本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

SharePoint 2013 中的行動安全性與驗證

 

適用版本:SharePoint Foundation 2013, SharePoint Server 2013

上次修改主題的時間:2017-06-02

摘要:了解如何協助保護 SharePoint 行動基礎結構的安全,以及了解 SharePoint 2013 中支援的不同驗證類型。

本文提供的安全性指導與建議,以協助確保該存取SharePoint Server 2013與 SharePoint 中的特定資料不危害行動裝置上。本文也會詳細說明選取裝置支援的驗證類型。

本文內容:

本節提供使用公司網路外部裝置的安全性建議。裝置遺失或遭竊可能會損害組織的許多層面。因此,您必須具備因應危害情況的必要措施。

一般安全性考量包括:

  • 行動裝置可能包含機密資料或文件。因為行動裝置可能會遺失或遭竊,建議您設定行動裝置的相關原則,以協助保護機密資料及文件。其中包括使用 PIN 或鎖定以保護行動裝置的安全,以及確保您可以從遠端清除行動裝置上的資料。可用的程式及功能會因行動裝置而有所不同。如需在組織中實作這些原則之可能方法的詳細資訊,請參閱本文稍後的<Exchange ActiveSync>。

  • 您可以教育使用者如何有助於保護其使用者認證。其中包括在完成時登出網站、不要啟用會保持登入狀態的任何選項,或是記得其密碼,並經常刪除行動瀏覽器中的 Cookie。如果他們的行動裝置遺失或遭竊,這有助於防止其他人利用他們的使用者認證登入 SharePoint 網站。

  • 我們建議您啟用 SSL 以協助保護行動瀏覽器與執行SharePoint Server 2013電腦之間的通訊。如需關於如何使用反向 proxy 伺服器,例如 Forefront Unified Access Gateway (UAG),以協助保護通訊,請參閱 < Forefront Unified Access Gateway (UAG) Forefront 技術文件庫中。

Microsoft Exchange ActiveSync 是啟用電子郵件訊息、排程資料、連絡人及工作之無線行動存取的通訊協定。Windows Phone 及啟用 Exchange ActiveSync 的協力廠商電話和平板電腦 (例如 Apple iPhone) 上可以使用 Exchange ActiveSync。在組織中實作 Exchange ActiveSync 的其中一項優點是裝置端安全性,以及透過原則強制進行管理。如果在外部網路拓撲中部署 SharePoint Server 2013,行動裝置會透過公眾對應 URL 存取執行 SharePoint Server 2013 的電腦。如果行動裝置可能遺失或遭竊,請務必確保不會洩漏 SharePoint 資料。例如,您可以使用 Exchange ActiveSync 從遠端抹除裝置上的資料內容 (例如 SharePoint 設定),或強制在鎖定畫面上執行複雜密碼,以協助防止未經授權的存取。

下表列出您可以套用至某些裝置的 Exchange ActiveSync 功能和原則選項。

表:行動裝置適用的 Exchange ActiveSync 原則

Exchange ActiveSync 原則 說明

遠端抹除 (這是功能,不是 Exchange ActiveSync 原則)

如果行動裝置遺失、遭竊或受到危害,您可以從 Exchange Server 電腦或使用 Outlook Web App 從任何網頁瀏覽器發出遠端抹除命令。此命令會將裝置還原為原廠預設值。

重要事項 重要事項:
進行遠端裝置資料抹除之後,會很難復原資料。但是,不論資料移除程序如何移除裝置中的剩餘資料,其可用空間都比不上全新的裝置。您仍然可以使用複雜的工具從裝置復原資料。

在裝置上強制執行密碼 (DevicePasswordEnabled)

此設定啟用行動電話密碼。

密碼長度下限 (MinDevicePasswordLength)

此選項指定行動電話密碼的長度。預設長度為 4 個字元,但是最多可包含 18 個字元。

需要英數字元密碼 (AlphanumericDevicePasswordRequired)

此設定需要密碼包含數字和非數字字元。

允許簡單密碼 (AllowSimpleDevicePassword)

此設定啟用或停用簡單密碼 (例如 1234) 功能。

非使用中狀態時間上限鎖定 (MaxInactivityTimeDeviceLock)

此選項決定行動電話必須在非使用中狀態的時間,在這之後,系統會提示使用者輸入密碼以解除鎖定行動電話。

重要事項 重要事項:
可用的 Exchange ActiveSync 原則選項會隨裝置而有所不同。如需特定裝置平台 (例如 Windows Phone 和 Apple iPhone) 上支援之原則的詳細資訊,請參閱<了解 Exchange ActiveSync 信箱原則>。

當裝置遺失或遭竊時,可用於尋找該裝置的位置,並且能夠視需要抹除所有資料內容。有多種協力廠商服務和解決方案提供此功能。例如,Windows Phone [尋找我的電話] 服務可透過鎖定位置輕鬆找回行動裝置,或防止其他人在未經過您同意的情況下使用行動裝置。

此服務可提供下列功能:

  • 對應行動裝置位置。

  • 讓行動裝置響鈴。

  • 鎖定行動裝置並顯示訊息。

  • 抹除行動裝置資料。

注意事項 附註:
若要深入了解 Windows Phone 的 [尋找我的電話服務,請參閱尋找遺失的電話

SharePoint Server 2013 支援多種驗證方法及驗證模式。並非所有行動瀏覽器及裝置都能使用所有可用的驗證方法。規劃行動裝置存取時,您必須執行下列動作:

  • 決定您必須支援的行動裝置。然後了解行動裝置所支援的驗證方法。此資訊會因製造廠商而不同。

  • 決定您要讓行動裝置使用者使用的網站。

  • 決定在公司防火牆外使用行動裝置時,是否要讓該裝置使用 SharePoint 網站。如果是,則您用以啟用外部存取的方法也會影響行動裝置驗證。

下表詳細說明瀏覽器、 OneDrive for Business,及 Office Hub Windows Phone 功能SharePoint Server 2013中的支援的驗證類型。針對下面的 OrgID 指的是 Microsoft Online Services 識別碼 for Office 365 身分識別提供者。此外,MSOFBA 參照 Microsoft Office 表單型驗證。

表:SharePoint 瀏覽器的行動驗證支援

SharePoint 基礎結構 行動裝置

驗證類型

驗證通訊協定

ID 提供者

SharePoint 部署

Windows Phone 7.5 (Internet Explorer Mobile)

Windows Phone 8 (Internet Explorer Mobile)

Windows 8 (Internet Explorer)

iOS 5.x 或更新版本 (Safari 瀏覽器)

Android 4.x 或更新版本 (Android 瀏覽器)

Windows 驗證

NTLM

Active Directory

內部部署

基本驗證

Active Directory

內部部署、外部網路

表單型驗證 (FBA)

FBA

Active Directory、LDAP、SQL

內部部署、外部網路

FBA

OrgID

SharePoint Online、混合型案例

SAML (Token 型)

SAML

WS-Federation 1.1 相容的身分識別提供者

內部部署、SharePoint Online、混合型案例

表︰ Onedrive for Business 應用程式支援的驗證類型

驗證類型 描述 支援 管理員類型所需的設定

Org ID

使用不含任何同盟 Office 365 或 SharePoint Online 租用戶組織。

全域管理員

ADFS 和 Org ID 同盟

從內部部署目錄同盟與混合式 Office 365 或 SharePoint Online 租用與使用者的組織。

全域管理員加上在內部網路管理員以及 SharePoint 管理員

Windows 驗證 (NTLM)

具有設定為允許 NTLM 宣告式 Windows 驗證在 SharePoint 環境的組織。

SharePoint 管理員

表單型驗證 (fba) (英文)

具有設定為允許表單型驗證或透過標準 web 控制項其他相容宣告式驗證在 SharePoint 環境的組織。

SharePoint 管理員

完整的非 ADFS 身分識別提供者

設定以允許使用者登入同盟身分識別提供者與 Office 365 或 SharePoint Online 環境的組織適用的豐富型用戶端中搭配 Office 365-Identity 程式

SharePoint 管理員加上的內部網路系統管理員或全域管理員 (在某些組織全域系統是必要項,不選項)。

所有其他非 ADFS 身分識別提供者

具有 SharePoint 環境設定以允許非 ADFS 身分識別提供者的組織。

SharePoint 管理員加上在內部網路系統管理員

Kerberos 驗證

具有設定為支援 Kerberos 驗證在 SharePoint 環境的組織。

SharePoint 管理員加上在內部網路系統管理員

基本驗證

具有設定為支援基本驗證在 SharePoint 環境的組織。

SharePoint 管理員加上在內部網路系統管理員

注意事項 附註:
如果您是 Office 365 多承租人使用者可以從任何包括 Wi-fi 和行動電話資料的網路環境中的商務應用程式的 OneDrive 連接。如果您不使用多承租人 Office 365,您可以連線只有當使用您的組織對現場 Wi-fi 網路時。如果您不確定符合您的哪些使用者,連絡 SharePoint 管理員。

表:Office Hub 的行動驗證支援矩陣

SharePoint 基礎結構 用戶端 行動裝置

驗證類型

驗證通訊協定

ID 提供者

SharePoint 部署

處理途徑:

Windows Phone 7.5 (Internet Explorer Mobile)

Windows Phone 8 (Internet Explorer Mobile)

Windows 驗證

NTLM

Active Directory

內部部署

NTLM

基本驗證

Active Directory

內部部署、外部網路

基本驗證

是 (https)

表單型驗證 (FBA)

FBA

Active Directory、LDAP、SQL

內部部署、外部網路

MSOFBA

FBA

OrgID

SharePoint Online、混合型案例

MSOFBA

FBA

OrgID

SharePoint Online、混合型案例

作用中驗證 (IDCRL)

SAML (Token 型)

SAML

WS-Federation 1.1 相容的身分識別提供者

內部部署、SharePoint Online、混合型案例

MSOFBA

SAML

WS-Federation 1.1 相容的身分識別提供者

內部部署、SharePoint Online、混合型案例

作用中驗證 (IDCRL)

注意事項 附註:
為了讓行動裝置可以與 SharePoint 伺服器通訊,您必須停用伺服器上的網際網路通訊協定安全性 (IPSec)。這是因為行動裝置未加入網域,所以必須執行此動作。

https://technet.microsoft.com/zh-tw/library/fp161351.aspx
顯示: