Suggerimenti per i criteri per la protezione di siti e file di SharePoint
Questo articolo descrive come implementare i criteri di identità e accesso ai dispositivi Zero Trust consigliati per proteggere SharePoint e OneDrive. Queste linee guida si basa sui criteri comuni di identità e accesso ai dispositivi.
Questi consigli si basano su tre livelli diversi di sicurezza e protezione per i file di SharePoint che possono essere applicati in base alla granularità delle proprie esigenze: punto di partenza, organizzazione e sicurezza specializzata. Per altre informazioni su questi livelli di sicurezza e sui sistemi operativi client consigliati, fare riferimento a queste raccomandazioni nella panoramica.
Oltre a implementare queste linee guida, assicurarsi di configurare i siti di SharePoint con la giusta quantità di protezione, inclusa l'impostazione delle autorizzazioni appropriate per il contenuto di sicurezza aziendale e specializzato.
Aggiornamento dei criteri comuni per includere SharePoint e OneDrive
Per proteggere i file in SharePoint e OneDrive, il diagramma seguente illustra i criteri da aggiornare dai criteri comuni di accesso alle identità e ai dispositivi.
Se è stato incluso SharePoint quando sono stati creati i criteri comuni, è sufficiente creare i nuovi criteri. Per i criteri di accesso condizionale, SharePoint include OneDrive.
I nuovi criteri implementano la protezione dei dispositivi per il contenuto di sicurezza aziendale e specializzato applicando requisiti di accesso specifici ai siti di SharePoint specificati.
Nella tabella seguente sono elencati i criteri che è necessario rivedere e aggiornare o creare nuovi per SharePoint. I criteri comuni sono collegati alle istruzioni di configurazione associate nell'articolo Criteri di accesso comuni alle identità e ai dispositivi.
Livello di protezione | Criteri | Ulteriori informazioni |
---|---|---|
Punto di partenza | Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto | Includere SharePoint nell'assegnazione di app cloud. |
Bloccare i client che non supportano l'autenticazione moderna | Includere SharePoint nell'assegnazione di app cloud. | |
Applicare i criteri di protezione dei dati delle app | Assicurarsi che tutte le app consigliate siano incluse nell'elenco delle app. Assicurarsi di aggiornare i criteri per ogni piattaforma (iOS, Android, Windows). | |
Usare le restrizioni applicate dall'app in SharePoint | Aggiungere questo nuovo criterio. Indica a Microsoft Entra ID di usare le impostazioni specificate in SharePoint. Questo criterio si applica a tutti gli utenti, ma influisce solo sull'accesso ai siti inclusi nei criteri di accesso di SharePoint. | |
Funzionalità per le aziende | Richiedere l'autenticazione a più fattori quando il rischio di accesso è basso, medio o alto | Includere SharePoint nelle assegnazioni di app cloud. |
Richiedere PC e dispositivi mobili conformi | Includere SharePoint nell'elenco delle app cloud. | |
Criteri di controllo di accesso di SharePoint: consente l'accesso solo browser a siti di SharePoint specifici da dispositivi non gestiti. | Ciò impedisce la modifica e il download dei file. Usare PowerShell per specificare i siti. | |
Sicurezza specializzata | Richiedere sempre l'autenticazione a più fattori | Includere SharePoint nell'assegnazione di app cloud. |
Criteri di controllo di accesso di SharePoint: blocca l'accesso a siti di SharePoint specifici da dispositivi non gestiti. | Usare PowerShell per specificare i siti. |
Usare le restrizioni applicate dall'app in SharePoint
Se si implementano i controlli di accesso in SharePoint, i criteri di accesso condizionale vengono creati in Microsoft Entra ID per indicare a Microsoft Entra ID di applicare i criteri configurati in SharePoint. Per impostazione predefinita, questo criterio si applica a tutti gli utenti, ma influisce solo sull'accesso ai siti specificati tramite PowerShell quando si creano i controlli di accesso in SharePoint. I criteri possono anche essere definiti come ambito per utenti, gruppi o siti specifici.
Per configurare questo criterio, vedere "Bloccare o limitare l'accesso a raccolte siti di SharePoint o account OneDrive specifici" in Controllare l'accesso da dispositivi non gestiti.
Criteri di controllo di accesso di SharePoint
Microsoft consiglia di proteggere il contenuto nei siti di SharePoint con contenuti di sicurezza aziendali e specializzati con i controlli di accesso dei dispositivi. A tale scopo, creare un criterio che specifica il livello di protezione e i siti a cui applicare la protezione.
- Siti aziendali: consente l'accesso solo browser. Ciò impedisce agli utenti di scaricare, stampare o sincronizzare i file.
- Siti di sicurezza specializzati: blocca l'accesso da dispositivi non gestiti.
Vedere "Bloccare o limitare l'accesso a raccolte siti di SharePoint o account oneDrive specifici" in Controllare l'accesso da dispositivi non gestiti.
Come interagiscono questi criteri
È importante comprendere che le autorizzazioni del sito di SharePoint sono in genere basate sulla necessità aziendale di accedere ai siti. Queste autorizzazioni vengono gestite dai proprietari del sito e possono essere altamente dinamiche. L'uso dei criteri di accesso ai dispositivi di SharePoint garantisce la protezione per questi siti, indipendentemente dal fatto che gli utenti siano assegnati a un gruppo Microsoft Entra associato al punto di partenza, all'organizzazione o alla protezione della sicurezza specializzata.
La figura seguente fornisce un esempio di come i criteri di accesso ai dispositivi SharePoint proteggono l'accesso ai siti per un utente.
James ha assegnato i criteri di accesso condizionale, ma può essere concesso l'accesso ai siti di SharePoint con protezione aziendale o di sicurezza specializzata.
- Se James accede a un sito di cui è membro con protezione aziendale o di sicurezza specializzata utilizzando il suo PC, viene concesso il suo accesso.
- Se James accede a un sito di protezione aziendale, è membro dell'uso del telefono non gestito, che è consentito per gli utenti del punto di partenza, riceverà l'accesso solo browser al sito aziendale a causa dei criteri di accesso al dispositivo configurati per questo sito.
- Se James accede a un sito di sicurezza specializzato è membro dell'uso del telefono non gestito, verrà bloccato a causa dei criteri di accesso configurati per questo sito. Può accedere a questo sito solo usando il suo PC gestito.
Passaggio successivo
Configurare i criteri di accesso condizionale per: