Configurer les restrictions liées au locataire v2

S’applique à : Les locataires de main-d’œuvre Locataires externes (en savoir plus)

Remarque

Certaines fonctionnalités décrites dans cet article sont des fonctionnalités d'évaluation. Pour plus d’informations sur les préversions, consultez Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure.

Pour renforcer la sécurité, vous pouvez limiter l'accès des utilisateurs qui se connectent avec un compte externe depuis vos réseaux ou vos appareils. Les paramètres de restrictions de locataire , inclus avec les paramètres d’accès interlocataire, vous permettent de créer une stratégie pour contrôler l’accès aux applications externes.

Par exemple, supposons qu’un utilisateur de votre organisation a créé un compte distinct dans un locataire inconnu, ou qu’une organisation externe a donné à votre utilisateur un compte qui lui permet de se connecter à son organisation. Vous pouvez utiliser les restrictions liées au locataire pour empêcher l'utilisateur d'accéder à certaines applications externes (ou à l'ensemble d'entre elles) lorsqu'il se connecte avec un compte externe à votre réseau ou vos appareils.

Le diagramme suivant montre les étapes qu’une organisation d’exemple prend pour empêcher l’accès utilisateur à l’aide des restrictions de locataire v2.

Étape	Descriptif
1	Contoso configure les restrictions de locataire dans ses paramètres d’accès interlocataire pour bloquer tous les comptes externes et les applications externes. Contoso ajoute la signalisation d’application avec l’en-tête des restrictions de locataire v2 via les restrictions de locataire universelles v2 ou un proxy d’entreprise. Microsoft Entra ID applique la stratégie de restrictions de locataire v2 lorsque l’en-tête est présent sur la demande.
2	L’utilisateur d’un appareil géré par Contoso tente de se connecter à une application externe à l’aide d’un compte d’un locataire inconnu. L'en-tête HTTP des restrictions v2 du locataire, contenant l'ID de locataire de Contoso et l'ID de stratégie pour les restrictions de locataire, est ajouté à la requête d'authentification.
3	Protection du plan d’authentification : Microsoft Entra ID applique les restrictions de locataire v2 de Contoso et empêche les comptes externes d’accéder aux locataires externes pendant l’authentification.
4	Protection du plan de données (préversion) : Microsoft Entra ID bloque tout accès anonyme à Microsoft Forms, aux fichiers SharePoint ou aux réunions Microsoft Teams. Microsoft Entra ID bloque également l’accès utilisateur à la ressource avec un jeton infiltré.

Les restrictions de locataire v2 offrent des options pour les deux types de protection suivants :

• La protection du plan d’authentification fait référence à l’utilisation d’une stratégie de restrictions de locataire v2 pour bloquer les connexions qui utilisent des identités externes. Par exemple, vous pouvez empêcher un initié malveillant de divulguer des données via un e-mail externe en empêchant l’attaquant de se connecter à son locataire malveillant. La protection du plan d’authentification dans les restrictions de locataire v2 est généralement disponible.

• La protection du plan de données fait référence à la prévention des attaques qui contournent l’authentification. Par exemple, un attaquant peut essayer d’autoriser l’accès aux applications d’un locataire malveillant en rejoignant anonymement une réunion Teams ou en accédant anonymement aux fichiers SharePoint. Ou alors l’attaquant peut copier un jeton d’accès à partir d’un appareil dans un locataire malveillant et l’importer sur votre appareil d’organisation. La protection du plan de données dans les restrictions de locataire v2 force l’utilisateur à s’authentifier pour les tentatives d’accès à une ressource. La protection du plan de données bloque l’accès en cas d’échec de l’authentification.

< c0>Les restrictions de client v1 fournissent une protection du plan d’authentification via une liste autorisée de clients configurée sur votre proxy d’entreprise. Les restrictions de locataire v2 vous offrent des options pour la protection granulaire de l’authentification et du plan de données, avec ou sans proxy d’entreprise. Si vous utilisez un proxy d’entreprise pour l’injection d’en-tête, les options incluent uniquement la protection de la couche d’authentification.

Présentation des restrictions liées au locataire v2

Dans les paramètres d’accès interlocataires de votre organisation, vous pouvez configurer une stratégie de restrictions de locataire v2. Après avoir créé la stratégie, il existe trois façons d’appliquer la stratégie dans votre organisation :

• Restrictions de locataire universelles. Cette option fournit une protection de couche d'authentification sans besoin de passer par un proxy d'entreprise. Les restrictions de locataire universelles utilisent l’accès sécurisé global pour baliser tout le trafic, quel que soit le système d’exploitation, le navigateur ou le facteur de forme de l’appareil. Cette option permet la prise en charge à la fois de la connectivité cliente et réseau distante.
• Plan d’authentification. Vous pouvez déployer un proxy d’entreprise dans votre organisation et configurer le proxy pour définir les signaux v2 des restrictions de locataire sur tout le trafic vers l’ID Microsoft Entra et les comptes Microsoft.
• Fenêtres. Pour vos appareils Windows d’entreprise, vous pouvez exécuter à la fois la protection du plan d’authentification et du plan de données en appliquant des restrictions liées au locataire directement sur les appareils. Les restrictions de locataire sont appliquées à l’accès aux ressources pour assurer un flux de données complet et une protection contre l'intrusion de jetons. Un proxy d’entreprise n’est pas nécessaire pour l’exécution de la stratégie. Les appareils peuvent être gérés par l’ID Microsoft Entra, ou ils peuvent être joints à un domaine et gérés via la stratégie de groupe.

Remarque

Cet article explique comment configurer les restrictions de locataire v2 à l’aide du Centre d’administration Microsoft Entra. Vous pouvez également utiliser l’API Microsoft Graph pour les paramètres d’accès interlocataires pour créer ces mêmes stratégies de restrictions de locataire.

Scénarios pris en charge

Vous pouvez étendre les restrictions de locataire v2 à des utilisateurs, groupes, organisations ou applications externes spécifiques. Les applications basées sur la pile de mise en réseau pour le système d’exploitation Windows sont protégées. Les scénarios suivants sont pris en charge :

• Toutes les applications Office (toutes les versions/canaux de mise en production)
• Applications .NET de plateforme Windows universelle (UWP)
• Protection du plan d’authentification pour toutes les applications qui s’authentifient avec l’ID Microsoft Entra, y compris toutes les applications Microsoft et toutes les applications partenaires qui utilisent l’ID Microsoft Entra pour l’authentification
• Protection du plan de données pour SharePoint Online, Exchange Online et Microsoft Graph
• Protection de l’accès anonyme pour les formulaires, SharePoint Online, OneDrive et Teams (avec des contrôles de fédération configurés)
• Protection du plan de données et de l’authentification pour les comptes client ou consommateur Microsoft
• Lorsque vous utilisez des restrictions de locataire universelles dans Global Secure Access, tous les navigateurs et plateformes
• Lorsque vous utilisez la stratégie de groupe Windows, Microsoft Edge et tous les sites web sur Microsoft Edge
• Scénarios avec authentification basée sur l’appareil (y compris les applications personnalisées intégrées à Microsoft Graph)

Scénarios non pris en charge

• Blocage anonyme pour les comptes OneDrive grand public. Vous pouvez contourner cette limitation au niveau d’un proxy en bloquant https://onedrive.live.com/.
• Lorsqu’un utilisateur accède à une application partenaire, comme Slack, à l’aide d’un lien anonyme ou d’un compte Entra non-Microsoft.
• Lorsque l'utilisateur copie un jeton délivré par Microsoft Entra ID d'un ordinateur personnel vers un ordinateur professionnel et l'utilise pour accéder à une application tierce (comme Slack).
• Restrictions de locataire par utilisateur pour les comptes Microsoft.

Comparaison des restrictions liées au locataire v1 et v2

Le tableau ci-dessous compare les fonctionnalités de chaque version.

Caractéristique	Restrictions liées au locataire v1	Restrictions liées au locataire v2
Mise en application de la politique	Le serveur proxy de l'entreprise applique la politique de restrictions des locataires sur le plan de contrôle de Microsoft Entra ID.	Options : - Les restrictions universelles pour les locataires dans Global Secure Access offrent un support d'authentification sur toutes les plateformes. - Dans le contexte de l'injection d'en-tête de proxy d'entreprise, le proxy d'entreprise applique les signaux v2 des restrictions à l'accès des locataires à tout le trafic. - La gestion des appareils Windows fournit à la fois le plan d’authentification et la protection du plan de données. Les appareils sont configurés pour diriger le trafic Microsoft vers la stratégie de restrictions du locataire. La stratégie est appliquée dans le cloud.
Limitation de l’application de la politique	Vous pouvez gérer les proxies d'entreprise en ajoutant des locataires à la liste d'autorisation du trafic Microsoft Entra. La limite de caractères de la valeur d’en-tête limite Restrict-Access-To-Tenants: <allowed-tenant-list> le nombre de locataires que vous pouvez ajouter.	Cette fonctionnalité est gérée par une stratégie cloud dans la stratégie d’accès entre locataires. Une stratégie par défaut est créée au niveau du locataire et une stratégie partenaire est créée pour chaque locataire externe.
Demandes de locataire malveillantes	Microsoft Entra ID bloque les requêtes d'authentification de locataire malveillantes pour assurer la protection du plan d'authentification.	Microsoft Entra ID bloque les requêtes d'authentification de locataire malveillantes pour assurer la protection du plan d'authentification.
Granularité	Cette fonctionnalité est limitée aux locataires et à tous les comptes Microsoft.	Cette fonctionnalité inclut la granularité du locataire, de l’utilisateur, du groupe et de l’application. (La granularité au niveau de l’utilisateur n’est pas prise en charge avec les comptes Microsoft.)
Accès anonyme	L'accès anonyme aux réunions Teams et au partage de fichiers est autorisé.	L'accès anonyme aux réunions Teams est bloqué. L’accès aux ressources partagées anonymement (toute personne disposant du lien) est bloqué. L’accès anonyme aux formulaires est bloqué.
Comptes Microsoft	Cette fonctionnalité utilise un Restrict-MSA en-tête pour bloquer l’accès aux comptes consommateur.	Cette fonctionnalité permet de contrôler l’authentification de compte Microsoft sur les plans d’identité et de données. Par exemple, si vous appliquez des restrictions de locataire par défaut, vous pouvez créer une stratégie qui permet aux utilisateurs d’accéder aux applications spécifiques suivantes avec leurs comptes Microsoft : Microsoft Learn (ID d’application 18fbca16-2224-45f6-85b0-f7bf2b39b3f3) ou Microsoft Enterprise Skills Initiative (ID d'application 195e7f27-02f9-4045-9a91-cd2fa1c2af2f).
Gestion des proxys	Vous pouvez gérer les proxies d'entreprise en ajoutant des locataires à la liste d'autorisation du trafic Microsoft Entra.	Pour protéger le plan d'authentification sur un proxy d'entreprise, configurez le proxy pour définir les signaux des restrictions de locataire v2 sur tout le trafic.
Prise en charge de la plateforme	Cette fonctionnalité est prise en charge sur toutes les plateformes. Il ne fournit que la protection du plan d’authentification.	Les restrictions liées au locataire universelles dans l’accès global sécurisé prennent en charge tout système d’exploitation, navigateur ou facteur de forme d’appareil. La protection du plan d’authentification sur un proxy d’entreprise prend en charge les applications macOS, Chrome et .NET. La gestion des périphériques Windows prend en charge les systèmes d’exploitation Windows et Microsoft Edge.
Prise en charge du portail	Il n’existe aucune interface utilisateur dans le Centre d’administration Microsoft Entra pour la configuration de la stratégie.	Une interface utilisateur est disponible dans le Centre d’administration Microsoft Entra pour configurer la stratégie cloud.
Applications non prises en charge	Non applicable.	Bloquer l’utilisation d’applications non prises en charge avec des points de terminaison Microsoft à l’aide de App Control for Business dans Windows (anciennement Windows Defender Application Control [WDAC]) ou pare-feu Windows (par exemple, pour Chrome ou Firefox). Consultez Bloquer les applications Chrome, Firefox et .NET comme PowerShell plus loin dans cet article.

Migrer les stratégies de restrictions liées au locataire v1 vers v2 sur le proxy

La migration de stratégies de restrictions de locataire de v1 vers v2 est une opération ponctuelle. Après la migration, aucune modification n’est requise côté client. Vous pouvez apporter toutes les modifications de stratégie côté serveur suivantes via le Centre d’administration Microsoft Entra.

Lorsque vous activez les restrictions de locataire v2 sur un proxy, vous pouvez appliquer des restrictions de locataire v2 uniquement sur le plan d’authentification. Pour activer les restrictions de locataire v2 sur les couches d’authentification et de données, vous devez activer la signalisation côté client pour les restrictions de locataire v2 à l’aide d’un objet de stratégie de groupe Windows (GPO).

Étape 1 : Configurer une liste autorisée de locataires partenaires

Les restrictions de locataire v1 vous permettent de créer une liste verte d’ID de locataire et/ou de points de terminaison de connexion Microsoft pour vous assurer que les utilisateurs accèdent aux locataires externes que votre organisation autorise. Les restrictions de locataire v1 ont obtenu la liste d'autorisation en ajoutant l’en-tête Restrict-Access-To-Tenants: <allowed-tenant-list> sur le proxy. Par exemple : Restrict-Access-To-Tenants: "contoso.com, fabrikam.com, northwindtraders.com". En savoir plus sur les restrictions de locataire v1.

Avec les restrictions de locataire v2, la configuration est déplacée vers la stratégie cloud côté serveur. Il n’est pas nécessaire d’utiliser l’en-tête des restrictions de locataire v1. Supprimez donc cet en-tête de votre proxy d’entreprise. Pour chaque client dans l’en-tête allowed-tenant-list, créez une politique de client partenaire. Suivez ces instructions :

• Conservez la politique par défaut des restrictions de locataire v2, qui bloque l’accès à tous les locataires externes à partir d’identités étrangères (par exemple, user@<externaltenant>.com).
• Créez une stratégie de locataire partenaire pour chaque locataire répertorié dans votre liste d’autorisation des restrictions de locataire v1 en suivant les étapes décrites à l’étape 2 : Configurer les restrictions de locataire v2 pour des partenaires spécifiques plus loin dans cet article.
• Autorisez uniquement des utilisateurs spécifiques à accéder à des applications spécifiques. Cette conception renforce votre sécurité en limitant l’accès aux utilisateurs nécessaires.

Étape 2 : Bloquer le compte consommateur ou les locataires de compte Microsoft

Pour éviter que les utilisateurs ne se connectent à des applications grand public, les restrictions de locataire v1 nécessitent que l'en-tête sec-Restrict-Tenant-Access-Policy soit injecté dans le trafic visitant login.live.com, comme sec-Restrict-Tenant-Access-Policy: restrict-msa.

Avec les restrictions de locataire v2, la configuration est déplacée vers la stratégie cloud côté serveur. Il n’est pas nécessaire d’utiliser l’en-tête v1 des restrictions de locataire. Sur votre proxy d'entreprise, supprimez l'en-tête des restrictions v1 de tenant sec-Restrict-Tenant-Access-Policy: restrict-msa.

Créez une stratégie de locataire partenaire pour le locataire de compte Microsoft en suivant l’étape 2 : Configurer les restrictions de locataire v2 pour des partenaires spécifiques plus loin dans cet article. Étant donné que l’attribution au niveau de l’utilisateur n’est pas disponible pour les locataires de compte Microsoft, la stratégie s’applique à tous les utilisateurs de comptes Microsoft. Toutefois, la granularité au niveau de l’application est disponible. Vous devez limiter les applications auxquelles les comptes Microsoft ou les comptes de consommateurs peuvent accéder uniquement aux applications nécessaires.

Remarque

Le blocage du locataire du compte Microsoft ne bloque pas le trafic des appareils provenant de sources autres que les utilisateurs, notamment :

• Trafic pour Autopilot, Windows Update et la collecte de données organisationnelles.
• Authentification B2B (Business-to-Business) des comptes consommateurs ou authentification directe, où les applications Azure et les applications Office.com utilisent l’ID Microsoft Entra pour connecter des utilisateurs consommateurs dans un contexte consommateur.

Étape 3 : Activer les restrictions de locataire v2 sur le proxy d’entreprise

Vous pouvez configurer le proxy d’entreprise pour activer le balisage côté client de l’en-tête des restrictions de locataire v2 à l’aide du paramètre proxy d’entreprise suivant : sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>

Dans ce paramètre, remplacez <DirectoryID> par votre ID de locataire Microsoft Entra. Remplacez <policyGUID> par l’ID d’objet de votre stratégie d’accès entre locataires.

Restrictions liées au locataire et paramètres entrants/sortants

Même si elles sont configurées avec les paramètres d'accès interlocataires, les restrictions liées au locataire fonctionnent séparément des paramètres d'accès entrant/sortant. Les paramètres d'accès interlocataires permettent de contrôler les cas où les utilisateurs se connectent avec un compte de l'organisation. De leur côté, les restrictions liées au locataire permettent de contrôler les cas où les utilisateurs utilisent un compte externe. Vos paramètres entrants et sortants pour la Collaboration B2B et les connexions directes B2B n'affectent pas vos paramètres de restrictions des locataires et ne sont pas affectés par ces derniers.

Pensez aux paramètres d’accès de cette façon :

• Les paramètres entrants contrôlent l’accès au compte externe à vos applications internes .
• Les paramètres sortants contrôlent l’accès au compte interne aux applications externes .
• Les restrictions de l'espace client contrôlent l’accès des comptes externes aux applications externes.

Restrictions liées au locataire et collaboration B2B

Lorsque vos utilisateurs ont besoin d’accéder à des organisations et applications externes, nous vous recommandons d’activer les restrictions de locataire pour bloquer les comptes externes et utiliser la collaboration B2B à la place. La collaboration B2B permet :

• d'utiliser l'accès conditionnel et de forcer l'authentification multifacteur pour les utilisateurs de la collaboration B2B.
• de gérer les accès entrants/sortants.
• de terminer les sessions et les informations d'identification lorsque l'état d'emploi d'un utilisateur de la collaboration B2B change ou que ses informations d'identification sont visées par une violation.
• Utilisez les journaux de connexion pour afficher des détails sur les utilisateurs de la Collaboration B2B.

Prérequis

Pour configurer les restrictions liées au locataire, vous avez besoin des éléments suivants :

• Microsoft Entra ID P1 ou P2.
• Un compte disposant d’au moins un rôle d’administrateur de sécurité pour configurer une stratégie de restrictions de locataire v2.
• Pour la configuration des stratégies de groupe Windows, les appareils Windows exécutant Windows 10 ou Windows 11 avec les dernières mises à jour.

Configurer une stratégie cloud côté serveur pour les restrictions de locataire v2

Étape 1 : Configurer les restrictions de locataire par défaut

Les paramètres des restrictions de locataire v2 se trouvent dans le Centre d’administration Microsoft Entra, sous Paramètres d’accès entre locataires. Tout d’abord, configurez les restrictions de locataire par défaut que vous souhaitez appliquer à tous les utilisateurs, groupes, applications et organisations. Si vous avez besoin de configurations spécifiques au partenaire, vous pouvez ajouter l’organisation d’un partenaire et personnaliser les paramètres qui diffèrent de vos paramètres par défaut.

Pour configurer les restrictions de locataire par défaut :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez à Entra ID>Identités externes>Paramètres d'accès interlocataire.

3. Sélectionnez l’onglet Paramètres par défaut .

   

4. Faites défiler jusqu’à la section Restrictions du locataire .

5. Sélectionnez le lien Modifier les restrictions de locataire par défaut .

   

6. Si une stratégie par défaut n’existe pas encore dans le locataire, un lien Créer une stratégie apparaît en regard de l’ID de stratégie. Sélectionnez ce lien.

   

7. Le volet Restrictions du locataire affiche à la fois votre valeur d’ID de locataire et votre valeur d’ID de politique pour les restrictions de locataire. Utilisez les icônes de copie pour copier les deux valeurs. Vous les utiliserez ultérieurement lorsque vous configurez des clients Windows pour activer les restrictions de locataire.

   

8. Sélectionnez l’onglet Utilisateurs et groupes externes . Sous État d’Accès, choisissez l’une des options suivantes :

   • Autoriser l’accès : permet à tous les utilisateurs connectés avec des comptes externes d’accéder aux applications externes (spécifiés sous l’onglet Applications externes ).
   • Bloquer l’accès : empêche tous les utilisateurs connectés avec des comptes externes d’accéder aux applications externes (spécifiés sous l’onglet Applications externes ).

   

   Remarque

   Les paramètres par défaut ne peuvent pas être limités à des comptes ou groupes individuels, donc s’applique à est toujours égal à <. N’oubliez pas que si vous bloquez l’accès pour tous les utilisateurs et groupes, vous devez également bloquer l’accès à toutes les applications externes (sous l’onglet Applications externes ).

9. Sélectionnez l’onglet Applications externes . Sous État d’Accès, choisissez l’une des options suivantes :

   • Autoriser l’accès : permet à tous les utilisateurs connectés avec des comptes externes d’accéder aux applications spécifiées dans la section S’applique à .
   • Bloquer l’accès : empêche tous les utilisateurs connectés avec des comptes externes d’accéder aux applications spécifiées dans la section S’applique à .

   

10. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Toutes les applications externes : applique l’action que vous avez choisie sous l’état Access à toutes les applications externes. Si vous bloquez l’accès à toutes les applications externes, vous devez également bloquer l’accès pour tous vos utilisateurs et groupes (sous l’onglet Utilisateurs et groupes externes ).

    • Sélectionnez des applications externes : vous permet de choisir les applications externes auxquelles vous souhaitez appliquer l’action sous l’état Access .

      Pour sélectionner des applications, choisissez Ajouter des applications Microsoft ou Ajouter d’autres applications. Ensuite, recherchez par nom de l’application ou l’ID d’application (l’ID de l’application cliente ou l’ID d’application de ressource), puis sélectionnez l’application. (Consultez la liste des ID pour les applications Microsoft couramment utilisées.) Si vous souhaitez ajouter d’autres applications, utilisez le bouton Ajouter . Lorsque vous avez terminé, sélectionnez Envoyer.

    

11. Sélectionnez Enregistrer.

Étape 2 : configurer les restrictions liées au locataire v2 pour certains partenaires

Supposons que vous utilisez des restrictions de locataire pour bloquer l’accès par défaut, mais que vous souhaitez autoriser les utilisateurs à accéder à certaines applications à l’aide de leurs propres comptes externes. Par exemple, vous souhaitez que les utilisateurs puissent accéder à Microsoft Learn avec leur propre compte Microsoft. Cette section comporte les instructions pour ajouter des paramètres spécifiques à une organisation, lesquels l'emportent sur les paramètres par défaut.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité ou administrateur d’accès conditionnel.

2. Accédez à Entra ID>Identités externes>Paramètres d'accès interlocataire.

3. Sélectionnez Paramètres de l’organisation.

   Remarque

   Si l’organisation que vous souhaitez ajouter a déjà été ajoutée à la liste, vous pouvez ignorer son ajout et accéder directement à la modification des paramètres.

4. Sélectionnez Ajouter une organisation.

5. Dans le volet Ajouter une organisation , entrez le nom de domaine complet (ou l’ID de locataire) de l’organisation.

   Par exemple, recherchez l’ID de locataire suivant pour un compte Microsoft :

   9188040d-6c67-4c5b-b112-36a304b66dad
   

   

6. Sélectionnez l’organisation dans les résultats de la recherche, puis sélectionnez Ajouter.

7. Modifiez les paramètres. Recherchez l’organisation dans la liste des paramètres de l’organisation , puis faites défiler horizontalement pour afficher la colonne restrictions du locataire . À ce stade, tous les paramètres de restriction liée au locataire de l'organisation sont hérités des paramètres par défaut. Pour modifier les paramètres de cette organisation, sélectionnez le lien Hérité par défaut.

   

8. Le volet restrictions du locataire pour l’organisation s’affiche. Copiez les valeurs pour Tenant ID et Policy ID. Vous les utiliserez ultérieurement lorsque vous configurez des clients Windows pour activer les restrictions de locataire.

   

9. Sélectionnez Personnaliser les paramètres, puis sélectionnez l’onglet Utilisateurs et groupes externes . Sous État d’Accès, choisissez une option :

   • Autoriser l’accès : autorise les utilisateurs et les groupes spécifiés sous S’applique aux personnes connectées avec des comptes externes pour accéder aux applications externes (spécifiées sous l’onglet Applications externes ).
   • Bloquer l’accès : bloque les utilisateurs et les groupes spécifiés sous S’applique aux utilisateurs connectés avec des comptes externes d’accéder aux applications externes (spécifiés sous l’onglet Applications externes ).

   Pour l’exemple de comptes Microsoft dans cet article, nous sélectionnons Autoriser l’accès.

   

10. Sous S’applique à, sélectionnez Tous les <utilisateurs et groupes de l’organisation>.

    

    Remarque

    La granularité de l’utilisateur n’est pas prise en charge avec les comptes Microsoft. Par conséquent, la fonctionnalité Sélectionner <les utilisateurs et les groupes de l’organisation> n’est pas disponible. Pour d’autres organisations, vous pouvez choisir Sélectionner <des utilisateurs et des groupes d’organisations>, puis effectuer les étapes suivantes :

    1. Sélectionnez Ajouter des utilisateurs et des groupes externes.
    2. Dans le volet Sélectionner , entrez le nom d’utilisateur ou le nom du groupe dans la zone de recherche.
    3. Sélectionnez l’utilisateur ou le groupe dans les résultats de la recherche.
    4. Si vous souhaitez ajouter d’autres éléments, sélectionnez Ajouter et répéter ces étapes.
    5. Lorsque vous avez terminé de sélectionner les utilisateurs et les groupes que vous souhaitez ajouter, sélectionnez Envoyer.

11. Sélectionnez l’onglet Applications externes . Sous État d’accès, choisissez d’autoriser ou de bloquer l’accès aux applications externes :

    • Autoriser l’accès : permet à vos utilisateurs d’accéder aux applications externes spécifiées sous S’applique lorsque les utilisateurs utilisent des comptes externes.
    • Bloquer l’accès : empêche vos utilisateurs d’accéder aux applications externes spécifiées sous S’applique lorsque les utilisateurs utilisent des comptes externes.

    Pour l’exemple de comptes Microsoft dans cet article, nous sélectionnons Autoriser l’accès.

    

12. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Toutes les applications externes : applique l’action que vous avez choisie sous l’état Access à toutes les applications externes.
    • Sélectionnez des applications externes : applique l’action que vous avez choisie sous État Access à toutes les applications externes.

    Pour l’exemple de comptes Microsoft dans cet article, nous choisissons Sélectionner des applications externes.

    Remarque

    Si vous bloquez l’accès à toutes les applications externes, vous devez également bloquer l’accès pour tous vos utilisateurs et groupes (sous l’onglet Utilisateurs et groupes externes ).

    

13. Si vous avez choisi Sélectionner des applications externes, procédez comme suit :

    1. Sélectionnez Ajouter des applications Microsoft ou Ajouter d’autres applications. Pour l’exemple Microsoft Learn dans cet article, nous choisissons Ajouter d’autres applications.
    2. Dans la zone de recherche, entrez le nom de l’application ou l’ID d’application (l’ID de l’application cliente ou l’ID de l’application de ressource). (Consultez la liste des ID pour les applications Microsoft couramment utilisées.) Pour l’exemple Microsoft Learn dans cet article, nous entrez l’ID d’application 18fbca16-2224-45f6-85b0-f7bf2b39b3f3.
    3. Sélectionnez l’application dans les résultats de la recherche, puis sélectionnez Ajouter.
    4. Répétez les étapes précédentes pour chaque application que vous souhaitez ajouter.
    5. Lorsque vous avez terminé de sélectionner des applications, sélectionnez Envoyer.

    

14. Les applications que vous avez sélectionnées sont répertoriées sous l’onglet Applications externes . Sélectionnez Enregistrer.

    

Remarque

Le blocage du locataire du compte Microsoft ne bloque pas :

• Le trafic provenant des appareils qui ne provient pas des utilisateurs. Par exemple, le trafic pour Autopilot, Windows Update et la collecte de données organisationnelles.
• Authentification B2B de comptes de consommateurs.
• Authentification transparente, utilisée par de nombreuses applications Azure et Office.com, où les applications utilisent l'ID Microsoft Entra pour connecter des utilisateurs finaux dans un contexte consommateur.

Configurer les restrictions de locataire v2 côté client

Il existe trois options pour appliquer les restrictions liées au locataire v2 pour les clients :

• Utiliser des restrictions de locataire universelles v2 dans le cadre de Microsoft Entra Global Secure Access
• Configurer les restrictions de locataire v2 sur votre proxy d’entreprise
• Activer les restrictions de locataire sur les appareils gérés par Windows (préversion)

Option 1 : Utiliser des restrictions de locataire universelles v2 dans le cadre de Microsoft Entra Global Secure Access

Les restrictions de locataire universelles v2 dans le cadre de Microsoft Entra Global Secure Access offrent une protection du plan d’authentification pour tous les appareils et plateformes.

Option 2 : configurer les restrictions liées au locataire v2 sur le proxy d'entreprise

Pour vous assurer que les connexions sont limitées sur tous les appareils et applications de votre réseau d’entreprise, configurez votre proxy d’entreprise pour appliquer les restrictions de locataire v2. Même si la configuration des restrictions liées au locataire sur le proxy d'entreprise ne fournit aucune protection du plan de données, elle assure bien la protection du plan d'authentification.

Important

Si vous avez précédemment configuré des restrictions de locataire, vous devez arrêter l’envoi restrict-msa à login.live.com. Dans le cas contraire, les nouveaux paramètres entreront en conflit avec vos instructions existantes au service de connexion du compte Microsoft.

1. Configurez l'en-tête de restrictions liées au locataire v2 comme suit :

   Nom de l’en-tête	Valeur de l’en-tête	Valeur d'échantillon
   sec-Restrict-Tenant-Access-Policy	<TenantId>:<policyGuid>	aaaabbbb-0000-cccc-1111-dddd2222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5

   • TenantID est votre ID de client Microsoft Entra. Recherchez cette valeur en vous connectant au Centre d’administration Microsoft Entra et en accédant à Entra ID>, Vue d’ensemble>, Propriétés.
   • policyGUID est l'ID d'objet de la stratégie d'accès interlocataire. Recherchez cette valeur en appelant /crosstenantaccesspolicy/default et en utilisant le champ retourné id .

2. Sur votre proxy d’entreprise, envoyez l’en-tête des restrictions de locataire v2 aux domaines de connexion Microsoft suivants :

   • login.live.com
   • login.microsoft.com
   • login.microsoftonline.com
   • login.windows.net

   L'en-tête exécute la stratégie de restrictions liées au locataire v2 à toutes les connexions du réseau. Il ne bloque pas l'accès anonyme aux réunions Teams, aux fichiers SharePoint ni aux autres ressources qui ne nécessitent aucune authentification.

Important

Les restrictions de locataire v1 et v2 sur le proxy nécessitent le déchiffrement des requêtes pour les URL de connexion telles que login.microsoftonline.com. Microsoft prend en charge le déchiffrement du trafic pour les domaines utilisés pour la connexion à des fins d’insertion d’en-tête pour les restrictions des locataires. Ce décryptage est une exception valide aux stratégies d’utilisation d’appareils ou de solutions réseau tiers avec Microsoft 365.

Restrictions liées au locataire v2 sans prise en charge de l’arrêt et de l’inspection

Pour les plateformes autres que Windows, vous pouvez arrêter et inspecter le trafic afin ajouter les paramètres des restrictions liées au locataire v2 dans l’en-tête via un proxy. Toutefois, certaines plateformes ne prennent pas en charge l’arrêt et l’inspection, de sorte que les restrictions de locataire v2 ne fonctionnent pas. Sur ces plateformes, la protection peut être assurée par les fonctionnalités Microsoft Entra ID ci-dessous :

• Accès conditionnel : Autoriser l’utilisation d’appareils gérés ou conformes uniquement
• Accès conditionnel : Gérer l’accès pour les utilisateurs invités ou externes
• Collaboration B2B : Restreindre les règles de trafic sortant par accès interlocataire pour les mêmes locataires répertoriés dans le paramètre Restrict-Access-To-Tenants
• Collaboration B2B : Restreindre les invitations aux utilisateurs B2B aux mêmes domaines répertoriés dans le paramètre Restrict-Access-To-Tenants
• Gestion des applications : restreindre la façon dont les utilisateurs consentent aux applications
• Intune : Appliquez une stratégie d’application via Intune pour restreindre l’utilisation des applications gérées à l’UPN du compte qui a inscrit l’appareil (sous Autoriser uniquement les comptes d’organisation configurés dans les applications)

Bien que ces alternatives fournissent une protection, vous pouvez couvrir certains scénarios uniquement par le biais de restrictions de locataire. Les exemples incluent l’utilisation d’un navigateur pour accéder aux services Microsoft 365 via le web au lieu de l’application dédiée.

Option 3 : Activer les restrictions de locataire sur les appareils gérés par Windows (préversion)

Après avoir créé une stratégie de restrictions de locataire v2, vous pouvez appliquer la stratégie sur chaque appareil Windows 10 ou Windows 11 en ajoutant votre ID de locataire et l’ID de stratégie à la configuration des restrictions de locataire de l’appareil.

Lorsque vous activez des restrictions de locataire sur un appareil Windows, les proxys d’entreprise ne sont pas requis pour l’application de la stratégie. Les appareils n’ont pas besoin d’être gérés par l’ID Microsoft Entra pour appliquer les restrictions de locataire v2. Les appareils joints à un domaine gérés avec la stratégie de groupe sont également pris en charge.

Remarque

Les restrictions de locataire v2 sur Windows sont une solution partielle qui permet de protéger les plans d’authentification et de données pour certains scénarios. Il fonctionne sur les appareils Windows gérés. Elle ne protège pas la pile .NET, Chrome ou Firefox.

Utiliser la stratégie de groupe pour déployer des restrictions des locataires

Vous pouvez utiliser une stratégie de groupe pour déployer la configuration des restrictions liées au locataire sur les appareils Windows. Consultez les ressources suivantes :

• Modèles d’administration pour la mise à jour de novembre 2021 de Windows 10 (21H2)
• Feuille de référence des paramètres de stratégie de groupe pour la mise à jour de novembre 2021 de Windows 10 (21H2)

Tester la stratégie sur un appareil

Pour tester la stratégie de restrictions liées au locataire v2 sur un appareil, procédez comme suit.

Remarque

L'appareil doit exécuter Windows 10 ou Windows 11 avec les dernières mises à jour.

1. Sur l’ordinateur Windows, sélectionnez la clé de logo Windows, entrez gpedit, puis sélectionnez Modifier la stratégie de groupe (Panneau de configuration).

2. Accédez à Configuration de l’ordinateur>Modèles d'administration>Composants Windows>Restrictions du locataire.

3. Cliquez avec le bouton droit sur Détails de stratégie cloud dans le volet droit, puis sélectionnez Modifier.

4. Récupérez les valeurs d’ID de locataire et d’ID de stratégie que vous avez enregistrées précédemment (à l’étape 7 sous l’étape 1 : Configurer les restrictions de locataire par défaut) et entrez-les dans les champs suivants. Laissez tous les autres champs vides.

   • ID d’annuaire Microsoft Entra : entrez la valeur d’ID de locataire que vous avez enregistrée précédemment en vous connectant au centre d’administration Entra et en accédant à l’ID Entra>vue d’ensemble> et les propriétés.

   • GUID de Politique : ID de votre politique d’accès inter-locataire. Il s'agit de la valeur d'ID de politique que vous avez enregistrée précédemment.

     

5. Sélectionnez OK.

Afficher les événements de restrictions liées au locataire v2

Affichez les événements liés aux restrictions de locataire dans l’Observateur d’événements :

1. Dans l’Observateur d’événements, ouvrez les journaux des applications et des services.
2. Accédez à Microsoft>Windows>TenantRestrictions>Operational et recherchez des événements.

Bloquer les applications Chrome, Firefox et .NET comme PowerShell

Pour bloquer les applications, vous devez configurer App Control for Business dans Windows (anciennement Windows Defender Application Control [WDAC]) et activer un paramètre de pare-feu Windows.

Configurer App Control for Business pour contrôler l’accès aux ressources Microsoft

App Control for Business est un moteur de stratégie intégré à Windows qui vous permet de contrôler les applications qui peuvent s’exécuter sur les appareils de votre utilisateur. Pour les restrictions de locataire v2, vous devez utiliser App Control for Business pour empêcher les applications non compatibles (applications qui ne fournissent pas de protection des restrictions de locataire v2) d’accéder aux ressources Microsoft. Cette exigence vous permet de continuer à utiliser les navigateurs et les applications de votre choix, tout en sachant que les données protégées par Microsoft Entra sont accessibles uniquement via des moyens sécurisés.

Les applications non optimisées n'utilisent pas la pile de mise en réseau de Windows, elles ne bénéficient donc pas des fonctionnalités des restrictions de locataire v2 ajoutées à Windows. Ils ne peuvent pas envoyer le signal à login.live.com pour Microsoft Entra, ou aux ressources Microsoft qui indiquent que la protection des restrictions de locataire v2 est requise. Par conséquent, vous ne pouvez pas vous appuyer sur des applications non éclairées pour fournir une protection de la couche de données.

Vous pouvez utiliser App Control for Business de deux façons pour vous protéger contre les applications non éclairées :

• Empêchez complètement l'utilisation d'applications non éclairées (c'est-à-dire, bloquez entièrement l'exécution de PowerShell ou de Chrome). Vous pouvez utiliser une stratégie App Control for Business standard qui contrôle les applications qui peuvent s’exécuter.
• Autorisez l’utilisation d’applications non éclairées, mais empêchez-les d’accéder aux ressources Microsoft. Pour cette méthode, vous utilisez une stratégie App Control for Business spéciale appelée stratégie d’étiquetage d’ID d’application (AppIdTaggingPolicy).

Pour les deux options, vous devez d’abord créer une stratégie App Control for Business. Ensuite, optionnellement, convertissez-le en stratégie de balisage d'identifiant d'application. Enfin, appliquez-le à vos appareils après l’avoir testé sur une machine de test.

Pour plus d’informations, consultez Création de stratégies d’étiquetage AppId App Control.

Remarque

Les étapes suivantes nécessitent un appareil Windows up-to-date pour accéder aux dernières applets de commande PowerShell nécessaires pour créer la stratégie.

Étape 1 : Utiliser l’Assistant de politique de contrôle d’application pour créer une politique

1. Installez l’Assistant de stratégie de contrôle d’applications.

2. Sélectionnez Créer une stratégie et choisissez votre format de stratégie. La valeur par défaut est Plusieurs stratégies, stratégie de base.

3. Choisissez votre modèle de base (recommandé : Windows par défaut ou Autoriser Microsoft). Pour obtenir des étapes détaillées, consultez la politique de base du modèle Template base policies.

4. Lorsque vous convertissez la stratégie en stratégie de balisage des ID d'application, l'Assistant suppose que les règles de la stratégie sont définies. Vous pouvez les définir ici, mais ce n’est pas obligatoire. Ces règles de stratégie incluent le menu Options de démarrage avancées, désactiver l’application des scripts, appliquer les applications du Store, le mode audit et l’intégrité du code en mode utilisateur.

5. Choisissez l’emplacement d’enregistrement de votre code XML de stratégie et créez votre stratégie.

Étape 2 : Convertir la stratégie en stratégie d’étiquetage d’ID d’application

Après avoir créé votre stratégie dans l'assistant, ou conçu votre propre stratégie à l'aide de PowerShell, convertissez la sortie .xml en une politique de marquage d'identifiant d'application. La stratégie d’étiquetage marque les applications pour lesquelles vous souhaitez autoriser l’accès aux ressources Microsoft. La sortie GUID est votre nouvel ID de politique.

   Set-CIPolicyIdInfo -ResetPolicyID .\policy.xml -AppIdTaggingPolicy -AppIdTaggingKey "M365ResourceAccessEnforced" -AppIdTaggingValue "True" 

Étape 3 : Compiler et déployer la stratégie pour les tests

Après avoir modifié la stratégie et l’avoir convertie en stratégie d’étiquetage d’ID d’application, compilez-la avec l’ID de stratégie qui correspond au nom de fichier :

   ConvertFrom-CIPolicy .\policy.xml ".\{PolicyID}.cip"

Déployez ensuite la stratégie dans votre CiPolicies\Active répertoire :

   copy ".\{Policy ID}.cip" c:\windows\system32\codeintegrity\CiPolicies\Active\ 

Actualisez les stratégies sur votre système en appelant RefreshPolicy.exe.

Activer le paramètre de pare-feu Windows

Utilisez la fonctionnalité du Pare-feu Windows pour empêcher les applications non protégées d'accéder aux ressources Microsoft depuis Chrome, Firefox et les applications .NET (comme PowerShell). Ces applications seraient bloquées ou autorisées conformément à la politique v2 des restrictions de locataires.

Par exemple, si vous ajoutez PowerShell à votre stratégie CIP (Customer Identification Program) pour les restrictions de locataire v2 et que vous avez graph.microsoft.com dans la liste des points de terminaison de la stratégie v2 des restrictions de locataire, PowerShell doit pouvoir y accéder avec le pare-feu activé.

1. Sur l’ordinateur Windows, sélectionnez la clé de logo Windows, entrez gpedit, puis sélectionnez Modifier la stratégie de groupe (Panneau de configuration).

2. Accédez à Configuration de l’ordinateur>Modèles d'administration>Composants Windows>Restrictions du locataire.

3. Cliquez avec le bouton droit sur Détails de stratégie cloud dans le volet droit, puis sélectionnez Modifier.

4. Cochez la case Activer la protection du pare-feu des points de terminaison Microsoft , puis sélectionnez OK.

   

5. Actualisez la stratégie de groupe sur votre appareil en exécutant gpudate:

      gupdate /force
   

6. Redémarrez l’appareil.

Tester que les restrictions de locataire v2 bloquent l’accès

Après avoir activé le pare-feu et le paramètre App Control for Business, essayez de vous connecter à l’aide d’un navigateur Chrome et d’accéder à office.com. La connexion doit échouer avec le message suivant.

Restrictions de locataire et prise en charge de la couche de données (Aperçu)

Les ressources suivantes appliquent les restrictions de locataire v2. Ces ressources traitent les scénarios d’infiltration de jetons où un acteur incorrect accède directement à la ressource avec un jeton infiltré ou anonymement.

• Équipes
• SharePoint Online, comme une application OneDrive
• Exchange Online, comme une application Outlook
• Office.com et les applications Office

Restrictions de client et Microsoft Forms (aperçu)

Lorsque les restrictions de locataire v2 sont appliquées, elles bloquent automatiquement tout accès d’identité anonyme ou non authentifié aux formulaires hébergés en externe à partir de Microsoft Forms.

Restrictions liées au locataire et Microsoft Teams (préversion)

Par défaut, Teams dispose d’une fédération ouverte. Il ne empêche personne de participer à une réunion qu’un locataire externe héberge. Pour un meilleur contrôle sur l’accès aux réunions Teams, vous pouvez utiliser des contrôles de fédération dans Teams pour autoriser ou bloquer des locataires spécifiques. Vous pouvez également utiliser ces contrôles de fédération avec les restrictions de locataire v2 pour bloquer l’accès anonyme aux réunions Teams.

Pour appliquer des restrictions liées au locataire pour Teams, vous devez configurer les restrictions liées au locataire (v2) dans les paramètres d'accès interlocataire Microsoft Entra. Vous devez également configurer des contrôles de fédération dans le portail d’administration Teams et redémarrer Teams. Les restrictions de locataire v2 implémentées sur le proxy d’entreprise ne bloquent pas l’accès anonyme aux réunions Teams, aux fichiers SharePoint et à d’autres ressources qui ne nécessitent pas d’authentification.

Si vous envisagez d’utiliser des restrictions de locataire pour Teams, gardez à l’esprit les points suivants sur l’identité :

• Teams permet actuellement aux utilisateurs de participer à une réunion hébergée en externe à l’aide de leur identité fournie par l’entreprise ou à domicile. Vous pouvez utiliser les paramètres d’accès sortant entre organisations pour contrôler quels utilisateurs ayant une identité d’entreprise ou personnelle peuvent participer à des réunions Teams hébergées externement.
• Les restrictions liées au locataire empêchent les utilisateurs d'utiliser une identité externe pour rejoindre une réunion Teams.

Remarque

L’application Microsoft Teams est dépendante des applications SharePoint Online et Exchange Online. Nous vous recommandons de définir la stratégie de restrictions de locataire v2 sur l’application Office 365 au lieu de définir la stratégie sur les services Microsoft Teams, SharePoint Online ou Exchange Online séparément. Si vous autorisez ou bloquez l’une des applications (SharePoint Online, Exchange Online, et ainsi de suite) qui font partie d’Office 365, elles affectent également les applications telles que Microsoft Teams. De même, si l’application Microsoft Teams est autorisée ou bloquée, SharePoint Online et Exchange Online au sein de l’application Teams seront affectées.

Participation à une réunion purement anonyme

Les restrictions de locataire v2 bloquent automatiquement tous les accès d’identité non authentifiés et émis en externe aux réunions Teams hébergées en externe.

Par exemple, supposons que Contoso utilise des contrôles de fédération Teams pour bloquer le client Fabrikam. Toute personne qui dispose d'un appareil Contoso et utilise un compte Fabrikam pour rejoindre une réunion Teams Contoso est autorisée à participer à la réunion en tant qu'utilisateur anonyme. Si Contoso active également les restrictions de locataire v2, Teams bloque l’accès anonyme et l’utilisateur ne peut pas participer à la réunion.

Participation à une réunion via une identité émise en externe

Vous pouvez configurer la stratégie des restrictions liées au locataire v2 pour permettre à des utilisateurs ou groupes spécifiques avec des identités émises en externe de rejoindre des réunions Teams hébergées en externe spécifiques. Avec cette configuration, les utilisateurs peuvent se connecter à Teams avec leurs identités émises en externe et rejoindre les réunions Teams hébergées en externe du locataire spécifié.

Identité d’authentification	Session authentifiée	Résultats
Utilisateur membre du locataire Exemple : un utilisateur utilise son identité de base en tant qu'utilisateur membre (comme user@<mytenant>.com).	Authentifié	Les restrictions liées au locataire v2 permettent l’accès à la réunion Teams. Les restrictions de locataire v2 ne sont pas appliquées aux utilisateurs membres du locataire. La politique entrante/sortante pour l’accès entre plusieurs locataires s’applique.
Anonyme Exemple : un utilisateur tente d’utiliser une session non authentifiée dans une fenêtre de navigateur InPrivate pour accéder à une réunion Teams.	Non authentifié	Les restrictions liées au locataire v2 bloquent l’accès à la réunion Teams.
Identité émise en externe Exemple : un utilisateur utilise une identité autre que son identité principale (par exemple user@<externaltenant>.com).	Authentifiée en tant qu’identité émise en externe	La stratégie de restriction client v2 autorise ou bloque l’accès à la réunion Teams. L’utilisateur peut participer à la réunion si la stratégie l’autorise. Sinon, l’accès est bloqué.

Restrictions liées au locataire v2 et SharePoint Online (préversion)

SharePoint Online prend en charge les restrictions liées au client v2 sur les plans d'authentification et de données.

Sessions authentifiées

Lorsque les restrictions de locataire v2 sont activées sur un locataire, l’accès non autorisé est bloqué pendant l’authentification. Si un utilisateur accède directement à une ressource SharePoint Online sans session authentifiée, il est invité à se connecter. Si la stratégie de restriction de locataire v2 autorise l’accès, l’utilisateur peut accéder à la ressource. Sinon, l’accès est bloqué.

Accès anonyme (préversion)

Si un utilisateur tente d’accéder à un fichier anonyme en utilisant son conteneur personnel ou son identité professionnelle, il peut accéder au fichier. Toutefois, si l’utilisateur tente d’accéder au fichier anonyme à l’aide d’une identité émise en externe, l’accès est bloqué.

Par exemple, supposons qu’un utilisateur utilise un appareil géré configuré avec les restrictions de locataire v2 pour le locataire A. Si l’utilisateur sélectionne un lien d’accès anonyme généré pour une ressource Tenant A, il doit être en mesure d’accéder à la ressource de manière anonyme. Toutefois, si l’utilisateur sélectionne un lien d’accès anonyme généré pour SharePoint Online dans le locataire B, il est invité à se connecter. L’accès anonyme aux ressources via une identité émise en externe est toujours bloqué.

Restrictions liées au locataire v2 et OneDrive (préversion)

Sessions authentifiées

Lorsque les restrictions de locataire v2 sont activées sur un locataire, l’accès non autorisé est bloqué pendant l’authentification. Si un utilisateur accède directement à une ressource OneDrive sans session authentifiée, il est invité à se connecter. Si la stratégie de restriction de locataire v2 autorise l’accès, l’utilisateur peut accéder à la ressource. Sinon, l’accès est bloqué.

Accès anonyme (préversion)

Tout comme SharePoint, OneDrive prend en charge les restrictions de tenant v2 sur le plan d’authentification et le plan de données. Le blocage de l’accès anonyme à OneDrive est également pris en charge. Par exemple, l’application de la stratégie de restrictions pour les locataires v2 fonctionne sur OneDrive (microsoft-my.sharepoint.com).

Non compris

OneDrive pour les comptes consommateur (via onedrive.live.com) ne prend pas en charge les restrictions liées au locataire v2. Certaines URL (telles que onedrive.live.com) ne sont pas convergées et utilisent l’infrastructure héritée. Lorsqu'un utilisateur utilise ces URL pour accéder au locataire consommateur OneDrive, la stratégie ne s'applique pas. Pour contourner ce problème, vous pouvez bloquer https://onedrive.live.com/ au niveau du proxy.

Restrictions de locataire v2 et entités de service

Les restrictions de locataire v2 bloquent l’accès depuis une entité de service. Vous pouvez activer la signalisation du client à l’aide de :

• Un pare-feu ou un proxy d’entreprise. Connectez-vous à l’aide du principal de service :

      $client_id = "00001111-aaaa-2222-bbbb-3333cccc4444"
      $clientSecret = Get-Credential -Username $client_id
      Connect-MgGraph -TenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee" -ClientSecretCredential $clientSecret
  

  La connexion échoue avec :

  Connect-MgGraph : ClientSecretCredential authentication failed: AADSTS5000211: A tenant restrictions policy added to this request by a device or network administrator does not allow access to 'tenant'.

• Objet de stratégie de groupe Windows. Vous devez vérifier Activer la protection pare-feu des points de terminaison Microsoft et app Control for Business enablement. Consultez Bloquer les applications Chrome, Firefox et .NET comme PowerShell précédemment dans cet article.

Restrictions de locataire avec le plug-in Microsoft Enterprise SSO pour les appareils Apple

Le plug-in Microsoft Enterprise SSO pour les appareils Apple fournit l’authentification unique (SSO) pour les comptes Microsoft Entra sur macOS, iOS et iPadOS sur toutes les applications qui prennent en charge la fonctionnalité d’authentification unique Entreprise d’Apple. Pour utiliser le plug-in Microsoft Enterprise SSO pour les appareils Apple, vous devez exclure certaines URL des proxys réseau, de l’interception et d’autres systèmes d’entreprise.

Si votre organisation utilise les versions du système d’exploitation Apple publiées après 2022, il n’est pas nécessaire d’exclure les URL de connexion Microsoft de l’inspection TLS. Si vous utilisez la fonctionnalité de restrictions du locataire, vous pouvez effectuer une inspection TLS sur les URL de connexion Microsoft et ajouter les en-têtes nécessaires à la requête. Pour plus d’informations, consultez le plug-in Microsoft Enterprise SSO pour les appareils Apple.

Vous pouvez valider la configuration réseau sur un appareil macOS pour vous assurer que la configuration de l’authentification unique n’est pas interrompue en raison d’une inspection TLS.

Journaux d’activité de connexion

Les journaux de connexion Microsoft Entra vous permettent d’afficher des détails sur les connexions avec une stratégie de restrictions liées au locataire (v2) en place. Lorsqu’un utilisateur B2B se connecte à un locataire de ressource pour collaborer, un journal de connexion est généré à la fois dans le locataire domestique et dans le locataire de ressource. Ces journaux incluent des informations telles que l’application utilisée, les adresses e-mail, le nom du locataire et l’ID de locataire pour le locataire de base et le locataire de la ressource. L’exemple suivant montre une connexion réussie.

Si la connexion échoue, les détails de l’activité fournissent des informations sur la raison de l’échec.

Journaux d’audit

Les journaux d’audit fournissent des enregistrements des activités système et utilisateur, y compris les activités lancées par les utilisateurs invités. Vous pouvez afficher les journaux d’audit du locataire sous Surveillance ou afficher les journaux d’audit d’un utilisateur spécifique en accédant au profil de l’utilisateur.

Pour obtenir plus d’informations sur l’événement, sélectionnez l’événement dans le journal.

Vous pouvez également exporter ces journaux depuis Microsoft Entra ID et utiliser l'outil de reporting de votre choix pour obtenir des rapports personnalisés.

Microsoft Graph

Utilisez Microsoft Graph pour obtenir des informations de stratégie.

Demande HTTP

• Obtenez la stratégie par défaut :

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  

• Réinitialisez la valeur par défaut du système :

  POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
  

• Obtenir les configurations du partenaire

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
  

• Récupérer une configuration spécifique d'un partenaire :

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

• Mettez à jour un partenaire spécifique :

  PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

Corps de la demande

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

Limitations connues

Les restrictions de locataire v2 sont prises en charge sur tous les clouds. Toutefois, les restrictions de locataire v2 ne sont pas appliquées avec les demandes interclouds.

Les restrictions locatives v2 ne fonctionnent pas avec la fonctionnalité macOS Platform SSO avec signalisation par le client via le proxy d’entreprise. Les clients qui utilisent des restrictions de locataire v2 et l’authentification unique de plateforme doivent utiliser des restrictions de locataire universelles v2 avec la signalisation du client Global Secure Access. Il s’agit d’une limitation d'Apple, dans laquelle l’authentification unique de plateforme n’est pas compatible avec les restrictions de locataire lorsqu’une solution réseau intermédiaire injecte des en-têtes. Un exemple de telle solution est un proxy qui utilise une chaîne d’approbation de certificat en dehors des certificats racines système Apple.

Contenu connexe

• Configurer les paramètres de collaboration externe pour B2B dans Microsoft Entra External ID