Omezení univerzálního tenanta
Omezení univerzálního tenanta vylepšují funkce omezení tenanta v2 pomocí globálního zabezpečeného přístupu k označení veškerého provozu bez ohledu na to, jestli jde o operační systém, prohlížeč nebo faktor formuláře zařízení. Umožňuje podporu připojení klienta i vzdálené sítě. Správci už nemusí spravovat konfigurace proxy serveru ani složité konfigurace sítě.
Omezení univerzálního tenanta toto vynucování používá k signalizaci zásad založených na globálním zabezpečeném přístupu pro rovinu ověřování (obecně dostupná) i rovinu dat (Preview). Omezení tenanta v2 umožňují podnikům zabránit exfiltraci dat uživateli pomocí externích identit tenantů pro integrované aplikace Microsoft Entra, jako jsou Microsoft Graph, SharePoint Online a Exchange Online. Tyto technologie spolupracují, aby se zabránilo univerzálnímu exfiltraci dat napříč všemi zařízeními a sítěmi.
Následující tabulka vysvětluje kroky prováděné v každém bodě předchozího diagramu.
Krok | Description |
---|---|
1 | Společnost Contoso nakonfiguruje zásadu **omezení tenanta v2 ** v nastavení přístupu mezi tenanty tak, aby blokovala všechny externí účty a externí aplikace. Společnost Contoso vynucuje zásadu pomocí univerzálních omezení globálního zabezpečeného přístupu. |
2 | Uživatel se zařízením spravovaným společností Contoso se pokusí o přístup k integrované aplikaci Microsoft Entra s neschválené externí identitou. |
3 | Ochrana roviny ověřování: Pomocí ID Microsoft Entra blokuje zásady společnosti Contoso neschválené externí účty v přístupu k externím tenantům. |
4 | Ochrana roviny dat: Pokud se uživatel znovu pokusí o přístup k externí neschválené aplikaci zkopírováním ověřovacího tokenu odpovědi, který získal mimo síť společnosti Contoso a vloží ho do zařízení, bude blokovaný. Neshoda tokenů aktivuje opětovné ověření a blokuje přístup. U SharePointu Online se všechny pokusy o anonymní přístup k prostředkům zablokují. |
Omezení univerzálního tenanta pomáhají zabránit exfiltraci dat mezi prohlížeči, zařízeními a sítěmi následujícími způsoby:
- Umožňuje aplikaci Microsoft Entra ID, účty Microsoft a aplikace Microsoftu vyhledat a vynutit související zásady omezení tenanta v2. Toto vyhledávání umožňuje konzistentní aplikaci zásad.
- Pracuje se všemi aplikacemi třetích stran integrovanými microsoft Entra v rovině ověřování během přihlašování.
- Funguje s Exchangem, SharePointem a Microsoft Graphem pro ochranu roviny dat (Preview)
Požadavky
- Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu , musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí.
- Role globálního správce zabezpečeného přístupu pro správu funkcí globálního zabezpečeného přístupu.
- Správce podmíněného přístupu pro vytváření a interakci se zásadami podmíněného přístupu.
- Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
Známá omezení
- Možnosti ochrany roviny dat jsou ve verzi Preview (obecně dostupná ochrana roviny ověřování)
- Pokud používáte omezení univerzálního tenanta a přistupujete k Centru pro správu Microsoft Entra ke správě partnerského tenanta povoleného zásadami omezení tenanta v2, může dojít k chybám autorizace. Chcete-li tento problém vyřešit, musíte přidat
?exp.msaljsoptedoutextensions=%7B%7D
parametr dotazu do adresy URL Centra pro správu Microsoft Entra (napříkladhttps://entra.microsoft.com/?exp.msaljsoptedoutextensions=%7B%7D
).
Konfigurace zásad omezení tenanta v2
Než může organizace používat omezení univerzálního tenanta, musí nakonfigurovat výchozí omezení tenanta i omezení tenanta pro konkrétní partnery.
Další informace o konfiguraci těchto zásad najdete v článku Nastavení omezení tenanta v2.
Povolení označování pro omezení tenanta v2
Po vytvoření zásad omezení tenanta v2 můžete použít globální zabezpečený přístup k použití značek pro omezení tenanta v2. Správce s rolí globálního správce zabezpečeného přístupu i správce zabezpečení musí provést následující kroky, aby bylo možné vynucovat globální zabezpečený přístup.
- Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
- Přejděte na globální omezení správy relací řízení>zabezpečeného přístupu>>pro univerzálního tenanta.
- Pokud chcete povolit omezení tenanta pro ID Entra (pokrývající všechny cloudové aplikace), vyberte přepínač.
Vyzkoušet omezení univerzálního tenanta
Omezení tenanta se nevynucují, když se uživatel (nebo uživatel typu host) pokusí získat přístup k prostředkům v tenantovi, kde jsou zásady nakonfigurované. Zásady omezení tenanta v2 se zpracovávají jenom v případech, kdy se identita z jiného tenanta pokusí přihlásit nebo získat přístup k prostředkům. Pokud například nakonfigurujete zásadu Omezení tenanta v2 v tenantovi contoso.com
tak, aby blokovala všechny organizace s výjimkou fabrikam.com
, budou se tyto zásady vztahovat podle této tabulky:
Uživatelská | Typ | Tenant | Zpracované zásady TRv2? | Ověřený přístup je povolený? | Anonymní přístup je povolený? |
---|---|---|---|---|---|
alice@contoso.com |
Člen | contoso.com | Ne(stejný tenant) | Yes | No |
alice@fabrikam.com |
Člen | fabrikam.com | Ano | Ano(tenant povolený zásadami) | No |
bob@northwinds.com |
Člen | northwinds.com | Ano | Ne(tenant nepovoluje zásady) | No |
alice@contoso.com |
Člen | contoso.com | Ne(stejný tenant) | Yes | No |
bob_northwinds.com#EXT#@contoso.com |
Host | contoso.com | Ne(uživatel typu host) | Yes | No |
Ověření ochrany roviny ověřování
- Ujistěte se, že je v globálním nastavení zabezpečeného přístupu vypnutá signalizace omezení univerzálního tenanta.
- V prohlížeči přejděte k
https://myapps.microsoft.com/
identitě z jiného tenanta a přihlaste se s použitím identity, která není v zásadách omezení tenanta verze 2 uvedená v seznamu povolených. Nezapomeňte, že k provedení tohoto kroku možná budete muset použít okno privátního prohlížeče nebo se odhlásit z primárního účtu.- Pokud je vaším tenantem například Contoso, přihlaste se jako uživatel Fabrikam v tenantovi Fabrikam.
- Uživatel Fabrikam by měl mít přístup k portálu MyApps, protože v globálním zabezpečeném přístupu je zakázaná signalizace omezení tenanta.
- Zapněte omezení univerzálního tenanta v Centru pro správu Microsoft Entra –> Globální zabezpečený přístup –> Správa relací –> Omezení univerzálního tenanta.
- Odhlaste se z portálu MyApps a restartujte prohlížeč.
- Jako koncový uživatel se spuštěným klientem globálního zabezpečeného přístupu používá přístup
https://myapps.microsoft.com/
se stejnou identitou (uživatel Fabrikam v tenantovi Fabrikam).- Uživateli Fabrikam by mělo být zablokováno ověřování v Aplikaci MyApps s chybovou zprávou: Access je zablokovaný, oddělení IT společnosti Contoso omezilo přístup k organizacím. Pokud chcete získat přístup, obraťte se na ODDĚLENÍ IT společnosti Contoso.
Ověření ochrany roviny dat
- Ujistěte se, že je v globálním nastavení zabezpečeného přístupu vypnutá signalizace omezení univerzálního tenanta.
- V prohlížeči přejděte k
https://yourcompany.sharepoint.com/
identitě z jiného tenanta a přihlaste se s použitím identity, která není uvedená v zásadách omezení tenanta v2. Nezapomeňte, že k provedení tohoto kroku možná budete muset použít okno privátního prohlížeče nebo se odhlásit z primárního účtu.- Pokud je vaším tenantem například Contoso, přihlaste se jako uživatel Fabrikam v tenantovi Fabrikam.
- Uživatel Fabrikam by měl mít přístup k SharePointu, protože v globálním zabezpečeném přístupu je zakázaná signalizace omezení tenanta v2.
- Volitelně můžete ve stejném prohlížeči otevřít SharePoint Online, otevřít Vývojářské nástroje nebo stisknout klávesu F12 na klávesnici. Začněte zachytávat síťové protokoly. Při procházení SharePointu byste měli vidět požadavky HTTP, které vrací stav
200
, když všechno funguje podle očekávání. - Než budete pokračovat, ujistěte se, že je zaškrtnuté políčko Zachovat protokol .
- Nechte okno prohlížeče otevřené s protokoly.
- Zapněte omezení univerzálního tenanta v Centru pro správu Microsoft Entra –> Globální zabezpečený přístup –> Správa relací –> Omezení univerzálního tenanta.
- Jako uživatel Fabrikam se během několika minut zobrazí nové protokoly v prohlížeči s otevřeným SharePointem Online. Prohlížeč se také může aktualizovat na základě požadavku a odpovědí probíhajících v back-endu. Pokud se prohlížeč po několika minutách automaticky neaktualizuje, aktualizujte stránku.
- Uživatel Fabrikam uvidí, že je teď jeho přístup zablokovaný zprávou: Přístup je zablokovaný, oddělení IT společnosti Contoso omezilo, ke kterým organizacím je možné přistupovat. Pokud chcete získat přístup, obraťte se na ODDĚLENÍ IT společnosti Contoso.
- V protokolech vyhledejte stav
302
. Tento řádek zobrazuje omezení univerzálního tenanta použitá pro provoz.- Ve stejné odpovědi zkontrolujte hlavičky následujících informací, které identifikují, že se použila omezení univerzálního tenanta:
Restrict-Access-Confirm: 1
x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- Ve stejné odpovědi zkontrolujte hlavičky následujících informací, které identifikují, že se použila omezení univerzálního tenanta: