Управление доступом с неуправляемых устройств

Примечание:  Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке) .

Примечание: Некоторые функции вводится постепенно для организаций, которые были настроены требуемой отпустите параметр. Это означает, что не еще отображаются в эту функцию или может выглядеть отличаться от описанных в этой статье.

Администратор SharePoint или глобальный администратор Office 365 может заблокировать или ограничить доступ к содержимому в SharePoint и OneDrive с неуправляемых устройств (устройств, которые не присоединены к домену или не соответствуют требованиям Intune). Вы можете заблокировать или ограничить доступ:

  • для всех сотрудников компании или только для некоторых пользователей либо групп безопасности;

  • ко всем сайтам организации или только к некоторым семействам веб-сайтов.

Блокирование доступа помогает обеспечить безопасность, но может негативно влиять на удобство использования и продуктивность. Ограниченный доступ не мешает работе пользователей, при этом сокращая риск непреднамеренной потери данных на неуправляемых устройствах. Если ограничить доступ, у пользователей управляемых устройств будет полный доступ (если только они не используют одно из перечисленных ниже сочетаний браузера и операционной системы). Пользователи неуправляемых устройств смогут получать доступ к содержимому только через браузер, но не через приложения, в том числе классические приложения Microsoft Office. Кроме того, они не смогут скачивать, печатать или синхронизировать файлы. При ограничении доступа вы можете разрешить или запретить редактирование файлов в браузере.

Примечания: 

  • Блокирование или ограничении доступа на устройствах неуправляемого основывается на политик Azure AD условного доступа. https://Azure.Microsoft.com/Pricing/Details/Active-Directory/ Общие сведения о условного доступа в Azure AD читайте условного доступа в Azure Active Directory. Сведения о рекомендуемых политики доступа SharePoint приведены в разделе политики рекомендации по обеспечению безопасности сайтов SharePoint и файлы.

  • Заданные вами ограничения доступа будут также применяться к пользователям управляемых устройств, которые используют следующие сочетания браузера и операционной системы:

  • Chrome, Firefox или любой другой браузер, кроме Microsoft Edge и Microsoft Internet Explorer, в Windows 10 или Windows Server 2016.

  • Firefox в Windows 8.1, Windows 7, Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2.

Блокирование доступа к контенту SharePoint и OneDrive через Центр администрирования SharePoint

  1. Войдите в Office 365 как глобальный администратор или администратор SharePoint.

  2. Щелкните значок средства запуска приложений  Значок в виде вафли, представляющий нажатие кнопки, который позволяет открыть несколько плиток приложения для выбора. в левом верхнем углу и выберите плитку Администратор, чтобы открыть Центр администрирования Office 365. (Если плитка "Администратор" не отображается, у вас отсутствуют разрешения администратора Office 365 в вашей организации.)

  3. В области слева последовательно выберите разделы Центры администрирования > SharePoint.

  4. В Центре администрирования SharePoint щелкните управление доступом.

  5. Выберите Заблокировать доступ.

  6. Нажмите кнопку ОК.

    Параметр "Блокировать доступ" на странице управления доступом

    Примечание: Применение политики может занять 5–10 минут. Она не повлияет на пользователей, которые уже вошли в службу с неуправляемых устройств.

Если перейти в Центр администрирования Azure AD и щелкнуть условный доступ, вы увидите политику, созданную Центром администрирования SharePoint.

Создание политики в Центре администрирования Azure AD для блокирования доступа

Ограничение доступа к контенту SharePoint и OneDrive через Центр администрирования SharePoint

  1. Войдите в Office 365 как глобальный администратор или администратор SharePoint.

  2. Щелкните значок средства запуска приложений  Значок в виде вафли, представляющий нажатие кнопки, который позволяет открыть несколько плиток приложения для выбора. в левом верхнем углу и выберите плитку Администратор, чтобы открыть Центр администрирования Office 365. (Если плитка "Администратор" не отображается, у вас отсутствуют разрешения администратора Office 365 в вашей организации.)

  3. В области слева последовательно выберите разделы Центры администрирования > SharePoint.

  4. В Центре администрирования SharePoint щелкните управление доступом.

  5. Выберите Разрешить ограниченный доступ (только через Интернет).

  6. Нажмите кнопку ОК.

    Параметр "Ограниченный доступ" на странице управления доступом

    Примечания: 

    • Применение политик может занять 5–10 минут. Они не повлияют на пользователей, которые уже вошли в службу с неуправляемых устройств.

    • По умолчанию этот параметр позволяет пользователям просматривать и редактировать файлы в своих веб-браузера. Чтобы изменить этот параметр, просмотреть Дополнительные настройки.

Если перейти в Центр администрирования Azure AD и щелкнуть Условный доступ, вы увидите две политики, созданные Центром администрирования SharePoint. По умолчанию политика действует для всех пользователей. Чтобы применить ее только к определенным группам безопасности, внесите необходимые изменения в разделе Пользователи и группы. Убедитесь, что Центре администрирования Azure AD нет конфликтующих политик условного доступа. Вы можете отключить политики, созданные Центром администрирования SharePoint, а затем вручную создать нужные политики условного доступа.

Создание двух политик в Центре администрирования Azure AD для ограничения доступа

Ограничение доступа к контенту SharePoint и OneDrive через PowerShell

  1. Скачайте последнюю версию командной консоли SharePoint Online.

  2. Подключитесь к SharePoint Online как глобальный администратор или администратор SharePoint в Office 365. Инструкции см. в статье Начало работы с командной консолью SharePoint Online.

  3. Запустите Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess.

Примечание: По умолчанию этот параметр позволяет пользователям просматривать и редактировать файлы в своих веб-браузера. Чтобы изменить этот параметр, просмотреть Дополнительные настройки.

Блок или предела доступа определенного семейства веб-сайтов SharePoint или учетных записей OneDrive

Для доступа к определенных сайтах блок или предела необходимо задать политику всей организации «Разрешить полный доступ из приложений для настольных систем, мобильных приложений и веб-узла». Выполните указанные ниже действия вручную создать политику в центре администрирования Azure AD и выполните командлеты PowerShell.

  1. В Центре администрирования Azure AD выберите Условный доступ и нажмите кнопку Добавить.

  2. В разделе Пользователи и группы укажите, к кому должна применяться политика: ко всем пользователям или только к определенным группам безопасности.

  3. В разделе Облачные приложения выберите Office 365 SharePoint Online.

  4. В разделе Условия выберите Мобильные приложения и настольные клиенты и Браузер.

  5. В разделе Сеанс выберите вариант Использовать ограничения, применяемые приложениями. При этом Azure будет использовать параметры, заданные в SharePoint.

  6. Включите политику и сохраните ее.

    Создание политики в Центре администрирования Azure AD для использования ограничений приложений
  7. Скачайте последнюю версию командной консоли SharePoint Online.

  8. Подключитесь к SharePoint Online как глобальный администратор или администратор SharePoint в Office 365. Инструкции см. в статье Начало работы с командной консолью SharePoint Online.

  9. Чтобы заблокировать доступ, запустите Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site collection or OneDrive account> -ConditionalAccessPolicy BlockAccess.

    Чтобы ограничить доступ, запустите Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site collection or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess.

Примечания: 

  • Параметры уровне семейства веб-сайтов должно быть по крайней мере ограничения, как параметр всей организации.

  • По умолчанию этот параметр позволяет пользователям просматривать и редактировать файлы в своих веб-браузера. Чтобы изменить этот параметр, просмотреть Дополнительные настройки.

Более сложные конфигурации

Для параметра всей организации и настройки уровня сайта с -ConditionalAccessPolicy AllowLimitedAccess можно использовать следующие параметры:

-AllowEditing $false Запрещает пользователям изменение файлов Office в браузере, копирования и вставки содержимого файла Office из окна браузера.

-LimitedAccessFileType -OfficeOnlineFilesOnly Пользователи могут просмотреть только файлы Office в браузере. Этот параметр повышает безопасность, но может быть препятствует производительности пользователей.

-LimitedAccessFileType -WebPreviewableFiles (по умолчанию) Позволяет пользователям для предварительного просмотра файлов Microsoft Office и других типов файлов (например, PDF-файлов и изображений) в браузере. Обратите внимание, что содержимое типов файлов, кроме файлов Office обрабатываются в браузере. Этот параметр позволяет оптимизировать для эффективной работы пользователя, но предлагает меньше безопасности для файлов, которые не являются файлов Office.

-LimitedAccessFileType -OtherFiles Позволяет пользователям загружать файлы, которые невозможен, например ZIP и .exe. Этот параметр предоставляет меньшую безопасность.

Параметр AllowDownlownloadingNonWebViewableFiles больше не поддерживаются. Используйте LimitedAccessFileType.

При использовании политик условного доступа для блока или предела access с неуправляемой устройств, повлияет внешних пользователей. Если пользователи общие элементов с указанными пользователями (который должен ввести проверочный код, отправляемые в адресе электронной почты), их можно исключение из политики, выполнив следующий командлет.

Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false

Примечание: Анонимный доступ (ссылок совместного использования, не требующие входа) не влияют эти политики. Всем пользователям, имеющим анонимный доступ ссылка на элемент смогут загрузить элемент. Для всех семейств веб-сайтов которой включить политики условного доступа необходимо отключить анонимный доступ ссылки.

Влияние приложения

Блокировка доступа а загрузки может повлиять на работу пользователей в некоторых приложениях, включая некоторые приложения Office. Мы рекомендуем включить политике для некоторых пользователей и проверить работу с приложениями, используемый в вашей организации. В Office изучите в поток и PowerApps поведение при включенной политике.

Примечание: Приложения, которые выполняются в режиме «только для приложения» в службе, например антивирусные приложения и поисковых модулей поиска, являются исключаются из политики.

См. также

Управление доступом к данным SharePoint Online и OneDrive с учетом определенных сетевого расположения

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×