Policy rekommendationer för att skydda SharePoint-webbplatser och-filerPolicy recommendations for securing SharePoint sites and files

I den här artikeln beskrivs hur du implementerar Rekommenderad identitet och enhets åtkomst principer för att skydda SharePoint och OneDrive för företag.This article describes how to implement the recommended identity and device-access policies to protect SharePoint and OneDrive for Business. Den här vägledningen bygger på vanliga principer för identitets-och enhets åtkomst.This guidance builds on the common identity and device access policies.

De här rekommendationerna bygger på tre olika nivåer av säkerhet och skydd för SharePoint-filer som kan användas baserat på hur olika behov fungerar: original plan, känslig och högreglerad.These recommendations are based on three different tiers of security and protection for SharePoint files that can be applied based on the granularity of your needs: baseline, sensitive, and highly regulated. Du kan läsa mer om de här säkerhets nivåerna och de rekommenderade klient operativ systemen som hänvisas till av de här rekommendationerna i översikten.You can learn more about these security tiers, and the recommended client operating systems, referenced by these recommendations in the overview.

Förutom att implementera den här vägledningen måste du konfigurera SharePoint-webbplatser med rätt skydds nivå, inklusive att ange lämpliga behörigheter för känslig och hög reglerad information.In addition to implementing this guidance, be sure to configure SharePoint sites with the right amount of protection, including setting appropriate permissions for sensitive and highly-regulated content.

Uppdatera gemensamma principer för att inkludera SharePoint och OneDrive för företagUpdating common policies to include SharePoint and OneDrive for Business

För att skydda filer i SharePoint och OneDrive illustrerar följande diagram vilka principer som ska uppdateras från principer för åtkomst för identitet och enheter.To protect files in SharePoint and OneDrive, the following diagram illustrates which policies to update from the the common identity and device access policies.

Sammanfattning av princip uppdateringar för att skydda åtkomst till team och dess beroende tjänsterSummary of policy updates for protecting access to Teams and its dependent services

Visa en större version av bildenSee a larger version of this image

Om du har inkluderat SharePoint när du skapade de gemensamma policyerna behöver du bara skapa de nya principerna.If you included SharePoint when you created the common policies, you only need to create the new policies. För principer för villkorsstyrd åtkomst inkluderar SharePoint OneDrive.For Conditional Access policies, SharePoint includes OneDrive.

De nya principerna implementerar enhets skydd för känsligt och starkt reglerat innehåll genom att använda specifika åtkomst krav på SharePoint-webbplatser som du anger.The new policies implement device protection for sensitive and highly-regulated content by applying specific access requirements to SharePoint sites that you specify.

I följande tabell visas de principer som du måste granska och uppdatera eller skapa en ny för SharePoint.The following table lists the policies you either need to review and update or create new for SharePoint. Gemensamma principer-länken till de associerade konfigurations anvisningarna i artikeln om principer för åtkomst policys för identitet och enheter .The common policies link to the associated configuration instructions in the Common identity and device access policies article.

Skydds nivåProtection level PrincipernaPolicies Mer informationMore information
GrundläggandeBaseline Kräv MFA när en inloggnings risk är mellan eller högRequire MFA when sign-in risk is medium or high Inkludera SharePoint i tilldelningen av Cloud-appar.Include SharePoint in the assignment of cloud apps.
Blockera klienter som inte har stöd för modern autentiseringBlock clients that don't support modern authentication Inkludera SharePoint i tilldelningen av Cloud-appar.Include SharePoint in the assignment of cloud apps.
Tillämpa program data skydds policyApply APP data protection policies Se till att alla rekommenderade appar ingår i listan med program.Be sure all recommended apps are included in the list of apps. Se till att uppdatera policyn för varje plattform (iOS, Android, Windows).Be sure to update the policy for each platform (iOS, Android, Windows).
Kräv kompatibla PC-datorerRequire compliant PCs Ta med SharePoint i listan med moln program.Include SharePoint in list of cloud apps.
Använda tvingande program begränsningar i SharePointUse app enforced restrictions in SharePoint Lägg till den här nya principen.Add this new policy. Detta meddelar Azure Active Directory (Azure AD) att använda inställningarna i SharePoint.This tells Azure Active Directory (Azure AD) to use the settings specified in SharePoint. Den här principen gäller för alla användare, men påverkar bara åtkomst till webbplatser som ingår i SharePoint Access-principer.This policy applies to all users, but only affects access to sites included in SharePoint access policies.
KänsligSensitive Kräv MFA när en inloggnings risk är låg, medium eller högRequire MFA when sign-in risk is low, medium or high Inkludera SharePoint i tilldelningarna för molnappar.Include SharePoint in the assignments of cloud apps.
Kräv kompatibla datorer och mobila enheterRequire compliant PCs and mobile devices Ta med SharePoint i listan med moln program.Include SharePoint in the list of cloud apps.
Kontroll policy för SharePoint-åtkomst: Tillåt åtkomst via webbläsare till specifika SharePoint-webbplatser från ohanterade enheter.SharePoint access control policy: Allow browser-only access to specific SharePoint sites from unmanaged devices. Detta förhindrar redigering och nedladdning av filer.This prevents edit and download of files. Använd PowerShell för att ange webbplatser.Use PowerShell to specify sites.
Strikt regleradHighly regulated Kräv alltid MFAAlways require MFA Inkludera SharePoint i tilldelningen av Cloud-appar.Include SharePoint in the assignment of cloud apps.
Åtkomst kontroll princip för SharePoint: blockera åtkomst till specifika SharePoint-webbplatser från ohanterade enheter.SharePoint access control policy: Block access to specific SharePoint sites from unmanaged devices. Använd PowerShell för att ange webbplatser.Use PowerShell to specify sites.

Använd program begränsningar i SharePointUse app-enforced restrictions in SharePoint

Om du implementerar Access-kontroller i SharePoint måste du skapa den här principen för villkorsstyrd åtkomst i Azure AD för att Azure AD ska kunna använda de principer du konfigurerar i SharePoint.If you implement access controls in SharePoint, you must create this Conditional Access policy in Azure AD to tell Azure AD to enforce the policies you configure in SharePoint. Den här principen gäller för alla användare, men påverkar bara åtkomst till de webbplatser som du anger med PowerShell när du skapar Access-kontroller i SharePoint.This policy applies to all users, but only affects access to the sites you specify using PowerShell when you create the access controls in SharePoint.

Om du vill konfigurera den här principen kan du läsa "blockera eller begränsa åtkomst till specifika SharePoint-webbplats samlingar eller OneDrive-konton" i kontrol lera åtkomst från ohanterade enheter.To configure this policy see "Block or limit access to specific SharePoint site collections or OneDrive accounts" in Control access from unmanaged devices.

Åtkomst kontroll principer för SharePointSharePoint access control policies

Microsoft rekommenderar att du skyddar innehåll på SharePoint-webbplatser med känsligt och starkt reglerat innehåll med enhets åtkomst kontroller.Microsoft recommends you protect content in SharePoint sites with sensitive and highly-regulated content with device access controls. Det gör du genom att skapa en princip som anger nivån på skyddet och webbplatserna som skyddar mot.You do this by creating a policy that specifies the level of protection and the sites to apply the protection to.

  • Känsliga webbplatser: Tillåt åtkomst via webbläsare.Sensitive sites: Allow browser-only access. Detta förhindrar att användare redigerar och laddar ned filer.This prevents users from editing and downloading files.
  • Högreglerade webbplatser: blockera åtkomst från ohanterade enheter.Highly regulated sites: Block access from unmanaged devices.

Se "blockera eller begränsa åtkomst till specifika SharePoint-webbplats samlingar eller OneDrive-konton" i kontrol lera åtkomst från ohanterade enheter.See "Block or limit access to specific SharePoint site collections or OneDrive accounts" in Control access from unmanaged devices.

Hur dessa principer fungerar tillsammansHow these policies work together

Det är viktigt att förstå att SharePoint-webbplatsens behörigheter normalt baseras på affärs behov för åtkomst till webbplatser.It's important to understand that SharePoint site permissions are typically based on business need for access to sites. Dessa behörigheter hanteras av webbplats ägare och kan vara mycket dynamiska.These permissions are managed by site owners and can be highly dynamic. Genom att använda åtkomst principer för SharePoint-enheter skyddas de här webbplatserna, oavsett om användare är tilldelade till en Azure AD-grupp som är kopplad till original-, känsligt-eller starkt reglerat skydd.Using SharePoint device access policies ensures protection to these sites, regardless of whether users are assigned to an Azure AD group associated with baseline, sensitive, or highly regulated protection.

Följande bild visar ett exempel på hur åtkomst principer för SharePoint-enheter skyddar åtkomst till webbplatser för en användare.The following illustration provides an example of how SharePoint device access policies protect access to sites for a user.

Exempel på hur åtkomst principer för SharePoint-enheter skyddar webbplatserExample of how SharePoint device access policies protect sites

Visa en större version av bildenSee a larger version of this image

Jonas har grundläggande principer för villkorsstyrd åtkomst, men han kan få åtkomst till SharePoint-webbplatser med känsligt och starkt reglerat skydd.James has baseline Conditional Access policies assigned, but he can be given access to SharePoint sites with sensitive or highly-regulated protection.

  • Om Johan har åtkomst till en känslig eller högreglerad webbplats han är medlem i sin dator, ges hans åtkomst så länge datorn är kompatibel.If James accesses a sensitive or highly-regulated site he is a member of using his PC, his access is granted as long as his PC is compliant.
  • Om Jonas öppnar en känslig webbplats han är medlem i att använda sin ohanterade telefon, som är tillåten för bas linje användare, får han eller hon skrivskyddad åtkomst till den känsliga webbplatsen på grund av enhets åtkomst principen som har kon figurer ATS för den här webbplatsen.If James accesses a sensitive site he is a member of using his unmanaged phone, which is allowed for baseline users, he will receive browser-only access to the sensitive site due to the device access policy configured for this site.
  • Om Johan har åtkomst till en högreglerad webbplats som han är medlem i med sin ohanterade telefon kommer han att blockeras på grund av åtkomst principen som har kon figurer ATS för den här webbplatsen.If James accesses a highly regulated site he is a member of using his unmanaged phone, he will be blocked due to the access policy configured for this site. Han kan bara komma åt den här webbplatsen via sin hanterade och kompatibla dator.He can only access this site using his managed and compliant PC.

Nästa stegNext step

Steg 4: principer för Microsoft 365-molnappar

Konfigurera principer för villkorsstyrd åtkomst för:Configure Conditional Access policies for: