SharePoint e OneDrive controlli di accesso ai dispositivi non gestiti per gli amministratori

In qualità di amministratore SharePoint o globale in Microsoft 365, è possibile bloccare o limitare l'accesso al contenuto SharePoint e OneDrive da dispositivi non gestiti (quelli non aggiunti ad AD ibrido o conformi in Intune). È possibile bloccare o limitare l'accesso per:

  • Tutti gli utenti dell'organizzazione o solo per alcuni utenti o gruppi di sicurezza.

  • Tutti i siti dell'organizzazione o solo alcuni siti.

Il blocco dell'accesso consente di garantire la protezione, ma a discapito dell'usabilità e della produttività. Quando l'accesso è bloccato, gli utenti visualizzeranno l'errore seguente.

Esperienza quando l'accesso è bloccato

La limitazione dell'accesso consente agli utenti di rimanere produttivi mentre si risolvono i rischi relativi alla perdita accidentale di dati nei dispositivi non gestiti. Quando si limita l'accesso, gli utenti nei dispositivi gestiti avranno accesso completo (a meno che non usino una delle combinazioni di browser e sistema operativo elencate in Browser supportati). Gli utenti nei dispositivi non gestiti avranno accesso solo al browser senza possibilità di scaricare, stampare o sincronizzare i file. Non potranno accedere al contenuto neanche con le app, ad esempio con le app desktop di Microsoft Office. Quando si limita l'accesso, è possibile scegliere di consentire o bloccare la modifica dei file nel browser. Quando l'accesso Web è limitato, gli utenti visualizzeranno il messaggio seguente nella parte superiore dei siti.

L'esperienza quando l'accesso Web è limitato

Nota

Il blocco o la limitazione dell'accesso su dispositivi non gestiti si basa sui criteri di accesso condizionale di Azure AD. Azure AD Per una panoramica dell'accesso condizionale in Azure AD, vedere Accesso condizionale in Azure Active Directory. Per informazioni sui criteri di accesso SharePoint consigliati, vedi Consigli sui criteri per la protezione di siti e file SharePoint. Se si limita l'accesso ai dispositivi non gestiti, gli utenti nei dispositivi gestiti devono usare una delle combinazioni del sistema operativo e del browser supportate oppure avranno accesso limitato.

Controllare l'accesso del dispositivo in Microsoft 365

Le procedure descritte in questo articolo influiscono solo sull'accesso SharePoint da parte di dispositivi non gestiti. Se si vuole allargare il controllo ai dispositivi non gestiti oltre SharePoint, è possibile in alternativa Creare un criterio di accesso condizionale di Azure Active Directory per tutte le app e i servizi dell'organizzazione. Per configurare questo criterio in modo specifico per i servizi di Microsoft 365, selezionare l'app cloud di Office 365 in App cloud o azioni.

Screenshot dell'app cloud di Office 365 in un criterio di accesso condizionale di Azure Active Directory

L'uso di criteri che influiscono su tutti i servizi di Microsoft 365 può migliorare la sicurezza e l'esperienza degli utenti. Ad esempio, quando si blocca l'accesso ai dispositivi non gestiti solo in SharePoint, gli utenti possono accedere alla chat in un team con un dispositivo non gestito, ma perderanno l'accesso quando provano ad accedere alla scheda File. L'uso dell'app cloud di Office 365 consente di evitare problemi con le dipendenze dei servizi.

Bloccare l'accesso

  1. Passare a Controllo di accesso nella nuova interfaccia di amministrazione SharePoint e accedere con un account con autorizzazioni di amministratore per l'organizzazione.

    Nota

    Se è stato Office 365 gestito da 21Vianet (Cina), accedere al interfaccia di amministrazione di Microsoft 365, quindi passare all'interfaccia di amministrazione SharePoint e aprire la pagina Controllo di accesso.

  2. Seleziona Dispositivi non gestiti.

    Riquadro Dispositivi non gestiti nell'interfaccia di amministrazione SharePoint

  3. Selezionare Blocca accesso e quindi Salva. Selezionando questa opzione vengono disabilitati tutti i criteri di accesso condizionale precedenti creati da questa pagina e viene creato un nuovo criterio di accesso condizionale che si applica a tutti gli utenti. Le personalizzazioni apportate ai criteri precedenti non verranno trasferite.

    Nota

    L'applicazione del criterio può richiedere da 5 a 10 minuti. Non avrà effetto per gli utenti che hanno già eseguito l'accesso da dispositivi non gestiti.

Importante

Se si blocca o si limita l'accesso da dispositivi non gestiti, è consigliabile bloccare anche l'accesso da app che non usano l'autenticazione moderna. Alcune app e versioni di terze parti di Office precedenti a Office 2013 non usano l'autenticazione moderna e non possono applicare restrizioni basate su dispositivi. Ciò significa che consentono agli utenti di ignorare i criteri di accesso condizionale configurati in Azure. In Controllo di accesso nella nuova interfaccia di amministrazione SharePoint selezionare App che non usano l'autenticazione moderna, selezionare Blocca accesso e quindi selezionare Salva.

Limitare l'accesso

  1. Passare a Controllo di accesso nella nuova interfaccia di amministrazione SharePoint e accedere con un account con autorizzazioni di amministratore per l'organizzazione.

    Nota

    In Office 365 gestito da 21Vianet (Cina), accedere all'interfaccia di amministrazione di Microsoft 365, passare all'interfaccia di amministrazione di SharePoint e aprire la pagina Siti attivi.

  2. Seleziona Dispositivi non gestiti.

  3. Selezionare Consenti accesso limitato e solo Web e quindi selezionare Salva. Si noti che selezionando questa opzione verranno disabilitati tutti i criteri di accesso condizionale precedenti creati da questa pagina e verrà creato un nuovo criterio di accesso condizionale che si applica a tutti gli utenti. Le personalizzazioni apportate ai criteri precedenti non verranno trasferite.

    Riquadro Dispositivi non gestiti nella nuova interfaccia di amministrazione SharePoint

Se si ripristina Consenti accesso completo, potrebbero essere necessarie fino a 24 ore prima che le modifiche abbiano effetto.

Importante

Se si blocca o si limita l'accesso da dispositivi non gestiti, è consigliabile bloccare anche l'accesso da app che non usano l'autenticazione moderna. Alcune app e versioni di terze parti di Office precedenti a Office 2013 non usano l'autenticazione moderna e non possono applicare restrizioni basate su dispositivi. Ciò significa che consentono agli utenti di ignorare i criteri di accesso condizionale configurati in Azure. In Controllo di accesso nella nuova interfaccia di amministrazione SharePoint selezionare App che non usano l'autenticazione moderna, selezionare Blocca accesso e quindi selezionare Salva.

Nota

Se si limita l'accesso e si modifica un sito da un dispositivo non gestito, le web part di immagini non visualizzeranno le immagini caricate nella raccolta di asset del sito o direttamente nella web part. Per risolvere questo problema, è possibile usare questa API SPList per esentare i criteri di download in blocco nella raccolta di asset del sito. In questo modo la web part può scaricare immagini dalla raccolta di asset del sito.

Nota

Quando Controllo di accesso per i dispositivi non gestiti in SharePoint è impostato su Consenti accesso limitato e solo Web, non è possibile scaricare SharePoint file ma visualizzarne l'anteprima. Le anteprime dei file Office funzionano in SharePoint ma le anteprime non funzionano in Microsoft Yammer.

Limitare l'accesso tramite PowerShell

  1. Scaricare l'ultima versione di SharePoint Online Management Shell.

    Nota

    Se è stata installata una versione precedente di SharePoint Online Management Shell, passare ad Aggiungere o rimuovere programmi e disinstallare "SharePoint Online Management Shell".

  2. Connettersi a SharePoint come amministratore globale o amministratore di SharePoint in Microsoft 365. Per informazioni, vedere Introduzione a SharePoint Online Management Shell.

  3. Eseguire il comando riportato di seguito:

    Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
    

Nota

Per impostazione predefinita, questo criterio consente agli utenti di visualizzare e modificare i file nel Web browser. Per modificare questa impostazione, vedere Configurazioni avanzate.

Bloccare o limitare l'accesso a un sito o a un OneDrive SharePoint specifico

Per bloccare o limitare l'accesso a siti specifici, seguire questa procedura. Se sono stati configurati i criteri a livello di organizzazione, l'impostazione a livello di sito specificata deve essere almeno altrettanto restrittiva dell'impostazione a livello di organizzazione.

  1. Creare manualmente un criterio nell'interfaccia di amministrazione Azure AD seguendo la procedura descritta in Usare le restrizioni applicate dall'app.

  2. Impostare l'impostazione a livello di sito usando PowerShell o un'etichetta di riservatezza:

  3. Per usare PowerShell: scaricare l'ultima SharePoint Online Management Shell.

    Nota

    Se hai installato una versione precedente di SharePoint Online Management Shell, vai su Installazione applicazioni e disinstallare SharePoint Online Management Shell.

  4. Connettersi a SharePoint come amministratore globale o amministratore di SharePoint in Microsoft 365. Per informazioni, vedere Introduzione a SharePoint Online Management Shell.

  5. Eseguire uno dei comandi seguenti.

    Per bloccare l'accesso a un singolo sito:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess
    

    Per limitare l'accesso a un singolo sito:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess
    

    Per aggiornare più siti contemporaneamente, usare il comando seguente come esempio:

    ,(Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'") | Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
    

    Questo esempio ottiene il OneDrive per ogni utente e lo passa come matrice per Set-SPOTenant per limitare l'accesso. La virgola iniziale e le parentesi sono necessarie per eseguire questo cmdlet come richiesta batch, che è la più veloce.

Nota

Per impostazione predefinita, un'impostazione che include l'accesso Web consente agli utenti di visualizzare e modificare i file nel Web browser. Per modificare questa impostazione, vedere Configurazioni avanzate.

Configurazioni avanzate

I parametri seguenti possono essere usati con -ConditionalAccessPolicy AllowLimitedAccess sia per l'impostazione a livello di organizzazione che per l'impostazione a livello di sito:

-AllowEditing $falseImpedisce agli utenti di modificare Office file nel browser.

-ReadOnlyForUnmanagedDevices $true Rende l'intero sito di sola lettura per gli utenti interessati.

-LimitedAccessFileType OfficeOnlineFilesOnlyConsente agli utenti di visualizzare in anteprima solo Office file nel browser. Questa opzione aumenta la sicurezza, ma può costituire una barriera alla produttività degli utenti.

-LimitedAccessFileType WebPreviewableFiles(impostazione predefinita) Consente agli utenti di visualizzare in anteprima i file Office nel browser. Questa opzione consente di ottimizzare la produttività degli utenti, ma offre meno sicurezza per i file che non sono file Office. Avviso: Questa opzione causa problemi con i tipi di file PDF e immagine perché può essere necessario scaricarle nel computer dell'utente finale per eseguire il rendering nel browser. Pianificare attentamente l'uso di questo controllo. In caso contrario, gli utenti potrebbero trovarsi a dover affrontare errori imprevisti di accesso negato.

-LimitedAccessFileType OtherFiles Consente agli utenti di scaricare file che non possono essere visualizzati in anteprima, ad esempio .zip e .exe. Questa opzione offre meno sicurezza.

Il parametro AllowDownlownloadingNonWebViewableFiles non è più disponibile. Usare invece LimitedAccessFileType.

Le persone esterne all'organizzazione saranno interessate quando si usano criteri di accesso condizionale per bloccare o limitare l'accesso da dispositivi non gestiti. Se gli utenti hanno condiviso elementi con persone specifiche (che devono immettere un codice di verifica inviato al proprio indirizzo di posta elettronica), è possibile esentarli da questo criterio eseguendo il cmdlet seguente.

Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false

Nota

I collegamenti "Chiunque" (collegamenti condivisibili che non richiedono l'accesso) non sono interessati da questi criteri. Gli utenti che hanno un collegamento "Chiunque" a un file o a una cartella potranno scaricare l'elemento. Per tutti i siti in cui si abilitano i criteri di accesso condizionale, è necessario disabilitare i collegamenti "Chiunque".

Impatto dell'app

Il blocco dell'accesso e il blocco del download possono influire sull'esperienza utente in alcune app, tra cui alcune app Office. È consigliabile attivare i criteri per alcuni utenti e testare l'esperienza con le app usate nell'organizzazione. In Office verificare il comportamento in Power Apps e Power Automate quando i criteri sono attivati.

Nota

Le app eseguite in modalità "solo app" nel servizio, ad esempio le app antivirus e i crawler di ricerca, sono escluse dai criteri.

Se si usano modelli di sito SharePoint classici, il rendering delle immagini del sito potrebbe non essere corretto. Questo perché il criterio impedisce il download dei file di immagine originali nel browser.

Per i nuovi tenant, le app che usano un token di accesso solo app ACS sono disabilitate per impostazione predefinita. È consigliabile usare il modello Azure AD solo app moderno e più sicuro. È tuttavia possibile modificare il comportamento eseguendo "set-spotenant -DisableCustomAppAuthentication $false" (richiede l'ultimo SharePoint amministratore Di PowerShell).

Servono altre informazioni?

SharePoint Q&A

Vedere anche

Consigli sui criteri per la protezione di siti e file SharePoint

Controllare l'accesso ai dati SharePoint e OneDrive in base a percorsi di rete definiti