只要至少擁有 Microsoft 365 中 SharePoint 管理員的權限,你可以阻擋或限制未受管理裝置 (未加入混合 AD 或未符合 Intune) 標準的裝置對 SharePoint 和 OneDrive 內容的存取。 您可以封鎖或限制存取:
組織中的所有使用者或僅限部分使用者或安全性群組。
組織中的所有網站或僅部分網站。
當存取被封鎖或限制時會發生什麼事?
封鎖存取可協助提供安全性,但需付出可用性和生產力的代價。 當存取被封鎖時,使用者會看到以下錯誤訊息:
拒絕存取。 根據組織政策,你無法從這個不受信任的裝置存取這個資源。
限制存取可讓使用者保有生產力,同時解決在未受管理的裝置上意外資料外洩的風險。 當你限制存取權限時,受管理裝置上的使用者 (擁有完整存取權,除非他們使用 支援瀏覽器) 中列出的瀏覽器和作業系統組合之一。 未受管理裝置的使用者僅能透過瀏覽器存取,無法下載、列印或同步檔案。 使用者也無法透過應用程式存取內容,包括 Microsoft Office 桌面應用程式。 限制存取權時,您可以選擇允許或封鎖在瀏覽器中編輯檔案。 當網路存取受限時,使用者會在網站頂端看到以下訊息。
注意事項
- 阻擋或限制未受管理裝置的存取依賴 Microsoft Entra 條件存取政策。 了解 Microsoft Entra ID 授權 關於 Microsoft Entra ID 中條件存取的概述,請參閱 Microsoft Entra ID 中的條件存取。
- 有關建議的 SharePoint 存取政策資訊,請參閱保護 SharePoint 網站與檔案的政策建議。
- 若限制非受管裝置存取,受管裝置使用者必須使用 支援的作業系統與瀏覽器組合,否則存取權限也會受限。
- 由於 Microsoft Entra ID 不提供多地理功能,阻擋或限制未受管理裝置會影響 Microsoft 365 租戶內的所有 Geos。
如何?在 Microsoft 365 上控制裝置存取?
本文中的程序僅影響未受管理裝置的 SharePoint 存取。 如果你想將非管理裝置的控制範圍擴展到 SharePoint 以外,可以為組織中所有應用程式和服務建立 Microsoft Entra 條件存取政策。 若要特別針對 Microsoft 365 服務設定此原則,請在 [雲端應用程式或動作] 下選取 [Office 365] 雲端應用程式。
使用會影響所有 Microsoft 365 服務的原則,可為使用者提供更好的安全性和更好的體驗。 例如,當您封鎖僅 SharePoint 中未受管理裝置的存取權時,使用者仍可以使用未受管理裝置存取團隊中的聊天,但當他們嘗試存取 [檔案] 索引標籤時,將會失去存取權。使用 Office 365 雲端應用程式可協助避免服務相依性。
如何?封鎖存取權限?
在新的 SharePoint 管理中心進入存取控制,並用擁有你組織管理員權限的帳號登入。
注意事項
如果你Office 365中國) 21Vianet (營運,請登入Microsoft 365 系統管理中心,然後瀏覽 SharePoint 管理中心並開啟存取控制頁面。
選取 [未受管理的裝置]。
選擇 封鎖存取,然後選擇 儲存。
重要事項
- 選擇此選項會停用您先前在此頁面建立的任何條件存取政策,並建立一個適用於所有使用者的新條件存取政策。 你對先前保單所做的任何自訂都不會被帶入。
- 保單生效可能需要長達24小時。 對於已經從未受管理裝置登入的使用者,則不會生效。
- 如果你封鎖了未受管理裝置的存取,我們建議也要封鎖那些不使用現代認證的應用程式的存取。 部分第三方應用程式和 Office 2013 之前的版本不使用現代認證,無法強制裝置限制。 這表示他們允許使用者繞過你在 Azure 中設定的條件存取政策。 在新的 SharePoint 管理中心的存取控制中,選擇不使用現代認證的應用程式,選擇封鎖存取,然後選擇儲存。
如何?限制存取權限?
在新的 SharePoint 管理中心進入存取控制,並用擁有你組織管理員權限的帳號登入。
注意事項
如果你Office 365中國) (21Vianet 營運,請登入Microsoft 365 系統管理中心,然後瀏覽 SharePoint 管理中心,選擇「政策」展開,然後選擇「存取控制」。
選取 [未受管理的裝置]。
選擇 允許有限且僅限網頁的存取,然後選擇 儲存。 (請注意,選擇此選項會停用您之前在此頁面建立的任何條件存取政策,並建立一個適用於所有使用者的新條件存取政策。你對先前保單所做的任何自訂都不會被帶過去 )
如果你還原回 「允許完全存取」,變更可能需要長達 24 小時才會生效。
重要事項
- 如果你限制了未受管理裝置的存取,我們也建議封鎖未使用現代認證的應用程式的存取。 部分第三方應用程式和 Office 2013 之前的版本不使用現代認證,無法強制裝置限制。 這表示他們允許使用者繞過你在 Azure 中設定的條件存取政策。 在新的 SharePoint 管理中心的存取控制中,選擇不使用現代認證的應用程式,選擇封鎖存取,然後選擇儲存。
- 如果你限制存取並從非管理裝置編輯網站,圖片網頁部分就不會顯示你上傳到網站資產庫或直接上傳到網頁部分的圖片。 為了解決這個問題,你可以使用這個 SPList API 來豁免網站資產庫的封鎖下載政策。 這讓網頁部分能從網站資產庫下載圖片。
- 當 SharePoint 中的非受管裝置存取控制設定為「允許有限且僅限網頁存取」時,SharePoint 檔案無法被下載,但可以預覽。 Office 檔案的預覽在 SharePoint 上可行,但在 Microsoft Viva Engage 中卻無法使用。
如何?使用 PowerShell 限制存取權限?
下載最新的 SharePoint Online 管理命令介面。
注意事項
如果你安裝了先前版本的 SharePoint Online 管理命令介面,請前往新增或移除程式,並卸載 SharePoint Online 管理命令介面。
以至少 Microsoft 365 中 SharePoint 管理員 的權限連接 SharePoint。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面。
執行下列命令:
Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess注意事項
預設情況下,此政策允許用戶在瀏覽器中查看和編輯檔案。 要改變此情況,請參見 進階配置。
如何?封鎖或限制對特定 SharePoint 網站或 OneDrive 的存取?
要封鎖或限制對特定網站的存取,請遵循以下步驟。 如果你已經設定了全組織的政策,那麼你指定的站點層級設定必須至少和組織層級的設定一樣嚴格。
請依照「使用應用程式強制限制」中的步驟,手動在 Microsoft Entra 系統管理中心建立政策。
請使用 PowerShell 或 敏感度標籤來設定站點層級的設定:
要使用 PowerShell,請繼續下一步。
要使用敏感度標籤,請參考以下說明,並指定「 從未受管理裝置存取」的標籤設定: 使用敏感標籤來保護 Microsoft Teams、Microsoft 365 群組及 SharePoint 網站中的內容。
使用 PowerShell:下載最新的 SharePoint Online 管理命令介面。
注意事項
如果你安裝的是先前版本的 SharePoint Online 管理命令介面,請前往新增或移除程式並卸載 SharePoint Online 管理命令介面。
以至少 Microsoft 365 中 SharePoint 管理員 的權限連接 SharePoint。 若要了解如何進行,請參閱開始使用 SharePoint Online 管理命令介面。
執行以下其中一個指令。
要阻擋單一網站的存取:
Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess限制對單一站點的存取:
Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess要同時更新多個站點,請使用以下指令作為範例:
Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Set-SPOSite -ConditionalAccessPolicy AllowLimitedAccess這個例子是每個使用者都取得 OneDrive,並以陣列形式傳給 Set-SPOSite 以限制存取權限。
注意事項
預設情況下,包含網頁存取的設定允許使用者在瀏覽器中查看和編輯檔案。 要改變此情況,請參見 進階配置。
有哪些進階設定可以限制存取?
你可以同時針對組織層級和現場層級設定使用以下參數 -ConditionalAccessPolicy AllowLimitedAccess :
-AllowEditing $false 防止使用者在瀏覽器中編輯 Office 檔案。
-ReadOnlyForUnmanagedDevices $true 讓整個網站對受影響的使用者只讀。
-LimitedAccessFileType OfficeOnlineFilesOnly 允許使用者在瀏覽器中預覽 Office 檔案。 此選項可提升安全性,但可能會阻礙使用者生產力。
-LimitedAccessFileType WebPreviewableFiles (預設) 允許使用者在瀏覽器中預覽 Office 檔案。 此選項可最佳化使用者生產力,但針對非 Office 檔案提供較少的安全性。
警告:已知此選項會造成 PDF 和圖像檔案類型的問題,因為它們可能需要下載到使用者電腦才能在瀏覽器中呈現。 仔細規劃此控制項的使用。 否則,您的使用者可能會遇到未預期的「拒絕存取」錯誤。
-LimitedAccessFileType OtherFiles 允許使用者下載無法預覽的檔案,如 .zip 和 .exe。 此選項提供的安全性較低。 如果啟用此模式,下載像 .zip 或 .exe 這類檔案時,你可以複製檔案網址並貼上瀏覽器 (範例: https://contoso.sharepoint.com/:u:/r/sites/test/Shared%20Documents/test1.zip) 。
該 AllowDownlownloadingNonWebViewableFiles 參數已不再支援。
LimitedAccessFileType用它代替。
當你使用條件存取政策阻擋或限制未受管理裝置的存取時,組織外的人員也會受到影響。 如果使用者與特定人士分享物品, (必須輸入寄到其電子郵件) 地址的驗證碼,您可以執行以下指令,免除此政策。
Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false
注意事項
「任何人」連結 (無需登入) 的可分享連結不受這些政策影響。 擁有「任何人」連結到檔案或資料夾的人員,都可以下載該項目。 對於所有啟用條件存取政策的網站,你都應該關閉「任何人」連結。
這會如何影響應用程式?
封鎖存取與阻擋下載可能會影響部分應用程式的使用者體驗,包括部分 Office 應用程式。 我們建議您為部分使用者啟用此政策,並測試您組織中使用的應用程式的體驗。 在 Office 裡,務必檢查 Power Apps 和 Power Automate 在政策開啟時的行為。
注意事項
在服務中以「僅應用程式」模式運行的應用程式,如防毒軟體和搜尋爬蟲,則不受此政策限制。
如果你使用經典的 SharePoint 網站範本,網站影像可能無法正確呈現。 這是因為該政策阻止原始圖片檔案下載到瀏覽器。
對於新租戶,使用 ACS 應用程式專用存取權杖的應用程式預設會被停用。 我們建議使用 Microsoft Entra ID 僅有應用程式的模式,這套模式更現代且更安全。 但你可以透過執行 set-spotenant -DisableCustomAppAuthentication $false (需要最新的 SharePoint 管理員 PowerShell) 來改變行為。