Steuern des Zugriffs auf SharePoint- und OneDrive-Daten anhand der Netzwerkadresse

Als IT-Administrator können Sie den Zugriff auf SharePoint und OneDrive Ressourcen in Microsoft 365 basierend auf definierten Netzwerkstandorten steuern, denen Sie vertrauen. Dies wird auch als standortbasierte Richtlinie bezeichnet.

Dazu definieren Sie eine vertrauenswürdige Netzwerkgrenze, indem Sie einen oder mehrere autorisierte IP-Adressbereiche angeben. Jeder Benutzer, der versucht, von außerhalb dieser Netzwerkgrenze auf SharePoint und OneDrive zuzugreifen (mit Webbrowser, Desktop-App oder mobiler App auf einem beliebigen Gerät), wird blockiert.

Zugriff auf Nachrichten mit eingeschränktem Zugriff im Browser

Hier sind einige wichtige Überlegungen zum Festlegen einer standortbasierten Richtlinie:

  • Externe Freigabe: Wenn Dateien und Ordner für Gäste freigegeben wurden, die sich authentifizieren, können sie nicht auf die Ressourcen außerhalb des definierten IP-Adressbereichs zugreifen.

  • Zugriff von Erst- und Drittanbieter-Apps: Normalerweise kann über Apps wie Exchange, Yammer, Skype, Teams, Planner, Power Automate, PowerBI, Power Apps, OneNote usw. auf ein SharePoint Dokument zugegriffen werden. Wenn eine standortbasierte Richtlinie aktiviert ist, werden Apps blockiert, die keine standortbasierten Richtlinien unterstützen. Die einzigen Apps, die derzeit standortbasierte Richtlinien unterstützen, sind Teams, Yammer und Exchange. Dies bedeutet, dass alle anderen Apps blockiert werden, auch wenn diese Apps innerhalb der Grenze des vertrauenswürdigen Netzwerks gehostet werden. Dies liegt daran, dass SharePoint nicht bestimmen kann, ob sich ein Benutzer dieser Apps innerhalb der vertrauenswürdigen Grenze befindet.

    Hinweis

    Wenn eine standortbasierte Richtlinie für SharePoint aktiviert ist, sollten dieselben Richtlinien- und IP-Adressbereiche für Exchange und Yammer konfiguriert werden. SharePoint nutzt diese Dienste, um zu erzwingen, dass sich die Benutzer dieser Apps innerhalb des vertrauenswürdigen IP-Bereichs befinden. Um den Zugriff auf SharePoint über das Portal Office.com zu schützen, empfehlen wir die Verwendung der Azure Active Directory Richtlinie für bedingten Zugriff für "Office 365" und das Konfigurieren des vertrauenswürdigen IP-Bereichs dort.

  • Zugriff von dynamischen IP-Bereichen: Mehrere Dienste und Anbieter hosten Apps mit dynamischen IP-Adressen. Beispielsweise kann ein Dienst, der während der Ausführung von einem Azure-Rechenzentrum auf SharePoint zugreift, aufgrund einer Failoverbedingung oder aus einem anderen Grund von einem anderen Rechenzentrum aus ausgeführt werden, wodurch die IP-Adresse dynamisch geändert wird. Die standortbasierte Richtlinie für bedingten Zugriff basiert auf festen, vertrauenswürdigen IP-Adressbereichen. Wenn der IP-Adressbereich nicht vorab bestimmt werden kann, ist standortbasierte Richtlinie möglicherweise keine Option für Ihre Umgebung.

Festlegen einer standortbasierten Richtlinie im neuen SharePoint Admin Center

Hinweis

Es kann bis zu 15 Minuten dauern, bis diese Einstellungen wirksam werden.

  1. Wechseln Sie zur Zugriffssteuerung im neuen SharePoint Admin Center, und melden Sie sich mit einem Konto an, das über Administratorberechtigungen für Ihre Organisation verfügt.

Hinweis

Wenn Sie Office 365 von 21Vianet (China) betrieben haben, melden Sie sich beim Microsoft 365 Admin Center an, navigieren Sie zum SharePoint Admin Center, und öffnen Sie die Zugriffssteuerungsseite.

  1. Wählen Sie "Netzwerkspeicherort" aus, und aktivieren Sie "Zugriff nur aus bestimmten IP-Adressbereichen zulassen".

    Netzwerkstandortbereich

  2. Geben Sie IP-Adressen und Adressbereiche durch Kommas getrennt ein.

    Wichtig

    Stellen Sie sicher, dass Sie Ihre eigene IP-Adresse angeben, damit Sie sich nicht selbst sperren. Diese Einstellung schränkt nicht nur den Zugriff auf OneDrive und SharePoint Websites ein, sondern auch auf die OneDrive und SharePoint Admin Center sowie auf die Ausführung von PowerShell-Cmdlets. Wenn Sie sich selbst sperren und keine Verbindung über eine IP-Adresse innerhalb eines von Ihnen angegebenen Bereichs herstellen können, müssen Sie sich an den Support wenden, um Hilfe zu erhalten.
    Wenn Sie überlappende IP-Adressen speichern, wird Ihren Benutzern eine generische Fehlermeldung mit einer Korrelations-ID angezeigt, die auf "Die Eingabe-IP-Zulassungsliste hat Überlappungen" zeigt.

Hinweis

Um eine standortbasierte Richtlinie mithilfe von PowerShell festzulegen, führen Sie Set-SPOTenant mit dem Parameter -IPAddressAllowList aus. Weitere Informationen finden Sie unter "Set-SPOTenant".