Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Univerzální omezení tenanta vylepšují funkčnost omezení tenanta v2. Používají Global Secure Access k označování veškerého provozu, bez ohledu na operační systém, prohlížeč nebo formát zařízení. Umožňují podporu připojení klienta i vzdálené sítě.
Správci už nemusí spravovat konfigurace proxy serveru ani složité konfigurace sítě. Můžou použít omezení tenanta v2 na libovolné platformě pomocí klienta globálního zabezpečeného přístupu nebo vzdálených sítí.
Když povolíte univerzální omezení tenanta, Globální zabezpečený přístup přidá informace o zásadách pro omezení tenanta v2 do síťového provozu roviny ověřování. Tento provoz pochází z Microsoft Entra ID a Microsoft Graphu. V důsledku toho musí uživatelé, kteří používají zařízení a sítě ve vaší organizaci, používat jenom autorizované externí tenanty. Toto omezení pomáhá zabránit exfiltraci dat pro všechny aplikace integrované s vaším tenantem Microsoft Entra ID prostřednictvím jednotného přihlašování (SSO).
Následující diagram znázorňuje kroky, které ukázková organizace používá k ochraně před škodlivými uživateli pomocí omezení tenanta v2.
| Krok | Popis |
|---|---|
| 1 | Společnost Contoso nakonfiguruje zásady omezení tenanta v2 v nastavení přístupu mezi tenanty tak, aby blokovaly všechny externí účty a externí aplikace. Společnost Contoso vynucuje zásady pomocí globálně zabezpečeného přístupu a omezení univerzálního klienta. |
| 2 | Uživatel se zařízením spravovaným společností Contoso se pokusí o přístup k aplikaci integrovanou v Microsoft Entra s neschválenou externí identitou. |
| 3 | Ochrana vrstvy ověřování: Pomocí ID Microsoft Entra zásady společnosti Contoso brání nezávislým externím účtům v přístupu k externím tenantům. Kromě toho platí, že pokud se token Microsoft Graphu získá prostřednictvím jiného zařízení a během jeho životnosti se do prostředí přenese, nebude možné tento token přehrát ze zařízení, která mají klienta globálního zabezpečeného přístupu nebo přes vzdálené sítě. |
| 4 | Ochrana datové roviny: Pokud je token Microsoft Graphu získán pomocí jiného zařízení a je zaveden do prostředí během jeho životnosti, tento token nelze přehrát ze zařízení s klientem Global Secure Access nebo prostřednictvím vzdálených sítí. |
Omezení univerzálního tenanta pomáhají zabránit exfiltraci dat mezi prohlížeči, zařízeními a sítěmi následujícími způsoby:
- Umožňují Microsoft Entra ID, účtům Microsoft a aplikacím Microsoft vyhledávání a prosazování přidružených zásad nájemnického omezení v2. Toto vyhledávání umožňuje konzistentní aplikaci zásad.
- Během přihlašování pracují se všemi aplikacemi třetích stran integrovanými do Microsoft Entra v rámci ověřování.
- Pomáhají chránit Microsoft Graph.
Kontrolní body pro univerzální omezení nájemců
Autentizační rovina (Microsoft Entra ID)
K vynucování autentizační úrovně dochází v době ověřování Microsoft Entra ID nebo účtu Microsoft.
Když je uživatel připojený ke klientovi globálního zabezpečeného přístupu nebo prostřednictvím vzdáleného síťového připojení, zkontroluje se zásada omezení tenanta v2 a určí, jestli má být povoleno ověřování. Pokud se uživatel přihlašuje k tenantovi organizace, zásady omezení tenanta v2 se nepoužijí. Pokud se uživatel přihlašuje k jinému klientovi, zásada bude vynucena.
Každá aplikace, která je integrovaná s Microsoft Entra ID nebo používá účet Microsoft k ověřování, podporuje univerzální omezení tenanta v rovině ověřování.
Datová rovina (Microsoft Graph)
Prosazování datové roviny se v současné době podporuje pro Microsoft Graph. Ochrana roviny dat zajišťuje, že importované artefakty ověřování se nedají přehrát ze zařízení vaší organizace, aby se data exfiltrovala. Příkladem takového artefaktu je přístupový token získaný na jiném zařízení, který obchází vynucení na úrovni ověřování definované v zásadách omezení vašeho tenanta v2.
Požadavky
- Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu, musí mít pro správu těchto funkcí roli globálního správce zabezpečeného přístupu .
- Globální zabezpečený přístup vyžaduje licenci. Podrobnosti najdete v přehledu licencování. Pokud ho ještě nemáte, můžete si koupit licenci nebo získat zkušební licenci.
- Musíte povolit profil provozu Microsoftu. Plně kvalifikované názvy domén (FQDN) a IP adresy služeb, které budou mít omezení univerzálního tenanta, musí být nastavené na režim tunelu.
- Musíte nasadit klienty globálního zabezpečeného přístupu nebo nakonfigurovat vzdálené připojení k síti.
Konfigurujte zásady omezení tenanta v2
Než budete moct použít univerzální omezení nájemce, musíte nakonfigurovat výchozí omezení nájemce a omezení nájemce pro jakékoliv specifické partnery.
Pro více informací o konfiguraci těchto politik, viz Nastavení omezení nájemníka v2.
Povolte signalizaci globálního zabezpečeného přístupu pro omezení tenanta
Po vytvoření zásad omezení nájemníka v2 můžete použít Globální bezpečný přístup pro aplikaci značkování pro účely omezení nájemníka v2. Správce, který má role globálního správce zabezpečeného přístupu i správce zabezpečení , musí provést následující kroky, aby bylo možné vynucovat globální zabezpečený přístup:
Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
Přejděte do Globální zajištěný přístup>Nastavení>Správa relací>Univerzální omezení nájemců.
Zapněte přepínač Povolit omezení tenanta pro Entra ID (pokrývající všechny cloudové aplikace).
Zkuste univerzální omezení nájemníků
Omezení tenanta se nevynucují, když se uživatel (nebo uživatel typu host) pokusí získat přístup k prostředkům v tenantovi, kde jsou zásady nakonfigurované. Zásady omezení nájemce v2 se zpracovávají jenom v případech, když se identita z jiného nájemce pokusí přihlásit nebo získat přístup k prostředkům.
Pokud například nakonfigurujete zásady omezení tenanta verze 2 v tenantovi contoso.com, aby blokoval všechny organizace s výjimkou fabrikam.com, zásada platí podle této tabulky.
| Uživatel | Typ | nájemník | Byly zpracovány zásady omezení nájemce verze 2? | Ověřený přístup je povolený? | Anonymní přístup je povolený? |
|---|---|---|---|---|---|
alice@contoso.com |
Člen | contoso.com | Ne (stejný nájemce) | Ano | Ne |
alice@fabrikam.com |
Člen | fabrikam.com | Ano | Ano (nájemce povolený zásadami) | Ne |
bob@northwindtraders.com |
Člen | northwindtraders.com | Ano | Ne (nájemce není povolen zásadami) | Ne |
alice@contoso.com |
Člen | contoso.com | Ne (stejný nájemce) | Ano | Ne |
bob_northwindtraders.com#EXT#@contoso.com |
Host | contoso.com | Ne (uživatel typu host) | Ano | Ne |
Ověřit ochranu autentizační roviny
Ujistěte se, že je v nastavení Globálního zabezpečeného přístupu vypnuté oznámení pro omezení univerzálního nájemce.
V prohlížeči přejděte na portál Moje aplikace. Přihlaste se pomocí identity z tenanta, který se liší od toho vašeho a není uveden na povoleném seznamu v rámci zásad omezení pro tenanty ve verzi 2. K provedení tohoto kroku možná budete muset použít okno privátního prohlížeče nebo se odhlásit z primárního účtu.
Pokud je vaším tenantem například Contoso, přihlaste se jako uživatel Fabrikam v tenantovi Fabrikam. Uživatel Fabrikam by měl mít přístup k portálu Moje aplikace, protože signalizace omezení univerzálního tenanta je v globálním zabezpečeném přístupu vypnutá.
Zapněte univerzální tenantová omezení v administračním centru Microsoft Entra. Přejděte na Globální zabezpečený přístup>, Správa relací> a Univerzální omezení tenanta a poté zapněte přepínač Povolit omezení tenanta pro Entra ID (pokrývající všechny cloudové aplikace).
Odhlaste se z portálu Moje aplikace a restartujte prohlížeč.
Se spuštěným klientem Globální zabezpečený přístup přejděte na portál Moje aplikace pomocí stejné identity (v předchozím příkladu je to uživatel Fabrikam v tenantovi Fabrikam).
Měli byste být zablokováni při ověřování na portálu Moje aplikace. Měla by se zobrazit chybová zpráva podobná této: Přístup je zablokovaný. Oddělení IT společnosti Contoso omezilo přístup k organizacím. Pokud chcete získat přístup, obraťte se na ODDĚLENÍ IT společnosti Contoso.
Ověření ochrany roviny dat
Ujistěte se, že je v nastavení Globálního zabezpečeného přístupu vypnuto signalizování v omezeních univerzálního tenanta.
V prohlížeči přejděte do Graph Exploreru. Přihlaste se pomocí identity z tenanta, který se liší od toho vašeho a není uveden na povoleném seznamu v rámci zásad omezení pro tenanty ve verzi 2. K provedení tohoto kroku možná budete muset použít okno privátního prohlížeče nebo se odhlásit z primárního účtu.
Pokud je vaším tenantem například Contoso, přihlaste se jako uživatel Fabrikam v tenantovi Fabrikam. Uživatel Fabrikam by měl mít přístup k Graph Exploreru, protože signalizace omezení tenanta v2 je v globálním zabezpečeném přístupu vypnutá.
Volitelně můžete ve stejném prohlížeči otevřít Graph Explorer a otevřít Vývojářské nástroje tak, že na klávesnici vyberete klávesu F12. Začněte zachytávat síťové protokoly.
Při interakci s Graph Explorerem byste měli vidět požadavky HTTP, které vrací stav
200, když všechno funguje podle očekávání. Odešlete například žádost oGETnačtení uživatelů ve vašem tenantovi.Ujistěte se, že je vybraná možnost Zachovat protokol .
Nechte okno prohlížeče otevřené s protokoly.
Zapněte univerzální tenantová omezení v administračním centru Microsoft Entra. Přejděte na Globální zabezpečený přístup>, Správa relací> a Univerzální omezení tenanta a poté zapněte přepínač Povolit omezení tenanta pro Entra ID (pokrývající všechny cloudové aplikace).
Když jste přihlášení jako jiný uživatel (uživatel Fabrikam v předchozím příkladu), zobrazí se v prohlížeči nové protokoly s otevřeným Graph Explorerem. Proces může trvat několik minut. Prohlížeč se také může aktualizovat sám na základě požadavku a odpovědí probíhajících v back-endu. Pokud se prohlížeč po několika minutách neaktualizuje, aktualizujte stránku.
Váš přístup je teď zablokovaný pomocí této zprávy: Přístup je zablokovaný. Oddělení IT společnosti Contoso omezilo přístup k organizacím. Pokud chcete získat přístup, obraťte se na ODDĚLENÍ IT společnosti Contoso.
V protokolech vyhledejte
Statushodnotu302. Tento řádek zobrazuje uplatnění univerzálních omezení nájemníka na provoz.Ve stejné odpovědi zkontrolujte následující informace v hlavičce a ověřte, že se použila omezení univerzálního tenanta:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requires";error_category="insufficient_claims"
Známá omezení
Pokud jste povolili globální omezení tenanta a přistupujete k Centru pro správu Microsoft Entra pro tenanta na seznamu povolení v2 pro omezení tenanta, může se zobrazit chyba Přístup odepřen. Chcete-li tuto chybu opravit, přidejte do Centra pro správu Microsoft Entra následující příznak funkce: ?feature.msaljs=true&exp.msaljsexp=true.
Předpokládejme například, že pracujete pro Contoso. Fabrikam, partnerský nájemce, je na seznamu povolených. Může se zobrazit chybová zpráva v centru pro správu Microsoft Entra pro tenant Fabrikam.
Pokud se pro adresu URL https://entra.microsoft.com/zobrazila chybová zpráva Přístup byl odepřen, přidejte příznak funkce následujícím způsobem: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
Podrobné informace o známých problémech a omezeních najdete v tématu Známá omezení globálního zabezpečeného přístupu.