Zalecenia dotyczące zasad dotyczące zabezpieczania witryn i plików programu SharePoint
W tym artykule opisano sposób implementowania zalecanych zasad Zero Trust tożsamości i dostępu do urządzeń w celu ochrony programu SharePoint i OneDrive dla Firm. Te wskazówki bazują na typowych zasadach dostępu do tożsamości i urządzeń.
Te zalecenia są oparte na trzech różnych warstwach zabezpieczeń i ochrony plików programu SharePoint, które mogą być stosowane w zależności od stopnia szczegółowości twoich potrzeb: punktu początkowego, przedsiębiorstwa i wyspecjalizowanych zabezpieczeń. Więcej informacji na temat tych warstw zabezpieczeń i zalecanych systemów operacyjnych klienta, do których odnoszą się te zalecenia, można znaleźć w omówieniu.
Oprócz zaimplementowania tych wskazówek należy skonfigurować witryny programu SharePoint z odpowiednią ochroną, w tym ustawić odpowiednie uprawnienia dla zawartości dla przedsiębiorstw i wyspecjalizowanej zawartości zabezpieczeń.
Aktualizowanie typowych zasad w celu uwzględnienia programu SharePoint i OneDrive dla Firm
Aby chronić pliki w programach SharePoint i OneDrive, na poniższym diagramie przedstawiono zasady, które należy zaktualizować na podstawie typowych zasad dostępu do tożsamości i urządzeń.
Jeśli program SharePoint został dołączony podczas tworzenia typowych zasad, musisz tylko utworzyć nowe zasady. W przypadku zasad dostępu warunkowego program SharePoint obejmuje usługę OneDrive.
Nowe zasady implementują ochronę urządzeń dla zawartości zabezpieczeń dla przedsiębiorstw i wyspecjalizowanych, stosując określone wymagania dotyczące dostępu do określonych witryn programu SharePoint.
W poniższej tabeli wymieniono zasady, które należy przejrzeć i zaktualizować lub utworzyć nowe dla programu SharePoint. Typowe zasady łączą się ze skojarzonymi instrukcjami konfiguracji w artykule Common identity and device access policies (Typowe zasady dotyczące tożsamości i dostępu do urządzeń ).
| Poziom ochrony | Policies (zasady) | Więcej informacji |
|---|---|---|
| Punkt początkowy | Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie | Dołącz program SharePoint do przypisania aplikacji w chmurze. |
| Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania | Dołącz program SharePoint do przypisania aplikacji w chmurze. | |
| Stosowanie zasad ochrony danych aplikacji | Upewnij się, że wszystkie zalecane aplikacje znajdują się na liście aplikacji. Pamiętaj, aby zaktualizować zasady dla każdej platformy (iOS, Android, Windows). | |
| Używanie ograniczeń wymuszonych przez aplikację w programie SharePoint | Dodaj te nowe zasady. Dzięki temu Tożsamość Microsoft Entra używać ustawień określonych w programie SharePoint. Te zasady dotyczą wszystkich użytkowników, ale mają wpływ tylko na dostęp do witryn uwzględnionych w zasadach dostępu programu SharePoint. | |
| Enterprise | Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest niskie, średnie lub wysokie | Dołącz program SharePoint do przypisań aplikacji w chmurze. |
| Wymagaj zgodnych komputerów i urządzeń przenośnych | Uwzględnij program SharePoint na liście aplikacji w chmurze. | |
| Zasady kontroli dostępu programu SharePoint: zezwalaj na dostęp tylko do przeglądarki do określonych witryn programu SharePoint z urządzeń niezarządzanych. | Uniemożliwia to edytowanie i pobieranie plików. Użyj programu PowerShell, aby określić lokacje. | |
| Wyspecjalizowane zabezpieczenia | Zawsze wymagaj uwierzytelniania wieloskładnikowego | Dołącz program SharePoint do przypisania aplikacji w chmurze. |
| Zasady kontroli dostępu programu SharePoint: blokuj dostęp do określonych witryn programu SharePoint z urządzeń niezarządzanych. | Użyj programu PowerShell, aby określić lokacje. |
Używanie ograniczeń wymuszonych przez aplikację w programie SharePoint
Jeśli zaimplementujesz mechanizmy kontroli dostępu w programie SharePoint, zasady dostępu warunkowego zostaną utworzone w Tożsamość Microsoft Entra, aby poinformować Tożsamość Microsoft Entra o wymuszaniu zasad skonfigurowanych w programie SharePoint. Domyślnie te zasady mają zastosowanie do wszystkich użytkowników, ale mają wpływ tylko na dostęp do witryn określonych przy użyciu programu PowerShell podczas tworzenia kontrolek dostępu w programie SharePoint. Zasady mogą być również ograniczone do określonych użytkowników, grup lub witryn.
Aby skonfigurować te zasady, zobacz "Blokuj lub ograniczaj dostęp do określonych zbiorów witryn programu SharePoint lub kont usługi OneDrive" w temacie Kontrolowanie dostępu z urządzeń niezarządzanych.
Zasady kontroli dostępu programu SharePoint
Firma Microsoft zaleca ochronę zawartości w witrynach programu SharePoint za pomocą zawartości dla przedsiębiorstw i wyspecjalizowanej zawartości zabezpieczeń za pomocą mechanizmów kontroli dostępu do urządzeń. Można to zrobić, tworząc zasady określające poziom ochrony i witryny, do których ma zostać zastosowana ochrona.
- Witryny przedsiębiorstwa: zezwalaj na dostęp tylko do przeglądarki. Uniemożliwia to użytkownikom edytowanie i pobieranie plików.
- Wyspecjalizowane witryny zabezpieczeń: blokuj dostęp z urządzeń niezarządzanych.
Zobacz sekcję "Blokuj lub ogranicz dostęp do określonych zbiorów witryn programu SharePoint lub kont usługi OneDrive" w temacie Kontrolowanie dostępu z urządzeń niezarządzanych.
Jak te zasady współpracują ze sobą
Ważne jest, aby zrozumieć, że uprawnienia witryny programu SharePoint są zwykle oparte na potrzebach biznesowych dostępu do witryn. Te uprawnienia są zarządzane przez właścicieli witryn i mogą być bardzo dynamiczne. Korzystanie z zasad dostępu urządzeń programu SharePoint zapewnia ochronę tych witryn niezależnie od tego, czy użytkownicy są przypisani do grupy Microsoft Entra skojarzonej z punktem początkowym, przedsiębiorstwem czy wyspecjalizowaną ochroną zabezpieczeń.
Poniższa ilustracja przedstawia przykład sposobu, w jaki zasady dostępu urządzeń programu SharePoint chronią dostęp do witryn dla użytkownika.
James ma przypisane zasady dostępu warunkowego punktu początkowego, ale może mieć dostęp do witryn programu SharePoint z ochroną korporacyjną lub wyspecjalizowaną ochroną zabezpieczeń.
- Jeśli James uzyskuje dostęp do witryny, którą jest członkiem przedsiębiorstwa lub wyspecjalizowanej ochrony bezpieczeństwa przy użyciu swojego komputera, jego dostęp jest udzielany.
- Jeśli James uzyskuje dostęp do witryny ochrony przedsiębiorstwa, jest członkiem jego niezarządzanego telefonu, co jest dozwolone dla użytkowników punktu początkowego, otrzyma dostęp tylko do przeglądarki do witryny przedsiębiorstwa ze względu na zasady dostępu urządzeń skonfigurowane dla tej witryny.
- Jeśli James uzyskuje dostęp do wyspecjalizowanej witryny zabezpieczeń, jest członkiem jego niezarządzanego telefonu, zostanie zablokowany ze względu na zasady dostępu skonfigurowane dla tej witryny. Dostęp do tej witryny można uzyskać tylko przy użyciu zarządzanego komputera.
Następny krok
Skonfiguruj zasady dostępu warunkowego dla:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla