Suggerimenti per i criteri per la protezione di siti e file di SharePoint
Questo articolo descrive come implementare i criteri di identità e accesso ai dispositivi Zero Trust consigliati per proteggere SharePoint e OneDrive. Queste linee guida si basa sui criteri comuni di identità e accesso ai dispositivi.
Questi consigli si basano su tre livelli diversi di sicurezza e protezione per i file di SharePoint che possono essere applicati in base alla granularità delle proprie esigenze: punto di partenza, organizzazione e sicurezza specializzata. Per altre informazioni su questi livelli di sicurezza e sui sistemi operativi client consigliati, fare riferimento a queste raccomandazioni nella panoramica.
Oltre a implementare queste linee guida, assicurarsi di configurare i siti di SharePoint con la giusta quantità di protezione, inclusa l'impostazione delle autorizzazioni appropriate per il contenuto di sicurezza aziendale e specializzato.
Per proteggere i file in SharePoint e OneDrive, il diagramma seguente illustra i criteri da aggiornare dai criteri comuni di accesso alle identità e ai dispositivi.
Se è stato incluso SharePoint quando sono stati creati i criteri comuni, è sufficiente creare i nuovi criteri. Per i criteri di accesso condizionale, SharePoint include OneDrive.
I nuovi criteri implementano la protezione dei dispositivi per il contenuto di sicurezza aziendale e specializzato applicando requisiti di accesso specifici ai siti di SharePoint specificati.
Nella tabella seguente sono elencati i criteri che è necessario rivedere e aggiornare o creare nuovi per SharePoint. I criteri comuni sono collegati alle istruzioni di configurazione associate nell'articolo Criteri di accesso comuni alle identità e ai dispositivi.
Livello di protezione | Criteri | Ulteriori informazioni |
---|---|---|
Punto di partenza | Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto | Includere SharePoint nell'assegnazione di app cloud. |
Bloccare i client che non supportano l'autenticazione moderna | Includere SharePoint nell'assegnazione di app cloud. | |
Applicare i criteri di protezione dei dati delle app | Assicurarsi che tutte le app consigliate siano incluse nell'elenco delle app. Assicurarsi di aggiornare i criteri per ogni piattaforma (iOS, Android, Windows). | |
Usare le restrizioni applicate dall'app in SharePoint | Aggiungere questo nuovo criterio. Indica a Microsoft Entra ID di usare le impostazioni specificate in SharePoint. Questo criterio si applica a tutti gli utenti, ma influisce solo sull'accesso ai siti inclusi nei criteri di accesso di SharePoint. | |
Funzionalità per le aziende | Richiedere l'autenticazione a più fattori quando il rischio di accesso è basso, medio o alto | Includere SharePoint nelle assegnazioni di app cloud. |
Richiedere PC e dispositivi mobili conformi | Includere SharePoint nell'elenco delle app cloud. | |
Criteri di controllo di accesso di SharePoint: consente l'accesso solo browser a siti di SharePoint specifici da dispositivi non gestiti. | Ciò impedisce la modifica e il download dei file. Usare PowerShell per specificare i siti. | |
Sicurezza specializzata | Richiedere sempre l'autenticazione a più fattori | Includere SharePoint nell'assegnazione di app cloud. |
Criteri di controllo di accesso di SharePoint: blocca l'accesso a siti di SharePoint specifici da dispositivi non gestiti. | Usare PowerShell per specificare i siti. |
Se si implementano i controlli di accesso in SharePoint, i criteri di accesso condizionale vengono creati in Microsoft Entra ID per indicare a Microsoft Entra ID di applicare i criteri configurati in SharePoint. Per impostazione predefinita, questo criterio si applica a tutti gli utenti, ma influisce solo sull'accesso ai siti specificati tramite PowerShell quando si creano i controlli di accesso in SharePoint. I criteri possono anche essere definiti come ambito per utenti, gruppi o siti specifici.
Per configurare questo criterio, vedere "Bloccare o limitare l'accesso a raccolte siti di SharePoint o account OneDrive specifici" in Controllare l'accesso da dispositivi non gestiti.
Microsoft consiglia di proteggere il contenuto nei siti di SharePoint con contenuti di sicurezza aziendali e specializzati con i controlli di accesso dei dispositivi. A tale scopo, creare un criterio che specifica il livello di protezione e i siti a cui applicare la protezione.
- Siti aziendali: consente l'accesso solo browser. Ciò impedisce agli utenti di scaricare, stampare o sincronizzare i file.
- Siti di sicurezza specializzati: blocca l'accesso da dispositivi non gestiti.
Vedere "Bloccare o limitare l'accesso a raccolte siti di SharePoint o account oneDrive specifici" in Controllare l'accesso da dispositivi non gestiti.
È importante comprendere che le autorizzazioni del sito di SharePoint sono in genere basate sulla necessità aziendale di accedere ai siti. Queste autorizzazioni vengono gestite dai proprietari del sito e possono essere altamente dinamiche. L'uso dei criteri di accesso ai dispositivi di SharePoint garantisce la protezione per questi siti, indipendentemente dal fatto che gli utenti siano assegnati a un gruppo Microsoft Entra associato al punto di partenza, all'organizzazione o alla protezione della sicurezza specializzata.
La figura seguente fornisce un esempio di come i criteri di accesso ai dispositivi SharePoint proteggono l'accesso ai siti per un utente.
James ha assegnato i criteri di accesso condizionale, ma può essere concesso l'accesso ai siti di SharePoint con protezione aziendale o di sicurezza specializzata.
- Se James accede a un sito di cui è membro con protezione aziendale o di sicurezza specializzata utilizzando il suo PC, viene concesso il suo accesso.
- Se James accede a un sito di protezione aziendale, è membro dell'uso del telefono non gestito, che è consentito per gli utenti del punto di partenza, riceverà l'accesso solo browser al sito aziendale a causa dei criteri di accesso al dispositivo configurati per questo sito.
- Se James accede a un sito di sicurezza specializzato è membro dell'uso del telefono non gestito, verrà bloccato a causa dei criteri di accesso configurati per questo sito. Può accedere a questo sito solo usando il suo PC gestito.
Configurare i criteri di accesso condizionale per: