Controllare l'accesso ai dati di SharePoint e OneDrive in base al percorso di rete

Gli amministratori IT possono controllare l'accesso alle risorse di SharePoint e OneDrive in Microsoft 365 in base a percorsi di rete definiti attendibili. In questo caso si parla di criteri basati sulla posizione.

A tale scopo, definire un limite di rete attendibile specificando uno o più intervalli di indirizzi IP autorizzati. Tutti gli utenti che tentano di accedere a SharePoint e OneDrive dall'esterno di questo limite di rete (tramite Web browser, app desktop o app per dispositivi mobili in qualsiasi dispositivo) verranno bloccati.

Ecco alcune considerazioni importanti per l'impostazione di criteri basati sulla posizione:

• Condivisione esterna: se file e cartelle sono stati condivisi con utenti guest che eseguono l'autenticazione, non potranno accedere alle risorse all'esterno dell'intervallo di indirizzi IP definito.

• Accesso da app di prima e di terze parti: in genere è possibile accedere a un documento di SharePoint da app come Exchange, Viva Engage, Skype, Teams, Planner, Power Automate, PowerBI, Power Apps, OneNote e così via. Quando un criterio basato sulla posizione è abilitato, le app che non supportano i criteri basati sulla posizione vengono bloccate. Le uniche app che attualmente supportano i criteri basati sulla posizione sono Teams, Viva Engage ed Exchange. Ciò significa che tutte le altre app vengono bloccate, anche quando queste app sono ospitate all'interno del limite di rete attendibile. Questo perché SharePoint non può determinare se un utente di queste app si trova all'interno del limite attendibile.

  Nota

  Quando un criterio basato sulla posizione è abilitato per SharePoint, è consigliabile configurare gli stessi criteri e gli stessi intervalli di indirizzi IP per Exchange e Viva Engage. SharePoint si basa su questi servizi per imporre che gli utenti di queste app siano compresi nell'intervallo IP attendibile. Per proteggere l'accesso a SharePoint tramite il portale di Office.com, è consigliabile usare i criteri di accesso condizionale Microsoft Entra per "Office 365" e configurare l'intervallo IP attendibile.

• Accesso da intervalli IP dinamici: diversi servizi e provider ospitano app con indirizzi IP di origine dinamica. Ad esempio, un servizio che accede a SharePoint durante l'esecuzione da un data center di Azure può iniziare l'esecuzione da un data center diverso a causa di una condizione di failover o di un altro motivo, modificandone in modo dinamico l'indirizzo IP. I criteri di accesso condizionale basato sulla posizione si basano su intervalli di indirizzi IP attendibili fissi. Se l'intervallo di indirizzi IP non può essere determinato in anticipo, i criteri basati sulla posizione potrebbero non essere un'opzione per l'ambiente.

Impostare criteri basati sulla posizione nella nuova interfaccia di amministrazione di SharePoint

Nota

L'applicazione di queste impostazioni può richiedere fino a 15 minuti.

1. Passare a Controllo di accesso nella nuova interfaccia di amministrazione di SharePoint e accedere con un account con autorizzazioni di amministratore per l'organizzazione.

Nota

Se è Office 365 gestito da 21Vianet (Cina), accedere alla interfaccia di amministrazione di Microsoft 365, quindi passare all'interfaccia di amministrazione di SharePoint e aprire la pagina Controllo di accesso.

2. Selezionare Percorso di rete e attivare Consenti l'accesso solo da intervalli di indirizzi IP specifici.

   

3. Immettere indirizzi IP e intervalli di indirizzi separati da virgole.

   Importante

   Assicurarsi di includere il proprio indirizzo IP in modo da non bloccarsi. Questa impostazione non limita solo l'accesso ai siti di OneDrive e SharePoint, ma anche alle interfacce di amministrazione di OneDrive e SharePoint e all'esecuzione dei cmdlet di PowerShell. Se ci si blocca e non si riesce a connettersi da un indirizzo IP compreso in un intervallo specificato, è necessario contattare il supporto tecnico per assistenza.
   Se si salvano indirizzi IP sovrapposti, gli utenti visualizzeranno un messaggio di errore generico con un ID di correlazione che punta a "L'elenco di indirizzi IP consentiti di input presenta sovrapposizioni".

Nota

Per impostare criteri basati sulla posizione usando PowerShell, eseguire Set-SPOTenant con il parametro -IPAddressAllowList. Per altre info, vedi Set-SPOTenant.