Рекомендуемые политики для защиты сайтов и файлов SharePointPolicy recommendations for securing SharePoint Sites and files

Следующие рекомендации предлагаются в дополнение к рекомендуемым основным политикам для удостоверений и доступа и рекомендуемым политикам для защиты электронной почты.The following recommendations are provided in addition to the common identity and access policy recommendations and policy recommendations for securing email. Чтобы защитить файлы SharePoint Online, необходимо создать новые политики и изменить существующие политики, как описано здесь.To safeguard SharePoint Online files, new policies must be created, and existing policies amended, as described here.

Следующие рекомендации основаны на трех различных уровнях безопасности и защиты файлов SharePoint, которые могут применяться с учетом степени детализации ваших потребностей: базовый, конфиденциальный и строго регулируемый.The following recommendations are based on three different tiers of security and protection for SharePoint files that can be applied based on the granularity of your needs: baseline, sensitive, and highly regulated. Дополнительные сведения об этих уровнях безопасности и рекомендуемых клиентских операционных системах, на которые ссылаются эти рекомендации, можно найти в статье с общими сведениями о рекомендуемых политиках и конфигурациях безопасности.You can learn more about these security tiers, and the recommended client operating systems, referenced by these recommendations in the recommended security policies and configurations introduction.

Примечание

Все группы безопасности, создаваемые с учетом этих рекомендаций, должны формироваться с включенными возможностями Office.All security groups created as part of these recommendations must be created with Office features enabled. Это особенно важно для развертывания AIP при защите документов в SharePoint.This is specifically important for the deployment of AIP when securing documents in SharePoint.

Функции Office, включенные для групп безопасности

Базовая версияBaseline

При среднем и высоком уровне риска требуется многофакторная идентификацияMedium and above risk requires MFA

Внесите следующие изменения в существующую политику условного доступа, создаваемую при применении рекомендуемых политик по защите электронной почты.Make the following changes to the existing CA policy created when applying policy recomendations to secure email:

CategoryCategory ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
НазначенияAssignments Облачные приложенияCloud apps ВключитьInclude Выберите приложения:Select apps:
Office 365 Exchange OnlineOffice 365 Exchange Online
Office 365 SharePoint OnlineOffice 365 SharePoint Online
Выберите оба вариантаSelect both

Требовать соответствующее требованиям или присоединенное к домену устройствоRequire a compliant or domain joined device

Чтобы создать политику условного доступа Intune для SharePoint Online, войдите на портал управления Майкрософт с помощью учетных данных администратора и последовательно выберите Политика > Условный доступ > Политика SharePoint Online.To create a new Intune Conditional Access Policy for SharePoint Online, log in to the Microsoft Management portal with your administrator credentials and then navigate to Policy > Conditional Access > SharePoint Online Policy.

Политика SharePoint Online

На портале управления Intune необходимо задать политику условного доступа конкретно для SharePoint Online, требующую совместимых или присоединенных к домену устройств.You must set a Conditional Access policy specifically for SharePoint Online in the Intune Management portal to require a compliant or domain joined device.

CategoryCategory ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
Доступ к приложениямApplication access OneDrive для бизнеса и другие приложения, использующие современную проверку подлинностиOneDrive for Business and other apps that user modern authentication Все платформыAll platforms TrueTrue ВыбраноSelected
ОС Windows должна соответствовать следующим требованиямWindows must meet the following requirement Устройства должны быть присоединены к домену или соответствовать требованиямDevice must be domain joined or compliant Выбраны (список)Selected (List)
Определенные платформыSpecific platforms FalseFalse
Доступ браузера к SharePoint и OneDrive для бизнесаBrowser access to SharePoint and OneDrive for Business Блокировать несовместимые устройства на одинаковых с OneDrive для бизнеса платформахBlock non-compliant devices on same platform as OneDrive for Business TrueTrue CheckCheck
Развертывание политикиPolicy deployment Целевые группыTargeted groups Выберите группы Active Directory, к которым будет применена политикаSelect the Active Directory groups to target with this policy
Все пользователиAll users FalseFalse
Выбранные группы безопасности:Selected security groups TrueTrue ВыбраноSelected
ИзменитьModify Выберите определенную группу безопасности, содержащую целевых пользователей.Select specific security group containing targeted users.
Группы исключенийExempt groups Выберите группы безопасности Active Directory, которые будут исключены из этой политики (этот список приоритетнее списка "Целевые группы").Select the Active Directory groups to exempt from this policy (overrides members of the Targeted Groups list).
Нет исключенных пользователейNo exempt users TrueTrue ВыбраноSelected
Выбранные группы безопасности:Selected security groups FalseFalse

Условный доступ SharePoint Online для управления мобильными приложениямиMobile application management conditional access for SharePoint Online

На портале управления Intune необходимо задать политику условного доступа конкретно для SharePoint Online для управления мобильными приложениями.You must set a Conditional Access policy specifically for SharePoint Online in the Intune Management portal to manage mobile apps.

Для управления мобильными приложениями войдите на портал Microsoft Azure с помощью учетных данных администратора, а затем последовательно выберите Защита приложений Intune > Параметры > Условный доступ > SharePoint Online.To manage mobile apps, log in to the Microsoft Azure portal with your administrator credentials, and then navigate to Intune App Protection > Settings > Conditional Access > SharePoint Online.

CategoryCategory ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
Доступ к приложениямApp access Разрешенные приложенияAllowed apps Включить доступ к приложениямEnable app access Разрешить приложения, поддерживающие политики приложений IntuneAllow apps that support Intune app policies Выбраны (список) — появится список сочетаний приложений и платформ, поддерживаемых политиками приложений Intune.Selected (list) – This results in a list of apps/platform combinations supported by Intune app policies.
Доступ пользователейUser access Ограниченные группы пользователейRestricted user groups Добавьте пользователей и группы — выберите определенную группу безопасности, содержащую целевых пользователей.Add user groups – Select specific security group containing targeted users. Следует начать с группы безопасности, в которую входят пользователи пилотного проекта.Start with security group including pilot users.
Исключенные группы пользователейExempt user groups Исключение групп безопасностиException security groups

ПрименениеApply to

После завершения пилотного проекта эти политики должны быть применены ко всем пользователям в организации.Once your pilot project has been completed, these policies should be applied to all users in your organization.

КонфиденциальныйSensitive

При низком и более высоком уровне риска требуется многофакторная идентификацияLow and above risk requires MFA

Внесите следующие изменения в существующую политику условного доступа, создаваемую при применении рекомендуемых политик по защите электронной почты.Make the following changes to the existing CA policy created when applying policy recomendations to secure email:

CategoryCategory ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
НазначенияAssignments Облачные приложенияCloud apps ВключитьInclude Выберите приложения:Select apps:
Office 365 Exchange OnlineOffice 365 Exchange Online
Office 365 SharePoint OnlineOffice 365 SharePoint Online
Выберите оба вариантаSelect both

Требовать соответствующее требованиям или присоединенное к домену устройствоRequire a compliant or domain joined device

(См. инструкции по базовому уровню.)(See baseline instructions)

Условный доступ SharePoint Online для управления мобильными приложениямиMobile application management conditional access for SharePoint online

(См. инструкции по базовому уровню.)(See baseline instructions)

Строго регулируемый уровеньHighly regulated

Требуется многофакторная идентификацияMFA required

Внесите следующие изменения в существующую политику условного доступа, создаваемую при применении рекомендуемых политик по защите электронной почты.Make the following changes to the existing CA policy created when applying policy recomendations to secure email:

CategoryCategory ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
НазначенияAssignments Облачные приложенияCloud apps ВключитьInclude Выберите приложения:Select apps:
Office 365 Exchange OnlineOffice 365 Exchange Online
Office 365 SharePoint OnlineOffice 365 SharePoint Online
Выберите оба вариантаSelect both

Требовать соответствующее требованиям или присоединенное к домену устройствоRequire a compliant or domain joined device

(См. инструкции по базовому уровню.)(See baseline instructions)

Условный доступ SharePoint Online для управления мобильными приложениямиMobile application management conditional access for SharePoint online

(См. инструкции по базовому уровню.)(See baseline instructions)

Дополнительные конфигурацииAdditional configurations

Помимо указанных выше политик необходимо заблокировать устаревшие протоколы, которые не поддерживают современную проверку подлинности.In addition to the above policies, you must also lock down legacy protocols that do not support modern authentication.

Блокировка устаревших протоколовLock down legacy protocols

Политики условного доступа защищают доступ с помощью потоков и приложений, использующих современную проверку подлинности, например Office 2016 и приложения в списке поддерживаемых платформ.Conditional access policies protect access through browser flows and apps using modern authentication; like Office 2016 and the apps on the supported platform list. К более старым классическим приложениям Office, например Office 2010, политика условного доступа не применяется.For older Office desktop applications, like Office 2010, conditional access policy is not applied.

Старые приложения, которые не используют современную проверку подлинности, можно заблокировать с помощью портала администрирования OneDrive.Older apps that don’t use modern authentication can be blocked using the OneDrive admin portal. Для отключения протоколов SharePoint можно также выполнить командлет администрирования SharePoint.The SharePoint admin PowerShell cmdlet can also be used to disable SharePoint legacy protocols. Чтобы воспользоваться PowerShell, просто выполните командлет Set-SPOTenant и задайте для параметра -LegacyAuthProtocolsEnabled значение $false.To use PowerShell, just run the Set-SPOTenant cmdlet and set -LegacyAuthProtocolsEnabled to $false. После этого отключается поддержка прежних версий протокола, и весь доступ к SharePoint с использованием старых клиентских приложений будут заблокирован.Once set, legacy protocol support is disabled and all access to SharePoint using older client applications will be blocked.

Дальнейшие действияNext steps

Дополнительные сведения о службах Microsoft 365Learn more about Microsoft 365 services