مشاركة عبر

قيود المستأجر العالمية

  • مقالة

تعزز قيود المستأجر العالمية وظيفة تقييد المستأجر v2 باستخدام الوصول الآمن العمومي (معاينة) لوضع علامة على جميع نسبة استخدام الشبكة بغض النظر عن نظام التشغيل أو المستعرض أو عامل نموذج الجهاز. يسمح بالدعم لكل من اتصال العميل والشبكة البعيدة. لم يعد يتعين على المسؤولين إدارة تكوينات الخادم الوكيل أو تكوينات الشبكة المعقدة.

تقوم قيود المستأجر العالمية بهذا الإنفاذ باستخدام إشارة النهج المستندة إلى الوصول الآمن العالمي لكل من المصادقة ومستوى البيانات. تمكن قيود المستأجر v2 المؤسسات من منع تسرب البيانات من قبل المستخدمين الذين يستخدمون هويات المستأجر الخارجي للتطبيقات المتكاملة Microsoft Entra مثل Microsoft Graph وSharePoint Online Exchange Online. تعمل هذه التقنيات معا لمنع النقل غير المصرح للبيانات عالميا عبر جميع الأجهزة والشبكات.

رسم تخطيطي يوضح كيفية حماية قيود المستأجر v2 من المستخدمين الضارين.

يوضح الجدول التالي الخطوات التي تم اتخاذها في كل نقطة في الرسم التخطيطي السابق.

الخطوة الوصف
1 تقوم Contoso بتكوين نهج قيود المستأجر v2 في إعدادات الوصول عبر المستأجرين لحظر جميع الحسابات الخارجية والتطبيقات الخارجية. تفرض Contoso النهج باستخدام قيود المستأجر العام للوصول الآمن العالمي.
2 يحاول مستخدم لديه جهاز تديره Contoso الوصول إلى تطبيق متكامل Microsoft Entra بهوية خارجية غير مخولة.
3 عندما تصل نسبة استخدام الشبكة إلى Microsoft Security Service Edge، تتم إضافة عنوان HTTP إلى الطلب. يحتوي العنوان على معرف المستأجر الخاص ب Contoso ومعرف نهج قيود المستأجر.
4 حماية مستوى المصادقة: يستخدم معرف Microsoft Entra العنوان في طلب المصادقة للبحث عن نهج قيود المستأجر. يمنع نهج Contoso الحسابات الخارجية غير المخولة من الوصول إلى المستأجرين الخارجيين.
5 حماية مستوى البيانات: إذا حاول المستخدم مرة أخرى الوصول إلى تطبيق خارجي غير مخول عن طريق نسخ رمز استجابة مصادقة حصل عليه خارج شبكة Contoso ولصقه في الجهاز، يتم حظره. يتحقق موفر الموارد من تطابق المطالبة في الرمز المميز والعنوان في الحزمة. يؤدي أي عدم تطابق في الرمز المميز والعنوان إلى إعادة المصادقة ويحظر الوصول.

تساعد قيود المستأجر العالمية على منع النقل غير المصرح للبيانات عبر المستعرضات والأجهزة والشبكات بالطرق التالية:

  • يقوم بإدخال السمات التالية في رأس حركة مرور HTTP الصادرة على مستوى العميل في كل من التحكم في المصادقة ومسار البيانات إلى نقاط نهاية Microsoft 365:
    • معرف السحابة لمستأجر الجهاز
    • معرف المستأجر لمستأجر الجهاز
    • معرف نهج v2 لقيود المستأجر لمستأجر الجهاز
  • فهو يمكن Microsoft Entra ID وحسابات Microsoft وتطبيقات Microsoft 365 من تفسير عنوان HTTP الخاص هذا مما يتيح البحث عن نهج v2 لقيود المستأجر المقترنة وإنفاذه. يتيح هذا البحث تطبيق نهج متسق.
  • يعمل مع جميع تطبيقات الجهات الخارجية المتكاملة Microsoft Entra على مستوى المصادقة أثناء تسجيل الدخول.
  • يعمل مع Exchange وSharePoint وMicrosoft Graph لحماية مستوى البيانات.

المتطلبات الأساسية

  • يجب أن يكون لدى المسؤولين الذين يتفاعلون مع ميزات معاينة الوصول الآمن العمومي واحد أو أكثر من تعيينات الأدوار التالية اعتمادا على المهام التي يقومون بها.
    • دور مسؤول الوصول الآمن العالمي لإدارة ميزات معاينة الوصول الآمن العالمي
    • مسؤول الوصول المشروط أو مسؤول الأمان لإنشاء نهج الوصول المشروط والمواقع المسماة والتفاعل معها.
  • تتطلب المعاينة ترخيص معرف P1 Microsoft Entra. إذا لزم الأمر، يمكنك شراء التراخيص أو الحصول على تراخيص تجريبية.

القيود المعروفة

  • إذا قمت بتمكين قيود المستأجر العالمية وكنت تصل إلى مركز إدارة Microsoft Entra لأحد المستأجرين المدرجين المسموح لهم، فقد ترى خطأ "تم رفض الوصول". أضف علامة الميزة التالية إلى مركز إدارة Microsoft Entra:
    • ?feature.msaljs=true&exp.msaljsexp=true
    • على سبيل المثال، تعمل لدى Contoso وقد سمحت ل Fabrikam المدرجة كمستأجر شريك. قد ترى رسالة الخطأ لمركز إدارة Microsoft Entra لمستأجر Fabrikam.
      • إذا تلقيت رسالة الخطأ "تم رفض الوصول" لعنون URL هذا: https://entra.microsoft.com/ أضف علامة الميزة كما يلي: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

يستخدم Outlook بروتوكول QUIC لبعض الاتصالات. لا ندعم حاليا بروتوكول QUIC. يمكن للمؤسسات استخدام نهج جدار حماية لحظر QUIC والاعتداد ببروتوكول غير QUIC. ينشئ أمر PowerShell التالي قاعدة جدار حماية لحظر هذا البروتوكول.

@New-NetFirewallRule -DisplayName "Block QUIC for Exchange Online" -Direction Outbound -Action Block -Protocol UDP -RemoteAddress 13.107.6.152/31,13.107.18.10/31,13.107.128.0/22,23.103.160.0/20,40.96.0.0/13,40.104.0.0/15,52.96.0.0/14,131.253.33.215/32,132.245.0.0/16,150.171.32.0/22,204.79.197.215/32,6.6.0.0/16 -RemotePort 443

تكوين نهج v2 لقيود المستأجر

قبل أن تتمكن المؤسسة من استخدام قيود المستأجر العالمية، يجب عليها تكوين كل من قيود المستأجر الافتراضية وقيود المستأجر لأي شركاء محددين.

لمزيد من المعلومات لتكوين هذه النهج، راجع المقالة إعداد قيود المستأجر V2 (معاينة).

لقطة شاشة تعرض نموذج نهج تقييد المستأجر في المدخل.

تمكين وضع العلامات لقيود المستأجر v2

بمجرد إنشاء نهج تقييد المستأجر v2، يمكنك استخدام الوصول الآمن العالمي لتطبيق وضع العلامات لقيود المستأجر v2. يجب على المسؤول الذي له أدوار مسؤول الوصول الآمن العالمي ومسؤول الأمان اتخاذ الخطوات التالية لتمكين الإنفاذ باستخدام الوصول الآمن العالمي.

  1. سجل الدخول إلى مركز إدارة Microsoft Entraكمسؤول وصول آمن عمومي.
  2. استعرض وصولا إلىقيود مستأجرإدارة جلسة عمل>الإعدادات العمومية>للوصول> الآمن العالمي.
  3. حدد التبديل إلى تمكين وضع العلامات لفرض قيود المستأجر على شبكتك.
  4. حدد ⁧⁩حفظ⁧⁩.

لقطة شاشة تعرض التبديل لتمكين وضع العلامات.

جرب قيود المستأجر العام باستخدام SharePoint Online.

تعمل هذه الإمكانية بنفس الطريقة مع Exchange Online وMicrosoft Graph في الأمثلة التالية التي نشرح كيفية رؤيتها أثناء العمل في بيئتك الخاصة.

جرب مسار المصادقة:

  1. مع إيقاف تشغيل قيود المستأجر العالمية في الإعدادات العمومية للوصول الآمن العالمي.
  2. انتقل إلى SharePoint Online، https://yourcompanyname.sharepoint.com/، مع هوية خارجية غير مدرجة في نهج قيود المستأجر v2.
    1. على سبيل المثال، مستخدم Fabrikam في مستأجر Fabrikam.
    2. يجب أن يكون مستخدم Fabrikam قادرا على الوصول إلى SharePoint Online.
  3. قم بتشغيل قيود المستأجر العالمية.
  4. بصفتك مستخدما، مع تشغيل عميل الوصول الآمن العالمي، انتقل إلى SharePoint Online بهوية خارجية لم يتم سردها بشكل صريح.
    1. على سبيل المثال، مستخدم Fabrikam في مستأجر Fabrikam.
    2. يجب حظر مستخدم Fabrikam من الوصول إلى SharePoint Online برسالة خطأ تقول:
      1. تم حظر الوصول، وقد قام قسم تكنولوجيا المعلومات في Contoso بتقييد المؤسسات التي يمكن الوصول إليها. اتصل بقسم تكنولوجيا المعلومات في Contoso للوصول.

جرب مسار البيانات

  1. مع إيقاف تشغيل قيود المستأجر العالمية في الإعدادات العمومية للوصول الآمن العالمي.
  2. انتقل إلى SharePoint Online، https://yourcompanyname.sharepoint.com/، مع هوية خارجية غير مدرجة في نهج قيود المستأجر v2.
    1. على سبيل المثال، مستخدم Fabrikam في مستأجر Fabrikam.
    2. يجب أن يكون مستخدم Fabrikam قادرا على الوصول إلى SharePoint Online.
  3. في المستعرض نفسه مع فتح SharePoint Online، انتقل إلى أدوات المطور، أو اضغط على F12 على لوحة المفاتيح. ابدأ في التقاط سجلات الشبكة. يجب أن تشاهد الحالة 200، عندما يعمل كل شيء كما هو متوقع.
  4. تأكد من تحديد خيار الاحتفاظ بالسجل قبل المتابعة.
  5. احتفظ بنافذة المستعرض مفتوحة مع السجلات.
  6. قم بتشغيل قيود المستأجر العالمية.
  7. بصفتك مستخدم Fabrikam، في المستعرض مع فتح SharePoint Online، في غضون بضع دقائق، تظهر سجلات جديدة. أيضا، قد يقوم المستعرض بتحديث نفسه استنادا إلى الطلب والاستجابات التي تحدث في النهاية الخلفية. إذا لم يتم تحديث المستعرض تلقائيا بعد دقيقتين، فاضغط على التحديث على المستعرض مع فتح SharePoint Online.
    1. يرى مستخدم Fabrikam أن وصوله محظور الآن قائلا:
      1. تم حظر الوصول، وقد قام قسم تكنولوجيا المعلومات في Contoso بتقييد المؤسسات التي يمكن الوصول إليها. اتصل بقسم تكنولوجيا المعلومات في Contoso للوصول.
  8. في السجلات، ابحث عن حالة 302. يعرض هذا الصف قيود المستأجر العالمية التي يتم تطبيقها على نسبة استخدام الشبكة.
    1. في نفس الاستجابة، تحقق من العناوين للحصول على المعلومات التالية التي تحدد تطبيق قيود المستأجر العالمية:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

شروط الاستخدام

يخضع استخدامك لتجارب وميزات الوصول الخاص عبر Microsoft Entra والمعاينة الوصول للإنترنت عبر Microsoft Entra إلى أحكام وشروط الخدمة عبر الإنترنت للاتفاقية (الاتفاقيات) التي حصلت بموجبها على الخدمات. قد تخضع المعاينات لالتزامات أمان وتوافق وخصوصية مخفضة أو مختلفة، كما هو موضح أيضا في شروط الترخيص العام للخدمات عبر الإنترنتوملحق حماية بيانات منتجات وخدمات Microsoft ("DPA") وأي إشعارات أخرى يتم توفيرها مع المعاينة.

الخطوات التالية

الخطوة التالية لبدء استخدام الوصول للإنترنت عبر Microsoft Entra هي تمكين إشارة الوصول الآمن العالمي المحسنة.

لمزيد من المعلومات حول نهج الوصول المشروط للوصول الآمن العمومي (معاينة)، راجع المقالات التالية: