Controle el acceso desde dispositivos no administrados

Como administrador SharePoint o global en Microsoft 365, puede bloquear o limitar el acceso a contenido de SharePoint y OneDrive desde dispositivos no administrados (aquellos que no son compatibles o unidos a AD híbridos en Intune). Puede bloquear o limitar el acceso para:

  • Todos los usuarios de la organización o solo algunos usuarios o grupos de seguridad.

  • Todos los sitios de la organización o solo algunos.

Bloquear el acceso ayuda a proporcionar seguridad, pero perjudica a la facilidad de uso y la productividad. Cuando se bloquea el acceso, los usuarios verán el siguiente error.

La experiencia cuando se bloquea el acceso

Limitar el acceso permite a los usuarios seguir siendo productivos a la vez que elimina el riesgo de pérdida accidental de datos en los dispositivos no administrados. Al limitar el acceso, los usuarios de dispositivos administrados tendrán acceso completo (a menos que usen una de las combinaciones de explorador y sistema operativo que se enumeran a continuación). Los usuarios de dispositivos no administrados tendrán acceso de solo explorador sin capacidad para descargar, imprimir o sincronizar archivos. Tampoco podrán acceder al contenido a través de aplicaciones, incluidas las aplicaciones de escritorio de Microsoft Office. Cuando limita el acceso, puede elegir si quiere permitir o bloquear la edición de archivos en el explorador. Cuando el acceso web es limitado, los usuarios verán el siguiente mensaje en la parte superior de los sitios.

La experiencia cuando el acceso web es limitado

Nota

Bloquear o limitar el acceso a dispositivos no administrados se basa en directivas de acceso condicional de Azure AD. Más información sobre las licencias de Azure AD Para obtener información general sobre el acceso condicional en Azure AD, vea Acceso condicional en Azure Active Directory. Para obtener información acerca de las SharePoint de acceso recomendados, consulta Recomendaciones de directivas para proteger SharePoint sitios y archivos. Si limita el acceso en dispositivos no administrados, los usuarios de dispositivos administrados deben usar una de las combinaciones de sistemaoperativo y explorador compatibles, o también tendrán acceso limitado.

Controlar el acceso a dispositivos en Microsoft 365

Los procedimientos de este artículo solo afectan SharePoint acceso de dispositivos no administrados. Si quiere expandir el control de dispositivos no administrados más allá de SharePoint, puede Crear una directiva de acceso condicional de Azure Active Directory para todas las aplicaciones y servicios de su organización en su lugar. Para configurar esta directiva específicamente para servicios de Microsoft 365, seleccione la aplicación en la nube de Office 365 en Aplicaciones o acciones en la nube.

Recorte de pantalla de la aplicación en la nube de Office 365 en una directiva de acceso condicional de Azure Active Directory

Usar una directiva que afecte a todos los servicios de Microsoft 365 puede resultar en una seguridad y una experiencia mejoradas para los usuarios. Por ejemplo, cuando bloquea el acceso a dispositivos no administrados en SharePoint solo, los usuarios pueden acceder al chat de un equipo con un dispositivo no administrado, pero perderán el acceso cuando intenten acceder a la pestaña Archivos. Usar la aplicación en la nube de Office 365 le ayuda a evitar problemas con dependencias del servicio.

Bloquear acceso

  1. Vaya a la página Control deacceso del Centro de administración de SharePoint e inicie sesión con una cuenta que tenga permisos de administrador para su organización.

    Nota

    Si ha Office 365 Alemania, inicie sesión en el Centro de administración de Microsoft 365, vaya al Centro de administración de SharePoint y abra la página control de Access.

    Si ha operado Office 365 21Vianet (China), inicie sesión en el Centro de administración de Microsoft 365, vaya al Centro de administración de SharePoint y abra la página control de Access.

  2. Seleccione Dispositivos no administrados.

    El panel Dispositivos no administrados del Centro SharePoint administración

  3. Seleccione Bloquear acceso y, a continuación, seleccione Guardar. (Al seleccionar esta opción, se deshabilitan las directivas de acceso condicional anteriores que haya creado desde esta página y se crea una nueva directiva de acceso condicional que se aplica a todos los usuarios. Las personalizaciones realizadas en directivas anteriores no se llevarán a cabo).

    Nota

    La directiva puede tardar entre 5 y 10 minutos en tener efecto. No tendrá efecto para los usuarios que ya han iniciado sesión desde dispositivos no administrados.

Importante

Si bloqueas o limitas el acceso desde dispositivos no administrados, también recomendamos bloquear el acceso de aplicaciones que no usan la autenticación moderna. Algunas aplicaciones y versiones de terceros de Office antes de Office 2013 no usan la autenticación moderna y no pueden aplicar restricciones basadas en dispositivos. Esto significa que permiten a los usuarios omitir las directivas de acceso condicional que configure en Azure. En el nuevo centro SharePoint administración, en la página Control de acceso, seleccione Aplicaciones que no usan la autenticación moderna, seleccione Bloquear acceso y, a continuación, seleccione Guardar.

Limitar el acceso

  1. Vaya a la página Control deacceso del nuevo centro de administración de SharePoint e inicie sesión con una cuenta que tenga permisos de administrador para su organización.

    Nota

    Si tiene Office 365 Alemania, inicie sesión en el Centro de administración de Microsoft 365, vaya al centro de administración de SharePoint y abra la página de Sitios activos.
    Si tiene Office 365 operado por 21Vianet (China), inicie sesión en el Centro de administración de Microsoft 365, vaya al centro de administración de SharePoint y abra la página de Sitios activos.

  2. Seleccione Dispositivos no administrados.

  3. Seleccione Permitir acceso limitado, solo web y, a continuación, seleccione Guardar. (Tenga en cuenta que al seleccionar esta opción se deshabilitarán las directivas de acceso condicional anteriores que haya creado desde esta página y se creará una nueva directiva de acceso condicional que se aplique a todos los usuarios. Las personalizaciones realizadas en directivas anteriores no se llevarán a cabo).

    El panel Dispositivos no administrados en el nuevo centro SharePoint administración

Importante

Si bloqueas o limitas el acceso desde dispositivos no administrados, también recomendamos bloquear el acceso de aplicaciones que no usan la autenticación moderna. Algunas aplicaciones y versiones de terceros de Office antes de Office 2013 no usan la autenticación moderna y no pueden aplicar restricciones basadas en dispositivos. Esto significa que permiten a los usuarios omitir las directivas de acceso condicional que configure en Azure. En el nuevo centro SharePoint administración, en la página Control de acceso, seleccione Aplicaciones que no usan la autenticación moderna, seleccione Bloquear acceso y, a continuación, seleccione Guardar.

Nota

Si limita el acceso y edita un sitio desde un dispositivo no administrado, los elementos web de imagen no mostrarán las imágenes que cargue en la biblioteca de activos del sitio ni directamente en el elemento web. Para evitar este problema, puede usar esta API de SPList para eximir la directiva de descarga de bloques en la biblioteca de activos del sitio. Esto permite que el elemento web descargue imágenes de la biblioteca de activos del sitio.

Nota

Cuando access control para dispositivos no administrados en SharePoint está establecido en Permitir acceso limitado, solo web , SharePoint archivos no se pueden descargar, pero se pueden obtener una vista previa. Las vistas previas de Office archivos funcionan en SharePoint pero las vistas previas no funcionan en Microsoft Yammer.

Limitar el acceso con PowerShell

  1. Descargue el Shell de administración de SharePoint Online más reciente.

    Nota

    Si instaló una versión anterior del Shell de administración en línea de SharePoint, vaya a Agregar o quitar programas y desinstale "SharePoint Shell de administración en línea".

  2. Conéctese a SharePoint como un administrador global o como un administrador de SharePoint en Microsoft 365. Para saber cómo hacerlo, consulte Introducción al Shell de administración de SharePoint Online.

  3. Ejecute el comando siguiente:

    Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess`
    

Nota

De forma predeterminada, esta directiva permite a los usuarios ver y editar archivos en su explorador web. Para cambiar esto, vea Configuraciones avanzadas.

Bloquear o limitar el acceso a un sitio SharePoint específico o OneDrive

Para bloquear o limitar el acceso a sitios específicos, siga estos pasos. Si ha configurado la directiva de toda la organización, la configuración de nivel de sitio que especifique debe ser al menos tan restrictiva como la configuración de nivel de organización.

  1. Cree manualmente una directiva en el Centro de administración de Azure AD siguiendo los pasos descritos en Use app-enforced restrictions.

  2. Establezca la configuración de nivel de sitio mediante PowerShell o una etiqueta de confidencialidad:

    • Para usar PowerShell, continúe con el paso siguiente.

    • Para usar una etiqueta de confidencialidad, consulte las siguientes instrucciones y especifique la configuración de etiqueta para Access desde dispositivos no administrados: Use etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, gruposde Microsoft 365 y sitios SharePoint .

  3. Para usar PowerShell: descargue la versión SharePoint Shell de administración en línea.

    Nota

    Si instaló una versión anterior del Shell de administración de SharePoint Online, vaya a Agregar o quitar programas y desinstale "Shell de administración de SharePoint Online".

  4. Conéctese a SharePoint como un administrador global o como un administrador de SharePoint en Microsoft 365. Para saber cómo hacerlo, consulte Introducción al Shell de administración de SharePoint Online.

  5. Ejecute uno de los siguientes comandos.

    Para bloquear el acceso a un solo sitio:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess
    

    Para limitar el acceso a un solo sitio:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess
    

    Para actualizar varios sitios a la vez, use el siguiente comando como ejemplo:

    ,(Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'") | Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
    

    En este ejemplo se obtiene OneDrive para cada usuario y se pasa como una matriz para Set-SPOTenant limitar el acceso. La coma inicial y los paréntesis son necesarios para ejecutar este cmdlet como una solicitud por lotes, lo que es más rápido.

Nota

De forma predeterminada, una configuración que incluye acceso web permite a los usuarios ver y editar archivos en su explorador web. Para cambiar esto, vea Configuraciones avanzadas.

Configuraciones avanzadas

Los siguientes parámetros se pueden usar tanto para la configuración de toda la organización como para -ConditionalAccessPolicy AllowLimitedAccess la configuración de nivel de sitio:

-AllowEditing $falseImpide que los usuarios editen Office archivos en el explorador y copien y Office contenido del archivo fuera de la ventana del explorador.

-LimitedAccessFileType OfficeOnlineFilesOnlyPermite a los usuarios obtener una vista previa Office archivos en el explorador. Esta opción aumenta la seguridad, pero puede ser una barrera para la productividad del usuario.

-LimitedAccessFileType WebPreviewableFiles(valor predeterminado) Permite a los usuarios obtener Office archivos en el explorador. Esta opción optimiza la productividad del usuario, pero ofrece menos seguridad para los archivos que no son archivos de Office. Warning: Se sabe que esta opción causa problemas con los tipos de archivo PDF e imagen, ya que se puede requerir que se descarguen en el equipo del usuario final para representarlos en el explorador. Planee cuidadosamente el uso de este control. De lo contrario, los usuarios podrían enfrentarse a " Acceso denegado" Errores.

-LimitedAccessFileType OtherFiles Permite a los usuarios descargar archivos que no se pueden obtener una vista previa, como .zip y .exe. Esta opción ofrece menos seguridad.

El parámetro AllowDownlownloadingNonWebViewableFiles se ha interrumpido. Use LimitedAccessFileType en su lugar.

Las personas fuera de la organización se verán afectadas cuando use directivas de acceso condicional para bloquear o limitar el acceso desde dispositivos no administrados. Si los usuarios han compartido elementos con personas específicas (que deben escribir un código de verificación enviado a su dirección de correo electrónico), puede eximirlos de esta directiva ejecutando el siguiente cmdlet.

Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false

Nota

Los vínculos "Cualquiera" (vínculos que se pueden compartir que no requieren inicio de sesión) no se ven afectados por estas directivas. Las personas que tengan un vínculo "Cualquiera" a un archivo o carpeta podrán descargar el elemento. Para todos los sitios donde habilite las directivas de acceso condicional, debe deshabilitar los vínculos "Cualquiera".

Impacto de la aplicación

Bloquear el acceso y bloquear la descarga puede afectar a la experiencia del usuario en algunas aplicaciones, incluidas algunas Office aplicaciones. Se recomienda activar la directiva para algunos usuarios y probar la experiencia con las aplicaciones usadas en la organización. En Office, asegúrese de comprobar el comportamiento en Power Apps y Power Automate cuando la directiva está en.

Nota

Las aplicaciones que se ejecutan en modo "solo aplicación" en el servicio, como las aplicaciones antivirus y los rastreadores de búsqueda, están exentas de la directiva.

Si usa plantillas de sitio clásicas SharePoint sitio, es posible que las imágenes del sitio no se represente correctamente. Esto se debe a que la directiva impide que los archivos de imagen originales se descarguen en el explorador.

Para los nuevos inquilinos, las aplicaciones que usan un token de acceso de solo aplicación de ACS están deshabilitadas de forma predeterminada. Se recomienda usar el modelo de solo aplicación de Azure AD, que es moderno y más seguro. Pero puede cambiar el comportamiento ejecutando 'set-spotenant -DisableCustomAppAuthentication $false' (necesita la versión SharePoint PowerShell de administración).

¿Necesita más ayuda?

SharePoint P&A

Consulte también

Recomendaciones de directiva para proteger SharePoint sitios y archivos

Controlar el acceso a SharePoint y OneDrive datos basados en ubicaciones de red definidas