SharePoint 2013 中的行動安全性與驗證
**適用版本:**SharePoint Foundation 2013, SharePoint Server 2013
**上次修改主題的時間:**2017-07-20
**摘要:**了解如何協助保護 SharePoint 行動基礎結構,以及了解SharePoint Server 2013中支援的不同驗證類型。
本文提供的安全性指導與建議,以協助確保該存取SharePoint Server 2013與 SharePoint 中的特定資料不危害行動裝置上。本文也會詳細說明選取裝置支援的驗證類型和 SharePoint 新聞摘要應用程式的驗證特定資訊。
本文內容:
行動裝置的安全性
行動裝置的驗證
SharePoint 新聞摘要應用程式的驗證
行動裝置的安全性
本節提供使用公司網路外部裝置的安全性建議。裝置遺失或遭竊可能會損害組織的許多層面。因此,您必須具備因應危害情況的必要措施。
一般安全性考量包括:
行動裝置可能包含機密資料或文件。因為行動裝置可能會遺失或遭竊,建議您設定行動裝置的相關原則,以協助保護機密資料及文件。其中包括使用 PIN 或鎖定以保護行動裝置的安全,以及確保您可以從遠端清除行動裝置上的資料。可用的程式及功能會因行動裝置而有所不同。如需在組織中實作這些原則之可能方法的詳細資訊,請參閱本文稍後的<Exchange ActiveSync>。
您可以教育使用者如何有助於保護其使用者認證。其中包括在完成時登出網站、不要啟用會保持登入狀態的任何選項,或是記得其密碼,並經常刪除行動瀏覽器中的 Cookie。如果他們的行動裝置遺失或遭竊,這有助於防止其他人利用他們的使用者認證登入 SharePoint 網站。
我們建議您啟用 SSL 以協助保護行動瀏覽器與執行SharePoint Server 2013電腦之間的通訊。如需關於如何使用反向 proxy 伺服器,例如 Forefront Unified Access Gateway (UAG),以協助保護通訊,請參閱 < Forefront Unified Access Gateway (UAG) Forefront 技術文件庫中。
Exchange ActiveSync
Microsoft Exchange ActiveSync 是透過無線、 電子郵件訊息,讓行動裝置存取通訊協定排程的資料、 連絡人及工作。Exchange ActiveSync 是可在 Windows Phone 與協力廠商電話並已啟用 Exchange ActiveSync 例如 Apple iPhone slates。其中一個在組織中實作 Exchange ActiveSync 的優點是戶端裝置的安全性與原則強制執行透過管理。如果SharePoint Server 2013部署在外部網路拓撲、 行動裝置存取的電腦執行SharePoint Server 2013透過公開網站 URL。如果成為遺失或竊行動裝置,就必須確定 SharePoint 資料不會遭到入侵。例如,使用 Exchange ActiveSync SharePoint 設定,例如遠端清除之裝置的資料內容或強制執行在避免未經授權的存取 [鎖定] 畫面上的複雜密碼。
下表列出您可以套用至某些裝置的 Exchange ActiveSync 功能和原則選項。
表:行動裝置適用的 Exchange ActiveSync 原則
| Exchange ActiveSync 原則 | 說明 |
|---|---|
遠端抹除 (這是功能,不是 Exchange ActiveSync 原則) |
在行動電話中斷時,竊、 或否則危害,您可以發出遠端抹除命令從 Exchange 電腦或從任何 web 瀏覽器使用 Outlook Web App。此命令將裝置還原為原廠預設值。 重要 進行遠端裝置資料抹除之後,會很難復原資料。但是,不論資料移除程序如何移除裝置中的剩餘資料,其可用空間都比不上全新的裝置。您仍然可以使用複雜的工具從裝置復原資料。 |
在裝置上強制執行密碼 (DevicePasswordEnabled) |
此設定啟用行動電話密碼。 |
密碼長度下限 (MinDevicePasswordLength) |
此選項指定行動電話密碼的長度。預設長度為 4 個字元,但是最多可包含 18 個字元。 |
需要英數字元密碼 (AlphanumericDevicePasswordRequired) |
此設定需要密碼包含數字和非數字字元。 |
允許簡單密碼 (AllowSimpleDevicePassword) |
此設定啟用或停用簡單密碼 (例如 1234) 功能。 |
非使用中狀態時間上限鎖定 (MaxInactivityTimeDeviceLock) |
此選項決定行動電話必須在非使用中狀態的時間,在這之後,系統會提示使用者輸入密碼以解除鎖定行動電話。 |
重要
可用的 Exchange ActiveSync 原則選項會隨裝置而有所不同。如需特定裝置平台 (例如 Windows Phone 和 Apple iPhone) 上支援之原則的詳細資訊,請參閱<了解 Exchange ActiveSync 信箱原則>。
尋找遺失的裝置
當裝置遺失或遭竊時,可用於尋找該裝置的位置,並且能夠視需要抹除所有資料內容。有多種協力廠商服務和解決方案提供此功能。例如,Windows Phone [尋找我的電話] 服務可透過鎖定位置輕鬆找回行動裝置,或防止其他人在未經過您同意的情況下使用行動裝置。
此服務可提供下列功能:
對應行動裝置位置。
讓行動裝置響鈴。
鎖定行動裝置並顯示訊息。
抹除行動裝置資料。
注意
若要深入了解 Windows Phone 的 [尋找我的電話服務,請參閱尋找遺失的電話。
行動裝置的驗證
SharePoint Server 2013支援多個驗證方法及驗證模式。並非所有的行動瀏覽器與裝置使用所有可用的驗證方法。當您規劃行動裝置存取功能時,您必須執行下列動作:
決定您必須支援的行動裝置。然後了解行動裝置所支援的驗證方法。此資訊會因製造廠商而不同。
決定您要讓行動裝置使用者使用的網站。
決定在公司防火牆外使用行動裝置時,是否要讓該裝置使用 SharePoint 網站。如果是,則您用以啟用外部存取的方法也會影響行動裝置驗證。
下表詳細說明瀏覽器、 OneDrive for Business,及 Office Hub Windows Phone 功能在SharePoint Server 2013中的支援的驗證類型。針對下面的 OrgID 指的是 Microsoft Online Services 識別碼 for Office 365 身分識別提供者。此外,MSOFBA 參照 Microsoft Office 表單型驗證。
表:SharePoint 瀏覽器的行動驗證支援
| SharePoint 基礎結構 | 行動裝置 |
|---|---|
驗證類型 |
驗證通訊協定 |
Windows 驗證 |
NTLM |
基本驗證 |
Active Directory |
表單型驗證 (FBA) |
FBA |
FBA |
OrgID |
SAML (Token 型) |
SAML |
表︰ Onedrive for Business 應用程式支援的驗證類型
| 驗證類型 | 描述 | 支援 | 管理員類型所需的設定 |
|---|---|---|---|
Org ID |
使用不含任何同盟 Office 365 或 SharePoint Online 租用戶組織。 |
是 |
全域管理員 |
ADFS 和 Org ID 同盟 |
從內部部署目錄同盟與混合式 Office 365 或 SharePoint Online 租用與使用者的組織。 |
是 |
全域管理員加上在內部網路管理員以及 SharePoint 管理員 |
Windows 驗證 (NTLM) |
具有設定為允許 NTLM 宣告式 Windows 驗證在 SharePoint 環境的組織。 |
是 |
SharePoint 管理員 |
表單型驗證 (fba) (英文) |
具有設定為允許表單型驗證或透過標準 web 控制項其他相容宣告式驗證在 SharePoint 環境的組織。 |
是 |
SharePoint 管理員 |
完整的非 ADFS 身分識別提供者 |
設定以允許使用者登入同盟身分識別提供者與 Office 365 或 SharePoint Online 環境的組織適用的豐富型用戶端中搭配 Office 365-Identity 程式。 |
是 |
SharePoint 管理員加上的內部網路系統管理員或全域管理員 (在某些組織全域系統是必要項,而不是選項)。 |
所有其他非 ADFS 身分識別提供者 |
具有 SharePoint 環境設定以允許非 ADFS 身分識別提供者的組織。 |
否 |
SharePoint 管理員加上在內部網路系統管理員 |
Kerberos 驗證 |
具有設定為支援 Kerberos 驗證在 SharePoint 環境的組織。 |
否 |
SharePoint 管理員加上在內部網路系統管理員 |
基本驗證 |
具有設定為支援基本驗證在 SharePoint 環境的組織。 |
否 |
SharePoint 管理員加上在內部網路系統管理員 |
注意
如果您是 Office 365 多承租人使用者您可以從 OneDrive for Business 包括 Wi-fi 和行動電話資料任何網路環境中的應用程式連線。如果您不使用多承租人 Office 365,您可以連線只有當使用您的組織對現場 Wi-fi 網路時。如果您不確定符合您的哪些使用者,連絡 SharePoint 管理員。
表:Office Hub 的行動驗證支援矩陣
| SharePoint 基礎結構 | 用戶端 | 行動裝置 |
|---|---|---|
驗證類型 |
驗證通訊協定 |
ID 提供者 |
Windows 驗證 |
NTLM |
Active Directory |
基本驗證 |
Active Directory |
內部部署、外部網路 |
表單型驗證 (FBA) |
FBA |
Active Directory、LDAP、SQL |
FBA |
OrgID |
SharePoint Online、混合型案例 |
FBA |
OrgID |
SharePoint Online、混合型案例 |
SAML (Token 型) |
SAML |
WS-Federation 1.1 相容的身分識別提供者 |
SAML |
WS-Federation 1.1 相容的身分識別提供者 |
內部部署、SharePoint Online、混合型案例 |
注意
為了讓行動裝置可以與 SharePoint 伺服器通訊,您必須停用伺服器上的網際網路通訊協定安全性 (IPSec)。這是因為行動裝置未加入網域,所以必須執行此動作。
SharePoint 新聞摘要應用程式的驗證
本節提供 SharePoint 新聞摘要應用程式的驗證指引和考量。其中包括內部部署型和 SharePoint Online 型部署的資訊。
SharePoint 新聞摘要應用程式的驗證支援
下列表格詳細資料中SharePoint Server 2013SharePoint 新聞摘要應用程式支援的驗證類型。針對下面的 OrgID 指的是 Microsoft Online Services 識別碼 for Office 365 身分識別提供者。此外,MSOFBA 參照 Microsoft Office 表單型驗證。
表:SharePoint 新聞摘要應用程式的行動驗證支援矩陣
| SharePoint 基礎結構 | 用戶端 | 行動裝置 |
|---|---|---|
驗證類型 |
驗證通訊協定 |
ID 提供者 |
Windows 驗證 |
NTLM |
Active Directory |
基本驗證 |
Active Directory |
內部部署、外部網路 |
表單型驗證 (FBA) |
FBA |
Active Directory、LDAP、SQL |
FBA |
OrgID |
SharePoint Online、混合型案例 |
FBA |
OrgID |
SharePoint Online、混合型案例 |
SAML (Token 型) |
SAML |
WS-Federation 1.1 相容的身分識別提供者 |
SAML |
WS-Federation 1.1 相容的身分識別提供者 |
內部部署、SharePoint Online、混合型案例 |
重要
對於 SharePoint Online 中的同盟案例,僅支援 Active Directory Federation Services (ADFS) 2.0。在安裝程序期間,必須支援被動同盟驗證 URI: "urn:oasis:names:tc:SAML:2.0:ac:classes:Password"。
驗證工作流程
在內部部署與 SharePoint Online 中皆支援使用SharePoint 新聞摘要應用程式。每個選項皆可能在使用者驗證工作流程方面呈現差異。例如,下表提供每種實作類型的驗證體驗範例。
| 部署 | 工作流程 | 詳細資料 |
|---|---|---|
內部部署 |
.jpg "SPNewsfeed 內部部署") |
支援的驗證類型
|
SharePoint Online |
.jpg "SPNewsfeed SPO") |
支援的驗證類型
|
如需如何在您的網路中部署 SharePoint 新聞摘要應用程式的詳細資訊,包括設定跨防火牆存取,請參閱<在 SharePoint 2013 中設定行動裝置的外部存取>。