Керування доступом із некерованих пристроїв

Примітка.:  Ми хочемо надавати найновіший вміст довідки рідною мовою користувачів якомога швидше. Цю сторінку перекладено за допомогою засобу автоматичного перекладу, тому вона може містити смислові, синтаксичні або граматичні помилки. Ми вважаємо, що цей вміст стане вам у пригоді. Повідомте нас, чи була інформація корисною, унизу цієї сторінки. Для зручності цю статтю можна переглянути англійською мовою .

Примітка.: Для деяких функцій вводиться поступово для організацій, які створили цільової випуску параметр. Це означає, що вона може не відображатися ця функція, або він може виглядати по-іншому, чим, як описано в цій статті.

Як адміністратор SharePoint або глобальний адміністратор Office 365 ви можете заблокувати або обмежити доступ до вмісту SharePoint і OneDrive із некерованих пристроїв (які не підключено до домену або несумісні з Intune). Заблокувати або обмежити доступ можна:

  • для всіх користувачів в організації або тільки певних користувачів чи груп безпеки;

  • до всіх сайтів в організації або тільки певних колекцій сайтів.

Блокування доступу дає змогу підвищити безпеку, але при цьому погіршуються зручність використання та продуктивність. Обмежуючи доступ, ви знижуєте ризик випадкової втрати даних на некерованих пристроях без зменшення продуктивності. У разі обмеження доступу користувачі на керованих пристроях матимуть повний доступ до вмісту (якщо тільки не використовують наведені нижче поєднання браузера й операційної системи). Користувачі на некерованих пристроях матимуть доступ до вмісту лише в браузері та не зможуть завантажувати, друкувати й синхронізувати файли. Крім того, вони не матимуть доступу до вмісту з програм, зокрема з класичних програм Microsoft Office. Під час обмеження доступу ви можете дозволити або заблокувати змінення файлів у браузері.

Примітки.: 

  • Блокування або обмеження доступу на пристроях некерованим залежить від політики Azure AD умовного доступу. https://Azure.Microsoft.com/Pricing/Details/Active-Directory/ Огляд умовного доступу в Azure AD можна знайти умовного доступу в Azure Active Directory. Відомості про Рекомендовані політики доступу SharePoint можна знайти рекомендації для забезпечення сайтів SharePoint і файлів.

  • Якщо обмежити доступ на некерованих пристроях, користувачі керованих пристроїв із наведеним нижче поєднанням браузера й операційної системи також матимуть обмежений доступ.

  • Chrome, Firefox або будь-який інший браузер, крім Microsoft Edge і Microsoft Internet Explorer, у Windows 10 або Windows Server 2016

  • Firefox у Windows 8.1, Windows 7, Windows Server 2012 R2, Windows Server 2012 або Windows Server 2008 R2

Блокування доступу до вмісту SharePoint і OneDrive за допомогою Центру адміністрування SharePoint

  1. Увійдіть в Office 365 як глобальний адміністратор або адміністратор SharePoint.

  2. Виберіть піктограму запускача програм Піктограма, схожа на вафлю, яка позначає клацання кнопкою, що відкриває кілька плиток програм для виділення. у лівому верхньому куті, а потім виберіть Адміністратор, щоб відкрити Центр адміністрування Office 365. (Якщо плитка "Адміністратор" не відображається, у вас немає дозволів адміністратора Office 365 у вашій організації.)

  3. В області ліворуч виберіть Центри адміністрування > SharePoint.

  4. У Центрі адміністрування SharePoint виберіть пункт Керування доступом.

  5. Увімкніть параметр Заблокувати доступ.

  6. Натисніть кнопку OK.

    Параметр блокування доступу на сторінці керування доступом

    Примітка.: Щоб політика набула сили, може знадобитися 5–10 хвилин. Вона не застосовуватиметься до користувачів, які вже ввійшли в систему з некерованих пристроїв.

Якщо перейти до Центру адміністрування Azure AD й вибрати пункт Conditional access (Умовний доступ), відобразиться повідомлення про те, що в Центрі адміністрування SharePoint створено політику.

Створення політики в Центрі адміністрування Azure AD для блокування доступу

Обмеження доступу до вмісту SharePoint і OneDrive за допомогою Центру адміністрування SharePoint

  1. Увійдіть в Office 365 як глобальний адміністратор або адміністратор SharePoint.

  2. Виберіть піктограму запускача програм Піктограма, схожа на вафлю, яка позначає клацання кнопкою, що відкриває кілька плиток програм для виділення. у лівому верхньому куті, а потім виберіть Адміністратор, щоб відкрити Центр адміністрування Office 365. (Якщо плитка "Адміністратор" не відображається, у вас немає дозволів адміністратора Office 365 у вашій організації.)

  3. В області ліворуч виберіть Центри адміністрування > SharePoint.

  4. У Центрі адміністрування SharePoint виберіть пункт Керування доступом.

  5. Увімкніть параметр Дозволити обмежений доступ тільки з веб-браузерів.

  6. Натисніть кнопку OK.

    Параметр обмеження доступу на сторінці керування доступом

    Примітки.: 

    • Щоб політики набули сили, може знадобитися 5–10 хвилин. Вони не застосовуватимуться до користувачів, які вже ввійшли в систему з некерованих пристроїв.

    • За промовчанням цю політику дає користувачам змогу переглядати та редагувати файли у веб-браузері. Щоб змінити це, скористайтеся Додатково конфігурації.

Якщо перейти до Центру адміністрування Azure AD й вибрати пункт Conditional access (Умовний доступ), відобразиться повідомлення про те, що в Центрі адміністрування SharePoint створено дві політики. За замовчуванням політика застосовується до всіх користувачів. Щоб застосувати її лише до певних груп безпеки, унесіть зміни в розділі Users and groups (Користувачі та групи). Стежте, щоб не створити кілька політик умовного доступу в Центрі адміністрування Azure AD, які конфліктуватимуть між собою. Ви можете вимкнути політики, створені в Центрі адміністрування SharePoint, а потім створити потрібні політики умовного доступу вручну.

Створення двох політик у Центрі адміністрування Azure AD для обмеження доступу

Обмеження доступу до вмісту SharePoint і OneDrive за допомогою PowerShell

  1. Завантажте останню версію оболонки керування SharePoint Online.

  2. Підключіться до SharePoint Online як глобальний адміністратор або адміністратор SharePoint в Office 365. Щоб дізнатися, як це зробити, див. статтю Початок роботи з оболонкою керування SharePoint Online.

  3. Виконайте командлет Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess.

Примітка.: За промовчанням цю політику дає користувачам змогу переглядати та редагувати файли у веб-браузері. Щоб змінити це, скористайтеся Додатково конфігурації.

Блокування або обмежити доступ до певних колекцій сайтів SharePoint або OneDrive облікові записи

Блокування або обмежити доступ до певних сайтів слід настроювати політику всієї організації, щоб 'дозволити повний доступ із застосунків для настільних комп'ютерів, програми для мобільних пристроїв і Інтернеті". Виконайте ці кроки, щоб створення політики в центрі адміністрування Azure AD та запустіть командлети оболонки PowerShell вручну.

  1. У Центрі адміністрування Azure AD виберіть пункт Conditional access (Умовний доступ), а потім натисніть кнопку Add (Додати).

  2. У розділі Users and groups (Користувачі та групи) виберіть, до кого потрібно застосовувати політику: до всіх користувачів або до конкретних груп безпеки.

  3. У розділі Cloud apps (Хмарні програми) виберіть Office 365 SharePoint Online.

  4. У розділі Conditions (Умови) виберіть Mobile apps and desktop clients (Програми для мобільних і настільних пристроїв) і Browser (Браузер).

  5. У розділі Session (Сеанс) виберіть Use app enforced restrictions (Використати передбачені програмою обмеження). Так в Azure використовуватимуться параметри, указані в SharePoint.

  6. Увімкніть політику та збережіть її.

    Створення політики в Центрі адміністрування Azure AD для використання програмних обмежень
  7. Завантажте останню версію оболонки керування SharePoint Online.

  8. Підключіться до SharePoint Online як глобальний адміністратор або адміністратор SharePoint в Office 365. Щоб дізнатися, як це зробити, див. статтю Початок роботи з оболонкою керування SharePoint Online.

  9. Щоб заблокувати доступ, запустіть Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site collection or OneDrive account> -ConditionalAccessPolicy BlockAccess.

    Щоб обмежити доступ, запустіть Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site collection or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess.

Примітки.: 

  • Параметр рівні колекції сайтів може принаймні такі обмеження, як значення параметра всієї організації.

  • За промовчанням цю політику дає користувачам змогу переглядати та редагувати файли у веб-браузері. Щоб змінити це, скористайтеся Додатково конфігурації.

Розширені конфігурації

Наступні параметри можна використовувати з -ConditionalAccessPolicy AllowLimitedAccess для параметра всієї організації, так і на рівні сайту параметр:

-AllowEditing $false Не дозволяє користувачам з редагування файлів Office у браузері та скопіювати та вставити вміст файлів Office з вікна браузера.

-LimitedAccessFileType -OfficeOnlineFilesOnly Дає змогу користувачам, щоб переглянути тільки файли Office у браузері. Цей параметр збільшує безпеки, але може бути бар'єр для продуктивної роботи користувача.

-LimitedAccessFileType -WebPreviewableFiles (за промовчанням) Дає змогу користувачам для попереднього перегляду файлів Office та інші типи файлів (наприклад, PDF-файли та зображення) у браузері. Зверніть увагу, що обробляються вміст типів файлів, окрім файлів Office у браузері. Цей параметр оптимізація продуктивність користувачів, але менше безпеки для файлів, які не файли Office, який містить.

-LimitedAccessFileType -OtherFiles Дає змогу користувачам завантажувати файли, які не можна переглянути, наприклад у файлі ZIP і .exe. Цей параметр, який містить менше безпеки.

Параметр AllowDownlownloadingNonWebViewableFiles скасовано. Натомість скористайтеся LimitedAccessFileType.

Зовнішні користувачі вплине під час використання умовного доступу блокування або обмеження доступу до з некерованим пристроїв. Якщо користувачі надали елементів певних осіб (необхідно ввести код підтвердження, надіслані на свою адресу електронної пошти), можна звільняє їх від цієї політики, виконавши наведений нижче командлет.

Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false

Примітка.: Ці політики не впливає анонімний доступ посилання (спільне посилання, які не потребують входу). Будь-який користувач, який має анонімний доступ посилання на елемент зможуть завантажити елемент. Для всіх колекцій сайтів, де ви увімкнути умовного доступу слід вимкнути анонімний доступ посилання.

Вплив програми

Блокування доступу та блокування завантаження може вплинути на взаємодію з користувачем в деяких програмах, зокрема деяких програм Office. Ми рекомендуємо ввімкнення політику для деяких користувачів і тестування досвід для програм, які використовуються у вашій організації. У програмах Office переконайтеся, що перевірка поведінка в потоці і PowerApps політику ввімкнуто.

Примітка.: Програми, які виконуються в режимі "лише для програми" в служби, наприклад антивірусної програми та пошуку сканери, звільнені від політику.

Див. також

Керування доступом до служби SharePoint Online і OneDrive даних на основі визначених мережних розташувань

Удосконалення навичок роботи з Office
Ознайомтеся з навчальними матеріалами
Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×