Asumiremos que ya habéis establecido los permisos correctamente en vuestras Colecciones de sitios, pero si eso sigue siendo incómodo para el equipo de seguridad, siempre podemos realizar otros pasos mediante el acceso condicional y la administración de SharePoint.
El equipo de Microsoft aborda esto clasificando 3 tipos de sitios Baseline, Sensitive y Highly regulated. Aquí están esos niveles.
Protection level | Policies | More information |
Baseline | Require MFA when sign-in risk is medium or high | Include SharePoint Online in the assignments of cloud apps. |
Block clients that don’t support modern authentication | Include SharePoint Online in the assignments of cloud apps. | |
Define app protection policies | Be sure all recommended apps are included in the list of apps. Be sure to update the policy for each platform (iOS, Android, Windows). | |
Require compliant PCs | Include SharePoint Online in list of cloud apps. | |
Use app enforced restrictions in SharePoint Online | Add this new policy. This tells Azure AD to use the settings specified in SharePoint Online. This rule applies to all users but only affects access to sites included in SharePoint Online access policies. | |
Sensitive | Require MFA when sign-in risk is low, medium or high | Include SharePoint Online in the assignments of cloud apps. |
Require compliant PCs and mobile devices | Include SharePoint Online in the list of cloud apps. | |
SharePoint Online access control policy: Allow browser-only access to specific SharePoint sites from unmanaged devices | This prevents edit and download of files. User PowerShell to specify sites. | |
Highly regulated | Always requrie MFA | Include SharePoint Online in the assignments of cloud apps. |
SharePoint Online access control policy: Block access to specific SharePoint sites from unmanaged devices | Use PowerShell to specify sites. |
Y por supuesto, es importante configurar las políticas de acceso limitado de ámbito del sitio para SharePoint Online y OneDrive para empresas. Estas políticas utilizan las políticas basadas en dispositivos para SharePoint y OneDrive (lanzadas en marzo de 2017) para ayudar a los administradores a garantizar que los datos de los recursos corporativos no se filtren en dispositivos no administrados, como dispositivos no compatibles o no unidos a un dominio. Esto se hace limitando el acceso al contenido del navegador, evitando que los archivos se desconecten o se sincronicen con OneDrive en dispositivos no administrados.
Hay dos cosas que debe hacer para configurar estas políticas de nivel de sitio.
- Las políticas Tenant-level device-based debe configurarse para acceso completo.
- Ejecutar el siguiente script para cada colección de sitios que deseemos aplicar la política en
123Connect-SPOService -Url$Site = Get-SPOSite -IdentitySet-SPOSite -Identity $Site.Url -ConditionalAccessPolicy AllowLimitedAccess
También puedemos usar los siguientes valores para el parámetro ‘ConditionalAccessPolicy’: AllowFullAccess, AllowLimitedAccess, BlockAccess
Es cierto que permitir el uso compartido externo puede parecer contrario a la intuición, este enfoque proporciona un mayor control sobre el uso compartido de archivos en comparación con el envío de archivos por correo electrónico. SharePoint Online y Outlook trabajan juntos para proporcionar una colaboración segura en los archivos.
Ahora, si un usuario se conecta a una colección de sitios a través de un dispositivo no administrado/no compatible, verá un banner como este:
Nota:
Si el acceso es limitado o bloqueado para dispositivos no administrados, esto también afectará a los usuarios externos, aunque podemos excluirlos de esta política ejecutando el siguiente cmdlet:
1 |
Set-SPOTenant - ApplyAppEnforcedRestrictionsToAdHocRecipients $false |
Si no podemos ver la ficha de seguridad de dispositivo, necesitaremos habilitar MDM (ver arriba para lo que esto significa) sigue este artículo para habilitar y vaya a través de ajustes.