51CTO博客链接: https://blog.51cto.com/u_13637423

时代在不断地变化,企业员工的工作方式与几年前不同,可能随时随地在任何环境下处理业务,比如在家中甚至个人(非托管)设备中处理工作上的事情,避免业务中断收到影响,但如果员工在非托管设备上工作,作为IT工作者的我们无法控制他们访问数据的安全性。那么,我们如何处理那些在SharePoint online、Microsoft Teams和OneDrive等在线服务上访问我们公司数据的非托管设备呢?

本文将给大家分享如何使用条件接收中的应用程序强制限制设置来强制限制仅限网络访问,这些策略的实施可以有效提升企业的安全防护能力,减少未管理设备带来的安全风险。

·       前期准备工作

·       Managed Device

·       SPO与OneDrive与Azure B2B集成

·       SPO预设置

·       配置Conditional Access Policy

·       用户体验

准备工作

·       用于实施条件访问策略的Azure Active Directory计划1许可证。

·       用于管理公司设备和合规性策略的Microsoft Intune许可证。

·       用于访问公司数据的用户的SharePoint Online许可证。

Managed Device

·       确保Microsoft Intune正确管理我们的企业设备;否则,我们无法将非托管设备与托管设备分开,我们的有限访问策略将适用于所有设备,访问 Microsoft Entra admin center and navigate to Devices > All Devices,如下所示:

Microsoft 365 解决方案:如何通过Conditional Access Policy管理unmanaged device对OneDrive和SPO网站内容仅Web端访问_unmanaged device

·       让我们搜索由Microsoft Intune管理的Azure AD注册设备。点击添加过滤器,使用“加入类型”和“MDM”过滤器检查Microsoft Intune管理的任何“Azure AD注册”设备。

Microsoft 365 解决方案:如何通过Conditional Access Policy管理unmanaged device对OneDrive和SPO网站内容仅Web端访问_Conditional access_02

SPO与OneDrive与Azure B2B集成

首先,我们应该确定这些政策是否适用于Guest和会员帐户。即使你决定不对Guest使用这些政策,你也不应该跳过这一步。当有人在SharePoint和OneDrive中与Guest共享文件、文件夹或网站时,他们不会自动收到Entra ID B2B Guest帐户。因此,您将无法对它们执行条件接收策略。要解决此问题,您可以启用SharePoint和OneDrive与Entra ID B2B的集成。

执行如下命令:Set-SPOTenant -EnableAzureADB2BIntegration $true

通过进行此更改,访客将来访问SharePoint和OneDrive链接时,将自动为其创建Entra ID B2B帐户。除非使用由已不存在的用户创建的共享链接,否则用户不必重新发布任何内容。此更改不仅允许您对这些来宾强制执行条件接收策略,而且他们也不再需要Microsoft帐户。

SPO预设置

按照以下步骤预配置SharePoint Online(以及OneDrive和MS Teams),以便能够在条件访问策略中处理应用程序强制限制:

1.      访问SharePoint Admin Center->Policies->Access Control-> Unmanaged Devices ,如下图所示:

Microsoft 365 解决方案:如何通过Conditional Access Policy管理unmanaged device对OneDrive和SPO网站内容仅Web端访问_非托管_03

2.      在unmanaged device页面,选择Allow limited, web-only access设置,如下图所示:

Microsoft 365 解决方案:如何通过Conditional Access Policy管理unmanaged device对OneDrive和SPO网站内容仅Web端访问_unmanaged device_04

设置SPOTenant-条件访问策略允许受限访问,此更改创建了两个条件接收策略,我们可以在Microsoft Entra管理中心-> Protect and Secure > Conditional Access Policies,我们将分别单击这两个策略并暂时关闭它们。

Microsoft 365 解决方案:如何通过Conditional Access Policy管理unmanaged device对OneDrive和SPO网站内容仅Web端访问_Conditional access_05

说明:我们正在关闭这些策略,以防止它们影响我们的用户,因为我们想先进行一些策略更改。不要在不更改SharePoint管理中心内的设置的情况下手动创建“使用应用程序强制限制浏览器访问”策略,因为该策略将不会生效。此外,不要删除条件接收策略;否则,您必须通过在SharePoint管理中心内关闭和打开开关来重新创建它们。

配置Conditional Access Policy

首先,在配置这些策略之前,让我解释一下它们的作用。

阻止非托管设备上的应用程序访问:此策略阻止使用非托管设备的用户访问Exchange Online和SharePoint Online的桌面应用程序。该政策可能影响用户体验的一些例子是:

·       用户无法再从非托管设备将OneDrive和SharePoint网站与OneDrive客户端同步。

·       用户无法从非托管设备登录到Word、Excel和PowerPoint等Office应用程序。

对浏览器访问使用应用程序强制限制:此策略限制用户如何从浏览器使用Exchange Online和SharePoint Online。该政策可能影响用户体验的一些例子是:

·       用户无法从非托管设备下载附件或打印或同步文件。

·       在托管设备上使用不受支持的浏览器的用户将体验到与非托管设备上相同的有限访问控制。

·       具有自定义web部件或图像的SharePoint网站将不会在非托管设备上为用户显示。

了解Conditional Access Policy的作用后,我们开始配置:

在Microsoft Entra管理中心-> Protect and Secure > Conditional Access Policies,打开SharePoint admin center]Block access from apps on unmanaged devices,并在另一个浏览器窗口打开SharePoint admin center]Use-app-enforced restrictions for browser access,修改相关策略,如下所示:

Microsoft 365 解决方案:如何通过Conditional Access Policy管理unmanaged device对OneDrive和SPO网站内容仅Web端访问_unmanaged device_06

用户体验

修改完成之后,用户在unmanaged device访问数据时,仅支持web端访问且不支持下载,如下所示:

Microsoft 365 解决方案:如何通过Conditional Access Policy管理unmanaged device对OneDrive和SPO网站内容仅Web端访问_Conditional access_07

应用程序端也没有任何下载,打印和同步功能,如下所示:

Microsoft 365 解决方案:如何通过Conditional Access Policy管理unmanaged device对OneDrive和SPO网站内容仅Web端访问_非托管_08

客户端OneDrive不允许sign in,如下所示:

Microsoft 365 解决方案:如何通过Conditional Access Policy管理unmanaged device对OneDrive和SPO网站内容仅Web端访问_非托管_09

总而言之,在条件访问中设置应用程序强制限制是降低与非托管设备相关的安全风险的有效方法。虽然配置过程可能稍显复杂,但确实可以有效提升企业的安全防护能力,减少未管理设备带来的安全风险。