SharePoint и OneDrive неуправляемых устройств для администраторов

Как администратор SharePoint или глобальный администратор в Microsoft 365 вы можете заблокировать или ограничить доступ к содержимому SharePoint и OneDrive с неуправляемых устройств (не присоединенных к гибридной службе Active Directory или соответствующих требованиям в Intune). Можно заблокировать или ограничить доступ:

  • для всех сотрудников компании или только для некоторых пользователей либо групп безопасности;

  • ко всем сайтам организации или только к некоторым сайтам.

Блокирование доступа помогает обеспечить безопасность, но может негативно влиять на удобство использования и продуктивность. Если доступ заблокирован, пользователи видят следующую ошибку.

Взаимодействие при блокировке доступа

Ограниченный доступ не мешает работе пользователей, при этом сокращая риск непреднамеренной потери данных на неуправляемых устройствах. При ограничении доступа пользователи на управляемых устройствах будут иметь полный доступ (если они не используют одно из сочетаний браузера и операционной системы, перечисленных в поддерживаемых браузерах). Пользователи на неуправляемых устройствах будут иметь доступ только к браузеру без возможности скачивания, печати или синхронизации файлов. Кроме того, они не смогут получать доступ к содержимому через приложения, включая классические приложения Microsoft Office. При ограничении доступа вы можете разрешить или запретить редактирование файлов в браузере. Если веб-доступ ограничен, пользователи будут видеть следующее сообщение в верхней части сайтов.

Взаимодействие при ограниченном веб-доступе

Примечание

Для блокировки или ограничения доступа на неуправляемых устройствах применяются политики условного доступа Azure AD. Дополнительные сведения Azure AD лицензировании. Общие сведения об условном доступе в Azure AD см. в Azure Active Directory. Сведения о рекомендуемых политиках SharePoint доступа см. в рекомендациях политики для защиты SharePoint сайтов и файлов. Если вы ограничиваете доступ на неуправляемых устройствах, пользователи на управляемых устройствах должны использовать одну из поддерживаемых комбинаций ОС и браузера , либо они также будут иметь ограниченный доступ.

Управление доступом устройств в Microsoft 365

Процедуры, описанные в этой статье, влияют SharePoint доступ только неуправляемых устройств. Если требуется контролировать доступ неуправляемых устройств не только к SharePoint, можно создать политику условного доступа Azure Active Directory для всех приложений и служб в вашей организации. Чтобы настроить эту политику для служб Microsoft 365, выберите облачное приложение Office 365 в разделе Облачные приложения или действия.

Снимок экрана: облачное приложение Office 365 в политике условного доступа Azure Active Directory

Использование политики, охватывающей все службы Microsoft 365, может способствовать укреплению безопасности и повышению удобства для пользователей. Например, если заблокировать доступ неуправляемых устройств только в SharePoint, пользователи смогут получать доступ к чату в команде, используя неуправляемое устройство, но не смогут получить доступ к вкладке Файлы. Использование облачного приложения Office 365 поможет избежать проблем с зависимостями служб.

Блокировать доступ

  1. Перейдите в центр администрирования SharePoint access и войдите с помощью учетной записи с разрешениями администратора для вашей организации.

    Примечание

    Если вы используете Office 365 21Vianet (Китай), войдите в Центр администрирования Microsoft 365, перейдите в центр администрирования SharePoint и откройте страницу управления доступом.

  2. Выберите Неуправляемые устройства.

    Панель "Неуправляемые устройства" в SharePoint администрирования

  3. Выберите "Блокировать доступ", а затем нажмите кнопку "Сохранить". (При выборе этого параметра отключались все предыдущие политики условного доступа, созданные на этой странице, и создается новая политика условного доступа, которая применяется ко всем пользователям. Любые настройки, внесенные в предыдущие политики, не переносятся.)

    Примечание

    Чтобы политика вступает в силу, может потребоваться 5–10 минут. Он не будет действовать для пользователей, которые уже вошли с неуправляемых устройств.

Важно!

Если вы блокируете или ограничиваете доступ с неуправляемых устройств, мы рекомендуем также заблокировать доступ из приложений, которые не используют современную проверку подлинности. Некоторые сторонние приложения и версии Office до Office 2013 не используют современную проверку подлинности и не могут применять ограничения на основе устройств. Это означает, что они позволяют пользователям обходить политики условного доступа, настроенные в Azure. В центре администрирования SharePoint access выберите приложения, которые не используют современную проверку подлинности , выберите "Блокировать доступ ", а затем нажмите кнопку "Сохранить".

Ограничение доступа

  1. Перейдите в центр администрирования SharePoint access и войдите с помощью учетной записи с разрешениями администратора для вашей организации.

    Примечание

    Если вы используете Office 365 под управлением 21Vianet (Китай), войдите в Центр администрирования Microsoft 365, затем перейдите в Центр администрирования SharePoint и откройте страницу "Активные сайты".

  2. Выберите Неуправляемые устройства.

  3. Выберите "Разрешить ограниченный доступ только через Интернет", а затем нажмите кнопку "Сохранить". (Обратите внимание, что при выборе этого параметра будут отключены все предыдущие политики условного доступа, созданные на этой странице, и будет создана новая политика условного доступа, которая применяется ко всем пользователям. Любые настройки, внесенные в предыдущие политики, не переносятся.)

    Панель "Неуправляемые устройства" в новом центре SharePoint администрирования

Если вернуться к разрешению полного доступа, изменения в силу могут занять до 24 часов.

Важно!

Если вы блокируете или ограничиваете доступ с неуправляемых устройств, мы рекомендуем также заблокировать доступ из приложений, которые не используют современную проверку подлинности. Некоторые сторонние приложения и версии Office до Office 2013 не используют современную проверку подлинности и не могут применять ограничения на основе устройств. Это означает, что они позволяют пользователям обходить политики условного доступа, настроенные в Azure. В центре администрирования SharePoint access выберите приложения, которые не используют современную проверку подлинности , выберите "Блокировать доступ ", а затем нажмите кнопку "Сохранить".

Примечание

Если вы ограничиваете доступ и редактируете сайт с неуправляемого устройства, веб-части изображений не будут отображать изображения, которые вы отправляете в библиотеку ресурсов сайта или непосредственно в веб-часть. Чтобы обойти эту проблему, можно использовать этот API SPList , чтобы исключить политику загрузки блоков в библиотеке ресурсов сайта. Это позволяет веб-части скачивать изображения из библиотеки ресурсов сайта.

Если контроль доступа для неуправляемых устройств в SharePoint установлено значение "Разрешить ограниченный доступ только через Интернет ", SharePoint файлы невозможно скачать, но их можно просмотреть. Предварительные версии Office файлов работают в SharePoint но предварительные версии не работают в Microsoft Yammer.

Ограничение доступа с помощью PowerShell

  1. Скачайте последнюю версию командной консоли SharePoint Online.

    Примечание

    Если вы установили предыдущую версию командной консоли SharePoint Online, перейдите к разделу "Добавление или удаление программ" и удалите "SharePoint Online Management Shell".

  2. Подключите SharePoint, используя права глобального администратора или администратора SharePoint в Microsoft 365. О том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.

  3. Выполните следующую команду:

    Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
    

Примечание

По умолчанию эта политика позволяет пользователям просматривать и редактировать файлы в веб-браузере. Сведения об изменении см. в разделе "Дополнительные конфигурации".

Блокировка или ограничение доступа к определенному SharePoint или OneDrive

Чтобы заблокировать или ограничить доступ к определенным сайтам, выполните следующие действия. Если вы настроите политику для всей организации, указанный параметр уровня сайта должен быть не менее строгим, чем параметр уровня организации.

  1. Вручную создайте политику в центре администрирования Azure AD, выполнив действия, описанные в разделе "Использование ограничений, применяемых приложением".

  2. Задайте параметр уровня сайта с помощью PowerShell или метки конфиденциальности:

    • Чтобы использовать PowerShell, перейдите к следующему шагу.

    • Чтобы использовать метку конфиденциальности, ознакомьтесь со следующими инструкциями и укажите параметр метки для Access с неуправляемых устройств: используйте метки конфиденциальности для защиты содержимого в Microsoft Teams , Microsoft 365 группах и SharePoint сайтах.

  3. Чтобы использовать PowerShell, скачайте последнюю версию SharePoint Online Management Shell.

    Примечание

    Если вы установили предыдущую версию командной консоли SharePoint Online, перейдите к разделу "Установка и удаление программ" и удалите компонент "Командная консоль SharePoint Online".

  4. Подключите SharePoint, используя права глобального администратора или администратора SharePoint в Microsoft 365. О том, как это сделать, см. в статье Начало работы с командной консолью SharePoint Online.

  5. Выполните одну из следующих команд.

    Чтобы заблокировать доступ к одному сайту:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess
    

    Чтобы ограничить доступ к одному сайту:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess
    

    Чтобы обновить сразу несколько сайтов, используйте следующую команду в качестве примера:

    Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Set-SPOSite -ConditionalAccessPolicy AllowLimitedAccess
    

    В этом примере OneDrive для каждого пользователя и передается в виде массива, Set-SPOSite для ограничения доступа.

Примечание

По умолчанию параметр, который включает веб-доступ, позволяет пользователям просматривать и редактировать файлы в веб-браузере. Сведения об изменении см. в разделе "Дополнительные конфигурации".

Дополнительные конфигурации

Следующие параметры можно использовать как -ConditionalAccessPolicy AllowLimitedAccess для параметров на уровне организации, так и для параметров уровня сайта:

-AllowEditing $falseЗапрещает пользователям изменять файлы Office в браузере.

-ReadOnlyForUnmanagedDevices $true Делает весь сайт доступен только для чтения для затронутых пользователей.

-LimitedAccessFileType OfficeOnlineFilesOnlyПозволяет пользователям просматривать только Office в браузере. Этот параметр повышает безопасность, но может стать барьером для повышения производительности пользователей.

-LimitedAccessFileType WebPreviewableFiles(по умолчанию) Позволяет пользователям просматривать Office в браузере. Этот параметр оптимизирует производительность пользователей, но обеспечивает меньшую безопасность для файлов, которые не являются файлами Office. Внимание! Этот параметр вызывает проблемы с PDF-файлами и файлами изображений, так как может требоваться их скачивание на компьютер пользователя для отображения в браузере. Тщательно планируйте использование этого элемента управления. В противном случае ваши пользователи могут столкнуться с непредвиденными ошибками "В доступе отказано".

-LimitedAccessFileType OtherFiles Позволяет пользователям скачивать файлы, которые невозможно просмотреть, например .zip и .exe. Этот параметр обеспечивает меньшую безопасность.

Параметр AllowDownlownloadingNonWebViewableFiles больше не используется. Вместо этого используйте LimitedAccessFileType.

Пользователи за пределами организации будут затронуты при использовании политик условного доступа для блокировки или ограничения доступа с неуправляемых устройств. Если пользователи предоставили общий доступ к элементам определенным пользователям (которым необходимо ввести код проверки, отправленный на его адрес электронной почты), вы можете исключить их из этой политики, выполнив следующую команду.

Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false

Примечание

Эти политики не влияют на ссылки "Все" (ссылки для общего доступа, для которых не требуется вход). Пользователи, у которых есть ссылка "Любой пользователь" на файл или папку, смогут скачать элемент. Для всех сайтов, на которых вы включаете политики условного доступа, следует отключить ссылки "Все".

Влияние на приложение

Блокировка доступа и блокировка скачивания могут повлиять на взаимодействие с пользователем в некоторых приложениях, включая некоторые Office приложения. Рекомендуется включить политику для некоторых пользователей и протестировать работу с приложениями, используемыми в вашей организации. В Office проверьте поведение в Power Apps и Power Automate, если политика включена.

Примечание

Приложения, которые выполняются в режиме "только для приложений" в службе, такие как антивирусные приложения и обходчики поиска, исключаются из политики.

Если вы используете классические шаблоны SharePoint сайта, образы сайтов могут отображаться неправильно. Это связано с тем, что политика запрещает скачивание исходных файлов изображений в браузер.

Для новых клиентов приложения, использующие маркер доступа только для приложений ACS, по умолчанию отключены. Мы рекомендуем использовать Azure AD только для приложений, которая является современной и более безопасной. Но вы можете изменить поведение, выполнив set-spotenant -DisableCustomAppAuthentication $false команду (требуется последняя SharePoint PowerShell).

Нужна дополнительная помощь?

SharePoint Q&A

См. также

Рекомендации политики для защиты SharePoint сайтов и файлов

Управление доступом к SharePoint и OneDrive на основе определенных сетевых расположений