Kiểm soát truy nhập từ thiết bị không được quản lý

Lưu ý:  Chúng tôi muốn cung cấp cho bạn nội dung trợ giúp mới nhất ở chính ngôn ngữ của bạn, nhanh nhất có thể. Trang này được dịch tự động nên có thể chứa các lỗi về ngữ pháp hoặc nội dung không chính xác. Mục đích của chúng tôi là khiến nội dung này trở nên hữu ích với bạn. Vui lòng cho chúng tôi biết ở cuối trang này rằng thông tin có hữu ích với bạn không? Dưới đây là bài viết bằng Tiếng Anh để bạn tham khảo dễ hơn.

Lưu ý: Một số tính năng được giới thiệu dần cho các tổ chức đã thiết lập mục tiêu thả tùy chọn. Điều này có nghĩa là bạn có thể không chưa nhìn thấy tính năng này hoặc nó có thể trông khác với những gì được mô tả trong bài viết này.

Dưới dạng SharePoint hoặc người quản trị toàn cầu trong Office 365, bạn có thể chặn hoặc hạn chế truy nhập nội dung SharePoint và OneDrive từ thiết bị không được quản lý (những không tham gia vào một tên miền hoặc tuân thủ trong Intune). Bạn có thể chặn hoặc hạn chế truy nhập cho:

  • Tất cả người dùng trong các tổ chức hoặc chỉ một số người dùng hoặc nhóm bảo mật.

  • Tất cả các site trong tổ chức hoặc chỉ một số tuyển tập trang.

Chặn quyền truy nhập giúp cung cấp phần bảo mật nhưng đi kèm với chi phí tính khả dụng và hiệu suất. Hạn chế truy nhập cho phép người dùng vẫn đạt hiệu quả trong khi địa chỉ rủi ro do vô tình mất dữ liệu trên thiết bị không được quản lý. Khi bạn giới hạn quyền truy nhập, người dùng trên thiết bị được quản lý sẽ có quyền truy nhập đầy đủ (trừ khi họ sử dụng một trình duyệt và hệ điều hành tổ hợp liệt kê dưới đây). Người dùng trên thiết bị không được quản lý sẽ có quyền truy nhập chỉ trình duyệt với không có khả năng tải xuống, in hoặc đồng bộ tệp. Họ cũng sẽ không thể truy nhập nội dung thông qua ứng dụng, bao gồm các ứng dụng Microsoft Office trên máy tính. Khi bạn giới hạn quyền truy nhập, bạn có thể chọn để cho phép hoặc chặn chỉnh sửa tệp trong trình duyệt.

Lưu ý: 

  • Chặn hoặc hạn chế truy nhập trên thiết bị không được quản lý dựa trên Azure AD chính sách có điều kiện truy nhập. https://Azure.Microsoft.com/Pricing/Details/Active-Directory/ Để biết tổng quan trong Azure AD có điều kiện access, hãy xem có điều kiện truy nhập trong Azure Active Directory. Để biết thông tin về chính sách truy nhập SharePoint được đề xuất, hãy xem chính sách đề xuất để bảo mật trang SharePoint và tệp.

  • Nếu bạn giới hạn quyền truy nhập trên thiết bị không được quản lý, người dùng trên thiết bị được quản lý có các kết hợp trình duyệt và hệ điều hành sau sẽ cũng giới hạn quyền truy nhập:

  • Chrome, Firefox, hoặc bất kỳ trình duyệt nào khác ngoài Microsoft Edge và Microsoft Internet Explorer trên Windows 10 hoặc Windows Server 2016

  • Firefox trong Windows 8.1, Windows 7, Windows Server 2012 R2, Windows Server 2012, hoặc Windows Server 2008 R2

Chặn quyền truy nhập vào nội dung SharePoint và OneDrive bằng cách dùng Trung tâm quản trị SharePoint

  1. Đăng nhập vào Office 365 với tư cách là người quản trị toàn cầu hoặc người quản trị SharePoint.

  2. Chọn biểu tượng công cụ khởi động ứng dụng Biểu tượng công cụ khởi động ứng dụng trong Office 365 ở góc trên bên trái và chọn Người quản trị để mở Trung tâm quản trị Office 365. (Nếu bạn không nhìn thấy ô Người quản trị thì bạn không có quyền người quản trị Office 365 trong tổ chức của mình.)

  3. Trong ngăn bên trái, chọn Trung tâm quản trị > SharePoint.

  4. Trong Trung tâm quản trị SharePoint , bấm kiểm soát truy nhập.

  5. Chọn chặn quyền truy nhập.

  6. Bấm OK.

    Chặn quyền truy nhập thiết đặt trên trang kiểm soát quyền truy nhập

    Lưu ý: Có thể mất 5-10 phút cho chính sách có hiệu lực. Nó sẽ không có hiệu lực cho người dùng đã đăng nhập từ thiết bị không được quản lý.

Nếu bạn đi đến Trung tâm quản trị Azure AD và bấm có điều kiện truy nhập, bạn có thể thấy một chính sách được tạo ra bằng Trung tâm quản trị SharePoint .

Tạo một chính sách trong Trung tâm quản trị Azure AD chặn quyền truy nhập

Giới hạn quyền truy nhập vào nội dung SharePoint và OneDrive bằng cách dùng Trung tâm quản trị SharePoint

  1. Đăng nhập vào Office 365 với tư cách là người quản trị toàn cầu hoặc người quản trị SharePoint.

  2. Chọn biểu tượng công cụ khởi động ứng dụng Biểu tượng công cụ khởi động ứng dụng trong Office 365 ở góc trên bên trái và chọn Người quản trị để mở Trung tâm quản trị Office 365. (Nếu bạn không nhìn thấy ô Người quản trị thì bạn không có quyền người quản trị Office 365 trong tổ chức của mình.)

  3. Trong ngăn bên trái, chọn Trung tâm quản trị > SharePoint.

  4. Trong Trung tâm quản trị SharePoint , bấm kiểm soát truy nhập.

  5. Chọn cho phép giới hạn, truy nhập web chỉ.

  6. Bấm OK.

    Thiết đặt truy nhập giới hạn trên trang kiểm soát truy nhập

    Lưu ý: 

    • Có thể mất 5-10 phút để các chính sách có hiệu lực. Họ sẽ không có hiệu lực cho người dùng đã đăng nhập từ thiết bị không được quản lý.

    • Theo mặc định, chính sách này cho phép người dùng xem và sửa tệp trong trình duyệt web của họ. Để thay đổi này, hãy xem cấu hình nâng cao.

Nếu bạn đi đến Trung tâm quản trị Azure AD và bấm có điều kiện truy nhập, bạn có thể thấy hai chính sách được tạo ra trung tâm quản trị SharePoint . Theo mặc định, chính sách áp dụng cho tất cả người dùng. Để áp dụng nó chỉ là nhóm bảo mật cụ thể, thực hiện các thay đổi bên dưới người dùng và nhóm. Cẩn thận không để tạo nhiều điều kiện access chính sách trong Trung tâm quản trị Azure AD xung đột với nhau. Bạn có thể vô hiệu hóa các chính sách được tạo bằng Trung tâm quản trị SharePoint và sau đó theo cách thủ công tạo chính sách truy nhập có điều kiện mà bạn cần.

Tạo hai chính sách trong Trung tâm quản trị Azure AD để hạn chế truy nhập

Giới hạn quyền truy nhập vào nội dung SharePoint và OneDrive sử dụng PowerShell

  1. Tải xuống SharePoint Online Management Shell mới nhất.

  2. Kết nối với SharePoint Online với tư cách người quản trị toàn cầu hoặc người quản trị SharePoint trong Office 365. Để tìm hiểu cách thực hiện, hãy xem mục Bắt đầu với SharePoint Online Management Shell.

  3. Chạy Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess.

Lưu ý: Theo mặc định, chính sách này cho phép người dùng xem và sửa tệp trong trình duyệt web của họ. Để thay đổi này, hãy xem cấu hình nâng cao.

Chặn hoặc giới hạn quyền truy nhập vào tuyển tập trang SharePoint cụ thể hoặc tài khoản OneDrive

Để chặn hoặc giới hạn quyền truy nhập vào site cụ thể, bạn phải thiết lập chính sách toàn bộ tổ chức để "Cho phép truy nhập đầy đủ từ ứng dụng trên máy tính, ứng dụng di động và web." Sau đó làm theo các bước để tạo một chính sách trong Trung tâm quản trị Azure AD theo cách thủ công và chạy lệnh ghép ngắn PowerShell.

  1. Trong Trung tâm quản trị Azure AD, chọn có điều kiện truy nhập, sau đó bấm Thêm.

  2. Bên dưới người dùng và nhóm, chọn xem bạn có muốn chính sách để áp dụng cho tất cả người dùng hoặc chỉ là nhóm bảo mật cụ thể.

  3. Bên dưới ứng dụng điện toán đám mây, hãy chọn Office 365 SharePoint Online.

  4. Trong điều kiện, chọn cả ứng dụng di động và máy kháchtrình duyệt.

  5. Bên dưới phiên làm việc, chọn sử dụng ứng dụng áp đặt hạn chế. Điều này cho biết Azure để sử dụng các thiết đặt, bạn sẽ xác định trong SharePoint.

  6. Bật chính sách và lưu nó.

    Tạo một chính sách trong Trung tâm quản trị Azure AD sử dụng ứng dụng-áp đặt hạn chế

  7. Tải xuống SharePoint Online Management Shell mới nhất.

  8. Kết nối với SharePoint Online với tư cách người quản trị toàn cầu hoặc người quản trị SharePoint trong Office 365. Để tìm hiểu cách thực hiện, hãy xem mục Bắt đầu với SharePoint Online Management Shell.

  9. Để chặn quyền truy nhập, hãy chạy Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site collection or OneDrive account> -ConditionalAccessPolicy BlockAccess.

    Để giới hạn quyền truy nhập, hãy chạy Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site collection or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess.

Lưu ý: 

  • Thiết lập mức tuyển tập trang phải có tối thiểu hạn chế như thiết đặt toàn bộ tổ chức.

  • Theo mặc định, chính sách này cho phép người dùng xem và sửa tệp trong trình duyệt web của họ. Để thay đổi này, hãy xem cấu hình nâng cao.

Cấu hình nâng cao

Tham số sau đây có thể dùng với -ConditionalAccessPolicy AllowLimitedAccess cho toàn bộ tổ chức thiết đặt và thiết đặt cấp độ site:

-AllowEditing $false Ngăn không cho người dùng từ sửa tệp Office trong trình duyệt và sao chép và dán nội dung tệp Office ra khỏi cửa sổ trình duyệt.

-LimitedAccessFileType -OfficeOnlineFilesOnly Cho phép người dùng để xem trước chỉ các tệp Office trong trình duyệt. Tùy chọn này sẽ làm tăng bảo mật nhưng có thể một rào chắn để người dùng hiệu suất.

-LimitedAccessFileType -WebPreviewableFiles (mặc định) Cho phép người dùng để xem trước các kiểu tệp khác (chẳng hạn như các tệp PDF và hình ảnh) và tệp Office trong trình duyệt. Lưu ý rằng nội dung của các loại tệp không phải là tệp Office được xử lý trong trình duyệt. Tùy chọn này tối ưu hóa cho người dùng hiệu suất nhưng sẽ cung cấp ít bảo mật cho các tệp không tệp Office.

-LimitedAccessFileType -OtherFiles Cho phép người dùng tải xuống các tệp không thể xem trước, chẳng hạn như .zip và .exe. Tùy chọn này sẽ cung cấp ít bảo mật.

Tham số AllowDownlownloadingNonWebViewableFiles có được đã ngừng cung cấp. Hãy sử dụng LimitedAccessFileType thay vào đó.

Người dùng bên ngoài sẽ có bị ảnh hưởng khi bạn sử dụng chính sách truy nhập có điều kiện để chặn hoặc hạn chế truy nhập từ thiết bị không được quản lý. Nếu người dùng đã chia sẻ mục với những người cụ thể (những người phải nhập mã xác nhận được gửi đến địa chỉ email), bạn có thể miễn chúng từ chính sách này bằng cách chạy lệnh ghép ngắn sau đây.

Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false

Lưu ý: Nối kết truy nhập ẩn danh (shareable nối kết mà không yêu cầu đăng nhập) không bị ảnh hưởng bởi những chính sách này. Bất kỳ ai có quyền truy nhập ẩn danh một nối kết đến một mục sẽ có thể tải xuống mục. Cho tất cả các tuyển tập trang nơi bạn bật chính sách truy nhập có điều kiện, bạn nên vô hiệu hóa nối kết truy nhập ẩn danh.

Ảnh hưởng đến ứng dụng

Chặn quyền truy nhập và chặn tải xuống có thể ảnh hưởng đến trải nghiệm người dùng trong một số ứng dụng, bao gồm một số ứng dụng Office. Chúng tôi khuyên bạn nên bật chính sách của bạn cho một số người dùng và kiểm tra trải nghiệm với các ứng dụng được dùng trong tổ chức của bạn. Trong Office, hãy đảm bảo kiểm tra hành vi trong dòng và PowerApps khi chính sách của bạn nằm trên.

Lưu ý: Ứng dụng chạy ở chế độ "chỉ có ứng dụng" trong dịch vụ, chẳng hạn như ứng dụng chống vi-rút và thu thập thông tin tìm kiếm, được miễn chính sách.

Xem Thêm

Kiểm soát truy nhập dữ liệu SharePoint Online và OneDrive dựa vào vị trí mạng đã xác định

Phát triển kỹ năng Office của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Người dùng nội bộ Office

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×