Einschränkungen für universelle Mandanten

Universelle Mandanteneinschränkungen erweitern die Funktionalität von Mandanteneinschränkung V2 durch die Verwendung von „globaler sicherer Zugriff“, um den gesamten Datenverkehr unabhängig vom Betriebssystem, Browser oder Geräteformfaktor zu kennzeichnen. Dies ermöglicht eine Unterstützung für Client- und Remotenetzwerkkonnektivität. Fachkräfte in der IT-Verwaltung müssen keine Proxyserverkonfigurationen mehr oder komplexe Netzwerkkonfigurationen verwalten.

Universelle Mandanteneinschränkungen führen diese Erzwingung durch, indem auf Global Secure Access basierende Richtliniensignalisierung sowohl für die Authentifizierungsebene (allgemein verfügbar) als auch für die Datenebene (Vorschau) verwendet wird. Mandanteneinschränkungen V2 ermöglicht Unternehmen die Verhinderung von Datenexfiltration durch Benutzer, die externe Mandantenidentitäten für integrierte Microsoft Entra-Anwendungen wie Microsoft Graph, SharePoint Online und Exchange Online verwenden. Diese Technologien arbeiten zusammen, um Datenexfiltration universell auf allen Geräten und Netzwerken zu verhindern.

In der folgenden Tabelle werden die Schritte erläutert, die an jedem Punkt im vorherigen Diagramm ausgeführt werden.

Schritt	Beschreibung
1	Contoso konfiguriert die **Mandanteneinschränkung V2**-Richtlinie in seinen mandantenübergreifenden Zugriffseinstellungen, um alle externen Konten und externen Apps zu blockieren. Contoso setzt die Richtlinie mithilfe von universellen Mandanteneinschränkungen für den globalen sicheren Zugriff durch.
2	Ein Benutzer mit einem von Contoso verwalteten Gerät versucht, auf eine integrierte Microsoft Entra-App mit einer nicht genehmigten externen Identität zuzugreifen.
3	Schutz auf Authentifizierungsebene: Mit Microsoft Entra ID hindert die Richtlinie von Contoso nicht genehmigten externen Konten daran, auf externe Mandanten zuzugreifen.
4	Schutz der Datenebene: Wenn der Benutzer erneut versucht, auf eine externe, nicht genehmigte Anwendung zuzugreifen, indem er ein Authentifizierungs-Antwort-Token kopiert, das er außerhalb des Contoso-Netzwerks erhalten hat, und es in das Gerät einfügt, wird er blockiert. Der Tokenkonflikt löst eine erneute Authentifizierung aus und blockiert den Zugriff. Bei SharePoint Online wird jeder Versuch, anonym auf Ressourcen zuzugreifen, blockiert.

Einschränkungen für universelle Mandanten tragen dazu bei, Datenexfiltration über Browser, Geräte und Netzwerke hinweg auf folgende Weise zu verhindern:

• Damit können Microsoft Entra ID, Microsoft-Konten und Microsoft-Anwendungen die zugehörige zweite Version der Richtlinie für Mandanteneinschränkungen aufrufen und erzwingen. Diese Suche ermöglicht eine konsistente Richtlinienanwendung.
• Funktioniert bei der Anmeldung mit allen integrierten Microsoft Entra-Apps von Drittanbietern auf der Authentifizierungsebene.
• Funktioniert mit Exchange, SharePoint und Microsoft Graph für den Schutz auf Datenebene (Vorschau)

Voraussetzungen

• Administratoren, die Features des globalen sicheren Zugriffs verwenden, müssen abhängig von den durch sie ausgeführten Aufgaben über die folgenden Rollenzuweisungen verfügen.
  • Die Rolle „Administrator für globalen sicheren Zugriff“ zum Verwalten der Features des globalen sicheren Zugriffs.
  • Die Rolle Administrator für bedingten Zugriff zum Erstellen und Verwenden von Richtlinien für bedingten Zugriff
• Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.

Bekannte Einschränkungen

• Schutzfunktionen für die Datenebene befinden sich in der Vorschau (Authentifizierungsebenenschutz ist allgemein verfügbar).
• Wenn Sie universelle Mandanteneinschränkungen aktiviert haben und für einen der Mandanten auf der Positivliste auf das Microsoft Entra Admin Center zugreifen, wird möglicherweise der Fehler „Zugriff verweigert“ angezeigt. Fügen Sie dem Microsoft Entra Admin Center das folgende Featureflag hinzu:
  • ?feature.msaljs=true&exp.msaljsexp=true
  • Ein Beispiel: Sie arbeiten für Contoso und haben Fabrikam als Partnermandanten zugelassen. Möglicherweise wird die Fehlermeldung für die Microsoft Entra Admin Center-Instanz des Fabrikam-Mandanten angezeigt.
    • Wenn Sie die Fehlermeldung „Zugriff verweigert“ für die URL https://entra.microsoft.com/ erhalten haben, fügen Sie das Featureflag wie folgt hinzu: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Konfigurieren der Richtlinie für die Mandanteneinschränkung V2

Bevor eine Organisation universelle Mandanteneinschränkungen verwenden kann, müssen sowohl die Standardmandanteneinschränkungen als auch die Mandanteneinschränkungen für bestimmte Partner konfiguriert werden.

Weitere Informationen zum Konfigurieren dieser Richtlinien finden Sie im Artikel Einrichten von Mandanteneinschränkungen V2.

Aktivieren des Taggings für Mandanteneinschränkungen V2

Nachdem Sie die Mandanteneinschränkungsrichtlinien V2 erstellt haben, können Sie den globalen sicheren Zugriff verwenden, um das Tagging für Mandanteneinschränkungen V2 anzuwenden. Eine Fachkraft in der IT-Verwaltung mit den Rollen Globaler Sicherheitszugriffsadministrator sowie Sicherheitsadministrator muss die folgenden Schritte ausführen, um die Durchsetzung mit dem globalen sicheren Zugriff zu ermöglichen.

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
2. Wechseln Sie zu Globaler sicherer Zugriff>Globale Einstellungen>Sitzungsverwaltung>Mandanteneinschränkungen.
3. Wählen Sie die Umschaltfläche „Tagging aktivieren“ aus, um Mandanteneinschränkungen in Ihrem Netzwerk zu erzwingen.
4. Wählen Sie Speichern.

Einschränkungen für universelle Mandanten

Mandanteneinschränkungen werden nicht erzwungen, wenn ein Benutzer (oder ein Gastbenutzer) versucht, auf Ressourcen im Mandanten zuzugreifen, in dem die Richtlinien konfiguriert sind. Richtlinien für Mandanteneinschränkungen werden nur verarbeitet, wenn eine Identität von einem anderen Mandanten versucht, sich anmelden und/oder auf Ressourcen zugreift. Wenn Sie beispielsweise eine Richtlinie für Mandanteneinschränkungen (V2) im Mandanten contoso.com so konfigurieren, dass alle Organisationen außer von fabrikam.com blockiert werden, gilt die Richtlinie gemäß dieser Tabelle:

Benutzer	type	Mandant	Wurde die TRv2-Richtlinie verarbeitet?	Ist der authentifizierte Zugriff zulässig?	Ist der anonyme Zugriff zulässig?
alice@contoso.com	Member	contoso.com	Nein (gleicher Mandant)	Ja	No
alice@fabrikam.com	Member	fabrikam.com	Ja	Ja (Mandant zulässig gemäß Richtlinie)	No
bob@northwinds.com	Member	northwinds.com	Ja	Nein (Mandant nicht durch Richtlinie zulässig)	No
alice@contoso.com	Member	contoso.com	Nein (gleicher Mandant)	Ja	No
bob_northwinds.com#EXT#@contoso.com	Gast	contoso.com	Nein (Gastbenutzer)	Ja	No

Überprüfen des Schutzes für die Authentifizierungsebene

1. Stellen Sie sicher, dass die Signalisierung für universelle Mandanteneinschränkungen in den globalen Einstellungen für „globaler sicherer Zugriff“ deaktiviert ist.
2. Verwenden Sie Ihren Browser, um zu https://myapps.microsoft.com/ zu navigieren und sich mit der Identität eines Mandanten anzumelden, der nicht in einer Mandanteneinschränkung-Richtlinie (V2) aufgeführt ist. Beachten Sie, dass Sie möglicherweise ein privates Browserfenster verwenden müssen und/oder sich bei Ihrem primären Konto abmelden müssen, um diesen Schritt auszuführen.
   1. Wenn Ihr Mandant beispielsweise Contoso ist, melden Sie sich als Fabrikam-Benutzer im Fabrikam-Mandanten an.
   2. Der Fabrikam-Benutzer sollte auf das MyApps-Portal zugreifen können, da die Signalisierung von Mandanteneinschränkungen in „globaler sicherer Zugriff“ deaktiviert ist.
3. Aktivieren Sie die Einschränkungen für universelle Mandanten im Entra-Portal/in „globaler sicherer Zugriff“/in der Sitzungsverwaltung/in den universellen Mandanteneinschränkungen.
4. Melden Sie sich beim MyApps-Portal ab, und starten Sie Ihren Browser neu.
5. Greifen Sie als Endbenutzer mit ausgeführtem Client für „globaler sicherer Zugriff“ auf https://myapps.microsoft.com/ mit derselben Identität zu (Fabrikam-Benutzer im Fabrikam-Mandanten)
   1. Der Fabrikam-Benutzer sollte die Authentifizierung für MyApps mit der folgenden Fehlermeldung blockieren:
      1. Der Zugriff ist blockiert. Die IT-Abteilung von Contoso hat den Zugriff auf bestimmte Organisationen eingeschränkt. Wenden Sie sich an die IT-Abteilung von Contoso, um Zugriff zu erhalten.

Überprüfen des Datenebenenschutzes

1. Stellen Sie sicher, dass die Signalisierung für universelle Mandanteneinschränkungen in den globalen Einstellungen für „globaler sicherer Zugriff“ deaktiviert ist.
2. Verwenden Sie Ihren Browser, um zu https://yourcompany.sharepoint.com/ zu navigieren und sich mit der Identität eines Mandanten anzumelden, der nicht in einer Mandanteneinschränkung-Richtlinie (V2) aufgeführt ist. Beachten Sie, dass Sie möglicherweise ein privates Browserfenster verwenden müssen und/oder sich bei Ihrem primären Konto abmelden müssen, um diesen Schritt auszuführen.
   1. Wenn Ihr Mandant beispielsweise Contoso ist, melden Sie sich als Fabrikam-Benutzer im Fabrikam-Mandanten an.
   2. Der Fabrikam-Benutzer sollte auf SharePoint zugreifen können, da die Signalisierung von Mandanteneinschränkungen in „globaler sicherer Zugriff“ deaktiviert ist.
3. Öffnen Sie optional im selben Browser SharePoint Online, und öffnen Sie die Entwicklertools, oder drücken Sie F12 auf der Tastatur. Beginnen Sie mit der Erfassung der Netzwerkprotokolle. Sie sollten während der Navigation in SharePoint HTTP-Anforderungen sehen, die den Status 200 zurückgeben, wenn alles wie erwartet funktioniert.
4. Stellen Sie sicher, dass die Option Protokoll beibehalten aktiviert ist, bevor Sie fortfahren.
5. Lassen Sie das Browserfenster mit den Protokollen geöffnet.
6. Aktivieren Sie die Einschränkungen für universelle Mandanten im Entra-Portal/in „globaler sicherer Zugriff“/in der Sitzungsverwaltung/in den universellen Mandanteneinschränkungen.
7. Wenn Sie als Fabrikam-Benutzer im Browser SharePoint Online öffnen, erscheinen innerhalb weniger Minuten neue Protokolle. Außerdem kann sich der Browser auf der Grundlage der Anfragen und Antworten, die im Back-End erfolgen, selbst aktualisieren. Wenn der Browser nach ein paar Minuten nicht automatisch aktualisiert wird, aktualisieren Sie die Seite.
   1. Der Fabrikam-Benutzer sieht, dass sein Zugriff jetzt blockiert ist:
      1. Der Zugriff ist blockiert. Die IT-Abteilung von Contoso hat den Zugriff auf bestimmte Organisationen eingeschränkt. Wenden Sie sich an die IT-Abteilung von Contoso, um Zugriff zu erhalten.
8. Suchen Sie in den Protokollen nach einem Status 302. In dieser Zeile werden universelle Mandanteneinschränkungen angezeigt, die auf den Datenverkehr angewendet werden.
   1. Überprüfen Sie in derselben Antwort die Kopfzeilen auf die folgenden Informationen, aus denen hervorgeht, dass universelle Mieterbeschränkungen angewendet wurden:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

Nächste Schritte

Der nächste Schritt für den Einstieg in Microsoft Entra Internetzugriff besteht darin, die Protokolle für einen erweiterten globalen sicheren Zugriff zu überprüfen.

Weitere Informationen zu Richtlinien für bedingten Zugriff für „globaler sicherer Zugriff“ finden Sie in den folgenden Artikeln:

• Einrichten von Mandanteneinschränkungen V2
• Wiederherstellung der Quell-IP-Adresse
• Aktivieren der konformen Netzwerküberprüfung mit bedingtem Zugriff