Suggerimenti sui criteri per la protezione di siti e file di SharePointPolicy recommendations for securing SharePoint Sites and files

I seguenti consigli sono offerti in aggiunta ai consigli sui criteri comuni di identità e accesso e ai criteri di sicurezza consigliati per la posta elettronica. Per proteggere i file di SharePoint Online, è necessario creare nuovi criteri e modificare i criteri esistenti come descritto di seguito.The following recommendations are provided in addition to the common identity and access policy recommendations and policy recommendations for securing email. To safeguard SharePoint Online files, new policies must be created, and existing policies amended, as described here.

I suggerimenti seguenti si basano su tre diversi livelli di sicurezza e protezione per i file di SharePoint che possono essere applicati in base la granularità delle proprie esigenze: linea di base, riservatie altamente regolamentato. È possibile ulteriori informazioni su questi livelli di sicurezza e i sistemi operativi client consigliato, per fare riferimento a questi suggerimenti in consigliato introduzione criteri e le configurazioni di protezione.The following recommendations are based on three different tiers of security and protection for SharePoint files that can be applied based on the granularity of your needs: baseline, sensitive, and highly regulated. You can learn more about these security tiers, and the recommended client operating systems, referenced by these recommendations in the recommended security policies and configurations introduction.

Nota

Tutti i gruppi di protezione creati come parte di questi suggerimenti devono essere creati con caratteristiche di Office attivate. Si tratta in particolare importante per la distribuzione di AIP durante la protezione dei documenti in SharePoint.All security groups created as part of these recommendations must be created with Office features enabled. This is specifically important for the deployment of AIP when securing documents in SharePoint.

Funzionalità di Office abilitate per i gruppi di sicurezza

Versione di baseBaseline

Autenticazione a più fattori richiesta per rischio medio ed elevatoMedium and above risk requires MFA

Apportare le modifiche seguenti al criterio Autorità di certificazione esistente creato durante l'applicazione di suggerimenti di criteri per la protezione di posta elettronica della categoria assegnazioni:Make the following changes to the existing CA policy created when applying policy recomendations to secure email in the assignments category:

TipoType ProprietàProperties ValoriValues NoteNotes
App cloudCloud apps IncludiInclude Selezionare le app:Select apps:
Office 365 Exchange OnlineOffice 365 Exchange Online
Office 365 SharePoint OnlineOffice 365 SharePoint Online
Selezionare entrambeSelect both

Richiedi un dispositivo conforme o aggiunto a un dominioRequire a compliant or domain joined device

Per creare un nuovo criterio di accesso condizionale Intune per SharePoint Online, accedere al portale di Microsoft Management con le credenziali di amministratore e quindi passare al criterio > Accesso condizionato > ** SharePoint Online criteri.To create a new Intune Conditional Access Policy for SharePoint Online, log in to the Microsoft Management portal with your administrator credentials and then navigate to **Policy > Conditional Access > SharePoint Online Policy.

Criteri di SharePoint Online

È necessario impostare un criterio di accesso condizionale in modo specifico per SharePoint Online in Intune Management portal di richiedere un conforme o dispositivo aggiunto al dominio.You must set a Conditional Access policy specifically for SharePoint Online in the Intune Management portal to require a compliant or domain joined device.

Accesso alle applicazioniApplication access

TipoType ProprietàProperties ValoriValues NoteNotes
OneDrive for Business e altre applicazioni che l'autenticazione moderno utenteOneDrive for Business and other apps that user modern authentication Tutte le piattaformeAll platforms TrueTrue Opzione selezionataSelected
Windows deve soddisfare i requisiti seguentiWindows must meet the following requirement Dispositivo deve essere dominio unita o CompatibleDevice must be domain joined or compliant Selezionata (elenco)Selected (List)
Piattaforme di specificheSpecific platforms FalseFalse
Accesso al browser in SharePoint e OneDrive for BusinessBrowser access to SharePoint and OneDrive for Business Bloccare i dispositivi non conforme nella stessa piattaforma dei OneDrive for BusinessBlock non-compliant devices on same platform as OneDrive for Business TrueTrue CheckCheck

Distribuzione dei criteriPolicy deployment

TipoType ProprietàProperties ValoriValues NoteNotes
Gruppi di destinazioneTargeted groups Selezionare i gruppi di Active Directory di destinazione con questi criteriSelect the Active Directory groups to target with this policy
Tutti gli utentiAll users FalseFalse
Gruppi di sicurezza selezionatiSelected security groups TrueTrue Opzione selezionataSelected
ModificaModify Selezionare il gruppo di protezione specifici contenente gli utenti di destinazione.Select specific security group containing targeted users.
Gruppi di esenzioneExempt groups Selezionare i gruppi di Active Directory per esenti da questi criteri (esegue l'override di membri della lista di gruppi di destinazione).Select the Active Directory groups to exempt from this policy (overrides members of the Targeted Groups list).
Nessun utente esentatoNo exempt users TrueTrue Opzione selezionataSelected
Gruppi di sicurezza selezionatiSelected security groups FalseFalse

Accesso condizionale alla gestione applicazione per dispositivi mobili per SharePoint OnlineMobile application management conditional access for SharePoint Online

È necessario impostare un criterio di accesso condizionale in modo specifico per SharePoint Online in Intune Management portal per gestire le App per dispositivi mobili.You must set a Conditional Access policy specifically for SharePoint Online in the Intune Management portal to manage mobile apps.

Per gestire le App per dispositivi mobili, eseguire l'accesso al portale dei Microsoft Azure con le credenziali di amministratore e quindi accedere a Protezione App Intune > Impostazioni > Accesso condizionato > SharePoint Online.To manage mobile apps, log in to the Microsoft Azure portal with your administrator credentials, and then navigate to Intune App Protection > Settings > Conditional Access > SharePoint Online.

Accesso di AppApp access

TipoType ProprietàProperties ValoriValues NoteNotes
App consentitiAllowed apps Abilitare l'accesso appEnable app access Consentire App che supportano i criteri di app IntuneAllow apps that support Intune app policies Selezionata (elenco) – causando un elenco di applicazioni/piattaforma combinazioni supportate da criteri app Intune.Selected (list) – This results in a list of apps/platform combinations supported by Intune app policies.

Accesso degli utentiUser access

TipoType ProprietàProperties ValoriValues NoteNotes
Gruppi di utenti con restrizioniRestricted user groups Aggiungere gruppi di utenti – gruppo di sicurezza specifici selezionare contenente gli utenti di destinazione.Add user groups – Select specific security group containing targeted users. Iniziare con il gruppo di sicurezza che include utenti pilota.Start with security group including pilot users.
Gruppi di utenti esentiExempt user groups Gruppi di sicurezza di eccezioneException security groups

Applica aApply to

Una volta completato il progetto pilota, i criteri da applicare a tutti gli utenti nell'organizzazione.Once your pilot project has been completed, these policies should be applied to all users in your organization.

Dati sensibiliSensitive

Autenticazione a più fattori richiesta per rischio basso ed elevatoLow and above risk requires MFA

Apportare le modifiche seguenti al criterio di accesso condizionale esistente creato durante l'applicazione dei criteri di sicurezza consigliati per la posta elettronica:Make the following changes to the existing CA policy created when applying policy recomendations to secure email:

AssegnazioniAssignments

TipoType ProprietàProperties ValoriValues NoteNotes
App cloudCloud apps IncludiInclude Selezionare le app:Select apps:
Office 365 Exchange OnlineOffice 365 Exchange Online
Office 365 SharePoint OnlineOffice 365 SharePoint Online
Selezionare entrambeSelect both

Richiedi un dispositivo conforme o aggiunto a un dominioRequire a compliant or domain joined device

(Vedere le istruzioni per la protezione di base)(See baseline instructions)

Applicazione per dispositivi mobili condizionale accesso alla gestione di SharePoint onlineMobile application management conditional access for SharePoint online

(Vedere le istruzioni per la protezione di base)(See baseline instructions)

Riservatezza elevataHighly regulated

Autenticazione MFA obbligatoriaMFA required

Apportare le modifiche seguenti al criterio di accesso condizionale esistente creato durante l'applicazione dei criteri di sicurezza consigliati per la posta elettronica:Make the following changes to the existing CA policy created when applying policy recomendations to secure email:

AssegnazioniAssignments

TipoType ProprietàProperties ValoriValues NoteNotes
App cloudCloud apps IncludiInclude Selezionare le app:Select apps:
Office 365 Exchange OnlineOffice 365 Exchange Online
Office 365 SharePoint OnlineOffice 365 SharePoint Online
Selezionare entrambeSelect both

Richiedi un dispositivo conforme o aggiunto a un dominioRequire a compliant or domain joined device

(Vedere le istruzioni per la protezione di base)(See baseline instructions)

Applicazione per dispositivi mobili condizionale accesso alla gestione di SharePoint onlineMobile application management conditional access for SharePoint online

(Vedere le istruzioni per la protezione di base)(See baseline instructions)

Configurazioni aggiuntiveAdditional configurations

Oltre ai criteri descritti in precedenza, è necessario bloccare i protocolli legacy che non supportano l'autenticazione moderna.In addition to the above policies, you must also lock down legacy protocols that do not support modern authentication.

Bloccare i protocolli legacyLock down legacy protocols

I criteri di accesso condizionale proteggono l'accesso attraverso i flussi dei browser e le applicazioni usando l'autenticazione moderna, ad esempio Office 2016 e le applicazioni dell'elenco delle piattaforme supportate. Per le applicazioni desktop di Office meno recenti, ad esempio Office 2010, i criteri di accesso condizionale non vengono applicati.Conditional access policies protect access through browser flows and apps using modern authentication; like Office 2016 and the apps on the supported platform list. For older Office desktop applications, like Office 2010, conditional access policy is not applied.

Le applicazioni più datate che non usano l'autenticazione moderna possono essere bloccate usando il portale di amministrazione di OneDrive. Per disabilitare i protocolli legacy di SharePoint, è anche possibile usare il cmdlet di amministrazione di SharePoint in PowerShell. Per usare PowerShell, è sufficiente eseguire il cmdlet Set-SPOTenant e impostare -LegacyAuthProtocolsEnabled su $false. Eseguita l'impostazione, il supporto del protocollo legacy viene disabilitato e l'accesso a SharePoint usando le applicazioni client meno recenti viene bloccato.Older apps that don’t use modern authentication can be blocked using the OneDrive admin portal. The SharePoint admin PowerShell cmdlet can also be used to disable SharePoint legacy protocols. To use PowerShell, just run the Set-SPOTenant cmdlet and set -LegacyAuthProtocolsEnabled to $false. Once set, legacy protocol support is disabled and all access to SharePoint using older client applications will be blocked.

Passaggi successiviNext steps

Informazioni sui servizi di Microsoft 365Learn more about Microsoft 365 services