Nastavení omezení tenanta v2

Platí pro: Tenanti pracovních sil – externí tenanti (další informace)

Poznámka:

Některé funkce popsané v tomto článku jsou funkce ve verzi Preview. Další informace o verzích Preview najdete v dodatečných podmínkách použití systémů Microsoft Azure Preview.

Pokud chcete zvýšit zabezpečení, můžete omezit, k čemu mají uživatelé přístup, když k přihlášení z vašich sítí nebo zařízení používají externí účet. Nastavení omezení tenanta, která jsou součástí nastavení přístupu mezi tenanty, umožňují vytvořit zásadu pro řízení přístupu k externím aplikacím.

Předpokládejme například, že uživatel ve vaší organizaci vytvořil samostatný účet v neznámém tenantovi nebo externí organizace poskytla uživateli účet, který mu umožní přihlásit se ke své organizaci. Pomocí omezení tenanta můžete zabránit uživateli v používání některých nebo všech externích aplikací, když jsou přihlášení pomocí externího účtu ve vaší síti nebo zařízeních.

Kroky	Popis
1	Společnost Contoso nakonfiguruje omezení tenanta v nastavení přístupu mezi tenanty, aby blokovala všechny externí účty a externí aplikace. Společnost Contoso přidá signál tRv2 vynucení s hlavičkou TRv2 buď prostřednictvím Universal TRv2 , nebo podnikového proxy serveru a microsoft Entra ID vynutí zásadu TRv2, když se hlavička nachází na požadavku.
2	Uživatel, který používá zařízení spravované společností Contoso, se pokusí přihlásit k externí aplikaci pomocí účtu z neznámého tenanta. Hlavička HTTP TRv2 s ID tenanta Contosa a ID zásad omezení tenanta se přidá do žádosti o ověření.
3	Ochrana roviny ověřování: Microsoft Entra ID vynucuje zásady TRv2 společnosti Contoso a zablokuje externí účty v přístupu k externím tenantům během ověřování podle zásad TRv2 společnosti Contoso.
4	Ochrana roviny dat (Preview): Id Microsoft Entra zablokuje veškerý anonymní přístup k souboru SharePointu nebo anonymnímu připojení ke schůzce týmů a také zablokuje přístup uživatelů k prostředku pomocí infiltrovaného tokenu.

Omezení tenanta v2 poskytují možnosti pro ochranu roviny ověřování i ochranu roviny dat.

• Ochrana roviny ověřování odkazuje na použití zásad omezení tenanta v2 k blokování přihlašování pomocí externích identit. Můžete například zabránit úniku dat z externích e-mailů útočníkovi, protože zabráníte útočníkovi přihlásit se ke svému škodlivému tenantovi. Obecně dostupná je ochrana roviny ověřování tenanta v2.

• Ochrana roviny dat se týká prevence útoků, které obcházejí ověřování. Útočník se například může pokusit povolit přístup k škodlivým aplikacím tenanta pomocí anonymního připojení ke schůzce v Teams nebo anonymního přístupu k sharepointovým souborům. Nebo útočník může zkopírovat přístupový token ze zařízení ve škodlivém tenantovi a importovat ho do zařízení organizace. Ochrana roviny dat v2 tenanta vynutí, aby se uživatel při pokusu o přístup k prostředku ověřil a zablokuje přístup v případě selhání ověřování.

Zatímco omezení tenanta v1 poskytují ochranu roviny ověřování prostřednictvím seznamu povolených tenantů nakonfigurovaného na podnikovém proxy serveru, omezení tenanta v2 poskytují možnosti podrobného ověřování a ochrany roviny dat s podnikovým proxy serverem nebo bez. Pokud k injektáži hlaviček používáte podnikový proxy server, zahrnují možnosti pouze ochranu roviny ověřování.

Přehled omezení tenanta v2

V nastavení přístupu mezi tenanty ve vaší organizaci můžete nakonfigurovat zásady omezení tenanta v2. Po vytvoření zásady existují tři způsoby použití zásad ve vaší organizaci.

• Omezení univerzálního tenanta v2. Tato možnost poskytuje ochranu roviny ověřování i roviny dat bez podnikového proxy serveru. Omezení univerzálního tenanta používají globální zabezpečený přístup k označení veškerého provozu bez ohledu na to, jestli se jedná o operační systém, prohlížeč nebo faktor formuláře zařízení. Umožňuje podporu připojení klienta i vzdálené sítě.
• Omezení tenanta roviny ověřování v2. Ve vaší organizaci můžete nasadit podnikový proxy server a nakonfigurovat proxy server tak, aby nastavil omezení tenanta v2 signály pro veškerý provoz do Microsoft Entra ID a účtů Microsoft (MSA).
• Omezení tenanta Windows v2. U zařízení s Windows vlastněných společností můžete vynutit ochranu roviny ověřování i roviny dat vynucením omezení tenanta přímo na zařízeních. Omezení tenanta se vynucují při přístupu k prostředkům a poskytují pokrytí cesty k datům a ochranu před infiltrací tokenů. Pro vynucování zásad se nevyžaduje podnikový proxy server. Zařízení můžou být spravovaná pomocí Microsoft Entra ID nebo zařízení připojená k doméně spravovaná pomocí zásad skupiny.

Poznámka:

Tento článek popisuje, jak nakonfigurovat omezení tenanta v2 pomocí Centra pro správu Microsoft Entra. K vytvoření těchto stejných zásad omezení tenanta můžete také použít rozhraní API pro přístup mezi tenanty Microsoft Graphu.

Podporované scénáře

Omezení tenanta v2 se dají omezit na konkrétní uživatele, skupiny, organizace nebo externí aplikace. Aplikace založené na zásobníku sítí operačního systému Windows jsou chráněné. Podporovány jsou následující scénáře:

• Všechny aplikace Office (všechny verze nebo kanály vydaných verzí).
• Univerzální platforma Windows aplikací .NET (UPW).
• Ochrana roviny ověřování pro všechny aplikace, které se ověřují pomocí ID Microsoft Entra, včetně všech aplikací od microsoftu a všech aplikací třetích stran, které k ověřování používají Microsoft Entra ID.
• Ochrana roviny dat pro SharePoint Online a Exchange Online
• Ochrana anonymního přístupu pro SharePoint Online, OneDrive a Teams (s nakonfigurovanými ovládacími prvky federace)
• Ověřování a ochrana roviny dat pro účty microsoft tenanta nebo příjemce
• Při použití omezení univerzálního tenanta v globálním zabezpečeném přístupu jsou všechny prohlížeče a platformy.
• Pokud používáte zásady skupiny Systému Windows, Microsoft Edge a všechny weby v Microsoft Edgi.

Nepodporované scénáře

• Anonymní blokování pro uživatelský účet OneDrive Zákazníci můžou obejít na úrovni proxy serveru blokováním https://onedrive.live.com/.
• Když uživatel přistupuje k aplikaci třetí strany, jako je Slack, pomocí anonymního odkazu nebo účtu mimo Azure AD.
• Když uživatel zkopíruje token vydaný id Microsoft Entra z domácího počítače do pracovního počítače a použije ho pro přístup k aplikaci třetí strany, jako je Slack.
• Omezení tenanta pro jednotlivé uživatele pro účty Microsoft.

Porovnání omezení tenanta v1 a v2

Následující tabulka porovnává funkce v jednotlivých verzích.

	Omezení tenanta v1	Omezení tenanta v2
Vynucení zásad	Podnikový proxy server vynucuje zásady omezení tenanta v řídicí rovině Microsoft Entra ID.	Možnosti: – Univerzální omezení tenanta v globálním zabezpečeném přístupu, která používá k označení veškerého provozu signály zásad, a poskytuje podporu roviny ověřování i roviny dat na všech platformách. – Ochrana pouze v rovině ověřování, kde podnikový proxy server nastavuje omezení tenanta v2 signály pro veškerý provoz. – Správa zařízení s Windows, kde jsou zařízení nakonfigurovaná tak, aby odkazovala provoz Microsoftu na zásady omezení tenanta, a zásady se vynucují v cloudu.
Omezení vynucení zásad	Spravujte podnikové proxy servery přidáním tenantů do seznamu povolených přenosů Microsoft Entra. Omezení znaků hodnoty záhlaví v možnostech Omezit přístup k tenantům: <allowed-tenant-list> omezuje počet tenantů, které je možné přidat.	Spravuje se pomocí zásad cloudu v zásadách přístupu mezi tenanty. Výchozí zásady na úrovni tenanta a zásady partnera se vytvoří pro každého externího tenanta.
Požadavky na škodlivého tenanta	Microsoft Entra ID blokuje škodlivé požadavky na ověřování tenanta za účelem zajištění ochrany roviny ověřování.	Microsoft Entra ID blokuje škodlivé požadavky na ověřování tenanta za účelem zajištění ochrany roviny ověřování.
Zrnitost	Omezeno na tenanta a všechny účty Microsoft.	Členitost tenanta, uživatele, skupiny a aplikace (Členitost na úrovni uživatele se u účtů Microsoft nepodporuje.)
Anonymní přístup	Anonymní přístup ke schůzkám Teams a sdílení souborů je povolený.	Anonymní přístup ke schůzkám Teams je blokovaný. Přístup k anonymně sdíleným prostředkům ("Kdokoli s odkazem") je zablokovaný.
Účty Microsoft	Používá hlavičku Restrict-MSA k blokování přístupu k uživatelským účtům.	Umožňuje řídit ověřování účtů Microsoft (MSA a Live ID) na rovinách identity i dat. Pokud například ve výchozím nastavení vynucujete omezení tenanta, můžete vytvořit zásady specifické pro účty Microsoft, které uživatelům umožňují přístup ke konkrétním aplikacím pomocí jejich účtů Microsoft, například: Microsoft Learn (ID 18fbca16-2224-45f6-85b0-f7bf2b39b3f3aplikace) nebo Microsoft Enterprise Skills Initiative (ID 195e7f27-02f9-4045-9a91-cd2fa1c2af2faplikace).
Správa proxy serveru	Spravujte podnikové proxy servery přidáním tenantů do seznamu povolených přenosů Microsoft Entra.	Pro ochranu roviny ověřování podnikového proxy serveru nakonfigurujte proxy server tak, aby nastavil signály omezení tenanta v2 pro veškerý provoz.
Podpora platformy	Podporováno na všech platformách. Poskytuje pouze ochranu roviny ověřování.	Omezení univerzálního tenanta v globálním zabezpečeném přístupu podporují jakýkoli faktor formátu operačního systému, prohlížeče nebo zařízení. Ochrana roviny ověřování podnikového proxy serveru podporuje aplikace pro macOS, Chrome a .NET. Správa zařízení s Windows podporuje operační systémy Windows a Microsoft Edge.
Podpora portálu	V Centru pro správu Microsoft Entra není žádné uživatelské rozhraní pro konfiguraci zásad.	Uživatelské rozhraní dostupné v Centru pro správu Microsoft Entra pro nastavení zásad cloudu
Nepodporované aplikace	–	Zablokujte nepodporované aplikace používané s koncovými body Microsoftu pomocí nástroje Windows Defender Application Control (WDAC) nebo brány Windows Firewall (například pro Chrome, Firefox atd.). Viz blokované aplikace Chrome, Firefox a .NET, jako je PowerShell.

Migrace zásad omezení tenanta v1 na v2 na proxy serveru

Migrace zásad omezení tenanta z verze 1 na v2 je jednorázová operace. Po migraci se nevyžadují žádné změny na straně klienta. Jakékoli následné změny zásad na straně serveru můžete provést prostřednictvím Centra pro správu Microsoft Entra.

Při povolování TRv2 na proxy serveru budete moct vynutit TRv2 pouze v rovině ověřování. Pokud chcete povolit TRv2 v rovině ověřování i dat, měli byste povolit signalizaci na straně klienta TRv2 pomocí Universal TRv2.

Krok 1: Konfigurace seznamu povolených tenantů partnerů

TRv1: Omezení tenanta v1 (TRv1) umožňují vytvořit seznam povolených ID tenantů nebo koncových bodů přihlašování Microsoftu, abyste zajistili, že uživatelé přistupují k externím tenantům, které vaše organizace autorizuje. TRv1 toho dosáhl přidáním Restrict-Access-To-Tenants: <allowed-tenant-list> hlavičky na proxy. Příklad: "Omezit přístup k tenantům: " contoso.com, fabrikam.com, dogfood.com". Přečtěte si další informace o omezeních tenanta v1.

TRv2: S omezeními tenanta v2 (TRv2) se konfigurace přesune do zásad cloudu na straně serveru a není potřeba hlavičku TRv1.

• Na podnikovém proxy serveru byste měli odebrat hlavičku Restrict-Access-To-Tenants: <allowed-tenant-list>omezení tenanta v1.
• Pro každého tenanta v seznamu povolených tenantů vytvořte zásady partnerského tenanta podle kroků v kroku 2: Konfigurace omezení tenanta v2 pro konkrétní partnery. Nezapomeňte postupovat podle těchto pokynů:

Poznámka:

• Ponechte výchozí zásadu omezení tenanta v2, která blokuje veškerý přístup externího tenanta pomocí cizích identit (například user@externaltenant.com).
• Podle kroků v kroku 2 vytvořte zásady partnerského tenanta pro každého tenanta uvedeného v seznamu povolených v1: Nakonfigurujte omezení tenanta v2 pro konkrétní partnery.
• Povolte přístup ke konkrétním aplikacím jenom konkrétním uživatelům. Tento návrh zvyšuje stav zabezpečení tím, že omezí přístup jenom potřebným uživatelům.

Krok 2: Blokování zákaznického účtu nebo tenanta účtu Microsoft

TRv1: Nepovolit uživatelům přihlásit se k uživatelským aplikacím. Trv1 potřebuje hlavičku sec-Restrict-Tenant-Access-Policy, která se vloží do provozu při návštěvě login.live.com jako sec-Restrict-Tenant-Access-Policy: restrict-msa'

TRv2: U TRv2 se konfigurace přesune do zásad cloudu na straně serveru a není potřeba hlavičku TRv1.

• Na podnikovém proxy serveru byste měli odebrat omezení tenanta v1 záhlaví sec-Restrict-Tenant-Access-Policy: restrict-msa.
• Vytvořte zásady partnerského tenanta pro tenanta účtů Microsoft podle kroku 2: Konfigurace omezení tenanta v2 pro konkrétní partnery. Vzhledem k tomu, že přiřazení na úrovni uživatele není pro tenanty MSA dostupné, platí tato zásada pro všechny uživatele MSA. Je však k dispozici členitost na úrovni aplikace a měli byste omezit aplikace, ke kterým mají účty MSA nebo spotřebitel přístup pouze k aplikacím, které jsou nezbytné.

Poznámka:

Blokování tenanta MSA neblokuje provoz bez uživatelů pro zařízení, včetně:

• Přenosy dat pro Autopilot, služba Windows Update a telemetrii organizace
• Ověřování B2B uživatelských účtů nebo předávací ověřování, kde aplikace Azure a Office.com aplikace používají Microsoft Entra ID k přihlášení uživatelů v kontextu příjemce.

Krok 3: Povolení omezení tenanta v2 na podnikovém proxy serveru

TRv2: Podnikový proxy server můžete nakonfigurovat tak, aby povolil označování hlaviček omezení klienta V2 pomocí následujícího nastavení podnikového proxy serveru: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>

kde <DirectoryID> je VAŠE ID tenanta Microsoft Entra a <policyGUID> je ID objektu pro zásady přístupu mezi tenanty.

Omezení tenanta vs. příchozí a odchozí nastavení

I když jsou omezení tenanta nakonfigurovaná spolu s nastavením přístupu mezi tenanty, fungují odděleně od nastavení příchozího a odchozího přístupu. Nastavení přístupu mezi tenanty vám umožňují řídit, kdy se uživatelé přihlašují pomocí účtu z vaší organizace. Naproti tomu omezení tenanta umožňují řídit, kdy uživatelé používají externí účet. Nastavení příchozích a odchozích přenosů pro spolupráci B2B a přímé připojení B2B nemá vliv na nastavení omezení vašeho tenanta (a nemá to vliv).

Tímto způsobem si můžete představit různá nastavení přístupu mezi tenanty:

• Příchozí nastavení řídí přístup externího účtu k interním aplikacím.
• Odchozí nastavení řídí přístup interního účtu k externím aplikacím.
• Omezení tenanta řídí přístup externího účtu k externím aplikacím.

Omezení tenantů versus spolupráce B2B

Pokud vaši uživatelé potřebují přístup k externím organizacím a aplikacím, doporučujeme povolit omezení tenanta blokovat externí účty a místo toho používat spolupráci B2B. Spolupráce B2B umožňuje:

• Použijte podmíněný přístup a vynuťte vícefaktorové ověřování pro uživatele spolupráce B2B.
• Správa příchozího a odchozího přístupu
• Ukončete relace a přihlašovací údaje, když se změní stav zaměstnání uživatele spolupráce B2B nebo dojde k porušení jejich přihlašovacích údajů.
• Protokoly přihlašování slouží k zobrazení podrobností o uživateli spolupráce B2B.

Požadavky

Ke konfiguraci omezení tenanta potřebujete:

• Microsoft Entra ID P1 nebo P2
• Účet s rolí alespoň správce zabezpečení
• Zařízení s Windows s Windows 10, Windows 11 s nejnovějšími aktualizacemi

Konfigurace zásad cloudu na straně serveru v2

Krok 1: Konfigurace výchozích omezení tenanta v2

Nastavení pro omezení tenanta v2 se nachází v Centru pro správu Microsoft Entra v části Nastavení přístupu mezi tenanty. Nejprve nakonfigurujte výchozí omezení tenanta, která chcete použít pro všechny uživatele, skupiny, aplikace a organizace. Pokud pak potřebujete konfigurace specifické pro partnery, můžete přidat organizaci partnera a přizpůsobit všechna nastavení, která se liší od výchozích hodnot.

Konfigurace výchozích omezení tenanta

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

2. Přejděte na >Nastavení přístupu externích identit identit mezi tenanty>a pak vyberte nastavení přístupu mezi tenanty.

3. Vyberte kartu Výchozí nastavení.

   

4. Přejděte do části Omezení tenanta.

5. Vyberte odkaz Upravit výchozí omezení tenanta.

   

6. Pokud výchozí zásada v tenantovi ještě neexistuje, zobrazí se vedle ID zásady odkaz Vytvořit zásadu. Vyberte tento odkaz.

   

7. Na stránce Omezení tenanta se zobrazí ID tenanta i ID zásad zásad tenanta. Ke zkopírování obou těchto hodnot použijte ikony kopírování. Použijete je později, když nakonfigurujete klienty Windows tak, aby povolovaly omezení tenanta.

   

8. Vyberte kartu Externí uživatelé a skupiny. V části Stav aplikace Access zvolte jednu z následujících možností:

   • Povolit přístup: Povolí přístup všem uživatelům, kteří jsou přihlášení pomocí externích účtů, přístup k externím aplikacím (zadané na kartě Externí aplikace ).
   • Blokovat přístup: Zablokuje přístup všem uživatelům, kteří jsou přihlášení pomocí externích účtů, přístup k externím aplikacím (zadaný na kartě Externí aplikace ).

   

   Poznámka:

   Výchozí nastavení není možné nastavit na jednotlivé účty nebo skupiny, takže platí vždy pro všechny uživatele a skupiny tenanta<>. Mějte na paměti, že pokud zablokujete přístup pro všechny uživatele a skupiny, musíte také blokovat přístup ke všem externím aplikacím (na kartě Externí aplikace ).

9. Vyberte kartu Externí aplikace. V části Stav aplikace Access zvolte jednu z následujících možností:

   • Povolit přístup: Povolí všem uživatelům, kteří jsou přihlášení pomocí externích účtů, přístup k aplikacím uvedeným v části Platí pro .
   • Blokovat přístup: Zablokuje přístup všem uživatelům, kteří jsou přihlášení pomocí externích účtů, přístup k aplikacím zadaným v části Platí pro .

   

10. V části Platí pro vyberte jednu z následujících možností:

    • Všechny externí aplikace: Použije akci, kterou jste zvolili ve stavu Accessu, u všech externích aplikací. Pokud zablokujete přístup ke všem externím aplikacím, musíte také blokovat přístup pro všechny uživatele a skupiny (na kartě Uživatelé a skupiny ).
    • Výběr externích aplikací: Umožňuje zvolit externí aplikace, na které se má akce v accessovém stavu použít. Pokud chcete vybrat aplikace, zvolte Přidat aplikace Microsoftu nebo Přidat další aplikace. Pak vyhledejte název aplikace nebo ID aplikace (ID klientské aplikace nebo ID aplikace prostředku) a vyberte aplikaci. (Podívejte se na seznam ID běžně používaných aplikací Microsoftu.) Pokud chcete přidat další aplikace, použijte tlačítko Přidat . Až budete hotovi, vyberte Odeslat.

    

11. Zvolte Uložit.

Krok 2: Konfigurace omezení tenanta v2 pro konkrétní partnery

Předpokládejme, že pro blokování přístupu ve výchozím nastavení používáte omezení tenanta, ale chcete uživatelům povolit přístup k určitým aplikacím pomocí vlastních externích účtů. Řekněme například, že chcete, aby uživatelé měli přístup k Microsoft Learn pomocí vlastních účtů Microsoft. Pokyny v této části popisují, jak přidat nastavení specifická pro organizaci, která mají přednost před výchozím nastavením.

Příklad: Konfigurace omezení tenanta v2 pro povolení účtů Microsoft

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení nebo správce podmíněného přístupu.

2. Přejděte k >nastavení přístupu externích identit mezi tenanty.>

3. Vyberte nastavení organizace.

   Poznámka:

   Pokud už organizace, kterou chcete přidat, byla do seznamu přidaná, můžete přidání přeskočit a přejít přímo k úpravě nastavení.

4. Vyberte Přidat organizaci.

5. V podokně Přidat organizaci zadejte úplný název domény (nebo ID tenanta) pro organizaci.

   Příklad: Vyhledejte následující ID tenanta účtů Microsoft:

   9188040d-6c67-4c5b-b112-36a304b66dad
   

   

6. Ve výsledcích hledání vyberte organizaci a pak vyberte Přidat.

7. Úprava nastavení: Najděte organizaci v seznamu nastavení organizace a posuňte se vodorovně, abyste viděli sloupec Omezení tenanta. V tuto chvíli se všechna nastavení omezení tenanta pro tuto organizaci dědí z vašeho výchozího nastavení. Pokud chcete změnit nastavení pro tuto organizaci, vyberte ve sloupci Omezení tenanta výchozí odkaz zděděný z výchozího odkazu.

   

8. Zobrazí se stránka Omezení tenanta pro organizaci. Zkopírujte hodnoty pro ID tenanta a ID zásad. Použijete je později, když nakonfigurujete klienty Windows tak, aby povolovaly omezení tenanta.

   

9. Vyberte Přizpůsobit nastavení a pak vyberte kartu Externí uživatelé a skupiny . V části Stav přístupu zvolte možnost:

   • Povolit přístup: Umožňuje uživatelům a skupinám zadaným v části Platí pro uživatele přihlášené pomocí externích účtů pro přístup k externím aplikacím (zadané na kartě Externí aplikace ).
   • Blokování přístupu: Zablokuje uživatele a skupiny zadané v části Platí pro uživatele, kteří jsou přihlášení pomocí externích účtů, z přístupu k externím aplikacím (zadané na kartě Externí aplikace ).

   Poznámka:

   V našem příkladu účtů Microsoft vybereme Povolit přístup.

   

10. V části Platí pro zvolte Všichni <uživatelé a skupiny organizace>.

    Poznámka:

    U účtů Microsoft se nepodporuje členitost uživatelů, takže funkce Vybrat <uživatele a skupiny organizace> není dostupná. V případě jiných organizací můžete vybrat <uživatele a skupiny organizace> a pak provést tyto kroky pro každého uživatele nebo skupinu, které chcete přidat:

    • Vyberte Přidat externí uživatele a skupiny.
    • V podokně Vybrat zadejte uživatelské jméno nebo název skupiny do vyhledávacího pole.
    • Ve výsledcích hledání vyberte uživatele nebo skupinu.
    • Pokud chcete přidat další, vyberte Přidat a opakujte tento postup. Až skončíte s výběrem uživatelů a skupin, které chcete přidat, vyberte Odeslat.

    

11. Vyberte kartu Externí aplikace. V části Stav přístupu zvolte, jestli chcete povolit nebo blokovat přístup k externím aplikacím.

    • Povolit přístup: Umožňuje přístup k externím aplikacím zadaným v části Platí pro přístup uživatelům při používání externích účtů.
    • Blokovat přístup: Zablokuje externí aplikace zadané v části Platí pro přístup uživatelům při používání externích účtů.

    Poznámka:

    V našem příkladu účtů Microsoft vybereme Povolit přístup.

    

12. V části Platí pro vyberte jednu z následujících možností:

    • Všechny externí aplikace: Použije akci, kterou jste zvolili ve stavu Accessu, u všech externích aplikací.
    • Vybrat externí aplikace: Použije akci, kterou jste zvolili v části Stav přístupu pro všechny externí aplikace.

    Poznámka:

    • V našem příkladu účtů Microsoft zvolíme Vybrat externí aplikace.
    • Pokud zablokujete přístup ke všem externím aplikacím, musíte také blokovat přístup pro všechny uživatele a skupiny (na kartě Uživatelé a skupiny ).

    

13. Pokud jste vybrali Možnost Vybrat externí aplikace, proveďte následující kroky pro každou aplikaci, kterou chcete přidat:

    • Vyberte Přidat aplikace Microsoftu nebo Přidat další aplikace. V našem příkladu Microsoft Learn zvolíme Přidat další aplikace.
    • Do vyhledávacího pole zadejte název aplikace nebo ID aplikace (ID klientské aplikace nebo ID aplikace prostředku). (Podívejte se na seznam ID běžně používaných aplikací Microsoftu.) V našem příkladu Microsoft Learn zadáme ID 18fbca16-2224-45f6-85b0-f7bf2b39b3f3aplikace .
    • Ve výsledcích hledání vyberte aplikaci a pak vyberte Přidat.
    • Opakujte pro každou aplikaci, kterou chcete přidat.
    • Až vyberete aplikace, vyberte Odeslat.

    

14. Vybrané aplikace jsou uvedené na kartě Externí aplikace . Vyberte Uložit.

    

Poznámka:

Blokování tenanta MSA nebude blokovat:

• Provoz bez uživatele pro zařízení. To zahrnuje provoz pro Autopilot, služba Windows Update a telemetrii organizace.
• Ověřování B2B uživatelských účtů
• Předávací ověřování, které používá mnoho aplikací Azure a Office.com, kde aplikace používají Id Microsoft Entra k přihlašování uživatelů v kontextu příjemce.

Konfigurace omezení tenanta na straně klienta v2

Existují tři možnosti vynucení omezení tenanta v2 pro klienty:

• Možnost 1: Omezení univerzálního tenanta v2 jako součást globálního zabezpečeného přístupu Microsoft Entra (Preview)
• Možnost 2: Nastavení omezení tenanta v2 na podnikovém proxy serveru
• Možnost 3: Povolení omezení tenanta na spravovaných zařízeních s Windows (Preview)

Možnost 1: Omezení univerzálního tenanta v2 jako součást globálního zabezpečeného přístupu Microsoft Entra

Jako součást globálního zabezpečeného přístupu Microsoft Entra se doporučuje univerzální omezení tenanta v2, protože poskytuje ověřování a ochranu roviny dat pro všechna zařízení a platformy. Tato možnost poskytuje větší ochranu před sofistikovanými pokusy o obtékání ověřování. Útočníci se například můžou pokusit povolit anonymní přístup k aplikacím tenanta se zlými úmysly, například anonymnímu připojení ke schůzce v Teams. Nebo se útočníci můžou pokusit naimportovat do zařízení organizace přístupový token zvednutý ze zařízení v tenantovi se zlými úmysly. Omezení univerzálního tenanta v2 brání těmto útokům tím, že odesílají signály omezení tenanta v2 v rovině ověřování (ID Microsoftu a účtu Microsoft) a roviny dat (cloudové aplikace Microsoftu).

Možnost 2: Nastavení omezení tenanta v2 na podnikovém proxy serveru

Pokud chcete zajistit, aby přihlášení byla omezena na všechna zařízení a aplikace ve vaší podnikové síti, nakonfigurujte podnikový proxy server tak, aby vynucovaly omezení tenanta v2. Přestože konfigurace omezení tenanta na podnikovém proxy serveru neposkytuje ochranu roviny dat, poskytuje ochranu roviny ověřování.

Důležité

Pokud jste dříve nastavili omezení tenanta, budete muset ukončit odesílání restrict-msa do login.live.com. V opačném případě budou nová nastavení v konfliktu s vašimi stávajícími pokyny pro přihlašovací službu MSA.

1. Nakonfigurujte hlavičku omezení tenanta v2 následujícím způsobem:

   Název hlavičky	Hodnota záhlaví	Ukázková hodnota
   sec-Restrict-Tenant-Access-Policy	<TenantId>:<policyGuid>	aaaabbbb-0000-cccc-1111-dddd2222eee:1aaaaaaa1-2bb2-3cc3-4dd4-5eee aaabbbb-0000-cccc-1111-ddddd

   • TenantID je ID vašeho tenanta Microsoft Entra. Tuto hodnotu najdete tak, že se přihlásíte do Centra pro správu Microsoft Entra jako správce a přejdete na Přehled identity>a vyberete kartu Přehled.
   • policyGUID je ID objektu pro zásady přístupu mezi tenanty. Tuto hodnotu najdete voláním /crosstenantaccesspolicy/default a použitím vráceného pole ID.

2. Na podnikovém proxy serveru odešlete hlavičku omezení tenanta v2 do následujících přihlašovacích domén Microsoftu:

   • login.live.com
   • login.microsoft.com
   • login.microsoftonline.com
   • login.windows.net

   Tato hlavička vynucuje zásady omezení tenanta v2 pro všechna přihlášení ve vaší síti. Tato hlavička neblokuje anonymní přístup ke schůzkám Teams, souborům SharePointu ani jiným prostředkům, které nevyžadují ověřování.

Důležité

Dešifrování adres URL Microsoftu – Omezení tenanta (v1 a v2) na proxy serveru vyžadují dešifrování požadavků na přihlašovací adresy URL, jako jsou login.microsoftonline.com. Společnost Microsoft podporuje dešifrování provozu pro tyto přihlašovací domény pro účely vložení hlavičky TR a je platnou výjimkou ze zásad v případě použití síťových zařízení nebo řešení třetích stran s Microsoftem 365.

Omezení tenanta v2 bez podpory přerušení a kontroly

U platforem jiných než Windows můžete přerušit a zkontrolovat provoz a přidat do hlavičky parametry omezení tenanta v2 prostřednictvím proxy serveru. Některé platformy ale nepodporují přerušení a kontrolu, takže omezení tenanta v2 nefungují. Pro tyto platformy můžou poskytovat ochranu následující funkce Microsoft Entra ID:

• Podmíněný přístup: Povolit pouze používání spravovaných nebo vyhovujících zařízení
• Podmíněný přístup: Správa přístupu pro hosta nebo externí uživatele
• Spolupráce B2B: Omezení odchozích pravidel pro přístup mezi tenanty pro stejné tenanty uvedené v parametru Omezit přístup k tenantům
• Spolupráce B2B: Omezení pozvánek na uživatele B2B na stejné domény uvedené v parametru Restrict-Access-To-Tenants
• Správa aplikací: Omezení souhlasu uživatelů s aplikacemi
• Intune: Použití zásad aplikací prostřednictvím Intune k omezení používání spravovaných aplikací jenom na hlavní název uživatele (UPN) účtu, který zaregistroval zařízení (v části Povolit pouze nakonfigurované účty organizace v aplikacích)

I když tyto alternativy poskytují ochranu, některé scénáře je možné prokrýt pouze prostřednictvím omezení tenantů, jako je použití prohlížeče pro přístup ke službám Microsoftu 365 prostřednictvím webu místo vyhrazené aplikace.

Možnost 3: Povolení omezení tenanta na spravovaných zařízeních s Windows (Preview)

Po vytvoření zásad omezení tenanta v2 můžete zásady vynutit v každém systému Windows 10, Windows 11 přidáním ID tenanta a ID zásady do konfigurace omezení tenanta zařízení. Pokud jsou na zařízení s Windows povolená omezení tenanta, podnikové proxy servery se pro vynucování zásad nevyžadují. Aby bylo možné vynutit omezení tenanta v2, nemusí být zařízení spravovaná microsoftem Entra ID. Podporují se také zařízení připojená k doméně spravovaná pomocí zásad skupiny.

Poznámka:

Omezení tenanta V2 ve Windows je částečné řešení, které chrání roviny ověřování a dat v některých scénářích. Funguje na spravovaných zařízeních s Windows a nechrání zásobník .NET, Chrome nebo Firefox. Řešení pro Windows poskytuje dočasné řešení, dokud nebude obecná dostupnost omezení univerzálního tenanta v rámci globálního zabezpečeného přístupu Microsoft Entra.

Šablony pro správu (.admx) pro Windows 10 z listopadu 2021 Update (21H2) a nastavení zásad skupiny

Pomocí zásad skupiny můžete nasadit konfiguraci omezení tenanta na zařízení s Windows. Projděte si tyto zdroje informací:

• Šablony pro správu pro Windows 10
• Referenční tabulka nastavení zásad skupiny pro Windows 10

Testování zásad na zařízení

Pokud chcete otestovat zásady omezení tenanta v2 na zařízení, postupujte takto.

Poznámka:

• Zařízení musí používat Windows 10 nebo Windows 11 s nejnovějšími aktualizacemi.

1. Na počítači s Windows stiskněte klávesu Windows, zadejte gpedit a pak vyberte Upravit zásady skupiny (Ovládací panely).

2. Přejděte do části Omezení klienta komponent systému Windows pro>>konfiguraci>počítače.

3. V pravém podokně klikněte pravým tlačítkem myši na Podrobnosti o zásadách cloudu a pak vyberte Upravit.

4. Načtěte ID tenanta a ID zásad, které jste si poznamenali dříve (v kroku 7 v části Konfigurace výchozích omezení tenanta) a zadejte je do následujících polí (ponechte všechna ostatní pole prázdná):

   • ID adresáře Microsoft Entra: Zadejte ID tenanta, které jste si poznamenali dříve. přihlášením k Centru pro správu Microsoft Entra jako správce a přechodem na Přehled identity>a výběrem karty Přehled
   • GUID zásady: ID pro zásady přístupu mezi tenanty. Jedná se o ID zásad, které jste si poznamenali dříve. Toto ID můžete najít také pomocí příkazu https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/defaultGraph Explorer .

   

5. Vyberte OK.

Blokování aplikací Chrome, Firefox a .NET, jako je PowerShell

Pomocí funkce brány Windows Firewall můžete blokovat nechráněné aplikace v přístupu k prostředkům Microsoftu prostřednictvím aplikací Chrome, Firefox a .NET, jako je PowerShell. Aplikace, které by byly blokované nebo povolené podle zásad omezení tenanta v2.

Pokud například zákazník přidá PowerShell do zásad CIP omezení tenanta v2 a má v seznamu koncových bodů zásad tenanta v2 graph.microsoft.com, měl by mít PowerShell povolený přístup k sadě firewall.

1. Na počítači s Windows stiskněte klávesu Windows, zadejte gpedit a pak vyberte Upravit zásady skupiny (Ovládací panely).

2. Přejděte do části Omezení klienta komponent systému Windows pro>>konfiguraci>počítače.

3. V pravém podokně klikněte pravým tlačítkem myši na Podrobnosti o zásadách cloudu a pak vyberte Upravit.

4. Zaškrtněte políčko Povolit ochranu brány firewall koncových bodů Microsoftu a pak vyberte OK.

Po povolení nastavení brány firewall zkuste se přihlásit pomocí prohlížeče Chrome. Přihlášení by mělo selhat s následující zprávou:

Zobrazení událostí omezení tenanta v2

Zobrazení událostí souvisejících s omezeními tenanta v Prohlížeč událostí

1. V Prohlížeč událostí otevřete protokoly aplikací a služeb.
2. Přejděte do části Provozní operace Microsoft>Windows>TenantRestrictions>a vyhledejte události.

Omezení tenanta a podpora roviny dat (Preview)

Trv2 se vynucuje následujícími prostředky, které budou řešit scénáře infiltrace tokenů, kdy chybný objekt actor přistupuje k prostředku přímo s infiltrovaným tokenem nebo anonymně.

• Teams
• SharePoint Online, jako je aplikace OneDrive
• Exchange Online, jako je aplikace Outlook
• Office.com / Aplikace Office

Omezení tenanta a Microsoft Teams (Preview)

Týmy mají ve výchozím nastavení otevřenou federaci, což znamená, že neblokujeme, aby se někdo připojil ke schůzce hostované externím tenantem. Pokud chcete mít větší kontrolu nad přístupem ke schůzkám v Teams, můžete pomocí ovládacích prvků federace v Teams povolit nebo blokovat konkrétní tenanty a také omezení tenanta v2 k blokování anonymního přístupu ke schůzkám Teams. Pokud chcete vynutit omezení tenanta pro Teams, musíte nakonfigurovat omezení tenanta v2 v nastavení přístupu microsoft Entra mezi tenanty. Musíte také nastavit ovládací prvky federace na portálu pro správu Teams a restartovat Teams. Omezení tenanta implementovaná na podnikovém proxy serveru nebudou blokovat anonymní přístup ke schůzkám Teams, souborům SharePointu a dalším prostředkům, které nevyžadují ověření.

• Teams v současné době umožňuje uživatelům připojit se k jakékoli externě hostované schůzce pomocí své firemní nebo domovské identity. K řízení uživatelů s firemní nebo domácí identitou pro připojení k externě hostovaným schůzkám Teams můžete použít nastavení odchozího přístupu mezi tenanty.
• Omezení tenanta brání uživatelům v používání externě vydané identity pro připojení ke schůzkám Teams.

Poznámka:

Aplikace Microsoft Teams je závislá na aplikacích SharePoint Online a Exchange Online. Doporučujeme nastavit zásady TRv2 v aplikaci Office 365 místo služeb Microsoft Teams Services nebo SharePointu Online nebo Exchange Online samostatně. Pokud povolíte nebo zablokujete některou z aplikací (SPO nebo EXO atd.), která je součástí Office 365, ovlivní to také aplikace, jako je Microsoft Teams. Podobně platí, že pokud je aplikace Microsoft Teams povolená nebo blokovaná, ovlivní to SPO a EXO s aplikací Teams.

Připojení k čistě anonymní schůzce

Omezení tenanta v2 automaticky blokují veškerý neověřený a externě vydaný přístup identity k externě hostovaným schůzkám Teams. Předpokládejme například, že Společnost Contoso používá k blokování tenanta Fabrikam ovládací prvky federace Teams. Pokud někdo se zařízením Contoso používá k připojení ke schůzce Aplikace Contoso Teams účet Fabrikam, může se ke schůzce připojit jako anonymní uživatel. Pokud teď Contoso také povolí omezení tenanta v2, Teams zablokuje anonymní přístup a uživatel se nemůže ke schůzce připojit.

Připojení ke schůzce pomocí externě vydané identity

Zásady omezení tenanta v2 můžete nakonfigurovat tak, aby se konkrétní uživatelé nebo skupiny s externě vydanými identitami mohli připojovat ke konkrétním externě hostovaným schůzkám Teams. Díky této konfiguraci se uživatelé můžou přihlásit k Teams pomocí externě vydaných identit a připojit se k externě hostovaným schůzkám Teams zadaného tenanta.

Identita ověřování	Ověřená relace	Výsledek
Uživatelé člena tenanta (ověřená relace) Příklad: Uživatel používá svou domovskou identitu jako člena (například user@mytenant.com)	Ověřeno	Omezení tenanta v2 umožňují přístup ke schůzce Teams. TRv2 se nikdy nepoužije na uživatele člena tenanta. Platí zásady příchozího nebo odchozího přístupu mezi tenanty.
Anonymní (bez ověřené relace) Příklad: Uživatel se pokusí použít neověřenou relaci, například v okně prohlížeče InPrivate, pro přístup ke schůzce Teams.	Neověřováno	Omezení tenanta v2 zablokuje přístup ke schůzce Teams.
Externě vystavená identita (ověřená relace) Příklad: Uživatel používá jinou identitu než svou domovskou identitu (například user@externaltenant.com)	Ověřeno jako externě vystavená identita	Povolí nebo zablokuje přístup ke schůzce Teams na zásady omezení tenanta v2. Pokud je tato zásada povolená, může se uživatel ke schůzce připojit. Jinak je přístup zablokovaný.

Omezení tenanta v2 a SharePoint Online (Preview)

SharePoint Online podporuje omezení tenanta v2 v rovině ověřování i v rovině dat.

Ověřené relace

Pokud jsou v tenantovi povolená omezení tenanta verze 2, bude během ověřování zablokován neoprávněný přístup. Pokud uživatel přistupuje přímo k prostředku SharePointu Online bez ověřené relace, zobrazí se výzva k přihlášení. Pokud zásady omezení tenanta v2 umožňují přístup, uživatel má přístup k prostředku; jinak je přístup zablokovaný.

Anonymní přístup (Preview)

Pokud se uživatel pokusí získat přístup k anonymnímu souboru pomocí svého domovského tenanta nebo firemní identity, bude mít přístup k souboru. Pokud se ale uživatel pokusí o přístup k anonymnímu souboru pomocí jakékoli externě vydané identity, přístup se zablokuje.

Řekněme například, že uživatel používá spravované zařízení nakonfigurované s omezeními tenanta v2 pro tenanta A. Pokud vyberou anonymní přístupový odkaz vygenerovaný pro prostředek Tenant A, měli by mít přístup k prostředku anonymně. Pokud ale vyberou odkaz pro anonymní přístup vygenerovaný pro SharePoint Online tenanta B, zobrazí se jim výzva k přihlášení. Anonymní přístup k prostředkům pomocí externě vydané identity je vždy blokovaný.

Omezení tenanta v2 a OneDrive (Preview)

Ověřené relace

Pokud jsou v tenantovi povolená omezení tenanta verze 2, bude během ověřování zablokován neoprávněný přístup. Pokud uživatel přistupuje přímo k OneDrivu bez ověřené relace, zobrazí se výzva k přihlášení. Pokud zásady omezení tenanta v2 umožňují přístup, uživatel má přístup k prostředku; jinak je přístup zablokovaný.

Anonymní přístup (Preview)

Podobně jako SharePoint podporuje OneDrive omezení tenanta v2 v rovině ověřování i v rovině dat. Blokování anonymního přístupu k OneDrivu je také podporováno. Například vynucení zásad omezení tenanta v2 funguje na koncovém bodu OneDrivu (microsoft-my.sharepoint.com).

Není v oboru

OneDrive pro uživatelské účty (přes onedrive.live.com) nepodporuje omezení tenanta verze 2. Některé adresy URL (například onedrive.live.com) nejsou konvergované a používají náš starší zásobník. Když uživatel přistupuje k tenantovi příjemce OneDrivu prostřednictvím těchto adres URL, zásady se nevynucují. Jako alternativní řešení můžete blokovat https://onedrive.live.com/ na úrovni proxy serveru.

Protokoly přihlašování

Protokoly přihlašování Microsoft Entra umožňují zobrazit podrobnosti o přihlášeních pomocí zásad omezení tenanta v2. Když se uživatel B2B přihlásí k tenantovi prostředků, aby spolupracoval, vygeneruje se přihlašovací protokol v domovském tenantovi i v tenantovi prostředku. Mezi tyto protokoly patří informace, jako je použití aplikace, e-mailové adresy, název tenanta a ID tenanta pro domácího tenanta i tenanta prostředku. Následující příklad ukazuje úspěšné přihlášení:

Pokud se přihlášení nezdaří, podrobnosti o aktivitě poskytují informace o důvodu selhání:

Protokoly auditu

Protokoly auditu poskytují záznamy aktivit systému a uživatelů, včetně aktivit iniciovaných uživateli typu host. Protokoly auditu pro tenanta můžete zobrazit v části Monitorování nebo zobrazit protokoly auditu pro konkrétního uživatele tak, že přejdete na profil uživatele.

Výběrem události v protokolu získáte další podrobnosti o události, například:

Tyto protokoly můžete také exportovat z ID Microsoft Entra a pomocí nástroje pro vytváření sestav podle vašeho výběru získat přizpůsobené sestavy.

Microsoft Graph

Získání informací o zásadách pomocí Microsoft Graphu:

Žádost HTTP

• Získání výchozích zásad

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  

• Obnovit výchozí systém

  POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
  

• Získání konfigurace partnera

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
  

• Získání konkrétní konfigurace partnera

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

• Aktualizace konkrétního partnera

  PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

Text požadavku

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

Známé omezení

Omezení tenanta v2 se nevynucují s požadavkem procházející napříč cloudy.

Další kroky

Viz Konfigurace nastavení externí spolupráce pro spolupráci B2B s identitami mimo Azure AD, sociálními identitami a externími účty spravovanými mimo IT.