Criteri di accesso condizionale per siti di SharePoint e OneDrive

Articolo
12/26/2023

Alcune funzionalità di questo articolo richiedono Microsoft Syntex - Gestione avanzata di SharePoint

Con Microsoft Entra contesto di autenticazione, è possibile applicare condizioni di accesso più rigide quando gli utenti accedono ai siti di SharePoint.

È possibile usare i contesti di autenticazione per connettere un criterio di accesso condizionale Microsoft Entra a un sito di SharePoint. I criteri possono essere applicati direttamente al sito o tramite un'etichetta di riservatezza.

Si noti che questa funzionalità non può essere applicata al sito radice in SharePoint , https://contoso.sharepoint.comad esempio .

Requisiti

L'uso del contesto di autenticazione con i siti di SharePoint richiede una delle licenze seguenti:

Microsoft Syntex - Gestione avanzata di SharePoint
Microsoft 365 E5/A5/G5
Conformità di Microsoft 365 E5/A5
Microsoft 365 E5 Information Protection and Governance
Office 365 E5/A5/G5

Limitazioni

Alcune app non funzionano con i contesti di autenticazione. È consigliabile testare le app in un sito con il contesto di autenticazione abilitato prima di distribuire in modo generale questa funzionalità.

Le app e gli scenari seguenti non funzionano con i contesti di autenticazione:

Versione precedente delle app di Office (vedere l'elenco delle versioni supportate)
Viva Engage
App Web di Microsoft Teams
L'app OneNote non può essere aggiunta al canale se il sito di SharePoint associato ha un contesto di autenticazione.
Il caricamento della registrazione delle riunioni del canale di Teams non riesce nei siti con un contesto di autenticazione.
La ridenominazione delle cartelle di SharePoint in Teams ha esito negativo se il sito ha un contesto di autenticazione.
La pianificazione del webinar di Teams non riesce se OneDrive ha un contesto di autenticazione.
App di terze parti
L'app sincronizzazione OneDrive non sincronizza i siti con un contesto di autenticazione.
L'associazione di un contesto di autenticazione alla raccolta siti del catalogo applicazioni aziendali non è supportata.
La funzionalità "Visualizza elenco SharePoint in Power BI" non supporta attualmente il contesto di autenticazione.
Outlook per Windows, Mac, Android e iOS non supporta la comunicazione con i siti di SharePoint protetti da un contesto di autenticazione.

Configurazione di un contesto di autenticazione

La configurazione di un contesto di autenticazione per i siti etichettati richiede questi passaggi di base:

Aggiungere un contesto di autenticazione in Microsoft Entra ID.
Creare un criterio di accesso condizionale che si applica a tale contesto di autenticazione e presenta le condizioni e i controlli di accesso che si desidera usare.
Eseguire una delle operazioni seguenti:
1. Impostare un'etichetta di riservatezza per applicare il contesto di autenticazione ai siti etichettati.
2. Applicare il contesto di autenticazione direttamente a un sito

In questo articolo verrà illustrato l'esempio di richiedere agli utenti guest di accettare le condizioni per l'utilizzo prima di accedere a un sito di SharePoint sensibile. È anche possibile usare qualsiasi altra condizione di accesso condizionale e controlli di accesso necessari per l'organizzazione.

Aggiungere un contesto di autenticazione

Aggiungere prima di tutto un contesto di autenticazione in Microsoft Entra ID.

Per aggiungere un contesto di autenticazione:

In Microsoft Entra accesso condizionale, in Gestisci fare clic su Contesto di autenticazione.
Fare clic su Nuovo contesto di autenticazione.
Digitare un nome e una descrizione e selezionare la casella di controllo Pubblica nelle app .
Fare clic su Salva.

Crea i criteri di accesso condizionale

Creare quindi un criterio di accesso condizionale che si applica a tale contesto di autenticazione e che richiede agli utenti guest di accettare le condizioni per l'utilizzo come condizione di accesso.

Per creare un criterio di accesso condizionale:

In Microsoft Entra accesso condizionale fare clic su Nuovo criterio.
Digitare un nome per i criteri.
Nella scheda Utenti e gruppi scegliere l'opzione Seleziona utenti e gruppi e quindi selezionare la casella di controllo Guest o utenti esterni .
Scegliere utenti guest di collaborazione B2B dall'elenco a discesa.
Nella scheda App cloud o azioni in Selezionare a cosa si applica questo criterio scegliere Contesto di autenticazione e selezionare la casella di controllo per il contesto di autenticazione creato.
Nella scheda Concedi selezionare la casella di controllo relativa alle condizioni per l'utilizzo che si desidera usare e quindi fare clic su Seleziona.
Scegliere se si desidera abilitare il criterio e quindi fare clic su Crea.

Applicare il contesto di autenticazione direttamente a un sito

È possibile applicare direttamente un contesto di autenticazione a un sito di SharePoint usando il cmdlet Set-SPOSite di PowerShell.

Nota

Questa funzionalità richiede una licenza Microsoft 365 E5 o Microsoft Syntex - SharePoint Advanced Management.

Nell'esempio seguente viene applicato il contesto di autenticazione creato in precedenza a un sito denominato "ricerca".

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

Impostare un'etichetta di riservatezza per applicare il contesto di autenticazione ai siti etichettati

Se si vuole usare un'etichetta di riservatezza per applicare il contesto di autenticazione, aggiornare un'etichetta di riservatezza (o crearne una nuova) per usare il contesto di autenticazione.

Nota

Le etichette di riservatezza richiedono Microsoft 365 E5 o Microsoft 365 E3 oltre alla licenza Conformità avanzata.

Per aggiornare un'etichetta di riservatezza

Nel Portale di conformità di Microsoft Purview, nella scheda Information Protection fare clic sull'etichetta che si vuole aggiornare e quindi fare clic su Modifica etichetta.
Fare clic su Avanti fino a quando non si è nella pagina Definire le impostazioni di protezione per gruppi e siti .
Assicurarsi che la casella di controllo Impostazioni di condivisione esterna e accesso condizionale sia selezionata e quindi fare clic su Avanti.
Nella pagina Definire le impostazioni di condivisione esterna e accesso al dispositivo selezionare la casella di controllo Usa Microsoft Entra accesso condizionale per proteggere i siti di SharePoint etichettati.
Selezionare l'opzione Scegliere un contesto di autenticazione esistente .
Nell'elenco a discesa scegliere il contesto di autenticazione che si vuole usare.
Fare clic su Avanti fino a quando non si è nella pagina Rivedi le impostazioni e fine e quindi fare clic su Salva etichetta.

Dopo aver aggiornato l'etichetta, gli utenti guest che accedono a un sito di SharePoint (o alla scheda File in un team) con tale etichetta dovranno accettare le condizioni per l'utilizzo prima di ottenere l'accesso a tale sito.

Blocco delle app in background (implementazione in anteprima)

Se il contesto di autenticazione è impostato in un sito, gli amministratori possono scegliere di impedire alle app in background di accedere a tale sito per le app assegnate con tale contesto di autenticazione in un criterio di accesso condizionale. È possibile configurare criteri di accesso condizionale in modo che un contesto di autenticazione specifico possa essere assegnato ai principi dell'applicazione scelti (applicazioni non Microsoft). È necessario attivare esplicitamente questa funzionalità tramite il cmdlet seguente. Si noti che è necessario avere almeno un criterio di accesso condizionale con un principio di applicazione configurato.

Set-SPOTenant -BlockAPPAccessToSitesWithAuthentcationContext $false/$true (default false)

Vedere anche

Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint

Accesso condizionale: app cloud, azioni e contesto di autenticazione

Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità

Share via