Recomendaciones de directiva para proteger archivos y sitios de SharePoint

En este artículo se describe cómo implementar las directivas recomendadas de acceso a dispositivos e identidades de Confianza cero para proteger SharePoint y OneDrive. Esta guía se basa en la directivas comunes de identidad y acceso a dispositivos.

Estas recomendaciones se basan en tres niveles diferentes de seguridad y protección para archivos de SharePoint que se pueden aplicar en función de la granularidad de las necesidades: punto de partida, empresa y seguridad especializada. Puede obtener más información sobre estos niveles de seguridad y los sistemas operativos cliente recomendados, a los que hacen referencia estas recomendaciones en la información general.

Además de implementar esta guía, asegúrese de configurar los sitios de SharePoint con la protección correcta, incluida la configuración de los permisos adecuados para el contenido de seguridad empresarial y especializado.

Actualización de directivas comunes para incluir SharePoint y OneDrive

Para proteger archivos en SharePoint y OneDrive, en el diagrama siguiente se muestran las directivas que se deben actualizar a partir de las directivas comunes de acceso a dispositivos e identidades.

Diagrama en el que se muestra el resumen de las actualizaciones de directivas para proteger el acceso a SharePoint

Si ha incluido SharePoint al crear las directivas comunes, solo tiene que crear las nuevas. En el caso de las directivas de acceso condicional, SharePoint incluye OneDrive.

Las nuevas directivas implementan la protección de dispositivos para contenido de seguridad empresarial y especializado, mediante la aplicación de requisitos de acceso específicos a los sitios de SharePoint que especifique.

En la tabla siguiente se enumeran las directivas que necesita revisar y actualizar, o bien crear para SharePoint. Las directivas comunes se vinculan a las instrucciones de configuración asociadas del artículo Directivas de acceso a dispositivos e identidades comunes.

Nivel de protección Directivas Información adicional
Punto de partida Exigir la MFA cuando el riesgo de inicio de sesión sea medio o alto Incluya SharePoint en la asignación de aplicaciones en la nube.
Bloquear clientes que no admiten la autenticación moderna Incluya SharePoint en la asignación de aplicaciones en la nube.
Aplicar directivas de protección de datos de aplicaciones Asegúrese de que todas las aplicaciones recomendadas se incluyen en la lista de aplicaciones. Asegúrese de actualizar la directiva para cada plataforma (iOS, Android, Windows).
Usar restricciones que exige la aplicación en SharePoint Agregue esta nueva directiva. Le indica a Microsoft Entra ID que use la configuración especificada en SharePoint. Esta directiva se aplica a todos los usuarios, pero solo afecta al acceso a los sitios incluidos en las directivas de acceso de SharePoint.
Empresa Exigir la MFA cuando el riesgo de inicio de sesión sea bajo, medio o alto Incluya SharePoint en las asignaciones de aplicaciones en la nube.
Exigir PC y dispositivos móviles conformes Incluya SharePoint en la lista de aplicaciones en la nube.
Directiva de control de acceso de SharePoint: permitir el acceso de solo explorador a sitios específicos de SharePoint desde dispositivos no administrados. Esto impide la edición y descarga de archivos. Use PowerShell para especificar sitios.
Seguridad especializada Exigir siempre la MFA Incluya SharePoint en la asignación de aplicaciones en la nube.
Directiva de control de acceso de SharePoint: bloquear el acceso a sitios específicos de SharePoint desde dispositivos no administrados. Use PowerShell para especificar sitios.

Usar restricciones que exige la aplicación en SharePoint

Si implementa controles de acceso en SharePoint, las directivas de acceso condicional se crean en Microsoft Entra ID para indicar a Microsoft Entra ID que aplique las directivas que configure en SharePoint. De manera predeterminada, esta directiva se aplica a todos los usuarios, pero solo afecta al acceso a los sitios que especifique mediante PowerShell al crear los controles de acceso en SharePoint. La directiva también se puede limitar a usuarios, grupos o sitios específicos.

Para configurar esta directiva, vea "Bloqueo o limitación del acceso a colecciones de sitios de SharePoint o cuentas de OneDrive específicas" en Control del acceso desde dispositivos no administrados.

Directivas de control de acceso de SharePoint

Microsoft recomienda proteger el contenido en sitios de SharePoint con contenido de seguridad empresarial y especializado mediante controles de acceso a dispositivos. Para ello, cree una directiva que especifique el nivel de protección y los sitios a los que se va a aplicar la protección.

  • Sitios empresariales: permitir el acceso solo del explorador. Esto impide que los usuarios editen y descarguen archivos.
  • Sitios de seguridad especializados: bloquear el acceso desde dispositivos no administrados.

Vea "Bloqueo o limitación del acceso a colecciones de sitios de SharePoint o cuentas de OneDrive específicas" en Control del acceso desde dispositivos no administrados.

Funcionamiento conjunto de estas directivas

Es importante comprender que los permisos de sitio de SharePoint suelen basarse en la necesidad empresarial de acceder a los sitios. Estos permisos los administran los propietarios del sitio y pueden ser muy dinámicos. El uso de directivas de acceso a dispositivos de SharePoint garantiza la protección de estos sitios, independientemente de si los usuarios están asignados a un grupo de Microsoft Entra asociado con la protección de seguridad de punto de partida, empresarial o especializada.

En la ilustración siguiente se proporciona un ejemplo de cómo las directivas de acceso a dispositivos de SharePoint protegen el acceso a sitios para un usuario.

Diagrama en el que se muestra un ejemplo de cómo las directivas de acceso a dispositivos de SharePoint protegen los sitios.

James tiene asignadas directivas de acceso condicional de punto de partida, pero se le puede conceder acceso a sitios de SharePoint con protección de seguridad empresarial o especializada.

  • Si James accede a un sitio del que es miembro con la protección de seguridad especializada o empresarial desde su PC, se le concede el acceso.
  • Si James accede a un sitio con protección empresarial del que es miembro desde su teléfono no administrado, que se permite para usuarios con protección de punto de partida, recibirá acceso de solo explorador al sitio empresarial debido a la directiva de acceso al dispositivo configurada para este sitio.
  • Si James accede a un sitio con seguridad especializada del que es miembro desde su teléfono no administrado, se le bloqueará debido a la directiva de acceso configurada para este sitio. Sólo puede acceder a este sitio con su PC administrado.

Paso siguiente

Captura de pantalla del paso 4: Directivas para aplicaciones en la nube de Microsoft 365.

Configuración de directivas de acceso condicional para: