Principrekommendationer för att skydda SharePoint webbplatser och filer

I den här artikeln beskrivs hur du implementerar rekommenderade principer för nollförtroendeidentitet och enhetsåtkomst för att skydda SharePoint och OneDrive för företag. Den här vägledningen bygger på de gemensamma principerna för identitet och enhetsåtkomst.

Dessa rekommendationer baseras på tre olika nivåer av säkerhet och skydd för SharePoint-filer som kan tillämpas utifrån dina behovs granularitet: startpunkt, företag och särskild säkerhet. Du kan läsa mer om dessa säkerhetsnivåer och de rekommenderade klientoperativsystemet, som refereras av dessa rekommendationer i översikten.

Förutom att implementera denna vägledning ska du se till att konfigurera SharePoint-webbplatser med rätt skyddsnivå, inklusive att ange lämpliga behörigheter för företags- och specialsäkerhetsinnehåll.

Uppdatera vanliga principer så att de omfattar SharePoint och OneDrive för företag

I följande diagram visas SharePoint filer i OneDrive mappar och mappar som beskriver vilka principer som ska uppdateras från de gemensamma principerna för identitets- och enhetsåtkomst.

Sammanfattning av principuppdateringar för att skydda åtkomsten till SharePoint.

Om du inkluderade SharePoint när du skapade de gemensamma principerna behöver du bara skapa de nya principerna. För villkorsstyrda åtkomstprinciper SharePoint även OneDrive.

Med de nya principerna implementeras enhetsskydd för företagsspecifikt och specialiserade säkerhetsinnehåll genom att specifika åtkomstkrav tillämpas SharePoint webbplatser som du anger.

I följande tabell visas de principer som du antingen behöver granska och uppdatera eller skapa nya för SharePoint. De gemensamma principerna länkar till de associerade konfigurationsanvisningarna i artikeln Principer för enhetsåtkomst och identiteter.

Skyddsnivå Policyer Mer information
Startpunkt Kräv MFA när inloggningsrisken är medium eller hög Inkludera SharePoint i tilldelningen av molnappar.
Blockera klienter som inte har stöd för modern autentisering Inkludera SharePoint i tilldelningen av molnappar.
Använda principer för APP-dataskydd Se till att alla rekommenderade appar finns med i listan med appar. Se till att uppdatera principen för varje plattform (iOS, Android, Windows).
Använda appanvändningsbegränsningar i SharePoint Lägg till den här nya principen. Det innebär Azure Active Directory (Azure AD) att använda inställningarna som anges SharePoint. Den här principen gäller för alla användare, men påverkar bara åtkomsten till webbplatser som SharePoint åtkomstprinciper.
Enterprise Kräv MFA när inloggningsrisken är låg, medelstor eller hög Inkludera SharePoint i uppgifterna för molnappar.
Kräv kompatibla datorer och mobila enheter Inkludera SharePoint i listan med molnappar.
SharePoint för åtkomstkontroll:Tillåt endast webbläsaråtkomst till specifika SharePoint från ohanterade enheter. Det förhindrar redigering och nedladdning av filer. Använd PowerShell för att ange webbplatser.
Särskild säkerhet Kräv alltid MFA Inkludera SharePoint i tilldelningen av molnappar.
SharePoint för åtkomstkontroll:Blockera åtkomst till specifika SharePoint från ohanterade enheter. Använd PowerShell för att ange webbplatser.

Använda apptvingade begränsningar i SharePoint

Om du implementerar åtkomstkontroller i SharePoint måste du skapa den här villkorsstyrda åtkomstprincipen i Azure AD för att ange att Azure AD ska tillämpa de principer du konfigurerar i SharePoint. Den här principen gäller för alla användare, men påverkar bara åtkomsten till de webbplatser som du anger med PowerShell när du skapar åtkomstkontroller i SharePoint.

Information om hur du konfigurerar den här principen finns i "Blockera eller begränsa åtkomsten till specifika SharePoint webbplatssamlingar eller OneDrive-konton" i Styra åtkomsten från ohanterade enheter.

SharePoint för åtkomstkontroll

Microsoft rekommenderar att du skyddar innehåll på SharePoint webbplatser med företagsanpassade säkerhetsinnehåll med enhetsåtkomstkontroller. Det gör du genom att skapa en princip som anger skyddsnivån och webbplatserna som skyddet ska gälla för.

  • Företagswebbplatser: Tillåt åtkomst endast till webbläsare. Det förhindrar att användare redigerar och laddar ned filer.
  • Specialiserade säkerhetswebbplatser: Blockera åtkomst från ohanterade enheter.

Läs "Blockera eller begränsa åtkomsten till specifika SharePoint webbplatssamlingar eller OneDrive-konton" i Styra åtkomsten från ohanterade enheter.

Så här fungerar de här principerna tillsammans

Det är viktigt att förstå att SharePoint webbplatsbehörigheter vanligtvis baseras på affärs behov av åtkomst till webbplatser. De här behörigheterna hanteras av webbplatsägare och kan vara mycket dynamiska. Genom att SharePoint principer för enhetsåtkomst skyddas webbplatserna, oavsett om användarna är tilldelade till en Azure AD-grupp som är kopplad till startpunkt, företag eller särskild säkerhetsskydd.

Följande bild visar ett exempel på hur principer SharePoint för enhetsåtkomst skyddar åtkomsten till webbplatser för en användare.

Exempel på hur SharePoint principer för enhetsåtkomst skyddar webbplatser.

James har principer för villkorsstyrd åtkomst tilldelad, men han kan ges åtkomst till SharePoint webbplatser med företags- eller specialsäkerhetsskydd.

  • Om James har åtkomst till en webbplats som han är medlem i med företags- eller specialsäkerhetsskydd med sin dator beviljas hans åtkomst.
  • Om James öppnar en webbplats för företagsskydd är han medlem i att använda sin ohanterade telefon, som är tillåten för startanvändare, han får endast webbläsaråtkomst till företagswebbplatsen på grund av principen för enhetsåtkomst som konfigurerats för den här webbplatsen.
  • Om James öppnar en särskild säkerhetswebbplats är han medlem i att använda sin ohanterade telefon, kommer han att blockeras på grund av åtkomstprincipen som konfigurerats för den här webbplatsen. Han kan bara komma åt den här webbplatsen med sin hanterade dator.

Nästa steg

Steg 4: Principer Microsoft 365 för molnappar.

Konfigurera principer för villkorsstyrd åtkomst för: