Beleidsaanbevelingen voor het beveiligen van SharePoint-sites en -bestanden
In dit artikel wordt beschreven hoe u het aanbevolen beleid voor Zero Trust identiteit en apparaattoegang implementeert om SharePoint en OneDrive voor Bedrijven te beveiligen. Deze richtlijnen zijn gebaseerd op het algemene beleid voor identiteit en apparaattoegang.
Deze aanbevelingen zijn gebaseerd op drie verschillende beveiligingslagen en beveiliging voor SharePoint-bestanden die kunnen worden toegepast op basis van de granulariteit van uw behoeften: beginpunt, onderneming en gespecialiseerde beveiliging. Meer informatie over deze beveiligingslagen en de aanbevolen clientbesturingssystemen waarnaar wordt verwezen door deze aanbevelingen vindt u in het overzicht.
Zorg er naast het implementeren van deze richtlijnen voor dat u SharePoint-sites configureert met de juiste mate van beveiliging, inclusief het instellen van de juiste machtigingen voor zakelijke en gespecialiseerde beveiligingsinhoud.
Algemene beleidsregels bijwerken om SharePoint en OneDrive voor Bedrijven op te nemen
Als u bestanden in SharePoint en OneDrive wilt beveiligen, ziet u in het volgende diagram welk beleid moet worden bijgewerkt vanuit het algemene beleid voor identiteit en toegang tot apparaten.
Als u SharePoint hebt opgenomen bij het maken van het algemene beleid, hoeft u alleen het nieuwe beleid te maken. Voor beleid voor voorwaardelijke toegang bevat SharePoint OneDrive.
Het nieuwe beleid implementeert apparaatbeveiliging voor zakelijke en gespecialiseerde beveiligingsinhoud door specifieke toegangsvereisten toe te passen op SharePoint-sites die u opgeeft.
De volgende tabel bevat de beleidsregels die u moet controleren en bijwerken of nieuwe voor SharePoint moet maken. De algemene beleidsregels zijn gekoppeld aan de bijbehorende configuratie-instructies in het artikel Gemeenschappelijk identiteits- en apparaattoegangsbeleid .
| Beveiligingsniveau | Beleid | Meer informatie |
|---|---|---|
| Uitgangspunt | MFA vereisen wanneer het aanmeldingsrisico gemiddeld of hoog is | SharePoint opnemen in de toewijzing van cloud-apps. |
| Clients blokkeren die moderne verificatie niet ondersteunen | SharePoint opnemen in de toewijzing van cloud-apps. | |
| App-beleid voor gegevensbeveiliging toepassen | Zorg ervoor dat alle aanbevolen apps zijn opgenomen in de lijst met apps. Zorg ervoor dat u het beleid voor elk platform (iOS, Android, Windows) bijwerkt. | |
| Door apps afgedwongen beperkingen gebruiken in SharePoint | Voeg dit nieuwe beleid toe. Hiermee geeft Microsoft Entra ID aan om de instellingen te gebruiken die zijn opgegeven in SharePoint. Dit beleid is van toepassing op alle gebruikers, maar is alleen van invloed op de toegang tot sites die zijn opgenomen in sharePoint-toegangsbeleid. | |
| Enterprise | MFA vereisen wanneer het aanmeldingsrisico laag, gemiddeld of hoog is | SharePoint opnemen in de toewijzingen van cloud-apps. |
| Compatibele pc's en mobiele apparaten vereisen | SharePoint opnemen in de lijst met cloud-apps. | |
| SharePoint-toegangsbeheerbeleid: alleen browsertoegang toestaan tot specifieke SharePoint-sites vanaf onbeheerde apparaten. | Dit voorkomt het bewerken en downloaden van bestanden. Gebruik PowerShell om sites op te geven. | |
| Gespecialiseerde beveiliging | MFA altijd vereisen | SharePoint opnemen in de toewijzing van cloud-apps. |
| SharePoint-toegangsbeheerbeleid: toegang tot specifieke SharePoint-sites blokkeren vanaf onbeheerde apparaten. | Gebruik PowerShell om sites op te geven. |
Door apps afgedwongen beperkingen gebruiken in SharePoint
Als u toegangsbeheer implementeert in SharePoint, wordt beleid voor voorwaardelijke toegang gemaakt in Microsoft Entra ID om Microsoft Entra ID te vertellen het beleid af te dwingen dat u in SharePoint configureert. Dit beleid is standaard van toepassing op alle gebruikers, maar is alleen van invloed op de toegang tot de sites die u opgeeft met Behulp van PowerShell wanneer u de toegangsbeheeropties maakt in SharePoint. Het beleid kan ook worden toegepast op specifieke gebruikers, groepen of sites.
Als u dit beleid wilt configureren, raadpleegt u Toegang blokkeren of beperken tot specifieke SharePoint-siteverzamelingen of OneDrive-accounts in Toegang vanaf niet-beheerde apparaten beheren.
SharePoint-toegangsbeheerbeleid
Microsoft raadt u aan inhoud op SharePoint-sites te beveiligen met zakelijke en gespecialiseerde beveiligingsinhoud met besturingselementen voor apparaattoegang. U doet dit door een beleid te maken dat het niveau van beveiliging en de sites opgeeft waarop de beveiliging moet worden toegepast.
- Bedrijfssites: alleen browsertoegang toestaan. Dit voorkomt dat gebruikers bestanden kunnen bewerken en downloaden.
- Gespecialiseerde beveiligingssites: toegang vanaf onbeheerde apparaten blokkeren.
Zie Toegang blokkeren of beperken tot specifieke SharePoint-siteverzamelingen of OneDrive-accounts in Toegang vanaf niet-beheerde apparaten beheren.
Hoe deze beleidsregels samenwerken
Het is belangrijk om te begrijpen dat SharePoint-sitemachtigingen doorgaans zijn gebaseerd op de zakelijke behoefte aan toegang tot sites. Deze machtigingen worden beheerd door site-eigenaren en kunnen zeer dynamisch zijn. Het gebruik van sharePoint-beleid voor apparaattoegang zorgt voor beveiliging van deze sites, ongeacht of gebruikers zijn toegewezen aan een Microsoft Entra groep die is gekoppeld aan beginpunt, onderneming of gespecialiseerde beveiligingsbeveiliging.
In de volgende afbeelding ziet u een voorbeeld van hoe toegangsbeleid voor SharePoint-apparaten de toegang tot sites voor een gebruiker beveiligt.
James heeft een beginpuntbeleid voor voorwaardelijke toegang toegewezen, maar hij kan toegang krijgen tot SharePoint-sites met enterprise- of gespecialiseerde beveiligingsbeveiliging.
- Als James toegang krijgt tot een site waarvan hij lid is met enterprise- of gespecialiseerde beveiliging met behulp van zijn pc, wordt zijn toegang verleend.
- Als James toegang krijgt tot een bedrijfsbeveiligingssite waarvan hij lid is met behulp van zijn onbeheerde telefoon, die is toegestaan voor beginpuntgebruikers, ontvangt hij alleen browsertoegang tot de bedrijfssite vanwege het apparaattoegangsbeleid dat is geconfigureerd voor deze site.
- Als James toegang krijgt tot een gespecialiseerde beveiligingssite waarvan hij lid is via zijn onbeheerde telefoon, wordt hij geblokkeerd vanwege het toegangsbeleid dat voor deze site is geconfigureerd. Hij heeft alleen toegang tot deze site via zijn beheerde pc.
Volgende stap
Beleid voor voorwaardelijke toegang configureren voor:
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor