Использование условного доступа Azure для управления загрузкой из SharePoint/OneDrive

Question

Использование условного доступа Azure для управления загрузкой из SharePoint/OneDrive

Я пытаюсь использовать условный доступ Azure для управления загрузкой из SharePoint/OneDrive, но я совершенно новичок в этом.

Я хочу иметь возможность использовать OneDrive (бизнес-приложение) И загружать / синхронизировать файлы из OneDrive онлайн / Sharepoint через веб-браузер на всех ПК, принадлежащих моей организации (наш домен только AZURE, а не гибридный домен Azure).

НО только просматривать файлы на OneDrive онлайн / Sharepoint через веб-браузер - т.е. НЕ загружать и не синхронизировать с приложением OneDrive на любых других ПК (например, домашних ПК).

Поэтому я попытался сделать политику, которая позволит:

доступ к Office 365 SharePoint Online
во всех надежных местах
для ПК, которые оба совместимы и проходят многофакторный доступ

И вторая политика, которая позволит:

доступ к Office 365 SharePoint Online
исключая доверенные местоположения (то есть везде)
Браузер только для клиентских приложений (например, не OneDrive App)
пройти многофакторный доступ
Использование принудительных ограничений приложения (т. Е. Скрыть кнопку Синхронизация онлайн)

Однако, несмотря на то, что я пробую разные варианты этих настроек, я не могу получить кнопку синхронизации на OneDrive Online для отображения на рабочем ПК и ограничения на чужом ПК.

Кто-нибудь может указать мне на руководство идиотов, чтобы сделать это?

Заранее спасибо

0

authentication sharepoint azure-active-directory conditional

Источник

Phil Newby 10 янв '19 в 13:41

1 ответ

Решение

Другие вопросы по тегам authentication sharepoint azure-active-directory conditional

Jevgenij Martynenko 11 янв '19 в 01:48 2019-01-11 01:48 · Accepted Answer · 2019-01-11 01:48

Для этого вам нужно только одно правило ALLOW в условном доступе.

Приложение: Office 365 SharePoint Online
Пользователи: все пользователи
Устройства: Все + исключают Compliant
Обеспечить соблюдение ограничений клиентских приложений
РАЗРЕШИТЬ и требовать МФА

Службы работают в Office 365 так, что все разрешено по умолчанию. Таким образом, ваши правила CA должны охватывать только исключения. Вам не нужно специально разрешать что-то. В этом случае синхронизация и загрузка файлов будут разрешены на совместимых устройствах, так как это правило не будет применяться к ним. Кроме того, обратите внимание, что хотя вы и указываете SharePoint только как целевое приложение, правило будет применяться как к SharePoint Online, так и к OneDrive для бизнеса.

Конечно, вам может потребоваться убедиться, что устройство определено как совместимое. Для этого может потребоваться некоторая настройка на стороне Intune. Кроме того, аутентификация устройства работает только в IE и Edge из коробки. Если вы хотите, чтобы он работал в Chrome, вам необходимо установить расширение учетной записи Windows 10 для своих пользователей. В противном случае компьютер не будет определен как совместимый при доступе к SharePoint/OneDrive через Chrome. Расширение может быть установлено для всех ваших пользователей централизованно с помощью Intune.