Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Einschränkungen für universelle Mandanten verbessern die Funktionalität von Mandanteneinschränkungen v2. Sie verwenden globalen sicheren Zugriff, um den gesamten Datenverkehr unabhängig vom Betriebssystem, Browser oder Geräteformfaktor zu markieren. Sie ermöglichen die Unterstützung für Client- und Remotenetzwerkkonnektivität.
Fachkräfte in der IT-Verwaltung müssen keine Proxyserverkonfigurationen mehr oder komplexe Netzwerkkonfigurationen verwalten. Sie können Mandantenbeschränkungen v2 auf jeder Plattform anwenden, indem sie den Global Secure Access-Client oder Remotenetzwerke verwenden.
Wenn Sie universelle Mandanteneinschränkungen aktivieren, fügt Global Secure Access Richtlinieninformationen für Mandanteneinschränkungen v2 zum Netzwerkverkehr der Authentifizierungsebene hinzu. Dieser Datenverkehr stammt von Microsoft Entra ID und Microsoft Graph. Benutzende, die Geräte und Netzwerke in Ihrer Organisation nutzen, dürfen infolgedessen nur autorisierte externe Partner verwenden. Diese Einschränkung verhindert die Datenexfiltration für jede Anwendung, die mit Ihrem Microsoft Entra ID-Mandanten über einmaliges Anmelden (Single Sign-On, SSO) integriert ist.
Das folgende Diagramm zeigt die Schritte, die eine Beispielorganisation zum Schutz vor böswilligen Benutzern unter Verwendung von Mandanteneinschränkungen v2 ausführt.
| Schritt | Beschreibung |
|---|---|
| 1 | Contoso konfiguriert eine v2-Richtlinie für Mandanteneinschränkungen in seinen mandantenübergreifenden Zugriffseinstellungen, um alle externen Konten und externen Apps zu blockieren. Contoso erzwingt die Richtlinie durch den Einsatz von Global Secure Access und universellen Mandanteneinschränkungen. |
| 2 | Ein Benutzer mit einem von Contoso verwalteten Gerät versucht, auf eine von Microsoft Entra integrierte App mit einer nicht genehmigten externen Identität zuzugreifen. |
| 3 | Schutz auf Authentifizierungsebene: Mithilfe von Microsoft Entra ID blockiert die Richtlinie von Contoso den Zugriff nicht genehmigter externer Konten auf externe Mandanten. Wenn ein Microsoft Graph-Token über ein anderes Gerät abgerufen wird und innerhalb seiner Gültigkeitsdauer in die Umgebung übertragen wird, kann dieses Token zudem nicht von den Geräten wiedergegeben werden, die über den Global Secure Access-Client oder über Remotenetzwerke verfügen. |
| 4 | Schutz der Datenebene: Wenn ein Microsoft Graph-Token über ein anderes Gerät abgerufen wird und innerhalb seiner Lebensdauer in die Umgebung eingeführt wird, kann dieses Token nicht von den Geräten wiedergegeben werden, die über den globalen Secure Access-Client oder über Remotenetzwerke verfügen. |
Universelle Mandanteneinschränkungen helfen, die Datenexfiltration zwischen Browsern, Geräten und Netzwerken auf folgende Weise zu verhindern:
- Sie ermöglichen es Microsoft Entra ID, Microsoft-Konten und Microsoft-Anwendungen, die zugehörige Richtlinie von Mandanteneinschränkungen v2 zu suchen und zu erzwingen. Diese Suche ermöglicht eine konsistente Richtlinienanwendung.
- Sie funktionieren bei der Anmeldung mit allen in Microsoft Entra integrierten Drittanbieter-Apps auf der Authentifizierungsebene.
- Sie tragen zum Schutz von Microsoft Graph bei.
Erzwingungspunkte für universelle Mandanteneinschränkungen
Authentifizierungsebene (Microsoft Entra ID)
Die Erzwingung auf Authentifizierungsebene erfolgt zum Zeitpunkt der Authentifizierung mit Microsoft Entra ID oder einem Microsoft-Konto.
Wenn der Benutzer mit dem globalen Client für den sicheren Zugriff oder über eine Remotenetzwerkkonnektivität verbunden ist, wird die v2-Richtlinie für Mandanteneinschränkungen überprüft, um festzustellen, ob die Authentifizierung zulässig sein soll. Wenn sich Benutzende beim Mandanten der Organisation anmeldet, wird die Richtlinie von Mandanteneinschränkungen v2 nicht angewendet. Wenn sich der Benutzer bei einem anderen Mandanten anmeldet, gilt die Richtlinie.
Jede Anwendung, die in die Microsoft Entra-ID integriert ist oder ein Microsoft-Konto für die Authentifizierung verwendet, unterstützt universelle Mandanteneinschränkungen auf der Authentifizierungsebene.
Datenebene (Microsoft Graph)
Die Erzwingung auf Datenebene wird derzeit für Microsoft Graph unterstützt. Der Schutz der Datenebene stellt sicher, dass importierte Authentifizierungsartefakte nicht von den Geräten Ihrer Organisation wiederholt werden können, um Daten zu entwenden. Ein Beispiel für ein solches Artefakt ist ein Zugriffstoken, das auf einem anderen Gerät abgerufen wird und dabei die Erzwingungen auf Authentifizierungsebene umgeht, die in der Richtlinie von Mandanteneinschränkungen v2 festgelegt sind.
Voraussetzungen
- Administratoren, die mit globalen Features für den sicheren Zugriff interagieren, müssen über die Rolle "Globaler Administrator für sicheren Zugriff" verfügen , um diese Features zu verwalten.
- Für den globalen sicheren Zugriff ist eine Lizenz erforderlich. Ausführliche Informationen finden Sie in der Lizenzierungsübersicht. Wenn Sie noch nicht über eine Lizenz verfügen, können Sie eine Lizenz erwerben oder eine Testlizenz erhalten.
- Sie müssen ein Microsoft-Datenverkehrsprofil aktivieren. Vollqualifizierte Domänennamen (FQDNs) und IP-Adressen von Diensten, die universelle Mandanteneinschränkungen aufweisen, müssen auf den Tunnelmodus festgelegt werden.
- Sie müssen globale Clients für den sicheren Zugriff bereitstellen oder die Remotenetzwerkkonnektivität konfigurieren.
Konfigurieren der Richtlinie von Mandanteneinschränkungen v2
Bevor Sie universelle Mandanteneinschränkungen verwenden können, müssen Sie sowohl die Standardmandanteneinschränkungen als auch die Mandanteneinschränkungen für bestimmte Partner konfigurieren.
Weitere Informationen zum Konfigurieren dieser Richtlinien finden Sie unter Einrichten von Mandanteneinschränkungen v2.
Aktivieren der Global Secure Access-Signalisierung für Mandanteneinschränkungen
Nachdem Sie die Mandanteneinschränkungsrichtlinien v2 erstellt haben, können Sie den globalen sicheren Zugriff verwenden, um Tagging für Mandanteneinschränkungen v2 anzuwenden. Ein Administrator, der über die Rollen "Globaler Administrator für den sicheren Zugriff " und " Sicherheitsadministrator " verfügt, muss die folgenden Schritte ausführen, um die Erzwingung mit globalen sicheren Zugriff zu ermöglichen:
Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
Navigieren Sie zu Globaler sicherer Zugriff>Einstellungen>Sitzungsverwaltung>Universale Mandanteneinschränkungen.
Aktivieren Sie den Schalter "Mandanteneinschränkungen für Entra ID aktivieren" (für alle Cloud-Apps).
Ausprobieren der universellen Mandanteneinschränkungen
Mandanteneinschränkungen werden nicht erzwungen, wenn Benutzende (oder Gäste) versuchen, auf Ressourcen im Mandanten zuzugreifen, in dem die Richtlinien konfiguriert sind. Richtlinien von Mandanteneinschränkungen v2 werden nur verarbeitet, wenn eine Identität aus einem anderen Mandanten versucht, sich anzumelden, oder auf Ressourcen zugreift.
Wenn Sie beispielsweise eine v2-Richtlinie für Mandanteneinschränkungen im Mandanten contoso.com konfigurieren, um alle Organisationen außer fabrikam.com zu blockieren, gilt die Richtlinie gemäß dieser Tabelle:
| Benutzer | Typ | Mieter | Richtlinie von Mandanteneinschränkungen v2 verarbeitet? | Ist der authentifizierte Zugriff zulässig? | Ist der anonyme Zugriff zulässig? |
|---|---|---|---|---|---|
alice@contoso.com |
Mitglied | contoso.com | Nein (gleicher Mandant) | Ja | Nein |
alice@fabrikam.com |
Mitglied | fabrikam.com | Ja | Ja (Mandant zulässig gemäß Richtlinie) | Nein |
bob@northwindtraders.com |
Mitglied | northwindtraders.com | Ja | Nein (Mandant nicht zulässig gemäß Richtlinie) | Nein |
alice@contoso.com |
Mitglied | contoso.com | Nein (gleicher Mandant) | Ja | Nein |
bob_northwindtraders.com#EXT#@contoso.com |
Gast | contoso.com | Nein (Gastbenutzer) | Ja | Nein |
Überprüfen des Schutzes auf Authentifizierungsebene
Stellen Sie sicher, dass die Signalisierung für universelle Mandanteneinschränkungen in den Einstellungen für den globalen sicheren Zugriff deaktiviert ist.
Wechseln Sie in einem Browser zum Portal "Meine Apps". Melden Sie sich mit der Identität eines Mandanten an, der von Ihrem abweicht und nicht in der Positivliste einer Richtlinie von Mandanteneinschränkung v2 enthalten ist. Möglicherweise müssen Sie ein privates Browserfenster verwenden und/oder sich von Ihrem primären Konto abmelden, um diesen Schritt auszuführen.
Wenn Ihr Mandant beispielsweise Contoso ist, melden Sie sich als benutzende Person von Fabrikam beim Fabrikam-Mandanten an. Der Fabrikam-Benutzer sollte auf das Portal "Meine Apps" zugreifen können, da die Signalisierung für universelle Mandanteneinschränkungen im globalen sicheren Zugriff deaktiviert ist.
Aktivieren Sie einschränkungen für universelle Mandanten im Microsoft Entra Admin Center. Navigieren Sie zu Global Secure Access>Sitzungsverwaltung>Universelle Mandanteneinschränkungen, und aktivieren Sie dann die Umschaltfläche Mandanteneinschränkungen für Entra ID aktivieren (alle Cloud-Apps).
Melden Sie sich beim Portal "Meine Apps" ab, und starten Sie Ihren Browser neu.
Wechseln Sie bei ausgeführtem Global Secure Access-Client mit derselben Identität zum Portal „Meine Apps“. (Im vorherigen Beispiel wurde die benutzende Person bei Fabrikam im Fabrikam-Mandanten verwendet.)
Sie sollten daran gehindert werden, sich im Portal "Meine Apps" zu authentifizieren. Eine Fehlermeldung wie diese sollte angezeigt werden: "Der Zugriff ist blockiert. Die IT-Abteilung von Contoso hat eingeschränkt, auf welche Organisationen zugegriffen werden kann. Wenden Sie sich an die IT-Abteilung von Contoso, um Zugriff zu erhalten."
Überprüfen des Datenebenenschutzes
Stellen Sie sicher, dass die Signalisierung in universellen Mandanteneinschränkungen in den Einstellungen für den globalen sicheren Zugriff deaktiviert ist.
Wechseln Sie in einem Browser zum Graph-Explorer. Melden Sie sich mit der Identität eines Mandanten an, der von Ihrem abweicht und nicht in der Positivliste einer Richtlinie von Mandanteneinschränkung v2 enthalten ist. Um diesen Schritt auszuführen, müssen Sie möglicherweise ein privates Browserfenster verwenden und/oder sich von Ihrem primären Konto abmelden.
Wenn Ihr Mandant beispielsweise Contoso ist, melden Sie sich als benutzende Person von Fabrikam beim Fabrikam-Mandanten an. Diese benutzende Person sollte auf Graph-Explorer zugreifen können, da die Signalisierung in Mandanteneinschränkungen v2 in Global Secure Access deaktiviert ist.
Öffnen Sie optional im selben Browser mit dem geöffneten Graph-Explorer die Entwicklertools , indem Sie F12 auf der Tastatur auswählen. Beginnen Sie mit der Erfassung der Netzwerkprotokolle.
Sie sollten HTTP-Anforderungen sehen, die den Status
200zurückgeben, während Sie mit Graph-Explorer interagieren, wenn alles wie erwartet funktioniert. Senden Sie beispielsweise eineGETAnforderung zum Abrufen von Benutzern in Ihrem Mandanten.Stellen Sie sicher, dass die Option " Protokoll beibehalten " ausgewählt ist.
Lassen Sie das Browserfenster mit den Protokollen geöffnet.
Aktivieren Sie einschränkungen für universelle Mandanten im Microsoft Entra Admin Center. Navigieren Sie zu Global Secure Access>Sitzungsverwaltung>Universelle Mandanteneinschränkungen, und aktivieren Sie dann die Umschaltfläche Mandanteneinschränkungen für Entra ID aktivieren (alle Cloud-Apps).
Während Sie als anderer Benutzer angemeldet sind (der Fabrikam-Benutzer im vorherigen Beispiel), werden neue Protokolle im Browser angezeigt, wobei graph-Explorer geöffnet ist. Der Prozess kann einige Minuten dauern. Außerdem kann sich der Browser basierend auf der Anforderung und den Antworten, die im Back-End stattfinden, selbst aktualisieren. Wenn sich der Browser nach ein paar Minuten nicht selbst aktualisiert, aktualisieren Sie die Seite.
Ihr Zugriff ist jetzt mit dieser Meldung blockiert: "Der Zugriff ist blockiert. Die IT-Abteilung von Contoso hat eingeschränkt, auf welche Organisationen zugegriffen werden kann. Wenden Sie sich an die IT-Abteilung von Contoso, um Zugriff zu erhalten."
Suchen Sie in den Protokollen nach dem Wert
Statusvon302. In dieser Zeile werden universelle Mandanteneinschränkungen angezeigt, die auf den Datenverkehr angewendet werden.Überprüfen Sie in derselben Antwort die Header auf die folgenden Informationen, um zu bestätigen, dass universelle Mandanteneinschränkungen angewendet wurden:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requires";error_category="insufficient_claims"
Bekannte Einschränkungen
Wenn Sie universelle Mandanteneinschränkungen aktiviert haben und auf das Microsoft Entra Admin Center für einen Mandanten in der Zulassungsliste für Mandanteneinschränkungen v2 zugreifen, wird möglicherweise ein Fehler "Zugriff verweigert" angezeigt. Um diesen Fehler zu beheben, fügen Sie dem Microsoft Entra Admin-Center das folgende Feature-Flag hinzu: ?feature.msaljs=true&exp.msaljsexp=true.
Gehen Sie beispielsweise davon aus, dass Sie für Contoso arbeiten. Fabrikam, ein Partnermandant, ist in der Positivliste enthalten. Möglicherweise erhalten Sie die Fehlermeldung für den Fabrikam-Mandanten im Microsoft Entra Admin Center.
Wenn Sie die Fehlermeldung "Zugriff verweigert" für die URL https://entra.microsoft.com/ erhalten haben, fügen Sie das Feature-Flag wie folgt hinzu: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
Ausführliche Informationen zu bekannten Problemen und Einschränkungen finden Sie unter "Bekannte Einschränkungen für den globalen sicheren Zugriff".