IT 系統管理員 - SharePoint 和 OneDrive 非受控裝置存取控制

  • 發行項

身為 Microsoft 365 中的 SharePoint 系統管理員或全域管理員,您可以封鎖或限制非受控裝置對 SharePoint 和 OneDrive 內容的存取, (未加入混合式 AD 或符合 Intune) 規範的裝置存取。 您可以封鎖或限制存取:

  • 組織中的所有使用者或僅限部分使用者或安全性群組。

  • 組織中的所有網站或僅部分網站。

封鎖存取可協助提供安全性,但需付出可用性和生產力的代價。 當存取遭到封鎖時,使用者會看到下列錯誤。

封鎖存取時的體驗

限制存取可讓使用者保有生產力,同時解決在未受管理的裝置上意外資料外洩的風險。 當您限制存取時,除非使用者使用支援的 瀏覽 器) 中所列的其中一個瀏覽器和操作系統組合,否則受管理裝置上的使用者將具有完整存取 (。 非受控裝置上的使用者將具有僅限瀏覽器的存取權,且無法下載、列印或同步處理檔案。 使用者也無法透過應用程式存取內容,包括 Microsoft Office 桌面應用程式。 限制存取權時,您可以選擇允許或封鎖在瀏覽器中編輯檔案。 當 Web 存取受到限制時,使用者會在網站頂端看到下列訊息。

Web 存取受限時的體驗

注意事項

封鎖或限制非受控裝置上的存取,需仰賴 Microsoft Entra 條件式存取原則。 瞭解 Microsoft Entra ID 授權 如需 Microsoft Entra ID 中條件式存取的概觀,請參閱 Microsoft Entra ID 中的條件式存取。 如需建議 SharePoint 存取原則的相關信息,請參閱 保護 SharePoint 網站和檔案的原則建議。 如果您限制非受控裝置的存取權,受管理裝置上的用戶必須使用其中一個 支援的操作系統和瀏覽器組合,否則他們也會有有限的存取權。

控制整個 Microsoft 365 的裝置存取

本文中的程式只會影響非受控裝置的 SharePoint 存取。 如果您想要將非受控裝置的控制權擴充到 SharePoint 以外,您可以改為為組織中的所有應用程式和服務建立 Microsoft Entra 條件式存取原則。 若要特別針對 Microsoft 365 服務設定此原則,請在 [雲端應用程式或動作] 下選取 [Office 365] 雲端應用程式。

Microsoft Entra 條件式存取原則中 Office 365 雲端應用程式的螢幕快照

使用會影響所有 Microsoft 365 服務的原則,可為使用者提供更好的安全性和更好的體驗。 例如,當您封鎖僅 SharePoint 中未受管理裝置的存取權時,使用者仍可以使用未受管理裝置存取團隊中的聊天,但當他們嘗試存取 [檔案] 索引標籤時,將會失去存取權。使用 Office 365 雲端應用程式可協助避免服務相依性

封鎖存取權

  1. 移至新 SharePoint 系統管理中心的訪問控制,並使用具有組織系統管理員權限的帳戶登入。

    注意事項

    如果您已 Office 365 由 21Vianet (China) 運作,請登入 Microsoft 365 系統管理中心,然後流覽至 SharePoint 系統管理中心並開啟存取控制頁面。

  2. 選取 [未受管理的裝置]

    SharePoint 系統管理中心的 [非受控裝置] 窗格

  3. 取 [封鎖存取],然後選取 [ 儲存]

    重要事項

    選取此選項會停用您從此頁面建立的任何先前條件式存取原則,並建立適用於所有使用者的新條件式存取原則。 您對先前原則所做的任何自定義都不會被轉移。

    注意事項

    原則最多可能需要 24 小時才會生效。 對於已從 Unmanaged 裝置登入的使用者而言,它不會生效。

重要事項

如果您封鎖或限制來自非受控裝置的存取,建議您也封鎖不使用新式驗證之應用程式的存取。 Office 2013 之前的某些第三方應用程式和 Office 版本不會使用新式驗證,且無法強制執行裝置型限制。 這表示他們允許使用者略過您在 Azure 中設定的條件式存取原則。 在新的 SharePoint 系統管理中心的存取控制,選取 [不使用新式驗證的應用程式],選取 [封鎖存取],然後選取 [儲存]

限制存取

  1. 移至新 SharePoint 系統管理中心的訪問控制,並使用具有組織系統管理員權限的帳戶登入。

    注意事項

    如果您已 Office 365 由 21Vianet (China) 運作,請登入 Microsoft 365 系統管理中心,然後流覽至 SharePoint 系統管理中心,然後選取 [原則] 展開,然後選取 [存取控制]

  2. 選取 [未受管理的裝置]

  3. 取 [允許受限的僅限 Web 存取],然後選取 [ 儲存]。 (請注意,選取此選項將會停用您從此頁面建立的任何先前條件式存取原則,並建立適用於所有使用者的新條件式存取原則。您對先前原則所做的任何自定義都不會被套用。)

    新 SharePoint 系統管理中心的 [非受控裝置] 窗格

如果您還原為 [允許完整存取],可能需要 24 小時的時間,變更才會生效。

重要事項

如果您封鎖或限制來自非受控裝置的存取,建議您也封鎖不使用新式驗證之應用程式的存取。 Office 2013 之前的某些第三方應用程式和 Office 版本不會使用新式驗證,且無法強制執行裝置型限制。 這表示他們允許使用者略過您在 Azure 中設定的條件式存取原則。 在新的 SharePoint 系統管理中心的存取控制,選取 [不使用新式驗證的應用程式],選取 [封鎖存取],然後選取 [儲存]

注意事項

如果您限制從非受控裝置存取和編輯網站,映像網頁元件將不會顯示您上傳至網站資產庫或直接上傳至網頁元件的影像。 若要解決此問題,您可以使用此 SPList API 來豁免網站資產庫上的區塊下載原則。 這可讓網頁元件從網站資產庫下載影像。

當 SharePoint 中非受控裝置的 存取控制 設為 [允許受限的僅限 Web 存取] 時,無法下載 SharePoint 檔案,但可以預覽。 Office 檔案的預覽可在 SharePoint 中運作,但預覽無法在 Microsoft Viva Engage 中運作。

使用 PowerShell 限制存取

  1. 下載最新的 SharePoint Online 管理命令介面

    注意事項

    如果您已安裝舊版的 SharePoint Online 管理命令介面,請移至 [新增或移除程式],然後卸載 [SharePoint Online 管理命令介面]。

  2. 在 Microsoft 365 中以 全域管理員或 SharePoint 系統管理員 身分連線到 SharePoint。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面

  3. 執行下列命令:

    Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess

注意事項

根據預設,此原則可讓使用者在其網頁瀏覽器中檢視和編輯檔案。 若要變更此設定,請參閱 進階設定

封鎖或限制特定 SharePoint 網站或 OneDrive 的存取

若要封鎖或限制對特定網站的存取,請遵循下列步驟。 如果您已設定整個組織的原則,您指定的網站層級設定必須至少與組織層級設定一樣嚴格。

  1. 遵循使用應用程式強制執行的限制中的步驟,在 Microsoft Entra 系統管理中心 中手動建立原則。

  2. 使用 PowerShell 或 敏感度標籤來設定網站層級設定:

  3. 若要使用PowerShell: 下載最新的SharePoint Online管理命令介面

    注意事項

    如果您安裝的是舊版 SharePoint Online 管理命令介面,請移至 [新增或移除程式],並解除安裝 [SharePoint Online 管理命令介面]。

  4. 在 Microsoft 365 中以 全域管理員或 SharePoint 系統管理員 身分連線到 SharePoint。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面

  5. 執行下列其中一個命令。

    若要封鎖單一網站的存取:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess

    若要限制對單一網站的存取:

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess

    若要一次更新多個月臺,請使用下列命令作為範例:

    Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Set-SPOSite -ConditionalAccessPolicy AllowLimitedAccess

    此範例會取得每位使用者的 OneDrive,並將它當做數位傳遞給 Set-SPOSite 以限制存取。

注意事項

根據預設,包含 Web 存取的設定可讓使用者在其網頁瀏覽器中檢視和編輯檔案。 若要變更此設定,請參閱 進階設定

進階設定

下列參數可用於 -ConditionalAccessPolicy AllowLimitedAccess 整個組織的設定和網站層級設定:

-AllowEditing $false 防止使用者在瀏覽器中編輯 Office 檔案。

-ReadOnlyForUnmanagedDevices $true 讓受影響的使用者唯讀整個網站。

-LimitedAccessFileType OfficeOnlineFilesOnly 允許使用者只在瀏覽器中預覽 Office 檔案。 此選項可提升安全性,但可能會阻礙使用者生產力。

-LimitedAccessFileType WebPreviewableFiles (預設) 允許使用者在瀏覽器中預覽 Office 檔案。 此選項可最佳化使用者生產力,但針對非 Office 檔案提供較少的安全性。 警告:已知此選項會造成 PDF 和圖像檔案類型的問題,因為它們可能需要下載到使用者電腦才能在瀏覽器中呈現。 仔細規劃此控制項的使用。 否則,您的使用者可能會遇到未預期的「拒絕存取」錯誤。

-LimitedAccessFileType OtherFiles 允許使用者下載無法預覽的檔案,例如 .zip 和 .exe。 此選項提供的安全性較低。 如果啟用此模式,則若要下載 .zip 或 .exe 等檔案,只要複製檔案的 URL 並貼到瀏覽器中 (範例: https://contoso.sharepoint.com/:u:/r/sites/test/Shared%20Documents/test1.zip) 。

AllowDownlownloadingNonWebViewableFiles 參數已中止。 請改用 LimitedAccessFileType。

當您使用條件式存取原則來封鎖或限制來自非受控裝置的存取時,組織外部的 人員 將會受到影響。 如果使用者與特定人員共享專案, (必須輸入傳送至其電子郵件地址) 的驗證碼,您可以執行下列命令來免除這些人員的此原則。

Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false

注意事項

「任何人」連結 (不需要登入) 的可共用連結不受這些原則影響。 人員 具有檔案或資料夾「任何人」連結的人員將能夠下載專案。 針對您啟用條件式存取原則的所有網站,您應該停用「任何人」連結。

應用程式影響

封鎖存取和封鎖下載可能會影響某些應用程式中的用戶體驗,包括某些 Office 應用程式。 建議您為某些使用者開啟原則,並測試組織中使用的應用程式體驗。 在 Office 中,當您的原則開啟時,請務必檢查 Power Apps 和 Power Automate 中的行為。

注意事項

在服務中以「僅限應用程式」模式執行的應用程式,例如防病毒軟體應用程式和搜尋編目程式,會豁免原則。

如果您使用傳統 SharePoint 網站範本,網站映像可能無法正確呈現。 這是因為原則會防止將原始圖像檔下載到瀏覽器。

對於新的租用戶,預設會停用使用僅限 ACS 應用程式存取令牌的應用程式。 建議您使用 Microsoft Entra ID 新式且更安全的僅限應用程式模型。 但您可以執行需要最新 SharePoint 系統管理員 PowerShell) (來變更行為 set-spotenant -DisableCustomAppAuthentication $false

需要其他協助嗎?

SharePoint Q&A

另請參閱

保護 SharePoint 網站和檔案的原則建議

根據定義的網路位置控制對 SharePoint 和 OneDrive 資料的存取