我正在尝试使用 Azure 条件访问来控制从 SharePoint/OneDrive 下载,但我对此完全陌生。
我希望能够使用 OneDrive(商务应用程序)和通过我组织所拥有的所有 PC 上的网络浏览器从 OneDrive 在线/Sharepoint 下载/同步文件(我们的域仅为 AZURE,而不是 Azure 混合域)。
但只有通过网络浏览器在线查看 OneDrive/Sharepoint 上的文件 - 即不是下载或与任何其他电脑(例如家用电脑)上的 OneDrive 应用同步。
所以我试图制定一项政策允许:
- 访问 Office 365 SharePoint Online
- 在所有受信任的位置
- 适用于符合要求并通过多重访问的 PC
第二项政策将允许:
- 访问 Office 365 SharePoint Online
- 排除受信任的位置(即其他地方)
- 浏览器仅适用于客户端应用程序(即非 OneDrive 应用程序)
- 通过多重访问
- 使用应用程序强制限制(即在线隐藏同步按钮)
但是,尽管我尝试了这些设置的不同版本,我仍然无法让 OneDrive Online 上的同步按钮显示在工作电脑上,而只能在外国电脑上显示。
有人能给我提供一份如何做这件事的傻瓜指南吗?
提前感谢菲尔
答案1
为实现这一点,您只需要在条件访问中制定一条允许规则。
- 应用程序:Office 365 SharePoint Online
- 用户:所有用户
- 设备:全部 + 排除兼容
- 强制实施客户端应用限制
- 允许并要求 MFA
Office 365 中的服务工作方式是默认允许一切。因此您的 CA 规则只需要涵盖例外情况。您无需特别允许某些内容。在这种情况下,兼容设备将允许文件同步和下载,因为此规则不会应用于它们。另外,请注意,即使您仅指定 SharePoint 作为目标应用,该规则也将应用于 SharePoint Online 和 OneDrive for Business。
当然,您可能需要确保设备被检测为合规。这可能需要在 Intune 端进行一些配置才能使其工作。此外,设备身份验证仅在 IE 和 Edge 中开箱即用。如果您想让它在 Chrome 中工作,您需要安装Windows 10 帐户扩展给您的用户。否则,当您通过 Chrome 访问 SharePoint/OneDrive 时,计算机将不会被检测为兼容。可以使用 Intune 集中将扩展安装到您的所有用户。