从非托管设备控制访问

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

上次更新时间:2018 年 1 月

注意: 已经设置了目标发布选项的组织,逐渐引入了一些功能。这意味着您看不到此功能,或者它可能看起来不同于本文中的描述。

作为SharePoint或 Office 365 中的全局管理员,您可以阻止或限制访问SharePoint和OneDrive内容从非托管设备 (这些不加入域或符合 Intune 中)。您可以阻止或限制访问权限:

  • 组织或仅某些用户或安全组中的所有用户。

  • 在组织或仅某些网站集的所有网站。

阻止访问有助于提供的安全性,但附带但可用性和工作效率。限制访问使用户可以解决意外丢失数据的非托管的设备上风险时保持工作效率。当您限制访问权限时,托管的设备上的用户将具有完全访问权限 (除非他们使用其中一个浏览器和操作系统组合下面列出)。非托管的设备上的用户将具有下载、 打印或同步文件不能使用专用浏览器访问。他们也不能通过应用程序,包括 Microsoft Office 桌面应用程序访问内容。当您限制访问权限时,您可以选择允许或阻止在浏览器中编辑文件。

注意: 

  • 阻止或限制在非托管的设备上访问依赖于 Azure AD 条件访问策略。若要了解有关这些和他们需要的订阅详细信息,请参阅访问 Azure Active Directory 中的条件

  • 如果管理的设备上访问限制,具有以下浏览器和操作系统组合托管设备上的用户也访问将受限制:

    Chrome、 Firefox、 或 Microsoft Edge 和 Microsoft Internet Explorer 在 Windows 10 或 Windows Server 2016 之外的任何其他浏览器

    在 Windows 8.1、 Windows 7、 Windows Server 2012 R2、 Windows Server 2012、 或 Windows Server 2008 R2 Firefox

阻止访问 SharePoint 和 OneDrive 使用 SharePoint 管理中心的内容

  1. 以全局管理员或 SharePoint 管理员身份登录 Office 365

  2. 选择左上角的应用启动器图标 形似 waffle 的图标,它表示用于显示多个应用程序磁贴以供选择的单击按钮操作。 并选择“管理员”,打开 Office 365 管理中心。(如果未看到“管理”磁贴,则你不具有组织内的 Office 365 管理员权限。)

  3. 在左窗格中,选择“管理中心”>“SharePoint”。

  4. 在SharePoint管理中心中,单击访问控制

  5. 选择阻止访问

  6. 单击“确定”。

    在访问控制页面上设置阻止访问

    注意: 可能需要 5-10 分钟才会生效的策略。已登录从非托管设备的用户才能生效。

如果您转到 Azure AD 管理中心中,然后单击条件的访问权限,您可以看到策略,已被SharePoint管理中心中创建。

若要阻止访问 Azure AD 管理中心中创建策略

限制访问 SharePoint 和 OneDrive 使用 SharePoint 管理中心的内容

  1. 以全局管理员或 SharePoint 管理员身份登录 Office 365

  2. 选择左上角的应用启动器图标 形似 waffle 的图标,它表示用于显示多个应用程序磁贴以供选择的单击按钮操作。 并选择“管理员”,打开 Office 365 管理中心。(如果未看到“管理”磁贴,则你不具有组织内的 Office 365 管理员权限。)

  3. 在左窗格中,选择“管理中心”>“SharePoint”。

  4. 在SharePoint管理中心中,单击访问控制

  5. 选择允许受限、 仅 web 访问

  6. 单击“确定”。

    访问控制页上受限的访问设置

    注意: 

    • 可能需要 5-10 分钟才会生效的策略。它们不会生效已登录从非托管设备的用户。

    • 默认情况下,该策略允许用户编辑文件在浏览器中,复制出浏览器窗口中,粘贴文件内容和下载无法在浏览器 (如.zip 和.exe) 中预览的文件。若要阻止这种情况,请使用 PowerShell cdmlet。

如果您转到 Azure AD 管理中心中,然后单击条件的访问权限,则可以看到,由SharePoint管理中心中创建两个策略。默认情况下,该策略应用于所有用户。若要将其应用到只有特定的安全组,请更改在用户和组下。请注意不要来创建多个条件访问策略在相互冲突 Azure AD 管理中心中。您可以禁用SharePoint管理中心中创建的策略,然后手动创建所需的条件的访问权限策略。

若要限制访问 Azure AD 管理中心中创建两个策略

限制访问 SharePoint 和 OneDrive 使用 PowerShell 的内容

  1. SharePoint Online Management Shell中,可以连接到SharePoint管理中心使用管理员帐户通过运行Connect-SPOService。有关运行此 cmdlet 的信息,请参阅连接 SPOService

  2. 运行Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess

注意: 

  • 默认情况下,该策略允许用户在浏览器和复制文件内容出浏览器窗口中编辑文件。若要阻止这种情况,请指定-AllowEditing $false

  • 无法在浏览器中预览某些文件类型,如.zip 和.exe。默认情况下,该策略允许用户下载这些文件。若要阻止下载这些类型的文件,请指定-AllowDownloadingNonWebViewableFile $false

  • 有关 SharePoint Online 使用 PowerShell 管理的详细信息,请参阅SharePoint Online Management Shell 简介

限制对特定 SharePoint 网站集或 OneDrive 帐户访问

若要限制到特定网站的访问权限,您必须设置租户级别策略"允许完全访问权限从桌面应用程序、 移动应用程序,和 web"。然后按照以下步骤手动 Azure AD 管理中心中创建的策略和运行 PowerShell cmdlet。

  1. 在 Azure AD 管理中心中,选择条件访问,,然后单击添加

  2. 用户和组中,选择是否要应用于所有用户或仅限于特定的安全组策略。

  3. 云应用程序中,选择Office 365 SharePoint Online

  4. 条件下选择同时移动应用程序和桌面客户端浏览器

  5. 会话中,选择使用应用程序,强制执行限制。这会告诉 Azure 以使用您将在SharePoint中指定的设置。

  6. 启用策略,并将其保存。

    若要使用应用程序实施的限制 Azure AD 管理中心中创建策略
  7. SharePoint Online Management Shell中,可以连接到 SharePoint 管理中心中与您的管理员帐户通过运行Connect-SPOService。有关运行此 cmdlet 的信息,请参阅连接 SPOService

  8. 运行Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site collection or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess

注意: 

  • 网站集级别设置必须至少具有相同的限制性租户级别设置。

  • 默认情况下,该策略允许用户在浏览器中编辑文件。若要阻止这种情况,请指定-AllowEditing $false

  • 无法在浏览器中预览某些文件类型,如.zip 和.exe。默认情况下,该策略允许用户下载这些文件。若要阻止下载这些类型的文件,请指定-AllowDownloadingNonWebViewableFile $false

有关 SharePoint Online 使用 PowerShell 管理的详细信息,请参阅SharePoint Online Management Shell 简介

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×