Управление доступом к данным SharePoint и OneDrive с учетом расположения в сети

Как ИТ-администратор вы можете управлять доступом к ресурсам SharePoint и OneDrive в Microsoft 365 на основе определенных сетевых расположений, которым вы доверяете. Это также называется политикой на основе расположения.

Для этого необходимо определить границу доверенной сети, указав один или несколько авторизованных диапазонов IP-адресов. Любой пользователь, который пытается получить доступ к SharePoint и OneDrive за пределами этой сети (с помощью веб-браузера, классического приложения или мобильного приложения на любом устройстве), блокируется.

Что следует учитывать перед настройкой политики на основе расположения?

Ниже приведены некоторые важные рекомендации по настройке политики на основе расположения.

• Внешний общий доступ. Если вы предоставляете общий доступ к файлам и папкам гостям, которые проходят проверку подлинности, они не смогут получить доступ к ресурсам за пределами заданного диапазона IP-адресов.

• Доступ из первых и сторонних приложений. Как правило, доступ к документу SharePoint можно получить из таких приложений, как Exchange, Viva Engage, Skype, Teams, Planner, Power Automate, PowerBI, Power Apps, OneNote и т. д. При включении политики на основе расположения приложения, которые не поддерживают политики на основе расположения, блокируются. Единственными приложениями, которые в настоящее время поддерживают политики на основе расположения, являются Teams, Viva Engage и Exchange. Это означает, что все остальные приложения блокируются, даже если эти приложения размещены в пределах границы доверенной сети. Это связано с тем, что SharePoint не может определить, находится ли пользователь этих приложений в пределах доверенной границы.

  Примечание.

  При включении политики на основе расположения для SharePoint рекомендуется настроить одинаковые диапазоны политик и IP-адресов для Exchange и Viva Engage. SharePoint использует эти службы, чтобы обеспечить, чтобы пользователи этих приложений были в пределах диапазона доверенных IP-адресов. Для защиты доступа к SharePoint через портал Office.com рекомендуется использовать политику условного доступа Microsoft Entra для Office 365 и настроить там доверенный диапазон IP-адресов.

• Доступ из динамических диапазонов IP-адресов. Несколько служб и поставщиков размещают приложения с динамическими IP-адресами. Например, служба, которая обращается к SharePoint при запуске из одного Azure центра обработки данных, может начать работу из другого центра обработки данных из-за условия отработки отказа или по другой причине, что приводит к динамическому изменению ЕГО IP-адреса. Политика условного доступа на основе расположения основана на фиксированных диапазонах доверенных IP-адресов. Если вы не можете заранее определить диапазон IP-адресов, политика на основе расположения может не быть вариантом для вашей среды.

Разделы справки задать политику на основе расположения в Центре администрирования SharePoint?

1. Перейдите в раздел Управление доступом в новом Центре администрирования SharePoint и войдите с учетной записью, которая имеет разрешения администратора для вашей организации.

2. Выберите Сетевое расположение и включите параметр Разрешить доступ только из определенных диапазонов IP-адресов.

   

3. Введите IP-адреса и диапазоны адресов, разделенные запятыми.

   Важно!

   Убедитесь, что вы включили собственный IP-адрес, чтобы не заблокировать себя. Этот параметр ограничивает доступ не только к сайтам OneDrive и SharePoint, но и к центрам администрирования OneDrive и SharePoint, а также к выполнению командлетов PowerShell. Если вы заблокируете себя и не можете подключиться с IP-адреса в указанном диапазоне, вам потребуется обратиться в службу поддержки за помощью.
   При сохранении перекрывающихся IP-адресов пользователи увидят универсальное сообщение об ошибке с идентификатором корреляции, указывающим на "Список разрешенных входных IP-адресов имеет перекрытия".