如何将条件访问策略应用到各个 SharePoint 网站

身份验证上下文可以与条件访问一起使用，以帮助保护需要遵守更严格的安全协议的特定 SharePoint 网站。敏感度标签可用于通过应用条件访问中无法应用的附加控制（例如组隐私设置和外部共享选项）来更进一步。

在本教程中，我将向您展示如何创建新的身份验证上下文并将其直接或通过敏感度标签应用到 SharePoint 或 Teams 网站。然后，我将向您展示如何通过条件访问来定位此身份验证上下文。

许可要求

要能够将身份验证上下文应用到 SharePoint 网站或将标签应用到 SharePoint 网站，需要 Microsoft 365 E5 许可证。

关于使用身份验证上下文来保护特定站点，您还应该了解一些限制和核心事项：

• 如果您将身份验证上下文应用于核心“启用团队”站点。如果您在该网站下创建私人频道，则该私人频道的 SharePoint 网站将无法预配。
• 如果您尝试在应用了身份验证上下文的网站的 Teams 中重命名文件夹，则重命名操作将失败。
• 您将无法将 SharePoint 网站与应用于 OneDrive 客户端的身份验证上下文同步。
• 如果您尝试将文件从未应用身份验证上下文的 SharePoint 网站复制到应用了身份验证上下文的网站，则会失败。

创建新的身份验证上下文

我们将首先在条件访问中创建一个新的身份验证上下文。身份验证上下文旨在为应用程序（例如 SharePoint 或受 Defender for Cloud Apps 保护的其他“业务线”应用程序）内的数据提供额外的安全性。在我的示例中，我们的身份验证上下文将以条件访问策略为目标，以实施额外的安全性，包括 Defender for Cloud Apps 和身份验证优势中的块下载策略。

由于我们的条件访问策略针对我们的身份验证上下文，因此我们还需要将身份验证上下文与我们的应用程序或 SharePoint 站点链接。这可以通过多种方式完成，我将在接下来的几个步骤中介绍。首先，我们可以使用条件访问身份验证上下文配置敏感度标签，还可以在该标签内应用其他设置，或者可以将身份验证上下文直接分配给 SharePoint 网站。

要创建新的身份验证上下文，请执行以下步骤：

1. 登录 Microsoft Entra：https://entra.microsoft.com

2. 依次展开Azure Active Directory、保护和安全并选择条件访问。

3. 选择身份验证上下文，然后选择新身份验证上下文。

3. 为您的身份验证上下文选择一个有意义的名称，选中发布到应用复选框，以便身份验证上下文可供使用，然后单击保存。

现在，您可以从“身份验证联系人”选项卡中看到新的身份验证上下文，并且还可以将其分配给应用程序和 SharePoint 网站。

使用身份验证上下文创建敏感度标签

如果您不想使用敏感度标签将新的身份验证上下文分配给站点，则可以跳过此步骤，否则，请继续阅读。使用敏感度标签使您能够根据您在标签中选择的设置为您的网站提供额外的保护。例如，您可以在标签中包含身份验证上下文，并使用敏感度标签控制站点的外部共享设置。

要创建新的敏感度标签，请按照以下步骤操作：

1. 在此登录 Microsoft Purview：https://compliance.microsoft.com

2. 在解决方案菜单标题下，选择信息保护。

3. 选择标签选项卡，然后创建标签。

4. 填写敏感度标签的名称和描述，确保其有意义且其他人一眼就能理解其用途。然后点击下一步。

5. 出于本教程的目的，我将仅选择群组和网站。但是，如果您计划使该标签可供用户分配给项目和其他资源，请适当启用它们。

6. 单击“下一步”，直到到达“群组和网站”页面，然后选中外部共享和条件访问设置旁边的框。

7. 在外部共享和条件访问设置页面上，我还将充分利用此敏感度标签的外部共享选项。下面我选中了控制来自标记的 SharePoint 网站的外部共享的框，并将其设置为仅限您组织中的人员。

我还选中了使用 Azure AD 条件访问来保护标记的 SharePoint 网站旁边的框，并选择了我之前创建的身份验证上下文。

8. 单击“下一步”直至到达最后一页，然后选择创建标签。

9. 创建标签后，您需要将其发布到您的应用程序，以便可以分配它。在“信息保护”页面中，选择标签策略选项卡，然后选择发布标签。

10. 选择新标签并单击下一步。

11. 将发布到用户和组设置保留为默认，然后单击下一步下一步。对于所有用户和组，默认设置应为开启。

12. 单击“下一步”，将每个页面保留为默认设置，直到到达“命名您的策略”页面，为您的策略输入一个有意义的名称，然后单击下一步，然后单击提交。

请阅读：您分配给网站的新标签最多可能需要 24 小时才会可见。

将敏感度标签应用于 SharePoint 网站

创建所需的标签后，必须将其应用到您的网站（文档库）以使设置生效。

1. 首先通过网络浏览器访问您的网站。您的网址格式可能为：https://*defaultdomain*.sharepoint.com/sites/*yoursite*

2. 选择页面右上角的设置齿轮，然后选择站点信息。

3. 现在，您可以在网站上设置敏感度标签，然后单击保存。

将身份验证上下文直接应用于 SharePoint 网站

如果您决定不想使用敏感度标签，还可以使用 SharePoint Online PowerShell 模块将身份验证上下文直接分配到您的网站。

首先使用以下命令安装 SharePoint Online：

Install-Module -Name Microsoft.Online.SharePoint.PowerShell `
-Scope CurrentUser -Force

然后，您可以使用 Connect-SPOService cmdlet 连接到 SharePoint Online。您还必须定义根 SharePoint URL。您可以从 SharePoint 管理中心获取根 URL，它将是活动站点列表下的核心站点。否则，您可以复制管理中心 URL 并删除附加到域中的 -admin。

Connect-SPOService -url https://*yourdomain*.sharepoint.com/

使用 Set-sposite cmdlet 将您的身份验证上下文分配给您的站点，确保在输入站点路径时使用您要修改的特定站点的完整路径，这通常是您的根 url，后面跟着我的 /sites /*站点名称*.以下命令将提供模板，供您将身份验证上下文分配给目标站点。

Set-sposite -Identity https://*yourdomain*.sharepoint.com/sites/testsite `
-ConditionalAccessPolicy AuthenticationContext `
-AuthenticationContextName "Strong Authentication"

要检查设置是否已正确应用于您的站点，您可以使用 Get-sposite cmdlet。使用以下示例查看您站点的条件访问和身份验证上下文设置。

Get-Sposite -identity https://x7kxf.sharepoint.com/sites/testsite | `
select Con*, auth*

创建条件访问策略以针对身份验证上下文

条件访问策略将确定在访问链接到身份验证上下文的每个 SharePoint 网站时将强制执行哪些附加安全措施。

要创建新的条件访问策略来针对您的身份验证上下文，请按照以下步骤操作。

1. 登录 Azure Active Directory 管理中心，选择Azure Active Directory，然后选择安全。

2. 在菜单中的“保护”标题下选择条件访问。

3. 在“策略”选项卡上，选择新建策略以创建新的条件访问策略。

4. 为您的策略定义一个有意义的名称，并选择将其分配给哪些用户。我选择了所有用户。

5. 在云应用或操作选项卡上，从下拉列表中选择身份验证上下文，然后选中您希望应用此条件访问策略的身份验证上下文。

6. 现在选择您想要在站点上实施的访问控制。这些将根据您的要求而定，但可以根据需要严格或宽松。对于我的政策，我决定在条件访问应用控制中强制执行使用身份验证器应用进行强身份验证以及阻止下载政策。

如果您想详细了解如何配置阻止下载策略或自定义云应用安全策略，请阅读我的教程：如何阻止外部用户从 Teams 下载文件。对您设置条件访问策略非常有帮助的其他一些教程是：

• 如何在条件访问中设置需要身份验证强度
• 如何在 Azure Active Directory 中创建条件访问策略
• 使用 PowerShell 创建 Azure AD 条件访问策略

测试对 SharePoint 网站的访问

一旦一切设置完毕并强制执行条件访问，额外的安全性将立即应用于您的 SharePoint 网站。在我的示例中，我强制执行了强 MFA 和块下载 MCAS 策略。

如果这是用户第一次设置 MFA，系统将显示以下屏幕提示他们注册 Microsoft Authenticator 应用。

完成后，他们将被带到将显示来自 Microsoft Cloud App Security 的受监控访问提示的站点。

但是，如果您的用户未使用 Microsoft Authenticator 应用或其他安全 MFA 方法，他们将被限制访问特定站点。

如果您已将敏感度标签或身份验证上下文直接应用到 Teams 网站，则在尝试通过 Teams 桌面客户端或 Web 应用程序中的“文件”选项卡访问该网站时，您将获得相同的体验。