Condividi tramite


Criteri di accesso condizionale per siti di SharePoint e OneDrive

Alcune funzionalità di questo articolo richiedono Microsoft SharePoint Premium - Gestione avanzata di SharePoint

Con Microsoft Entra contesto di autenticazione, è possibile applicare condizioni di accesso più rigide quando gli utenti accedono ai siti di SharePoint.

È possibile usare i contesti di autenticazione per connettere un criterio di accesso condizionale Microsoft Entra a un sito di SharePoint. I criteri possono essere applicati direttamente al sito o tramite un'etichetta di riservatezza.

Questa funzionalità non può essere applicata al sito radice in SharePoint , https://contoso.sharepoint.comad esempio .

Requisiti

L'uso del contesto di autenticazione con i siti di SharePoint richiede una delle licenze seguenti:

  • Microsoft SharePoint Premium - Gestione avanzata di SharePoint
  • Microsoft 365 E5/A5/G5
  • Conformità di Microsoft 365 E5/A5
  • Microsoft 365 E5 Information Protection and Governance
  • Office 365 E5/A5/G5

Limitazioni

Alcune app non funzionano con i contesti di autenticazione. È consigliabile testare le app in un sito con il contesto di autenticazione abilitato prima di distribuire in modo generale questa funzionalità.

Le app e gli scenari seguenti non funzionano con i contesti di autenticazione:

  • Versione precedente delle app di Office (vedere l'elenco delle versioni supportate)
  • Viva Engage
  • L'app OneNote non può essere aggiunta al canale se il sito di SharePoint associato ha un contesto di autenticazione.
  • Il caricamento della registrazione delle riunioni del canale di Teams non riesce nei siti con un contesto di autenticazione.
  • La ridenominazione delle cartelle di SharePoint in Teams ha esito negativo se il sito ha un contesto di autenticazione.
  • La pianificazione del webinar di Teams non riesce se OneDrive ha un contesto di autenticazione.
  • L'app sincronizzazione OneDrive non sincronizza i siti con un contesto di autenticazione.
  • L'associazione di un contesto di autenticazione alla raccolta siti del catalogo applicazioni aziendali non è supportata.
  • La funzionalità "Visualizza elenco SharePoint in Power BI" non supporta attualmente il contesto di autenticazione.
  • Outlook per Windows, Mac, Android e iOS non supporta la comunicazione con i siti di SharePoint protetti da un contesto di autenticazione.
  • La funzionalità di download di più file attualmente non funziona quando sia il contesto di autenticazione che "Usa controllo app per l'accesso condizionale" nel controllo sessione sono abilitati nei criteri di accesso condizionale.
  • La funzionalità di copia e spostamento dei file tra aree diverse (cross-geo) attualmente non funziona quando viene applicato un contesto di autenticazione al sito di destinazione.

Configurazione di un contesto di autenticazione

La configurazione di un contesto di autenticazione per i siti etichettati richiede questi passaggi di base:

  1. Aggiungere un contesto di autenticazione in Microsoft Entra ID.

  2. Creare un criterio di accesso condizionale che si applica a tale contesto di autenticazione e presenta le condizioni e i controlli di accesso che si desidera usare.

  3. Eseguire una delle operazioni seguenti:

    1. Impostare un'etichetta di riservatezza per applicare il contesto di autenticazione ai siti etichettati.
    2. Applicare il contesto di autenticazione direttamente a un sito

In questo articolo viene illustrato l'esempio di richiedere agli utenti guest di accettare le condizioni per l'utilizzo prima di ottenere l'accesso a un sito di SharePoint sensibile. È anche possibile usare qualsiasi altra condizione di accesso condizionale e controlli di accesso necessari per l'organizzazione.

Aggiungere un contesto di autenticazione

Aggiungere prima di tutto un contesto di autenticazione in Microsoft Entra ID.

Per aggiungere un contesto di autenticazione:

  1. In Microsoft Entra accesso condizionale, in Gestisci selezionare Contesto di autenticazione.

  2. Selezionare Nuovo contesto di autenticazione.

  3. Digitare un nome e una descrizione e selezionare la casella di controllo Pubblica nelle app .

    Screenshot dell'aggiunta dell'interfaccia utente del contesto di autenticazione

  4. Seleziona Salva.

Crea i criteri di accesso condizionale

Creare quindi un criterio di accesso condizionale che si applica a tale contesto di autenticazione e che richiede agli utenti guest di accettare le condizioni per l'utilizzo come condizione di accesso.

Per creare un criterio di accesso condizionale:

  1. In Microsoft Entra accesso condizionale selezionare Nuovo criterio.

  2. Digitare un nome per i criteri.

  3. Nella scheda Utenti e gruppi scegliere l'opzione Seleziona utenti e gruppi e quindi selezionare la casella di controllo Guest o utenti esterni .

  4. Scegliere utenti guest di collaborazione B2B dall'elenco a discesa.

  5. Nella scheda App cloud o azioni in Selezionare a cosa si applica questo criterio scegliere Contesto di autenticazione e selezionare la casella di controllo per il contesto di autenticazione creato.

    Screenshot delle opzioni di contesto di autenticazione nelle app cloud o nelle impostazioni delle azioni per un criterio di accesso condizionale.

  6. Nella scheda Concedi selezionare la casella di controllo relativa alle condizioni per l'utilizzo che si desidera usare e quindi selezionare Seleziona.

  7. Scegliere se si vuole abilitare il criterio e quindi selezionare Crea.

Applicare il contesto di autenticazione direttamente a un sito

È possibile applicare direttamente un contesto di autenticazione a un sito di SharePoint usando il cmdlet Set-SPOSite di PowerShell.

Nota

Questa funzionalità richiede una licenza di gestione avanzata Microsoft 365 E5 o Microsoft SharePoint Premium - SharePoint.

Nell'esempio seguente viene applicato il contesto di autenticazione creato in precedenza a un sito denominato "ricerca".

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

Impostare un'etichetta di riservatezza per applicare il contesto di autenticazione ai siti etichettati

Se si vuole usare un'etichetta di riservatezza per applicare il contesto di autenticazione, aggiornare un'etichetta di riservatezza (o crearne una nuova) per usare il contesto di autenticazione.

Nota

Le etichette di riservatezza richiedono Microsoft 365 E5 o Microsoft 365 E3 oltre alla licenza Conformità avanzata.

Per aggiornare un'etichetta di riservatezza

  1. Nella Portale di conformità di Microsoft Purview, nella scheda Information Protection selezionare l'etichetta che si vuole aggiornare e quindi selezionare Modifica etichetta.

  2. Selezionare Avanti fino a quando non si è nella pagina Definisci impostazioni di protezione per gruppi e siti .

  3. Assicurarsi che la casella di controllo Impostazioni di condivisione esterna e accesso condizionale sia selezionata e quindi selezionare Avanti.

  4. Nella pagina Definire le impostazioni di condivisione esterna e accesso al dispositivo selezionare la casella di controllo Usa Microsoft Entra accesso condizionale per proteggere i siti di SharePoint etichettati.

  5. Selezionare l'opzione Scegliere un contesto di autenticazione esistente .

  6. Nell'elenco a discesa scegliere il contesto di autenticazione che si vuole usare.

    Screenshot delle impostazioni dell'etichetta di riservatezza del contesto di autenticazione Microsoft Entra

  7. Selezionare Avanti fino a quando non si è nella pagina Rivedi le impostazioni e fine e quindi selezionare Salva etichetta.

Dopo aver aggiornato l'etichetta, gli utenti guest che accedono a un sito di SharePoint (o alla scheda File in un team) con tale etichetta dovranno accettare le condizioni per l'utilizzo prima di ottenere l'accesso a tale sito.

Blocco delle app in background

Se il contesto di autenticazione è impostato in un sito, gli amministratori possono scegliere di impedire alle app in background di accedere a tale sito per le app assegnate con tale contesto di autenticazione in un criterio di accesso condizionale. È possibile configurare criteri di accesso condizionale in modo che un contesto di autenticazione specifico possa essere assegnato ai principi dell'applicazione scelti (applicazioni non Microsoft). È necessario attivare in modo esplicito questa funzionalità tramite il cmdlet seguente. È necessario avere almeno un criterio di accesso condizionale con un principio dell'applicazione configurato.

Set-SPOTenant -BlockAPPAccessToSitesWithAuthenticationContext $false/$true (default false)

Integrazione di app di terze parti

Le app di terze parti che usano siti con contesto di autenticazione collegato dovranno essere in grado di gestire la richiesta di attestazioni. Se si dispone di app di terze parti, è consigliabile testare le app e leggere le indicazioni qui.

Vedere anche

Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint

Accesso condizionale: app cloud, azioni e contesto di autenticazione

Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità