Principrekommendationer för att skydda SharePoint-webbplatser och -filer
Den här artikeln beskriver hur du implementerar de rekommenderade Nolltillit principer för identitets- och enhetsåtkomst för att skydda SharePoint och OneDrive för företag. Den här vägledningen bygger på vanliga principer för identitets- och enhetsåtkomst.
Dessa rekommendationer baseras på tre olika nivåer av säkerhet och skydd för SharePoint-filer som kan tillämpas baserat på kornigheten för dina behov: startpunkt, företag och specialiserad säkerhet. Du kan lära dig mer om dessa säkerhetsnivåer och de rekommenderade klientoperativsystemen, som refereras till av dessa rekommendationer i översikten.
Förutom att implementera den här vägledningen måste du konfigurera SharePoint-webbplatser med rätt mängd skydd, inklusive att ange lämpliga behörigheter för företag och specialiserat säkerhetsinnehåll.
Uppdatera vanliga principer för att inkludera SharePoint och OneDrive för företag
För att skydda filer i SharePoint och OneDrive visar följande diagram vilka principer som ska uppdateras från vanliga principer för identitets- och enhetsåtkomst.
Om du inkluderade SharePoint när du skapade de gemensamma principerna behöver du bara skapa de nya principerna. För principer för villkorsstyrd åtkomst inkluderar SharePoint OneDrive.
De nya principerna implementerar enhetsskydd för företags- och specialsäkerhetsinnehåll genom att tillämpa specifika åtkomstkrav på SharePoint-webbplatser som du anger.
I följande tabell visas de principer som du antingen behöver granska och uppdatera eller skapa nya för SharePoint. Den gemensamma principlänken till de associerade konfigurationsanvisningarna i artikeln Vanliga principer för identitets- och enhetsåtkomst .
| Skyddsnivå | Policyer | Mer information |
|---|---|---|
| Utgångspunkt | Kräv MFA när inloggningsrisken är medelhög eller hög | Inkludera SharePoint i tilldelningen av molnappar. |
| Blockera klienter som inte har stöd för modern autentisering | Inkludera SharePoint i tilldelningen av molnappar. | |
| Tillämpa APP-dataskyddsprinciper | Se till att alla rekommenderade appar ingår i listan över appar. Se till att uppdatera principen för varje plattform (iOS, Android, Windows). | |
| Använda apptvingande begränsningar i SharePoint | Lägg till den här nya principen. Detta instruerar Microsoft Entra ID att använda inställningarna som anges i SharePoint. Den här principen gäller för alla användare, men påverkar bara åtkomsten till webbplatser som ingår i SharePoint-åtkomstprinciper. | |
| Enterprise | Kräv MFA när inloggningsrisken är låg, medel eller hög | Inkludera SharePoint i tilldelningarna av molnappar. |
| Kräv kompatibla datorer och mobila enheter | Ta med SharePoint i listan över molnappar. | |
| SharePoint-åtkomstkontrollprincip: Tillåt endast webbläsaråtkomst till specifika SharePoint-webbplatser från ohanterade enheter. | Detta förhindrar redigering och nedladdning av filer. Använd PowerShell för att ange webbplatser. | |
| Specialiserad säkerhet | Kräv alltid MFA | Inkludera SharePoint i tilldelningen av molnappar. |
| SharePoint-åtkomstkontrollprincip: Blockera åtkomst till specifika SharePoint-webbplatser från ohanterade enheter. | Använd PowerShell för att ange webbplatser. |
Använda apptvingande begränsningar i SharePoint
Om du implementerar åtkomstkontroller i SharePoint skapas principer för villkorsstyrd åtkomst i Microsoft Entra ID för att instruera Microsoft Entra ID att framtvinga de principer som du konfigurerar i SharePoint. Som standard gäller den här principen för alla användare, men påverkar bara åtkomsten till de webbplatser som du anger med hjälp av PowerShell när du skapar åtkomstkontrollerna i SharePoint. Principen kan också begränsas för specifika användare, grupper eller webbplatser.
Information om hur du konfigurerar den här principen finns i "Blockera eller begränsa åtkomsten till specifika SharePoint-webbplatssamlingar eller OneDrive-konton" i Kontrollera åtkomst från ohanterade enheter.
SharePoint-principer för åtkomstkontroll
Microsoft rekommenderar att du skyddar innehåll på SharePoint-webbplatser med företags- och specialsäkerhetsinnehåll med enhetsåtkomstkontroller. Det gör du genom att skapa en princip som anger skyddsnivån och de platser som skyddet ska tillämpas på.
- Företagswebbplatser: Tillåt endast webbläsaråtkomst. Detta hindrar användare från att redigera och ladda ned filer.
- Specialiserade säkerhetswebbplatser: Blockera åtkomst från ohanterade enheter.
Se "Blockera eller begränsa åtkomst till specifika SharePoint-webbplatssamlingar eller OneDrive-konton" i Kontrollera åtkomst från ohanterade enheter.
Hur dessa principer fungerar tillsammans
Det är viktigt att förstå att SharePoint-webbplatsbehörigheter vanligtvis baseras på företagets behov av åtkomst till webbplatser. Dessa behörigheter hanteras av webbplatsägare och kan vara mycket dynamiska. Användning av SharePoint-enhetsåtkomstprinciper säkerställer skydd för dessa webbplatser, oavsett om användare tilldelas till en Microsoft Entra grupp som är associerad med startpunkt, företag eller specialiserat säkerhetsskydd.
Följande bild innehåller ett exempel på hur Åtkomstprinciper för SharePoint-enheter skyddar åtkomsten till webbplatser för en användare.
James har tilldelats startpunktsprinciper för villkorsstyrd åtkomst, men han kan få åtkomst till SharePoint-webbplatser med företags- eller specialiserat säkerhetsskydd.
- Om James kommer åt en webbplats som han är medlem i med enterprise eller specialiserat säkerhetsskydd med hjälp av sin dator, beviljas hans åtkomst.
- Om James ansluter till en företagsskyddsplats är han medlem i att använda sin ohanterade telefon, som är tillåten för startpunktsanvändare, får han webbläsaråtkomst till företagswebbplatsen på grund av den enhetsåtkomstprincip som har konfigurerats för den här webbplatsen.
- Om James kommer åt en specialiserad säkerhetswebbplats är han medlem i att använda sin ohanterade telefon, han kommer att blockeras på grund av den åtkomstprincip som konfigurerats för den här webbplatsen. Han kan bara komma åt den här webbplatsen med hjälp av sin hanterade dator.
Nästa steg
Konfigurera principer för villkorsstyrd åtkomst för:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för