Suggerimenti sui criteri per la protezione di siti e file di SharePointPolicy recommendations for securing SharePoint sites and files

In questo articolo viene descritto come implementare i criteri di identità e accesso ai dispositivi consigliati per la protezione di SharePoint Online e OneDrive for business.This article describes how to implement the recommended identity and device-access policies to protect SharePoint Online and OneDrive for Business. Queste linee guida si basano sui criteri comuni di identità e accesso ai dispositivi.This guidance builds on the Common identity and device access policies.

Questi suggerimenti si basano su tre diversi livelli di sicurezza e protezione per i file di SharePoint che possono essere applicati in base alla granularità delle proprie esigenze: linea di base, sensibilee altamente regolamentata.These recommendations are based on three different tiers of security and protection for SharePoint files that can be applied based on the granularity of your needs: baseline, sensitive, and highly regulated. È possibile ottenere ulteriori informazioni su questi livelli di sicurezza e sui sistemi operativi client consigliati, a cui si fa riferimento in questa sezione.You can learn more about these security tiers, and the recommended client operating systems, referenced by these recommendations in the the overview.

Oltre all'implementazione di queste linee guida, assicurarsi di configurare i siti di SharePoint con la giusta quantità di protezione, tra cui l'impostazione delle autorizzazioni appropriate per i contenuti sensibili e altamente regolamentati.In addition to implementing this guidance, be sure to configure SharePoint sites with the right amount of protection, including setting appropriate permissions for sensitive and highly-regulated content. Per ulteriori informazioni sulla creazione di siti per la protezione di base, sensibile e altamente regolamentata, vedere proteggere i siti e i file di SharePoint Online.For more information on creating sites for baseline, sensitive, and highly-regulated protection, see Secure SharePoint Online sites and files.

Aggiornamento dei criteri comuni per includere SharePoint e OneDrive for businessUpdating common policies to include SharePoint and OneDrive for Business

Nel diagramma seguente viene illustrato il set di criteri consigliati per la protezione dei file in SharePoint Online e OneDrive for business.The following diagram illustrates the set of recommended policies for protecting files in SharePoint Online and OneDrive for Business. Indica quali criteri devono essere aggiornati o creati di nuovo per aggiungere protezione per SharePoint Online e OneDrive for business.It indicates which policies should be updated or newly created to add protection for SharePoint Online and OneDrive for Business.

Riepilogo dei criteri per SharePoint Online e OneDrive

Se è stato incluso SharePoint Online quando sono stati creati i criteri comuni, è necessario creare solo i nuovi criteri.If you included SharePoint Online when you created the common policies, you only need create the new policies. Quando si configurano le regole di accesso condizionale, SharePoint Online include OneDrive for business.When configuring conditional access rules, SharePoint Online includes OneDrive for Business.

I nuovi criteri implementano la protezione del dispositivo per soddisfare sensibili e altamente regolamentati applicando specifici requisiti di accesso ai siti di SharePoint specificati.The new policies implement device protection for sensitive and highly-regulated content by applying specific access requirements to SharePoint sites that you specify.

Nella tabella seguente sono elencati i criteri che è necessario rivedere e aggiornare o creare nuovi per SharePoint Online.The following table lists the policies you either need to review and update or create new for SharePoint Online. I criteri comuni collegano le istruzioni di configurazione associate nell'articolo Common Identity and Device Access Policies .The common policies link to the associated configuration instructions in the Common identity and device access policies article.

Livello di protezioneProtection level GeneraliPolicies Altre informazioniMore information
BaseBaseline Richiedere l'AMF quando il rischio di accesso è medio o elevatoRequire MFA when sign-in risk is medium or high Includere SharePoint Online nell'assegnazione delle app CloudInclude SharePoint Online in the assignment of cloud apps
Bloccare i client che non supportano l'autenticazione modernaBlock clients that don't support modern authentication Includere SharePoint Online nell'assegnazione delle app CloudInclude SharePoint Online in the assignment of cloud apps
Definire i criteri di protezione delle appDefine app protection policies Assicurarsi che tutte le app consigliate siano incluse nell'elenco delle app.Be sure all recommended apps are included in the list of apps. Assicurarsi di aggiornare i criteri per ogni piattaforma (iOS, Android, Windows)Be sure to update the policy for each platform (iOS, Android, Windows)
Richiedi PC conformiRequire compliant PCs Includere SharePoint Online nell'elenco delle app CloudInclude SharePoint Online in list of cloud apps
Utilizzare le restrizioni applicate dalle app in SharePoint OnlineUse app enforced restrictions in SharePoint Online Aggiungere il nuovo criterio.Add this new policy. Questo indica ad Azure ad di utilizzare le impostazioni specificate in SharePoint Online.This tells Azure AD to use the settings specified in SharePoint Online. Questa regola si applica a tutti gli utenti, ma influenza solo l'accesso ai siti inclusi nei criteri di accesso di SharePoint OnlineThis rule applies to all users, but only affects access to sites included in SharePoint Online access policies
Dati sensibiliSensitive Richiedere l'AMF quando il rischio di accesso è basso, medio o altoRequire MFA when sign-in risk is low, medium or high Includere SharePoint Online nelle assegnazioni delle app CloudInclude SharePoint Online in the assignments of cloud apps
Richiedere PC conformi e dispositivi mobiliRequire compliant PCs and mobile devices Includere SharePoint Online nell'elenco delle app CloudInclude SharePoint Online in the list of cloud apps
Criteri di controllo dell'accesso di SharePoint Online: Consenti l'accesso solo ai browser a siti di SharePoint specifici da dispositivi non gestitiSharePoint Online access control policy: Allow browser-only access to specific SharePoint sites from unmanaged devices In questo modo si impedisce la modifica e il download dei file.This prevents edit and download of files. Utilizzo di PowerShell per specificare i sitiUse PowerShell to specify sites
Altamente regolamentatoHighly regulated Richiede sempre l'autenticazione MasterAlways require MFA Includere SharePoint Online nell'assegnazione delle app CloudInclude SharePoint Online in the assignment of cloud apps
Criteri di controllo dell'accesso di SharePoint Online: bloccare l'accesso a siti di SharePoint specifici da dispositivi non gestitiSharePoint Online access control policy: Block access to specific SharePoint sites from unmanaged devices Utilizzo di PowerShell per specificare i sitiUse PowerShell to specify sites

Utilizzare le restrizioni applicate dalle app in SharePoint OnlineUse app-enforced restrictions in SharePoint Online

Se si implementano i controlli di accesso in SharePoint Online, è necessario creare questo criterio di accesso condizionale in Azure ad per indicare ad Azure ad di applicare i criteri configurati in SharePoint Online.If you implement access controls in SharePoint Online, you must create this conditional access policy in Azure AD to tell Azure AD to enforce the policies you configure in SharePoint Online. Questa regola si applica a tutti gli utenti, ma influenza solo l'accesso ai siti specificati tramite PowerShell quando si creano i controlli di accesso in SharePoint Online.This rule applies to all users, but only affects access to the sites you specify using PowerShell when you create the access controls in SharePoint Online.

Per configurare questo criterio, vedere "bloccare o limitare l'accesso a specifiche raccolte siti di SharePoint o account OneDrive" in questo articolo: controllare l'accesso da dispositivi non gestiti.To configure this policy see "Block or limit access to specific SharePoint site collections or OneDrive accounts" in this article: Control access from unmanaged devices.

Criteri di controllo dell'accesso di SharePoint OnlineSharePoint Online access control policies

Microsoft consiglia di proteggere il contenuto nei siti di SharePoint con contenuti sensibili e altamente regolamentati con i controlli di accesso ai dispositivi.Microsoft recommends you protect content in SharePoint sites with sensitive and highly-regulated content with device access controls. A tale scopo, è possibile creare un criterio che specifichi il livello di protezione e i siti a cui applicare la protezione.You do this by creating a policy that specifies the level of protection and the sites to apply the protection to.

  • Siti sensibili: Consenti accesso solo ai browser.Sensitive sites: Allow browser-only access. In questo modo si impedisce agli utenti di modificare e scaricare file.This prevents users from editing and downloading files.
  • Siti altamente regolamentati: blocca l'accesso da dispositivi non gestiti.Highly regulated sites: Block access from unmanaged devices.

Vedere "bloccare o limitare l'accesso a specifiche raccolte siti di SharePoint o account OneDrive" in questo articolo: controllare l'accesso da dispositivi non gestiti .See "Block or limit access to specific SharePoint site collections or OneDrive accounts" in this article: Control access from unmanaged devices .

Modalità di collaborazione tra questi criteriHow these policies work together

È importante comprendere che le autorizzazioni per il sito di SharePoint in genere si basano sull'esigenza aziendale di accedere ai siti.It's important to understand that SharePoint site permissions are typically based on business need for access to sites. Queste autorizzazioni vengono gestite dai proprietari del sito e possono essere estremamente dinamiche.These permissions are managed by site owners and can be highly dynamic. L'utilizzo dei criteri di accesso ai dispositivi di SharePoint garantisce la protezione di tali siti, indipendentemente dal fatto che gli utenti siano assegnati a un gruppo di Azure AD associato a una protezione di base, sensibile o fortemente regolamentata.Using SharePoint device access policies ensures protection to these sites, regardless of whether users are assigned to an Azure AD group associated with baseline, sensitive, or highly regulated protection.

Nella figura seguente viene illustrato un esempio di come i criteri di accesso ai dispositivi di SharePoint proteggono l'accesso ai siti.The following illustration provides an example of how SharePoint device access policies protect access to sites.

Come i criteri di accesso ai dispositivi di SharePoint proteggono siti

Nella figura:In the illustration:

  • James viene assegnato ai criteri di accesso condizionale associati alla protezione di base, ma può essere consentito l'accesso ai siti di SharePoint associati a una protezione sensibile o fortemente regolamentata.James is assigned to conditional access policies associated with baseline protection, but he can be given access to SharePoint sites associated with sensitive or highly-regulated protection.
  • Se James accede a un sito sensibile o altamente regolamentato, è membro dell'utilizzo del PC, il suo accesso è concesso purché il PC sia conforme.If James accesses a sensitive or highly-regulated site he is a member of using his PC, his access is granted as long as his PC is compliant.
  • Se James accede a un sito sensibile che è membro dell'utilizzo del telefono non gestito, consentito per gli utenti di base, riceverà l'accesso solo ai browser al sito riservato a causa dei criteri di accesso al dispositivo configurati per il sito.If James accesses a sensitive site he is a member of using his unmanaged phone, which is allowed for baseline users, he will receive browser-only access to the sensitive site due to the device access policy configured for this site.
  • Se James accede a un sito fortemente regolamentato, è membro dell'utilizzo del telefono non gestito, verrà bloccato a causa dei criteri di accesso configurati per il sito.If James accesses a highly regulated site he is a member of using his unmanaged phone, he will be blocked due to the access policy configured for this site. Può accedere a questo sito solo utilizzando il suo PC gestito e conforme.He can only access this site using his managed and compliant PC.

Passaggi successiviNext steps

Protezione di file e siti di SharePoint OnlineSecure SharePoint Online sites and files