使用 Azure 條件訪問控制從 SharePoint/OneDrive 下載
我正在嘗試使用 Azure 條件訪問來控制從 SharePoint/OneDrive 下載,但我對此完全陌生。
我希望能夠使用 OneDrive(商業應用程序)並通過我的組織擁有的所有 PC 上的網路瀏覽器從 OneDrive online / Sharepoint 下載/同步文件(我們的域僅是 AZURE,而不是 Azure 混合域)。
但只能通過網路瀏覽器線上查看 OneDrive / Sharepoint 上的文件 - 即不要下載或與任何其他 PC(例如家用 PC)上的 OneDrive 應用程序同步。
所以我試圖制定一個允許的政策:
- 訪問 Office 365 SharePoint Online
- 在所有受信任的位置
- 適用於既符合要求又通過多因素訪問的 PC
第二個政策將允許:
- 訪問 Office 365 SharePoint Online
- 不包括受信任的位置(即其他任何地方)
- 瀏覽器僅適用於客戶端應用程序(即不是 OneDrive 應用程序)
- 通過多因素訪問
- 使用應用程序強制限制(即線上隱藏同步按鈕)
但是,儘管我在這些設置上嘗試了不同的版本,但我無法讓 OneDrive Online 上的同步按鈕顯示在工作 PC 上並在外國 PC 上受到限制。
誰能指出我這樣做的白痴指南?
在此先感謝菲爾
要實現這一點,您只需要條件訪問中的一個 ALLOW 規則。
- 應用:Office 365 SharePoint Online
- 使用者:所有使用者
- 設備:所有 + 排除兼容
- 強制執行客戶端應用程序限制
- 允許和要求 MFA
Office 365 中服務的工作方式是預設情況下允許所有內容。因此,您的 CA 規則只需要涵蓋例外情況。您不需要特別允許某些事情。在這種情況下,將允許在兼容設備上進行文件同步和下載,因為此規則不會應用於它們。此外,請注意,即使您僅將 SharePoint 指定為目標應用程序,該規則也將適用於 SharePoint Online 和 OneDrive for Business。
當然,您可能需要確保設備被檢測為合規。這可能需要在 Intune 端進行一些配置才能使其正常工作。此外,設備身份驗證僅適用於開箱即用的 IE 和 Edge。如果您希望它在 Chrome 中執行,您需要為您的使用者安裝Windows 10 帳戶擴展。否則,當您通過 Chrome 訪問 SharePoint/OneDrive 時,電腦將不會被檢測為兼容。可以使用 Intune 為所有使用者集中安裝擴展。