDrive resources in Microsoft 365 based on defined network locations that you trust. Dies wird auch als standortbasierte Richtlinie bezeichnet.This is also known as location-based policy.

Hierzu definieren Sie eine vertrauenswürdige Netzwerkgrenze durch Angabe eines oder mehrerer autorisierter IP-Adressbereiche.To do this, you define a trusted network boundary by specifying one or more authorized IP address ranges. Jeder Benutzer, der versucht, von außerhalb dieser Netzwerkgrenze (über Webbrowser, Desktop-App oder Mobile App auf einem beliebigen Gerät) auf SharePoint und OneDrive zuzugreifen, wird blockiert.Any user who attempts to access SharePoint and OneDrive from outside this network boundary (using web browser, desktop app, or mobile app on any device) will be blocked.

Wichtig

Dieses Feature beruht darauf, dass Azure AD Richtlinien für bedingten Zugriff verfügbar sind.This feature relies on Azure AD Conditional Access policies being available. Sie benötigen ein Azure AD Premium P1-oder P2-Abonnement, damit dieses funktionsfähig ist.You will need an Azure AD Premium P1 or P2 subscription for this to work. Weitere Informationen hierzu finden Sie in der Ankündigung im Blog Azure Active Directory Identity.For more info about this, refer to the announcement in the Azure Active Directory Identity Blog.

Zugriff auf eingeschränkte Nachrichten im Browser

Hier sind einige wichtige Überlegungen für das Festlegen einer standortbasierten Richtlinie:Here are some important considerations for setting a location-based policy:

  • Externe Freigabe: Wenn Dateien und Ordner für Gäste freigegeben wurden, die sich authentifizieren, können Sie nicht auf die Ressourcen außerhalb des definierten IP-Adressbereichs zugreifen.External sharing: If files and folders have been shared with guests who authenticate, they will not be able to access the resources outside of the defined IP address range.

  • Zugriff von Apps für erste und Drittanbieter: normalerweise kann auf ein SharePoint-Dokument über apps wie Exchange, jammern, Skype, Teams, Planer, Power Automation, PowerBI, Power apps, OneNote usw. zugegriffen werden.Access from first and third-party apps: Normally, a SharePoint document can be accessed from apps like Exchange, Yammer, Skype, Teams, Planner, Power Automate, PowerBI, Power Apps, OneNote, and so on. Wenn eine standortbasierte Richtlinie aktiviert ist, werden apps blockiert, die standortbasierte Richtlinien nicht unterstützen.When a location-based policy is enabled, apps that do not support location-based policies are blocked. Die einzigen apps, die standortbasierte Richtlinien derzeit unterstützen, sind Teams, jammern und Exchange.The only apps that currently support location-based policies are Teams, Yammer, and Exchange. Dies bedeutet, dass alle anderen apps blockiert werden, selbst wenn diese apps innerhalb der vertrauenswürdigen Netzwerkgrenze gehostet werden.This means that all other apps are blocked, even when these apps are hosted within the trusted network boundary. Dies liegt daran, dass SharePoint nicht ermitteln kann, ob sich ein Benutzer dieser apps innerhalb der vertrauenswürdigen Grenze befindet.This is because SharePoint cannot determine whether a user of these apps is within the trusted boundary.

    Hinweis

    Wenn eine standortbasierte Richtlinie für SharePoint aktiviert ist, sollten die gleichen Richtlinien-und IP-Adressbereiche für Exchange und jammern konfiguriert werden.We recommend that when a location-based policy is enabled for SharePoint, the same policy and IP address ranges should be configured for Exchange and Yammer. SharePoint verwendet diese Dienste, um zu erzwingen, dass sich die Benutzer dieser apps innerhalb des vertrauenswürdigen IP-Bereichs befinden.SharePoint relies on these services to enforce that the users of these apps are within the trusted IP range.

  • Zugriff von dynamischen IP-Bereichen: mehrere Dienste und Anbieter hosten apps, die über dynamische IP-Adressen verfügen.Access from dynamic IP ranges: Several services and providers host apps which have dynamic originating IP addresses. Beispielsweise kann ein Dienst, der während der Ausführung von einem Azure-Rechenzentrum aus auf SharePoint zugreift, aufgrund einer Failover-Bedingung oder eines anderen Grundes von einem anderen Rechenzentrum aus gestartet werden, wodurch seine IP-Adresse dynamisch geändert wird.For example, a service that accesses SharePoint while running from one Azure data center may start running from a different data center due to a failover condition or other reason, thus dynamically changing its IP address. Die standortbasierte Richtlinie für den bedingten Zugriff basiert auf festen, vertrauenswürdigen IP-Adressbereichen.The location-based conditional access policy relies on fixed, trusted IP address ranges. Wenn der IP-Adressbereich nicht im Vordergrund bestimmt werden kann, ist die standortbasierte Richtlinie möglicherweise keine Option für Ihre Umgebung.If the IP address range cannot be determined up front, location-based policy may not be an option for your environment.

Festlegen einer standortbasierten Richtlinie im neuen SharePoint Admin CenterSet a location-based policy in the new SharePoint admin center

Hinweis

Es kann bis zu 15 Minuten dauern, bis diese Einstellungen wirksam werden.It can take up to 15 minutes for these settings to take effect.

  1. Wechseln Sie zur Seite Zugriffssteuerung des neuen SharePoint Admin Center, und melden Sie sich mit einem Konto an, das über Administratorberechtigungen für Ihre Organisation verfügt.Go to the Access control page of the new SharePoint admin center, and sign in with an account that has admin permissions for your organization.

Hinweis

Wenn Sie Office 365 Deutschland haben, melden Sie sich beim Microsoft 365 Admin Centeran, navigieren Sie dann zum SharePoint Admin Center, und öffnen Sie die Seite Zugriffssteuerung.If you have Office 365 Germany, sign in to the Microsoft 365 admin center, then browse to the SharePoint admin center and open the Access control page.
Wenn Sie Office 365 von 21Vianet (China) betrieben haben, melden Sie sich beim Microsoft 365 Admin Centeran, navigieren Sie dann zum SharePoint Admin Center, und öffnen Sie die Seite Zugriffssteuerung.If you have Office 365 operated by 21Vianet (China), sign in to the Microsoft 365 admin center, then browse to the SharePoint admin center and open the Access control page.

  1. Wählen Sie Netzwerkstandortaus, und aktivieren Sie den Zugriff nur aus bestimmten IP-Adressbereichen zulassen.Select Network location, and turn on Allow access only from specific IP address ranges.

    Der Bereich "Netzwerkstandort"

  2. Geben Sie die IP-Adressen und Adressbereiche durch Kommata getrennt ein.Enter IP addresses and address ranges separated by commas.

    Wichtig

    Stellen Sie sicher, dass Sie Ihre eigene IP-Adresse einschließen, damit Sie sich nicht selbst verschließen. Diese Einstellung schränkt nicht nur den Zugriff auf OneDrive und SharePoint-Websites, sondern auch auf die OneDrive und SharePoint-Verwaltungszentren sowie auf die Ausführung von PowerShell-Cmdlets ein.Make sure you include your own IP address so you don't lock yourself out. This setting not only restricts access to OneDrive and SharePoint sites, but also to the OneDrive and SharePoint admin centers, and to running PowerShell cmdlets. Wenn Sie sich selbst Sperren und keine Verbindung von einer IP-Adresse innerhalb eines von Ihnen angegebenen Bereichs herstellen können, müssen Sie sich an den Support wenden, um Hilfe zu erhalten.If you lock yourself out and can't connect from an IP address within a range you specified, you will need to contact Support for help.
    Wenn Sie überlappende IP-Adressen speichern, wird den Benutzern eine generische Fehlermeldung mit einer Korrelations-ID angezeigt, die auf "die Eingabe-IP-Zulassungsliste überlappt" zeigt.If you save overlapping IP addresses, your users will see a generic error message with a correlation ID that points to "The input IP allow list has overlaps."

Hinweis

Um eine standortbasierte Richtlinie mithilfe von PowerShell festzulegen, führen Sie "SPOTenant" mit dem-IPAddressAllowList-Parameter aus.To set a location-based policy by using PowerShell, run Set-SPOTenant with the -IPAddressAllowList parameter. Weitere Informationen finden Sie unter festlegen-SPOTenant.For more info, see Set-SPOTenant.