Steuern des Zugriffs auf SharePoint- und OneDrive-Daten anhand der Netzwerkadresse

  • Artikel

Als IT-Administrator können Sie den Zugriff auf SharePoint- und OneDrive-Ressourcen in Microsoft 365 basierend auf definierten Netzwerkstandorten steuern, denen Sie vertrauen. Dies wird auch als standortbasierte Richtlinie bezeichnet.

Zu diesem Zweck definieren Sie eine vertrauenswürdige Netzwerkgrenze, indem Sie mindestens einen autorisierten IP-Adressbereich angeben. Jeder Benutzer, der versucht, von außerhalb dieser Netzwerkgrenze (mit Webbrowser, Desktop-App oder mobiler App auf einem beliebigen Gerät) auf SharePoint und OneDrive zuzugreifen, wird blockiert.

Nachricht mit eingeschränktem Zugriff im Browser

Hier sind einige wichtige Überlegungen zum Festlegen einer standortbasierten Richtlinie:

  • Externe Freigabe: Wenn Dateien und Ordner für Gäste freigegeben wurden, die sich authentifizieren, können diese nicht auf die Ressourcen außerhalb des definierten IP-Adressbereichs zugreifen.

  • Zugriff von Erst- und Drittanbieter-Apps: Normalerweise kann über Apps wie Exchange, Viva Engage, Skype, Teams, Planner, Power Automate, PowerBI, Power BI, Power Apps, OneNote usw. auf ein SharePoint-Dokument zugegriffen werden. Wenn eine standortbasierte Richtlinie aktiviert ist, werden Apps blockiert, die keine standortbasierten Richtlinien unterstützen. Die einzigen Apps, die derzeit standortbasierte Richtlinien unterstützen, sind Teams, Viva Engage und Exchange. Dies bedeutet, dass alle anderen Apps blockiert werden, auch wenn diese Apps innerhalb der vertrauenswürdigen Netzwerkgrenze gehostet werden. Dies liegt daran, dass SharePoint nicht bestimmen kann, ob sich ein Benutzer dieser Apps innerhalb der vertrauenswürdigen Grenze befindet.

    Hinweis

    Wenn eine standortbasierte Richtlinie für SharePoint aktiviert ist, sollten die gleichen Richtlinien und IP-Adressbereiche für Exchange und Viva Engage konfiguriert werden. SharePoint nutzt diese Dienste, um zu erzwingen, dass sich die Benutzer dieser Apps innerhalb des vertrauenswürdigen IP-Bereichs befinden. Zum Schützen des Zugriffs auf SharePoint über das Office.com-Portal empfehlen wir die Verwendung der richtlinie Microsoft Entra bedingten Zugriff für "Office 365" und die Konfiguration des vertrauenswürdigen IP-Adressbereichs.

  • Zugriff aus dynamischen IP-Adressbereichen: Mehrere Dienste und Anbieter hosten Apps, die über dynamische IP-Adressen verfügen. Beispielsweise kann ein Dienst, der auf SharePoint zugreift, während er von einem Azure-Rechenzentrum aus ausgeführt wird, aufgrund einer Failoverbedingung oder eines anderen Grunds von einem anderen Rechenzentrum aus ausgeführt werden, wodurch seine IP-Adresse dynamisch geändert wird. Die standortbasierte Richtlinie für bedingten Zugriff basiert auf festen, vertrauenswürdigen IP-Adressbereichen. Wenn der IP-Adressbereich nicht im Voraus bestimmt werden kann, ist die standortbasierte Richtlinie möglicherweise keine Option für Ihre Umgebung.

Festlegen einer standortbasierten Richtlinie im neuen SharePoint Admin Center

Hinweis

Es kann bis zu 15 Minuten dauern, bis diese Einstellungen wirksam werden.

  1. Wechseln Sie im neuen SharePoint Admin Center zur Zugriffssteuerung, und melden Sie sich mit einem Konto an, das über Administratorberechtigungen für Ihre organization verfügt.

Hinweis

Wenn Sie Office 365 von 21Vianet (China) betrieben haben, melden Sie sich beim Microsoft 365 Admin Center an, navigieren Sie zum SharePoint Admin Center, und öffnen Sie die Seite Zugriffssteuerung.

  1. Wählen Sie Netzwerkspeicherort aus, und aktivieren Sie Zugriff nur aus bestimmten IP-Adressbereichen zulassen.

    Bereich

  2. Geben Sie IP-Adressen und Adressbereiche durch Kommas getrennt ein.

    Wichtig

    Stellen Sie sicher, dass Sie Ihre eigene IP-Adresse einschließen, damit Sie sich nicht selbst sperren. Diese Einstellung schränkt nicht nur den Zugriff auf OneDrive- und SharePoint-Websites ein, sondern auch auf die OneDrive- und SharePoint Admin Center sowie auf die Ausführung von PowerShell-Cmdlets. Wenn Sie sich selbst sperren und keine Verbindung über eine IP-Adresse innerhalb eines von Ihnen angegebenen Bereichs herstellen können, müssen Sie sich an den Support wenden, um Hilfe zu erhalten.
    Wenn Sie überlappende IP-Adressen speichern, wird ihren Benutzern eine allgemeine Fehlermeldung mit einer Korrelations-ID angezeigt, die auf "Die Eingabe-IP-Zulassungsliste weist Überlappungen auf" verweist.

Hinweis

Um eine standortbasierte Richtlinie mithilfe von PowerShell festzulegen, führen Sie Set-SPOTenant mit dem Parameter -IPAddressAllowList aus. Weitere Informationen finden Sie unter Set-SPOTenant.