Управление доступом к данным SharePoint и OneDrive с учетом расположения в сети

Как ИТ-администратор вы можете управлять доступом к ресурсам SharePoint и OneDrive в Microsoft 365 на основе определенных сетевых расположений, которым вы доверяете. то есть настроив политику на основе расположения.

Для этого необходимо определить границу доверенной сети, указав один или несколько авторизованных диапазонов IP-адресов. Любой пользователь, который пытается получить доступ к SharePoint и OneDrive за пределами этой сети (с помощью веб-браузера, классического приложения или мобильного приложения на любом устройстве), будет заблокирован.

Сообщение об ограниченном доступе в браузере

Ниже приведены некоторые важные рекомендации по настройке политики на основе расположения.

  • Внешний общий доступ. Если гостям, прошедшим проверку подлинности, предоставлен общий доступ к файлам и папкам, они не смогут получить доступ к ресурсам за пределами заданного диапазона IP-адресов.

  • Доступ из первых и сторонних приложений. Как правило, доступ к документу SharePoint можно получить из таких приложений, как Exchange, Viva Engage, Skype, Teams, Planner, Power Automate, PowerBI, Power Apps, OneNote и т. д. Если политика на основе расположения включена, приложения, которые не поддерживают политики на основе расположения, блокируются. Единственными приложениями, которые в настоящее время поддерживают политики на основе расположения, являются Teams, Viva Engage и Exchange. Это означает, что все остальные приложения блокируются, даже если эти приложения размещены в пределах границы доверенной сети. Это связано с тем, что SharePoint не может определить, находится ли пользователь этих приложений в пределах доверенной границы.

    Примечание.

    Если для SharePoint включена политика на основе расположения, рекомендуется настроить для Exchange и Viva Engage одинаковые диапазоны политик и IP-адресов. SharePoint использует эти службы, чтобы обеспечить, чтобы пользователи этих приложений были в пределах диапазона доверенных IP-адресов. Для защиты доступа к SharePoint через портал Office.com рекомендуется использовать политику условного доступа Microsoft Entra для Office 365 и настроить там доверенный диапазон IP-адресов.

  • Доступ из динамических диапазонов IP-адресов. Несколько служб и поставщиков размещают приложения с динамическими IP-адресами. Например, служба, которая обращается к SharePoint во время работы из одного центра обработки данных Azure, может начать работу из другого центра обработки данных из-за условия отработки отказа или по другой причине, тем самым динамически изменяя свой IP-адрес. Политика условного доступа на основе расположения основана на фиксированных диапазонах доверенных IP-адресов. Если диапазон IP-адресов не может быть определен заранее, политика на основе расположения может не быть вариантом для вашей среды.

Настройка политики на основе расположения в новом Центре администрирования SharePoint

Примечание.

Чтобы эти параметры вступают в силу, может потребоваться до 15 минут.

  1. Перейдите в раздел Управление доступом в новом Центре администрирования SharePoint и войдите с учетной записью, которая имеет разрешения администратора для вашей организации.

Примечание.

Если вы Office 365 управляете компанией 21Vianet (Китай), войдите в Центр администрирования Microsoft 365, а затем перейдите в Центр администрирования SharePoint и откройте страницу Управление доступом.

  1. Выберите Сетевое расположение и включите параметр Разрешить доступ только из определенных диапазонов IP-адресов.

    Панель Сетевое расположение

  2. Введите IP-адреса и диапазоны адресов, разделенные запятыми.

    Важно!

    Убедитесь, что вы включили собственный IP-адрес, чтобы не заблокировать себя. Этот параметр ограничивает доступ не только к сайтам OneDrive и SharePoint, но и к центрам администрирования OneDrive и SharePoint, а также к выполнению командлетов PowerShell. Если вы заблокируете себя и не можете подключиться с IP-адреса в указанном диапазоне, вам потребуется обратиться в службу поддержки за помощью.
    При сохранении перекрывающихся IP-адресов пользователи увидят универсальное сообщение об ошибке с идентификатором корреляции, указывающим на "Список разрешенных входных IP-адресов имеет перекрытия".

Примечание.

Чтобы задать политику на основе расположения с помощью PowerShell, выполните Set-SPOTenant с параметром -IPAddressAllowList. Дополнительные сведения см. в разделе Set-SPOTenant.