Restrictions de client universel
Les restrictions liées au locataire universelles améliorent la fonctionnalité de restriction liée au locataire v2 à l’aide de l’Accès global sécurisé pour baliser le trafic, quel que soit le système d’exploitation, le navigateur ou le facteur de forme de l’appareil. Cela permet la prise en charge de la connectivité cliente et réseau distante. Les administrateurs n’ont plus besoin de gérer les configurations de serveur proxy ou les configurations réseau complexes.
Les restrictions liées au locataire universelles effectuent cette mise en œuvre à l’aide d’une signalisation de stratégie basée sur l’Accès global sécurisé pour le plan d’authentification (disponibilité générale) et le plan de données (préversion). Les restrictions liées au locataire v2 permettent aux entreprises d’empêcher l’exfiltration de données par les utilisateurs utilisant des identités de locataire externes pour les applications intégrées Microsoft Entra, telles que Microsoft Graph, SharePoint Online et Exchange Online. Ces technologies fonctionnent ensemble pour empêcher l’exfiltration des données de manière universelle sur tous les appareils et réseaux.
Le tableau suivant explique les étapes effectuées à chaque point du diagramme précédent.
| Étape | Description |
|---|---|
| 1 | Contoso configure une stratégie de **restrictions liées au locataire v2** dans les paramètres d'accès interlocataires afin de bloquer les comptes et applications externes. Contoso applique la stratégie à l’aide des restrictions liées au locataire universelles Global Secure Access. |
| 2 | Un utilisateur disposant d’un appareil géré par Contoso tente d’accéder à une application intégrée Microsoft Entra avec une identité externe non approuvée. |
| 3 | Protection du plan d’authentification : à l’aide de l’ID Microsoft Entra, la stratégie de Contoso empêche les comptes externes non approuvés d’accéder aux locataires externes. |
| 4 | Protection du plan de données : si l'utilisateur tente à nouveau d'accéder à une application non approuvée externe en copiant un jeton de réponse d'authentification obtenu hors du réseau de Contoso et en le collant dans l'appareil, il est bloqué. La non-concordance des jetons déclenche une nouvelle authentification et bloque l’accès. Pour SharePoint Online, toute tentative d’accès anonyme aux ressources est bloquée. |
Les restrictions liées au locataire universelles permettent d’empêcher l’exfiltration des données entre les navigateurs, les appareils et les réseaux des manières suivantes :
- Cela permet aux applications Microsoft Entra ID, Microsoft Accounts et Microsoft de rechercher et d’appliquer la stratégie de restrictions des locataires v2 associée. Cette recherche permet une application de stratégie cohérente.
- Fonctionne avec toutes les applications tierces intégrées Microsoft Entra au niveau du plan d’authentification lors de la connexion.
- Fonctionne avec Exchange, SharePoint et Microsoft Graph pour la protection du plan de données (préversion)
Prérequis
- Les administrateurs interagissant avec les fonctionnalités d’Accès global sécurisé doivent avoir une ou plusieurs des attributions de rôles suivantes en fonction des tâches qu’ils effectuent.
- Le rôle Administrateur d’Accès global sécurisé pour gérer les fonctionnalités d’Accès global sécurisé.
- Le rôle Administrateur de l’accès conditionnel pour créer des stratégies d’accès conditionnel et interagir avec elles.
- Le produit nécessite une licence. Pour plus de détails, consultez la section sur les licences dans Qu’est-ce que l’Accès global sécurisé ?. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai gratuit.
Limitations connues
- Les fonctionnalités de protection du plan de données sont en préversion (la protection du plan d’authentification est en disponibilité générale)
- Si vous avez activé des restrictions liées au locataire universelles et que vous accédez au Centre d’administration Microsoft Entra pour l’un des locataires listés autorisés, une erreur « Accès refusé » peut s’afficher. Ajoutez l’indicateur de fonctionnalité suivant au Centre d’administration Microsoft Entra :
?feature.msaljs=true&exp.msaljsexp=true- Par exemple, vous travaillez pour Contoso et vous avez autorisé Fabrikam en tant que locataire partenaire. Vous pouvez voir le message d’erreur pour le Centre d’administration Microsoft Entra du locataire Fabrikam.
- Si vous avez reçu le message d’erreur « Accès refusé » pour cette URL :
https://entra.microsoft.com/, ajoutez l’indicateur de fonctionnalité comme suit :https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- Si vous avez reçu le message d’erreur « Accès refusé » pour cette URL :
Configurer une stratégie de restrictions liées au locataire v2
Avant qu’une organisation puisse utiliser des restrictions liées au locataire universelles, elle doit configurer les restrictions liées au locataire par défaut et les restrictions liées au locataire pour des partenaires spécifiques.
Pour plus d’informations sur la configuration de ces stratégies, consultez l’article Configurer des restrictions liées au locataire v2.
Activer l’étiquetage de restrictions liées au locataire v2
Une fois que vous avez créé les stratégies de restriction liée au locataire v2, vous pouvez utiliser Global Secure Access pour appliquer le balisage pour les restrictions liées au locataire v2. Un administrateur disposant des rôles Administrateur Global Secure Access et Administrateur de la sécurité doit effectuer les étapes suivantes pour activer l’application avec Global Secure Access.
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access.
- Accédez à Global Secure Access>Paramètres globaux>Gestion des sessions>Restrictions liées au locataire.
- Sélectionnez le bouton bascule pour Activer l’étiquetage pour appliquer des restrictions de locataire sur votre réseau.
- Cliquez sur Enregistrer.
Essayer les restrictions liées au locataire universelles
Les restrictions liées au locataire ne sont pas appliquées lorsqu’un utilisateur (ou un utilisateur invité) tente d’accéder aux ressources du locataire dans lequel les stratégies sont configurées. Les stratégies de restrictions liées au locataire sont traitées uniquement lorsqu’une identité d’un autre locataire tente de se connecter et/ou d’accéder aux ressources. Par exemple, si vous configurez une stratégie de restrictions liées au locataire v2 dans le locataire contoso.com pour bloquer toutes les organisations, excepté fabrikam.com, la stratégie s’applique en fonction du tableau suivant :
| Utilisateur | Type | Client | Stratégie TRv2 traitée ? | Accès authentifié autorisé ? | Accès anonyme autorisé ? |
|---|---|---|---|---|---|
alice@contoso.com |
Membre | contoso.com | Non (même locataire) | Oui | Non |
alice@fabrikam.com |
Membre | fabrikam.com | Oui | Oui (locataire autorisé par la stratégie) | Non |
bob@northwinds.com |
Membre | northwinds.com | Oui | Non (locataire non autorisé par la stratégie) | Non |
alice@contoso.com |
Membre | contoso.com | Non (même locataire) | Oui | Non |
bob_northwinds.com#EXT#@contoso.com |
Invité | contoso.com | Non (utilisateur invité) | Oui | Non |
Valider la protection du plan d'authentification
- Vérifiez que la signalisation des restrictions liées au locataire universelles est désactivée dans les paramètres globaux de l’Accès global sécurisé.
- Utilisez votre navigateur pour accéder à
https://myapps.microsoft.com/et vous connecter avec l’identité d’un locataire différente de la vôtre qui ne figure pas dans la liste d’autorisations d’une stratégie de restrictions liées au locataire v2. Notez que vous devrez peut-être utiliser une fenêtre de navigateur privée et/ou vous déconnecter de votre compte principal pour effectuer cette étape.- Par exemple, si votre locataire est Contoso, connectez-vous en tant qu’utilisateur Fabrikam dans le locataire Fabrikam.
- L’utilisateur Fabrikam doit pouvoir accéder au portail MyApps, car la signalisation des restrictions liées au locataire est désactivée dans l’Accès global sécurisé.
- Activer les restrictions liées au locataire universelles dans le portail Entra/Accès global sécurisé/Gestion des sessions/Restrictions liées au locataire universelles
- Déconnectez-vous du portail MyApps et redémarrez votre navigateur.
- En tant qu’utilisateur final, avec le client Accès global sécurisé en cours d’exécution, accédez à
https://myapps.microsoft.com/à l’aide de la même identité (utilisateur Fabrikam dans le locataire Fabrikam)- L’utilisateur Fabrikam ne doit pas pouvoir s’authentifier auprès de MyApps et reçoit le message d’erreur suivant :
- L’accès est bloqué. Le service informatique de Contoso a restreint les organisations qui sont accessibles. Contactez le service informatique de Contoso pour y accéder.
- L’utilisateur Fabrikam ne doit pas pouvoir s’authentifier auprès de MyApps et reçoit le message d’erreur suivant :
Valider la protection du plan de données
- Vérifiez que la signalisation des restrictions liées au locataire universelles est désactivée dans les paramètres globaux de l’Accès global sécurisé.
- Utilisez votre navigateur pour accéder à
https://yourcompany.sharepoint.com/et vous connecter avec l’identité d’un locataire différente de la vôtre qui ne figure pas dans la liste d’autorisations d’une stratégie de restrictions liées au locataire v2. Notez que vous devrez peut-être utiliser une fenêtre de navigateur privée et/ou vous déconnecter de votre compte principal pour effectuer cette étape.- Par exemple, si votre locataire est Contoso, connectez-vous en tant qu’utilisateur Fabrikam dans le locataire Fabrikam.
- L’utilisateur Fabrikam doit pouvoir accéder à SharePoint, car la signalisation des restrictions liées au locataire est désactivée dans l’Accès global sécurisé.
- Si vous le souhaitez, dans le même navigateur avec SharePoint Online ouvert, ouvrez Outils de développement ou appuyez sur F12 sur le clavier. Commencez à capturer les journaux réseau. Vous devez voir les requêtes HTTP renvoyant l’état 200 lorsque vous naviguez sur SharePoint si tout fonctionne comme prévu.
- Vérifiez que l’option Conserver le journal est activée avant de continuer.
- Gardez la fenêtre du navigateur ouverte avec les journaux.
- Activer les restrictions liées au locataire universelles dans le portail Entra/Accès global sécurisé/Gestion des sessions/Restrictions liées au locataire universelles
- En tant qu’utilisateur Fabrikam, dans le navigateur avec SharePoint Online ouvert, de nouveaux journaux s’affichent après quelques minutes. En outre, le navigateur peut s’actualiser en fonction de la demande et des réponses qui se produisent dans le back-end. Si le navigateur ne s’actualise pas automatiquement après quelques minutes, actualisez la page.
- L’utilisateur Fabrikam voit que son accès est désormais bloqué avec le message :
- L’accès est bloqué. Le service informatique de Contoso a restreint les organisations qui sont accessibles. Contactez le service informatique de Contoso pour y accéder.
- L’utilisateur Fabrikam voit que son accès est désormais bloqué avec le message :
- Dans les journaux, recherchez un état 302. Cette ligne montre les restrictions liées au locataire universelles appliquées au trafic.
- Dans la même réponse, vérifiez dans les en-têtes les informations suivantes indiquant que des restrictions client universelles ont été appliquées :
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- Dans la même réponse, vérifiez dans les en-têtes les informations suivantes indiquant que des restrictions client universelles ont été appliquées :
Étapes suivantes
L’étape suivante pour bien démarrer avec Accès Internet Microsoft Entra consiste à activer la signalisation Global Secure Access améliorée.
Pour plus d’informations sur les stratégies d’accès conditionnel de l’Accès global sécurisé, consultez les articles suivants :
Commentaires
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour