Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las restricciones universales para inquilinos mejoran la funcionalidad de las restricciones para inquilinos v2. Usan acceso seguro global para etiquetar todo el tráfico independientemente del sistema operativo, el explorador o el factor de forma del dispositivo. Permiten la compatibilidad con la conectividad de red remota y cliente.
Los administradores ya no tienen que administrar configuraciones de servidor proxy ni configuraciones de red complejas. Pueden aplicar restricciones de inquilino v2 en cualquier plataforma mediante el cliente de Acceso seguro global o redes remotas.
Al habilitar las restricciones de locatario universales, Global Secure Access incorpora información de la política correspondiente a las restricciones de locatario v2 en el tráfico de red del plano de autenticación. Este tráfico procede de Microsoft Entra ID y Microsoft Graph. Como resultado, los usuarios que usan dispositivos y redes de su organización solo deben usar inquilinos externos autorizados. Esta restricción le permite evitar que se filtren datos en cualquier aplicación integrada con el inquilino de Microsoft Entra ID a través del inicio de sesión único (SSO).
En el diagrama siguiente se muestran los pasos que realiza una organización de ejemplo para ayudar a protegerse contra usuarios malintencionados mediante restricciones de inquilino v2.
| Paso | Descripción |
|---|---|
| 1 | Contoso configura una directiva de restricciones de inquilino v2 en su configuración de acceso entre inquilinos para bloquear todas las cuentas externas y las aplicaciones externas. Contoso aplica la directiva mediante el acceso seguro global y las restricciones de inquilino universal. |
| 2 | Un usuario con un dispositivo administrado por Contoso intenta acceder a una aplicación integrada de Microsoft Entra con una identidad externa no autorizada. |
| 3 | Protección del plano de autenticación: Con el identificador de Entra de Microsoft, la directiva de Contoso impide que las cuentas externas no autorizadas accedan a inquilinos externos. Además, si se obtiene un token de Microsoft Graph a través de otro dispositivo y se introduce en el entorno durante su periodo de validez, este token no puede ser reutilizado desde los dispositivos que tienen el cliente de Acceso Seguro Global ni a través de redes remotas. |
| 4 | Protección del plano de datos: Si un token de Microsoft Graph se obtiene a través de otro dispositivo y se introduce en el entorno dentro de su periodo de validez, este token no se puede reproducir desde los dispositivos que tienen el cliente de Acceso Seguro Global o a través de redes remotas. |
Las restricciones de inquilino universal ayudan a evitar la filtración de datos entre exploradores, dispositivos y redes de las siguientes maneras:
- Con esto se consigue que Microsoft Entra ID, las cuentas de Microsoft y las aplicaciones de Microsoft puedan buscar y aplicar la política de restricciones de inquilino v2 asociada. Esta búsqueda permite una aplicación coherente de la política.
- Funcionan con todas las aplicaciones de terceros integradas con Microsoft Entra en el plano de autenticación durante el inicio de sesión.
- Ayudan a proteger Microsoft Graph.
Puntos de aplicación de restricciones universales de inquilinos
Plano de autenticación (ID de Microsoft Entra)
La aplicación del plano de autenticación se produce durante la autenticación de Microsoft Entra ID o de la cuenta de Microsoft.
Cuando el usuario está conectado con el cliente de acceso seguro global o a través de la conectividad de red remota, se comprueba la directiva de restricciones de inquilino v2 para determinar si se debe permitir la autenticación. Si el usuario inicia sesión en el inquilino de la organización, no se aplica la directiva de restricciones de inquilino v2. Si el usuario inicia sesión en otro inquilino, se aplica la directiva.
Cualquier aplicación integrada con el identificador de Microsoft Entra o que use una cuenta de Microsoft para la autenticación admite restricciones de inquilino universal en el plano de autenticación.
Plano de datos (Microsoft Graph)
Actualmente, se admite la implementación del plano de datos para Microsoft Graph. La protección del plano de datos asegura que los artefactos de autenticación importados no se puedan reutilizar desde los dispositivos de su organización para exfiltrar datos. Un ejemplo de este artefacto es un token de acceso que se obtiene en otro dispositivo y elude los controles del mecanismo de autenticación definidos en la directiva de restricciones de inquilino v2.
Requisitos previos
- Los administradores que interactúan con las características de acceso seguro global deben tener el rol Administrador de acceso seguro global para administrar esas características.
- El acceso seguro global requiere una licencia. Para obtener más información, consulte Introducción a las licencias. Si aún no tiene una, puede comprar una licencia o obtener una licencia de prueba.
- Debe habilitar un perfil de tráfico de Microsoft. Los nombres de dominio completos (FQDN) y las direcciones IP de los servicios que tendrán restricciones de inquilino universal deben establecerse en modo de túnel.
- Debe implementar clientes de acceso seguro global o configurar la conectividad de red remota.
Configurar la política de restricciones del arrendatario v2
Para poder usar restricciones de inquilino universal, debe configurar las restricciones de inquilino predeterminadas y las restricciones de inquilino para cualquier asociado específico.
Para obtener más información sobre cómo configurar estas directivas, consulte Configuración de restricciones de inquilino v2.
Activar la señalización de acceso seguro global para las restricciones del inquilino
Después de crear las directivas de restricciones de inquilino v2, puede usar el acceso seguro global para realizar el etiquetado de las restricciones de inquilino v2. Un administrador que tenga los roles Administrador de acceso seguro global y Administrador de seguridad debe seguir los pasos siguientes para habilitar la aplicación con acceso seguro global:
Inicie sesión en el Centro de administración de Microsoft Entra como administrador de acceso seguro global.
Vaya a Global Secure Access>Configuración>Administración de Sesiones>Restricciones Universales de Arrendatario.
Active el interruptor Habilitar restricciones de inquilino para Entra ID (que cubre todas las aplicaciones en la nube).
Intenta restricciones universales para inquilinos
Las restricciones de inquilino no se aplican cuando un usuario (o un usuario invitado) intenta acceder a los recursos del inquilino donde están configuradas las directivas. Las políticas de restricciones de inquilino v2 solo se procesan cuando la identidad de otro inquilino intenta iniciar sesión o acceder a los recursos.
Por ejemplo, si configura una directiva de restricciones de inquilino v2 en el inquilino contoso.com para bloquear todas las organizaciones excepto fabrikam.com, la directiva se aplica de acuerdo con esta tabla:
| Usuario | Tipo | Inquilino | ¿Se ha procesado la política de restricciones de inquilino v2? | ¿Se permite el acceso autenticado? | ¿Se permite el acceso anónimo? |
|---|---|---|---|---|---|
alice@contoso.com |
Miembro | contoso.com | No (mismo inquilino) | Sí | No |
alice@fabrikam.com |
Miembro | fabrikam.com | Sí | Sí (inquilino permitido por la directiva) | No |
bob@northwindtraders.com |
Miembro | northwindtraders.com | Sí | No (inquilino no permitido por la directiva) | No |
alice@contoso.com |
Miembro | contoso.com | No (mismo inquilino) | Sí | No |
bob_northwindtraders.com#EXT#@contoso.com |
Invitado | contoso.com | No (usuario invitado) | Sí | No |
Validación de la protección del plano de autenticación
Asegúrese de que la señalización de restricciones de inquilino universal está desactivada en la configuración de Acceso seguro global.
En un navegador, vaya al portal de Mis Aplicaciones. Inicie sesión con la identidad de un inquilino diferente a la suya y que no esté en la lista de permitidos según la directiva de restricciones de inquilino v2. Es posible que tenga que usar una ventana del explorador privado o cerrar la sesión de la cuenta principal para realizar este paso.
Por ejemplo, si el inquilino es Contoso, inicie sesión como un usuario de Fabrikam en el inquilino de Fabrikam. El usuario de Fabrikam debe poder acceder al portal Mis aplicaciones, ya que la señalización de restricciones de inquilino universal está desactivada en Acceso seguro global.
Active las restricciones de inquilino universal en el Centro de administración de Microsoft Entra. Vaya a Global Secure Access>Session Management>Universal Tenant Restrictions, y luego active el interruptor Habilitar restricciones de arrendatarios para Entra ID (que cubre todas las aplicaciones en la nube).
Cierre sesión en el portal Mis aplicaciones y reinicie el explorador.
Con el cliente de Global Secure Access en ejecución, vaya al portal Mis aplicaciones mediante la misma identidad (en el ejemplo anterior, el usuario de Fabrikam en la entidad de Fabrikam).
Debería estar bloqueado y no poder autenticarse en el portal de Aplicaciones. Aparecerá un mensaje de error similar al siguiente: "El acceso está bloqueado. El departamento de TI de Contoso ha restringido el acceso a las organizaciones. Póngase en contacto con el departamento de TI de Contoso para obtener acceso".
Validación de la protección del plano de datos
Asegúrese de que la señalización en las restricciones de inquilino universal está desactivada en la configuración de Acceso seguro global.
En un explorador, vaya al Explorador de Graph. Inicie sesión con la identidad de un inquilino diferente a la suya y que no esté en la lista de permitidos según la directiva de restricciones de inquilino v2. Para realizar este paso, es posible que tenga que usar una ventana privada del explorador o cerrar la sesión de la cuenta principal.
Por ejemplo, si el inquilino es Contoso, inicie sesión como un usuario de Fabrikam en el inquilino de Fabrikam. El usuario de Fabrikam debe poder acceder al Explorador de Graph, ya que la señalización en las restricciones de inquilino v2 está desactivada en Acceso seguro global.
Opcionalmente, en el mismo explorador con el Explorador de Graph abierto, abra Herramientas de desarrollo seleccionando F12 en el teclado. Empieza a capturar los registros de red.
Deberías ver las solicitudes HTTP que devuelven el estado
200a medida que interactúas con Graph Explorer cuando todo está funcionando como se espera. Por ejemplo, envíe una solicitudGETpara obtener los usuarios del inquilino.Asegúrese de que está seleccionada la opción Conservar registro .
Mantén abierta la ventana del explorador con los registros.
Active las restricciones de inquilino universal en el Centro de administración de Microsoft Entra. Vaya a Global Secure Access>Session Management>Universal Tenant Restrictions, y luego active el interruptor Habilitar restricciones de arrendatarios para Entra ID (que cubre todas las aplicaciones en la nube).
Mientras haya iniciado sesión como otro usuario (el usuario de Fabrikam en el ejemplo anterior), los nuevos registros aparecen en el explorador con el Explorador de Graph abierto. Este proceso puede tardar unos minutos. Además, el explorador puede actualizarse a sí mismo, en función de la solicitud y las respuestas que se producen en el back-end. Si el explorador no se actualiza después de un par de minutos, actualice la página.
El acceso ahora está bloqueado con este mensaje: "El acceso está bloqueado. El departamento de TI de Contoso ha restringido el acceso a las organizaciones. Póngase en contacto con el departamento de TI de Contoso para obtener acceso".
En los registros, busque el valor
Statusde302. En esta fila se muestran las restricciones de inquilino universales que se aplican al tráfico.En la misma respuesta, compruebe los encabezados para obtener la siguiente información y confirmar que se han aplicado las restricciones universales de inquilino:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requires";error_category="insufficient_claims"
Restricciones conocidas
Si ha habilitado las restricciones universales de inquilino y accede al centro de administración de Microsoft Entra con un inquilino que está en la lista de permitidos de restricciones de inquilino v2, es posible que reciba el error "Acceso denegado". Para corregir este error, agregue la siguiente marca de característica al Centro de administración de Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true.
Por ejemplo, supongamos que trabaja para Contoso. Fabrikam, un inquilino asociado, está en la lista blanca. Es posible que le aparezca un mensaje de error en el portal de administración de Microsoft Entra del inquilino de Fabrikam.
Si recibió el mensaje de error "Acceso denegado" para la dirección URL https://entra.microsoft.com/, agregue la marca de característica de la siguiente manera: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home.
Para obtener información detallada sobre los problemas conocidos y las limitaciones, consulte Limitaciones conocidas del acceso seguro global.