SharePoint和OneDrive系統管理員的非受控裝置存取控制
身為 Microsoft 365 中的SharePoint或全域系統管理員,您可以封鎖或限制從非受控裝置存取SharePoint和OneDrive內容, (未加入混合式 AD或不符合Intune) 規範的裝置。 您可以封鎖或限制存取:
組織中的所有使用者或僅限部分使用者或安全性群組。
組織中的所有網站或僅部分網站。
封鎖存取可協助提供安全性,但需付出可用性和生產力的代價。 當存取遭到封鎖時,使用者會看到下列錯誤。
限制存取可讓使用者保有生產力,同時解決在未受管理的裝置上意外資料外洩的風險。 當您限制存取時,除非使用者使用支援的 流覽 器) 中所列的其中一個瀏覽器和作業系統組合,否則受管理裝置上的使用者將具有完整存取 (。 非受控裝置上的使用者將具有僅限瀏覽器的存取權,且無法下載、列印或同步處理檔案。 使用者也無法透過應用程式存取內容,包括 Microsoft Office 桌面應用程式。 限制存取權時,您可以選擇允許或封鎖在瀏覽器中編輯檔案。 當 Web 存取受到限制時,使用者會在網站頂端看到下列訊息。
注意
封鎖或限制對未受管理裝置的存取取決於 Azure AD 條件式存取原則。 瞭解 Azure AD 授權如需 Azure AD 中條件式存取的概觀,請參閱Azure Active Directory中的條件式存取。 如需建議SharePoint存取原則的資訊,請參閱保護SharePoint網站和檔案的原則建議。 如果您限制非受控裝置的存取權,受管理裝置上的使用者必須使用其中一個 支援的作業系統和瀏覽器混合,否則他們也會有有限的存取權。
控制整個 Microsoft 365 的裝置存取
本文中的程式只會影響非受控裝置SharePoint存取。 如果您想要將未管理裝置控制範圍擴大至 SharePoint 以外,您可以改為為組織的所有應用程式和服務建立 Azure Active Directory 條件式存取 (部分機器翻譯)。 若要特別針對 Microsoft 365 服務設定此原則,請在 [雲端應用程式或動作] 下選取 [Office 365] 雲端應用程式。
使用會影響所有 Microsoft 365 服務的策略, 可為您的使用者提供更好的安全性和更好的體驗。例如, 當您封鎖僅 SharePoint 中未受管理裝置的存取權時, 使用者仍可以使用未受管理裝置存取團隊中的聊天, 但當他們嘗試存取 [檔案] 索引標籤時, 將會失去存取權。使用 Office 365 雲端應用程式可協助避免 服務相依性 的問題。
封鎖存取
移至 新SharePoint系統管理中心的訪問 控制,並使用具有組織系統管理員權 限的帳戶登入。
注意
如果您已Office 365由 21Vianet (China) 運作,請登入Microsoft 365 系統管理中心,然後流覽至 SharePoint 系統管理中心,然後開啟 [存取控制] 頁面。
選取 [未受管理的裝置]。
![SharePoint系統管理中心的 [非受控裝置] 窗格](sharepointonline/media/unmanaged-devices-block-access.png)
選 取 [封鎖存取],然後選取 [ 儲存]。 (選取此選項會停用您從此頁面建立的任何先前條件式存取原則,並建立適用于所有使用者的新條件式存取原則。 您對先前的原則所做的任何自訂都不會被套用。)
注意
可能需要 5-10 分鐘的時間,原則才會生效。 對於已從 Unmanaged 裝置登入的使用者而言,它不會生效。
重要
如果您封鎖或限制來自非受控裝置的存取,建議您也封鎖不使用新式驗證之應用程式的存取。 Office 2013 之前的某些協力廠商應用程式和Office版本不會使用新式驗證,且無法強制執行裝置型限制。 這表示他們允許使用者略過您在 Azure 中設定的條件式存取原則。 在新 SharePoint系統管理中心的 [存取控制] 中,選取 [不使用新式驗證的應用程式],選取 [封鎖存取],然後選取 [儲存]。
限制存取
移至 新SharePoint系統管理中心的訪問 控制,並使用具有組織系統管理員權 限的帳戶登入。
注意
如果您使用由 21Vianet (中國) 提供的 Office 365,請登入 Microsoft 365 系統管理中心,然後瀏覽至 SharePoint 系統管理中心,並開啟 [使用中網站] 頁面。
選取 [未受管理的裝置]。
選 取 [允許受限的僅限 Web 存取],然後選取 [ 儲存]。 (請注意,選取此選項將會停用您從此頁面建立的任何先前條件式存取原則,並建立適用于所有使用者的新條件式存取原則。 您對先前的原則所做的任何自訂都不會被套用。)
![新SharePoint系統管理中心的 [非受控裝置] 窗格](sharepointonline/media/unmanaged-devices-limit-access.png)
如果您還原為 [允許完整存取],可能需要 24 小時的時間,變更才會生效。
重要
如果您封鎖或限制來自非受控裝置的存取,建議您也封鎖不使用新式驗證之應用程式的存取。 Office 2013 之前的某些協力廠商應用程式和Office版本不會使用新式驗證,且無法強制執行裝置型限制。 這表示他們允許使用者略過您在 Azure 中設定的條件式存取原則。 在新 SharePoint系統管理中心的 [存取控制] 中,選取 [不使用新式驗證的應用程式],選取 [封鎖存取],然後選取 [儲存]。
注意
如果您限制從非受控裝置存取和編輯網站,映射網頁元件將不會顯示您上傳至網站資產庫或直接上傳至網頁元件的影像。 若要解決此問題,您可以使用此 SPList API 來豁免網站資產庫上的區塊下載原則。 這可讓網頁元件從網站資產庫下載影像。
當 SharePoint 中 Unmanaged 裝置的存取控制設為 [允許受限的僅限 Web 存取] 時,無法下載SharePoint檔案,但可以預覽。 Office檔案的預覽可在SharePoint中運作,但預覽無法在 Microsoft Yammer中運作。
使用 PowerShell 限制存取
下載最新的 SharePoint Online 管理命令介面。
注意
如果您已安裝舊版的 SharePoint Online Management Shell,請移至 [新增或移除程式],然後卸載 [SharePoint Online Management Shell]。
以全域管理員或 Microsoft 365 中 SharePoint 系統管理員的身分連線至 SharePoint。若要了解如何進行,請參閱 SharePoint Online 管理命令介面快速入門。
執行下列命令:
Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
注意
根據預設,此原則可讓使用者在其網頁瀏覽器中檢視和編輯檔案。 若要變更此設定,請參閱 進階設定。
封鎖或限制存取特定SharePoint網站或OneDrive
若要封鎖或限制對特定網站的存取,請遵循下列步驟。 如果您已設定整個組織的原則,您指定的網站層級設定必須至少與組織層級設定一樣嚴格。
遵循 使用應用程式強制執行的限制中的步驟,在 Azure AD 系統管理中心手動建立原則。
使用 PowerShell 或 敏感度標籤來設定網站層級設定:
若要使用 PowerShell,請繼續進行下一個步驟。
若要使用敏感度標籤,請參閱下列指示,並指定 從非 受控裝置存取的標籤設定:使用敏感度標籤來保護Microsoft Teams、Microsoft 365群組和SharePoint網站中的內容。
若要使用 PowerShell:下載最新SharePoint線上管理命令介面。
注意
如果您安裝的是舊版 SharePoint Online 管理命令介面,請移至 [新增或移除程式],並解除安裝 [SharePoint Online 管理命令介面]。
以全域管理員或 Microsoft 365 中 SharePoint 系統管理員的身分連線至 SharePoint。若要了解如何進行,請參閱 SharePoint Online 管理命令介面快速入門。
執行下列其中一個命令。
若要封鎖單一網站的存取:
Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess若要限制對單一網站的存取:
Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess若要一次更新多個月臺,請使用下列命令作為範例:
Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Set-SPOSite -ConditionalAccessPolicy AllowLimitedAccess此範例會取得每個使用者的OneDrive,並將它當做陣列傳遞給Set-SPOSite以限制存取。
注意
根據預設,包含 Web 存取的設定可讓使用者在其網頁瀏覽器中檢視和編輯檔案。 若要變更此設定,請參閱 進階設定。
進階設定
下列參數可用於 -ConditionalAccessPolicy AllowLimitedAccess 整個組織的設定和網站層級設定:
-AllowEditing $false防止使用者在瀏覽器中編輯Office檔案。
-ReadOnlyForUnmanagedDevices $true 讓受影響的使用者唯讀整個網站。
-LimitedAccessFileType OfficeOnlineFilesOnly允許使用者只在瀏覽器中預覽Office檔案。 此選項可提升安全性,但可能會阻礙使用者生產力。
-LimitedAccessFileType WebPreviewableFiles (預設) 允許使用者在瀏覽器中預覽Office檔案。 此選項可最佳化使用者生產力,但針對非 Office 檔案提供較少的安全性。 警告: 已知此選項會造成 PDF 和圖像檔案類型的問題,因為它們可能需要下載到使用者電腦才能在瀏覽器中呈現。 仔細規劃此控制項的使用。 否則,您的使用者可能會遇到未預期的「拒絕存取」錯誤。
-LimitedAccessFileType OtherFiles 允許使用者下載無法預覽的檔案,例如.zip和.exe。 此選項提供的安全性較低。
AllowDownlownloadingNonWebViewableFiles 參數已中止。 請改用 LimitedAccessFileType。
當您使用條件式存取原則來封鎖或限制來自非受控裝置的存取時,組織外部的人員將會受到影響。 如果使用者已與特定人員共用專案, (必須輸入傳送至其電子郵件地址) 的驗證碼,您可以執行下列命令來免除此原則。
Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false
注意
「任何人」連結 (不需要登入) 的可共用連結不受這些原則影響。 具有檔案或資料夾「任何人」連結的人員將能夠下載專案。 針對您啟用條件式存取原則的所有網站,您應該停用「任何人」連結。
應用程式影響
封鎖存取和封鎖下載可能會影響某些應用程式中的使用者體驗,包括一些Office應用程式。 建議您為某些使用者開啟原則,並測試組織中使用的應用程式體驗。 在Office中,請務必檢查Power Apps中的行為,並在原則開啟時Power Automate。
注意
在服務中以「僅限應用程式」模式執行的應用程式,例如防毒軟體應用程式和搜尋編目程式,會豁免原則。
如果您使用傳統SharePoint網站範本,月臺映射可能無法正確呈現。 這是因為原則會防止將原始影像檔下載到瀏覽器。
對於新的租使用者,預設會停用使用僅限 ACS 應用程式存取權杖的應用程式。 建議您使用新式且更安全的僅限 Azure AD 應用程式模型。 但您可以執行 (需要最新SharePoint系統管理員 PowerShell) 來變更行為 set-spotenant -DisableCustomAppAuthentication $false 。