Рекомендации по политике для защиты сайтов и файлов SharePoint

  • Статья

В этой статье описывается, как реализовать рекомендуемые политики удостоверений и доступа к устройствам для защиты SharePoint и OneDrive. Это руководство основывается на общих политиках доступа к удостоверениям и устройствам.

Эти рекомендации основаны на трех различных уровнях безопасности и защиты файлов SharePoint, которые могут применяться на основе детализации ваших потребностей: начальной точки, предприятия и специализированной безопасности. Дополнительные сведения об этих уровнях безопасности и рекомендуемых клиентских операционных системах, на которые ссылаются эти рекомендации, см. в обзоре.

Помимо реализации этого руководства, обязательно настройте сайты SharePoint с правильным объемом защиты, включая настройку соответствующих разрешений для корпоративного и специализированного содержимого безопасности.

Обновление распространенных политик для включения SharePoint и OneDrive

Чтобы защитить файлы в SharePoint и OneDrive, на следующей схеме показано, какие политики следует обновить из общих политик доступа к удостоверениям и устройствам.

Схема с сводной информацией об обновлениях политики для защиты доступа к SharePoint

Если вы включили SharePoint при создании общих политик, необходимо создать только новые политики. Для политик условного доступа SharePoint включает OneDrive.

Новые политики реализуют защиту устройств для корпоративного и специализированного содержимого безопасности, применяя определенные требования к доступу к указанным сайтам SharePoint.

В следующей таблице перечислены политики, которые необходимо просмотреть и обновить или создать для SharePoint. Общие политики ссылались на связанные инструкции по настройке в статье "Общие политики идентификации и доступа к устройствам".

Уровень защиты Политики Дополнительные сведения
Начальная точка Требовать многофакторную проверку подлинности, если риск входа является средним или высоким Включите SharePoint в назначение облачных приложений.
Блокировать клиенты, не поддерживающие современную проверку подлинности Включите SharePoint в назначение облачных приложений.
Применение политик защиты данных APP Убедитесь, что все рекомендуемые приложения включены в список приложений. Обязательно обновите политику для каждой платформы (iOS, Android, Windows).
Использование примененных приложений ограничений в SharePoint Добавьте эту новую политику. Это сообщает идентификатору Microsoft Entra использовать параметры, указанные в SharePoint. Эта политика применяется ко всем пользователям, но влияет только на доступ к сайтам, включенным в политики доступа SharePoint.
Функции корпоративного уровня Требовать многофакторную проверку подлинности, если риск входа низкий, средний или высокий Включите SharePoint в назначения облачных приложений.
Требовать совместимые компьютеры и мобильные устройства Включите SharePoint в список облачных приложений.
Политика управления доступом SharePoint. Разрешить доступ только в браузере к определенным сайтам SharePoint с неуправляемых устройств. Это предотвращает редактирование и скачивание файлов. Используйте PowerShell для указания сайтов.
Специализированная безопасность Всегда требуется многофакторная проверка подлинности Включите SharePoint в назначение облачных приложений.
Политика управления доступом SharePoint: блокировка доступа к определенным сайтам SharePoint с неуправляемых устройств. Используйте PowerShell для указания сайтов.

Использование ограничений, примененных к приложению, в SharePoint

Если вы реализуете элементы управления доступом в SharePoint, политики условного доступа создаются в идентификаторе Microsoft Entra, чтобы сообщить идентификатору Microsoft Entra, чтобы применить политики, настроенные в SharePoint. По умолчанию эта политика применяется ко всем пользователям, но влияет только на доступ к сайтам, указанным при создании элементов управления доступом в SharePoint. Политика также может быть область для определенных пользователей, групп или сайтов.

Сведения о настройке этой политики см. в разделе "Блокировка или ограничение доступа к определенным семействам веб-сайтов SharePoint или учетным записям OneDrive" в разделе "Управление доступом с неуправляемых устройств".

Политики управления доступом SharePoint

Корпорация Майкрософт рекомендует защитить содержимое на сайтах SharePoint с корпоративным и специализированным содержимым безопасности с помощью элементов управления доступом устройств. Для этого создайте политику, указывающую уровень защиты и сайты для применения защиты.

  • Корпоративные сайты: разрешить доступ только в браузере. Это предотвращает редактирование и скачивание файлов пользователями.
  • Специализированные сайты безопасности: блокировка доступа с неуправляемых устройств.

См. раздел "Блокировать или ограничить доступ к определенным семействам веб-сайтов SharePoint или учетным записям OneDrive" в разделе "Контроль доступа с неуправляемых устройств".

Как эти политики работают вместе

Важно понимать, что разрешения сайта SharePoint обычно основаны на бизнес-потребности в доступе к сайтам. Эти разрешения управляются владельцами сайтов и могут быть очень динамическими. Использование политик доступа к устройствам SharePoint обеспечивает защиту этих сайтов независимо от того, назначены ли пользователи группе Microsoft Entra, связанной с начальной точкой, предприятием или специализированной защитой безопасности.

На следующем рисунке приведен пример того, как политики доступа к устройствам SharePoint защищают доступ к сайтам для пользователя.

Схема, демонстрирующая, как политики доступа к устройствам SharePoint защищают сайты.

Джеймс имеет назначенные политики условного доступа, но он может быть предоставлен доступ к сайтам SharePoint с корпоративной или специализированной защитой безопасности.

  • Если Джеймс обращается к сайту, он является членом корпоративной или специализированной защиты безопасности с помощью своего компьютера, его доступ предоставляется.
  • Если Джеймс обращается к сайту защиты предприятия, он является членом его неуправляемого телефона, который разрешен для пользователей начальной точки, он получит доступ только для браузера к корпоративному сайту из-за политики доступа устройств, настроенной для этого сайта.
  • Если Джеймс обращается к специализированным сайту безопасности, он является членом использования его неуправляемого телефона, он будет заблокирован из-за политики доступа, настроенной для этого сайта. Он может получить доступ только к этому сайту с помощью управляемого компьютера.

Следующий шаг

Снимок экрана: шаг 4. Политики для облачных приложений Microsoft 365.

Настройка политик условного доступа для следующих условий: