Bérlőkorlátozások beállítása v2

A következőre vonatkozik: A munkaerő-bérlők Külső bérlők (további információ)

Feljegyzés

A cikkben ismertetett egyes funkciók előzetes verziójú funkciók. Az előzetes verziókkal kapcsolatos további információkért tekintse meg a Microsoft Azure Előzetes verzió kiegészítő használati feltételeit.

A biztonság növelése érdekében korlátozhatja, hogy a felhasználók mit érhetnek el, ha külső fiók használatával jelentkeznek be a hálózatokról vagy az eszközökről. A bérlők közöttihozzáférési beállításokat tartalmazó bérlőkorlátozási beállítások lehetővé teszik, hogy szabályzatot hozzon létre a külső alkalmazásokhoz való hozzáférés szabályozásához.

Tegyük fel például, hogy a szervezet egy felhasználója külön fiókot hozott létre egy ismeretlen bérlőben, vagy egy külső szervezet adott a felhasználónak egy fiókot, amellyel bejelentkezhet a szervezetbe. Bérlői korlátozások használatával megakadályozhatja, hogy a felhasználó néhány vagy az összes külső alkalmazást használjon, miközben a külső fiókkal van bejelentkezve a hálózaton vagy az eszközökön.

Az alábbi ábra azokat a lépéseket mutatja be, amelyeket egy példaszervezet hajt végre a felhasználói hozzáférés megakadályozása érdekében a bérlői korlátozások v2 használatával.

Lépés	Leírás
1	A Contoso bérlői korlátozásokat konfigurál a bérlők közötti hozzáférési beállításaiban az összes külső fiók és külső alkalmazás letiltásához. A Contoso kényszerítési jelzéseket ad hozzá a bérlői korlátozások v2 fejlécével, akár univerzális bérlői korlátozások v2, akár vállalati proxy használatával. A Microsoft Entra ID kikényszeríti a bérlői korlátozások v2 szabályzatát, ha a fejléc szerepel a kérelemben.
2	A Contoso által felügyelt eszköz felhasználója egy ismeretlen bérlőtől származó fiókkal próbál bejelentkezni egy külső alkalmazásba. A bérlői korlátozások v2 HTTP-fejléc a Contoso bérlőazonosítójával és a bérlői korlátozások házirend-azonosítójával együtt hozzáadódik a hitelesítési kérelemhez.
3	Hitelesítési sík védelme: A Microsoft Entra ID kikényszeríti a Contoso 2-es verziójú bérlői korlátozásait, és letiltja a külső fiókok hozzáférését a külső bérlőkhöz a hitelesítés során.
4	Adatsík-védelem (előzetes verzió): A Microsoft Entra-azonosító letiltja a Microsoft Formshoz, SharePoint-fájlokhoz vagy Microsoft Teams-értekezletekhez való névtelen hozzáférést. A Microsoft Entra ID továbbá letiltja a felhasználók erőforráshoz való hozzáférését egy behatolt jogkivonattal.

A v2 bérlői korlátozások mindkét védelmi típushoz biztosítanak lehetőségeket:

• A hitelesítési sík védelme a bérlői korlátozások v2-szabályzatának használatát jelenti a külső identitásokat használó bejelentkezések blokkolásához. Megakadályozhatja például, hogy egy rosszindulatú bennfentes adatokat szivárogtasson ki külső e-mailen keresztül, ha megakadályozza, hogy a támadó bejelentkezjen a rosszindulatú bérlőbe. A bérlői korlátozások v2-ben általánosan elérhető a hitelesítési sík védelme.

• Az adatsík-védelem a hitelesítést megkerülő támadások megelőzését jelenti. Előfordulhat például, hogy egy támadó névtelenül csatlakozik egy Teams-értekezlethez vagy névtelenül fér hozzá a SharePoint-fájlokhoz, és megpróbál hozzáférni egy rosszindulatú bérlő alkalmazásához. Vagy a támadó másolhat egy hozzáférési jogkivonatot egy rosszindulatú bérlőben lévő eszközről, és importálhatja azt a szervezeti eszközre. Az adatsíkok védelme a bérlői korlátozások v2-ben kényszeríti a felhasználót az erőforrás elérésére tett kísérletek hitelesítésére. Az adatsíkok védelme letiltja a hozzáférést, ha a hitelesítés sikertelen.

Az 1. verzióban megadott bérlői korlátozások a vállalati proxyn konfigurált bérlői engedélyezési listán keresztül biztosítják a hitelesítési sík védelmét. A Tenant restrictions v2 részletes hitelesítési és adatvédelmi lehetőségeket biztosít, vállalati proxyval vagy anélkül. Ha vállalati proxyt használ a fejléc injektálásához, a beállítások csak a hitelesítési réteg védelmét tartalmazzák.

Bérlői korlátozások v2 áttekintése

A szervezet bérlők közötti hozzáférési beállításaiban konfigurálhat egy bérlői korlátozások v2-házirendet. A szabályzat létrehozása után háromféleképpen alkalmazhatja a szabályzatot a szervezetben:

• Univerzális bérlőkorlátozások. Ez a beállítás vállalati proxy nélkül biztosít hitelesítésisík-védelmet. Az univerzális bérlői korlátozások a Global Secure Access használatával címkézik meg az összes forgalmat, függetlenül attól, hogy milyen az operációs rendszer, a böngésző vagy az eszköz formája. Ez a beállítás lehetővé teszi az ügyfél- és a távoli hálózati kapcsolat támogatását is.
• Hitelesítési platform. Vállalati proxyt helyezhet üzembe a szervezetben, és konfigurálhatja a proxyt úgy, hogy bérlői korlátozásokat állítson be v2 jelekkel a Microsoft Entra ID és a Microsoft-fiókok felé érkező összes forgalomra vonatkozóan.
• Ablakok. A vállalati tulajdonban lévő Windows-eszközök esetében a bérlői korlátozások közvetlenül az eszközökön való kikényszerítésével érvényesítheti a hitelesítési sík és az adatsík védelmét is. A bérlői korlátozásokat az erőforrás-hozzáférésnél alkalmazzák az adatutak lefedettségének biztosítása és a tokenek beszivárgása elleni védelem érdekében. A szabályzatkényszerítéshez nincs szükség vállalati proxyra. Az eszközök lehetnek a Microsoft Entra ID által kezelt, vagy tartományhoz csatlakoztathatók és csoportházirenddel kezelhetők.

Feljegyzés

Ez a cikk bemutatja, hogyan konfigurálhatók a bérlői korlátozások v2-ben a Microsoft Entra felügyeleti központ használatával. A Bérlők közötti hozzáférési beállításokhoz a Microsoft Graph API-t is használhatja ugyanezen bérlőkorlátozási szabályzatok létrehozásához.

Támogatott esetek

A 2. verzióra vonatkozó bérlőkorlátozások hatóköre adott felhasználókra, csoportokra, szervezetekre vagy külső alkalmazásokra terjedhet ki. A Windows operációs rendszer hálózati veremére épülő alkalmazások védettek. A következő forgatókönyvek támogatottak:

• Minden Office-alkalmazás (minden verzió/kiadási csatorna)
• Univerzális Windows Platform (UWP) .NET-alkalmazások
• Hitelesítési sík védelme minden olyan alkalmazáshoz, amely a Microsoft Entra-azonosítóval hitelesít, beleértve az összes Microsoft-alkalmazást és minden olyan partneralkalmazást, amely a Microsoft Entra-azonosítót használja a hitelesítéshez
• A SharePoint Online, az Exchange Online és a Microsoft Graph adatsík-védelme
• Névtelen hozzáférés-védelem űrlapokhoz, SharePoint Online-hoz, OneDrive-hoz és Teamshez (összevonási vezérlők konfigurálva)
• Hitelesítés és adatsík-védelem Microsoft-bérlői vagy fogyasztói fiókokhoz
• Ha univerzális bérlői korlátozásokat használ a Global Secure Access rendszerében, az összes böngésző és platform
• A Windows csoportházirend használata esetén a Microsoft Edge és a Microsoft Edge összes webhelye
• Eszközalapú hitelesítéssel rendelkező forgatókönyvek (beleértve a Microsoft Graph-tal integrált egyéni alkalmazásokat is)

Nem támogatott forgatókönyvek

• A felhasználói OneDrive-fiókok névtelen blokkolása. Ezt a korlátozást proxyszinten megkerülheti a blokkolással https://onedrive.live.com/.
• Ha egy felhasználó névtelen hivatkozással vagy nem Microsoft Entra-fiókkal fér hozzá egy partneralkalmazáshoz, például a Slackhez.
• Amikor egy felhasználó egy Microsoft Entra-azonosítóval kiállított jogkivonatot másol egy otthoni gépről egy munkahelyi gépre, és egy külső alkalmazáshoz, például a Slackhez való hozzáféréshez használja.
• A Microsoft-fiókok felhasználónkénti bérlői korlátozásai.

Bérlői korlátozások összehasonlítása v1 és v2

Az alábbi táblázat az egyes verziók funkcióit hasonlítja össze.

Tulajdonság	Bérlői korlátozások v1	Bérlői korlátozások v2
Szabályzatkényszerítés	A vállalati proxy kikényszeríti a bérlőkorlátozási szabályzatot a Microsoft Entra ID vezérlősíkon.	Lehetőségek: – A Global Secure Access rendszer univerzális bérlői korlátozásai minden platformon támogatják a hitelesítési síkot. - A vállalati proxy fejlécinjektálásakor a vállalati proxy a bérlői korlátozások v2 verziós jelzéseit állítja be az összes forgalomra. - A Windows-eszközkezelés mind a hitelesítési sík, mind az adatsík védelmét biztosítja. Az eszközök úgy vannak konfigurálva, hogy a Microsoft-forgalmat a bérlőkorlátozási szabályzatra irányítják. A szabályzat a felhőben lesz kényszerítve.
Szabályzatkényszerítés korlátozása	A vállalati proxykat úgy kezelheti, hogy bérlőket ad hozzá a Microsoft Entra forgalmi engedélyezési listájához. A fejléc értékének Restrict-Access-To-Tenants: <allowed-tenant-list> karakterkorlátja korlátozza a hozzáadható bérlők számát.	Ezt a funkciót egy felhőházirend kezeli a bérlők közötti hozzáférési szabályzatban. A rendszer létrehoz egy alapértelmezett házirendet a bérlő szintjén, és minden külső bérlőhöz létrehoz egy partnerházirendet.
Rosszindulatú bérlői kérelmek	A Microsoft Entra ID letiltja a rosszindulatú bérlői hitelesítési kéréseket a hitelesítési sík védelmének biztosításához.	A Microsoft Entra ID letiltja a rosszindulatú bérlői hitelesítési kéréseket a hitelesítési sík védelmének biztosításához.
Granularitás	Ez a funkció csak a bérlőkre és az összes Microsoft-fiókra korlátozódik.	Ez a funkció magában foglalja a bérlő, a felhasználó, a csoport és az alkalmazás részletességét. (A Microsoft-fiókok nem támogatják a felhasználói szintű részletességet.)
Névtelen hozzáférés	A Teams-értekezletekhez és a fájlmegosztáshoz való névtelen hozzáférés engedélyezett.	A Teams-értekezletekhez való névtelen hozzáférés le van tiltva. A névtelenül megosztott erőforrásokhoz (a hivatkozással rendelkezőkhöz) való hozzáférés le van tiltva. Az űrlapokhoz való névtelen hozzáférés le van tiltva.
Microsoft-fiókok	Ez a funkció fejlécet Restrict-MSA használ a fogyasztói fiókokhoz való hozzáférés letiltásához.	Ez a funkció lehetővé teszi a Microsoft-fiókhitelesítés ellenőrzését az identitás- és adatsíkokon egyaránt. Ha például alapértelmezés szerint kikényszeríti a bérlői korlátozásokat, létrehozhat egy szabályzatot, amely lehetővé teszi a felhasználók számára, hogy a Microsoft-fiókjukkal elérjék a következő alkalmazásokat: Microsoft Learn (alkalmazásazonosító 18fbca16-2224-45f6-85b0-f7bf2b39b3f3) vagy Microsoft Enterprise Skills Initiative (alkalmazásazonosító 195e7f27-02f9-4045-9a91-cd2fa1c2af2f).
Proxykezelés	A vállalati proxykat úgy kezelheti, hogy bérlőket ad hozzá a Microsoft Entra forgalmi engedélyezési listájához.	A vállalati proxyn a hitelesítési sík védelméhez konfigurálja a proxyt úgy, hogy a bérlői korlátozásokat v2-jelekkel állítsa be az összes forgalomra.
Platformtámogatás	Ez a funkció minden platformon támogatott. Csak hitelesítési sík védelmét biztosítja.	A Globális Biztonságos Hozzáférés univerzális használati korlátozásai támogatják bármely operációs rendszert, böngészőt vagy eszközformátumot. A vállalati proxyk hitelesítési síkjának védelme támogatja a macOS, a Chrome böngésző és a .NET-alkalmazásokat. A Windows-eszközkezelés támogatja a Windows operációs rendszereket és a Microsoft Edge-et.
Portáltámogatás	A Szabályzat konfigurálásához nincs felhasználói felület a Microsoft Entra felügyeleti központban.	A felhőszabályzat beállításához a Microsoft Entra felügyeleti központban elérhető egy felhasználói felület.
Nem támogatott alkalmazások	Nem alkalmazható.	Tiltsa le a Nem támogatott alkalmazások használatát a Microsoft-végpontokkal a Windows app Control for Business (korábbi nevén Windows Defender Alkalmazásvezérlés [WDAC]) vagy a Windows tűzfal (például Chrome vagy Firefox) használatával. A cikk későbbi részében lásd a Chrome, a Firefox és a .NET-alkalmazások, például a PowerShell blokkolását .

V1 bérlőkorlátozási szabályzatok v2-re való migrálása a proxy-n keresztül.

A bérlőkorlátozási szabályzatok áttelepítése az 1-ről a v2-re egyszeri művelet. A migrálás után nincs szükség ügyféloldali módosításokra. Az ezt követő kiszolgálóoldali házirend-módosításokat a Microsoft Entra felügyeleti központban végezheti el.

Ha egy proxy-n engedélyezi a bérlői korlátozások v2-t, akkor csak a hitelesítési síkon érvényesítheti azokat. Ha engedélyezni kell a bérlői korlátozások v2 verzióját mind a hitelesítési, mind az adat síkokon, akkor engedélyezze az ügyféloldali jelzést a bérlői korlátozások v2 számára egy Windows-csoportházirend-objektum (GPO) használatával.

1. lépés: A partnerbérlelők engedélyezett listájának konfigurálása

A bérlői korlátozások 1. verziójával létrehozhat egy engedélyezési listát a bérlőazonosítókról és/vagy a Microsoft bejelentkezési végpontjairól annak biztosítása érdekében, hogy a felhasználók hozzáférjenek a szervezet által engedélyezett külső bérlőkhöz. Az 1. verzió bérlői korlátozások az engedélyezett listát úgy érték el, hogy a Restrict-Access-To-Tenants: <allowed-tenant-list> fejlécet hozzáadták a proxyhoz. Például: Restrict-Access-To-Tenants: "contoso.com, fabrikam.com, northwindtraders.com". További információ az 1.v. bérlői korlátozásokról.

A 2. verziójú bérlői korlátozások esetén a konfiguráció a kiszolgálóoldali felhőházirendbe kerül. Nincs szükség a bérlői korlátozások v1 fejlécére, ezért távolítsa el ezt a fejlécet a vállalati proxyból. A fejléc minden allowed-tenant-list bérlője számára hozzon létre egy partneri bérlői szabályzatot. Kövesse az alábbi irányelveket:

• Tartsa meg a bérlőkorlátozások v2 alapértelmezett szabályzatát, amely letiltja az összes külső bérlők általi hozzáférést külső identitások esetén (például user@<externaltenant>.com).
• Hozzon létre egy partnerbérlelői szabályzatot a bérlőkorlátozások v1 engedélyezési listájában felsorolt összes bérlőhöz a 2. lépés lépéseit követve : Bérlőkorlátozások konfigurálása v2 adott partnerek számára a jelen cikk későbbi részében.
• Csak adott felhasználók férhetnek hozzá adott alkalmazásokhoz. Ez a kialakítás növeli a biztonsági helyzetet azáltal, hogy csak a szükséges felhasználók számára korlátozza a hozzáférést.

2. lépés: Fogyasztói fiók vagy Microsoft-fiók bérlőinek letiltása

Annak érdekében, hogy a felhasználók ne tudjanak belépni a fogyasztói alkalmazásokba, a bérlői korlátozások 1-hez szükséges a sec-Restrict-Tenant-Access-Policy fejléc befecskendezése a login.live.com-ot felkereső forgalomba, mint a sec-Restrict-Tenant-Access-Policy: restrict-msa esetén.

A 2. verziójú bérlői korlátozások esetén a konfiguráció a kiszolgálóoldali felhőházirendbe kerül. Nincs szükség a bérlői korlátozások v1 fejlécére. A vállalati proxyn távolítsa el a bérlőt a korlátozások v1 fejlécéről sec-Restrict-Tenant-Access-Policy: restrict-msa.

Hozzon létre egy partnerbérlelői szabályzatot a Microsoft-fiók bérlője számára a jelen cikk későbbi részében szereplő 2. lépésben: Bérlőkorlátozások konfigurálása v2 adott partnerek számára . Mivel a felhasználói szintű hozzárendelés nem érhető el a Microsoft-fiók bérlői számára, a szabályzat a Microsoft-fiókok összes felhasználójára vonatkozik. Az alkalmazásszintű részletesség azonban elérhető. Korlátoznia kell azokat az alkalmazásokat, amelyekhez a Microsoft-fiókok vagy a fogyasztói fiókok csak a szükséges alkalmazásokhoz férhetnek hozzá.

Feljegyzés

A Microsoft-fiók bérlőjének letiltása nem blokkolja az eszközforgalmat a felhasználókon kívül más forrásokból, például:

• Az Autopilot, a Windows Update és a szervezeti adatgyűjtés forgalma.
• A fogyasztói fiókok üzleti célú (B2B) hitelesítése vagy átmenő hitelesítés, ahol az Azure-alkalmazások és Office.com-alkalmazások Microsoft Entra-azonosítóval jelentkeznek be a fogyasztói felhasználókba egy fogyasztói környezetben.

3. lépés: Bérlői korlátozások engedélyezése v2 a vállalati proxyn

A vállalati proxyt úgy konfigurálhatja, hogy engedélyezze a bérlői korlátozások v2 fejlécének ügyféloldali címkézését a következő vállalati proxybeállítással: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>

Ebben a beállításban cserélje le a <DirectoryID>-t a Microsoft Entra bérlőazonosítójával. Cserélje le a <policyGUID> jelet a bérlők közötti hozzáférési szabályzat objektumazonosítójával.

Bérlői korlátozások és bejövő és kimenő beállítások

Bár a bérlői korlátozások a bérlők közötti hozzáférési beállításokkal együtt vannak konfigurálva, a bejövő és kimenő hozzáférési beállításoktól függetlenül működnek. A bérlők közötti hozzáférési beállítások segítségével szabályozhatja, hogy a felhasználók mikor jelentkeznek be a szervezet egyik fiókjával. Ezzel szemben a bérlőkorlátozásokkal szabályozhatja, hogy a felhasználók mikor használnak külső fiókot. A B2B-együttműködés és a közvetlen B2B-kapcsolatok bejövő és kimenő beállításai nem érintik (és nem érintik) a bérlői korlátozások beállításait.

Gondolja át a hozzáférési beállításokat a következő módon:

• A bejövő beállítások szabályozzák a belső alkalmazásokhoz való külső fiókhozzáférést.
• A kimenő beállítások szabályozzák a külső alkalmazásokhoz való belső fiókhozzáférést.
• A bérlői korlátozások a külső alkalmazásokhoz való külső fiókhozzáférést szabályozzák.

Bérlői korlátozások és B2B-együttműködés

Ha a felhasználóknak külső szervezetekhez és alkalmazásokhoz kell hozzáférniük, javasoljuk, hogy engedélyezze a bérlői korlátozásokat a külső fiókok blokkolásához és a B2B-együttműködés használatához. A B2B-együttműködés lehetővé teszi a következő lehetőségeket:

• Használja a feltételes hozzáférést, és kényszerítse a többtényezős hitelesítést a B2B együttműködési felhasználók számára.
• Bejövő és kimenő hozzáférés kezelése.
• Munkameneteket és hitelesítő adatokat megszüntetni, amikor egy B2B együttműködési felhasználó foglalkoztatási státusza megváltozik, vagy hitelesítő adataik sérülnek.
• A bejelentkezési naplók segítségével megtekintheti a B2B együttműködési felhasználók adatait.

Előfeltételek

A bérlői korlátozások konfigurálásához a következőkre van szükség:

• Microsoft Entra ID P1 vagy P2.
• Olyan fiók, amely legalább biztonsági rendszergazdai szerepkörrel rendelkezik a bérlői korlátozások v2-szabályzat konfigurálásához.
• A Windows csoportházirend objektum konfigurálásához olyan Windows-eszközök szükségesek, amelyek Windows 10 vagy Windows 11 rendszert futtatnak a legújabb frissítésekkel.

Kiszolgálóoldali felhőszabályzat konfigurálása a bérlői korlátozások v2-hez

1. lépés: Alapértelmezett bérlőkorlátozások konfigurálása

A v2-hez tartozó bérlői korlátozások beállításai a Microsoft Entra Felügyeleti központban, a bérlők közötti hozzáférési beállítások alatt találhatók. Először konfigurálja az összes felhasználóra, csoportra, alkalmazásra és szervezetre alkalmazni kívánt alapértelmezett bérlőkorlátozásokat. Ha partnerspecifikus konfigurációkra van szüksége, hozzáadhatja a partner szervezetét, és testre szabhatja az alapértelmezett beállításoktól eltérő beállításokat.

Alapértelmezett bérlőkorlátozások konfigurálása:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Navigáljon ide: Entra ID>Külső identitások>Bérlők közötti hozzáférési beállítások.

3. Válassza az Alapértelmezett beállítások lapot.

   

4. Görgessen a Bérlőkorlátozások szakaszhoz.

5. Válassza a Bérlőkorlátozások szerkesztése alapértelmezett hivatkozását .

   

6. Ha egy alapértelmezett szabályzat még nem létezik a bérlőben, megjelenik egy Szabályzat létrehozása hivatkozás a Szabályzatazonosító mellett. Válassza ezt a hivatkozást.

   

7. A Bérlőkorlátozások panel megjeleníti a bérlőazonosító értékét és a bérlői korlátozások házirend-azonosítójának értékét is. Mindkét érték másolásához használja a másolási ikonokat. Ezeket később fogja használni, amikor konfigurálja a Windows-ügyfeleket a bérlői korlátozások engedélyezésére.

   

8. Válassza a Külső felhasználók és csoportok lapot. Az Access állapotában válasszon az alábbi lehetőségek közül:

   • Hozzáférés engedélyezése: A külső fiókkal bejelentkezett összes felhasználó számára engedélyezi a külső alkalmazások elérését (a Külső alkalmazások lapon van megadva).
   • Hozzáférés letiltása: A külső fiókkal bejelentkezett összes felhasználó számára letiltja a külső alkalmazások elérését (a Külső alkalmazások lapon van megadva).

   

   Feljegyzés

   Az alapértelmezett beállítások nem korlátozhatók egyes fiókokra vagy csoportokra, ezért a Vonatkozik mindig azt jelenti, hogy a saját bérlőinek összes felhasználójára és csoportjára érvényes. Vegye figyelembe, hogy ha minden felhasználó és csoport hozzáférését letiltja, akkor az összes külső alkalmazáshoz (a Külső alkalmazások lapon) is le kell tiltania a hozzáférést.

9. Válassza a Külső alkalmazások lapot. Az Access állapotában válasszon az alábbi lehetőségek közül:

   • Hozzáférés engedélyezése: Lehetővé teszi, hogy a külső fiókkal bejelentkezett összes felhasználó hozzáférjen az Applies to szakaszban megadott alkalmazásokhoz .
   • Hozzáférés letiltása: Letiltja, hogy a külső fiókkal bejelentkezett összes felhasználó hozzáférjen az Applies to szakaszban megadott alkalmazásokhoz .

   

10. Az Érintett területen válassza az alábbi lehetőségek egyikét:

    • Minden külső alkalmazás: Az Access állapotában kiválasztott műveletet alkalmazza az összes külső alkalmazásra. Ha letiltja az összes külső alkalmazáshoz való hozzáférést, akkor az összes felhasználó és csoport hozzáférését is le kell tiltania (a Külső felhasználók és csoportok lapon).

    • Külső alkalmazások kiválasztása: Kiválaszthatja azokat a külső alkalmazásokat, amelyekre az Access állapotában alkalmazni szeretné a műveletet.

      Alkalmazások kiválasztásához válassza a Microsoft-alkalmazások hozzáadása vagy más alkalmazások hozzáadása lehetőséget. Ezután keressen az alkalmazásnév vagy az alkalmazásazonosító (vagy az ügyfélalkalmazás azonosítója vagy az erőforrásalkalmazás azonosítója) alapján, és válassza ki az alkalmazást. (Lásd a gyakran használt Microsoft-alkalmazások azonosítóinak listáját.) Ha további alkalmazásokat szeretne hozzáadni, használja a Hozzáadás gombot. Amikor végzett, válassza a Küldés lehetőséget.

    

11. Válassza a Mentés lehetőséget.

2. lépés: Bérlői korlátozások konfigurálása v2 adott partnerek számára

Tegyük fel, hogy bérlői korlátozásokkal letiltja a hozzáférést alapértelmezés szerint, de engedélyezni szeretné, hogy a felhasználók saját külső fiókjukkal férhessenek hozzá bizonyos alkalmazásokhoz. Például azt szeretné, hogy a felhasználók saját Microsoft-fiókjukkal férhessenek hozzá a Microsoft Learnhez. Az ebben a szakaszban található utasítások azt ismertetik, hogyan adhat hozzá szervezetspecifikus beállításokat, amelyek elsőbbséget élveznek az alapértelmezett beállításokkal szemben.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként vagy feltételes hozzáférési rendszergazdaként.

2. Navigáljon ide: Entra ID>Külső identitások>Bérlők közötti hozzáférési beállítások.

3. Válassza a Szervezeti beállítások lehetőséget.

   Feljegyzés

   Ha a felvenni kívánt szervezet már fel lett véve a listára, kihagyhatja a hozzáadást, és közvetlenül módosíthatja a beállításokat.

4. Válassza a Szervezet hozzáadása lehetőséget.

5. A Szervezet hozzáadása panelen adja meg a szervezet teljes tartománynevét (vagy bérlőazonosítóját).

   Keresse meg például a következő bérlőazonosítót egy Microsoft-fiókhoz:

   9188040d-6c67-4c5b-b112-36a304b66dad
   

   

6. Válassza ki a szervezetet a keresési eredmények között, majd válassza a Hozzáadás lehetőséget.

7. Módosítsa a beállításokat. Keresse meg a szervezetet a Szervezeti beállítások listában, majd görgessen vízszintesen a Bérlőkorlátozások oszlop megtekintéséhez. Ezen a ponton a szervezet összes bérlőkorlátozási beállítása öröklődik az alapértelmezett beállításoktól. A szervezet beállításainak módosításához válassza az Alapértelmezettről örökölt hivatkozást.

   

8. Megjelenik a szervezet Bérlőkorlátozások panelje. Másolja ki a bérlőazonosító és a házirend-azonosító értékeit. Ezeket később fogja használni, amikor konfigurálja a Windows-ügyfeleket a bérlői korlátozások engedélyezésére.

   

9. Válassza a Beállítások testreszabása lehetőséget, majd a Külső felhasználók és csoportok lapot. Az Access állapotában válasszon egy lehetőséget:

   • Hozzáférés engedélyezése: Lehetővé teszi az Alkalmazási terület alatt megadott felhasználók és csoportok számára, akik külső fiókokkal vannak bejelentkezve, hogy hozzáférjenek a Külső alkalmazások lapon megadott külső alkalmazásokhoz.
   • Hozzáférés letiltása: Letiltja azon felhasználók és csoportok számára a hozzáférést, akik külső fiókokkal jelentkeztek be, az Alkalmazandó alatt megadottak szerint, a Külső alkalmazások lapon megadott külső alkalmazásokhoz.

   A cikkben szereplő Microsoft-fiókok esetében a Hozzáférés engedélyezése lehetőséget választjuk.

   

10. Az Érvényesség csoportban válassza a Minden <szervezeti> felhasználó és csoport lehetőséget.

    

    Feljegyzés

    A Microsoft-fiókok nem támogatják a felhasználók részletességét, ezért a Szervezet< kiválasztása >felhasználók és csoportok funkció nem érhető el. Más szervezetek esetén választhatja a Szervezet< felhasználóinak és csoportjainak kiválasztása >lehetőséget, majd hajtsa végre az alábbi lépéseket:

    1. Válassza a Külső felhasználók és csoportok hozzáadása lehetőséget.
    2. A Kiválasztás panelen írja be a felhasználónevet vagy a csoport nevét a keresőmezőbe.
    3. Válassza ki a felhasználót vagy csoportot a keresési eredmények között.
    4. Ha továbbiakra van szüksége, válassza a Hozzáadás elemet, és ismételje meg ezeket a lépéseket.
    5. Amikor befejezte a hozzáadni kívánt felhasználók és csoportok kiválasztását, válassza a Küldés lehetőséget.

11. Válassza a Külső alkalmazások lapot. Az Access állapotában adja meg, hogy engedélyezi vagy letiltja-e a külső alkalmazásokhoz való hozzáférést:

    • Hozzáférés engedélyezése: Lehetővé teszi a felhasználók számára, hogy hozzáférjenek a külső fiókok használata esetén megadott külső alkalmazásokhoz .
    • Hozzáférés letiltása: Megakadályozza, hogy a felhasználók hozzáférjenek a külső alkalmazásokhoz, amelyekre a felhasználók külső fiókokat használnak.

    A cikkben szereplő Microsoft-fiókok esetében a Hozzáférés engedélyezése lehetőséget választjuk.

    

12. Az Érintett területen válassza az alábbi lehetőségek egyikét:

    • Minden külső alkalmazás: Az Access állapotában kiválasztott műveletet alkalmazza az összes külső alkalmazásra.
    • Külső alkalmazások kiválasztása: Az Access állapotában kiválasztott műveletet alkalmazza az összes külső alkalmazásra.

    A cikkben szereplő Microsoft-fiókok esetében a Külső alkalmazások kiválasztása lehetőséget választjuk.

    Feljegyzés

    Ha letiltja az összes külső alkalmazáshoz való hozzáférést, akkor az összes felhasználó és csoport hozzáférését is le kell tiltania (a Külső felhasználók és csoportok lapon).

    

13. Ha a Külső alkalmazások kiválasztása lehetőséget választotta, hajtsa végre a következő lépéseket:

    1. Válassza a Microsoft-alkalmazások hozzáadása vagy más alkalmazások hozzáadása lehetőséget. A cikkben szereplő Microsoft Learn-példa esetében a További alkalmazások hozzáadása lehetőséget választjuk.
    2. A keresőmezőbe írja be az alkalmazás nevét vagy az alkalmazásazonosítót (az ügyfélalkalmazás azonosítóját vagy az erőforrásalkalmazás azonosítóját). (Lásd a gyakran használt Microsoft-alkalmazások azonosítóinak listáját.) A cikkben szereplő Microsoft Learn-példában az alkalmazásazonosítót 18fbca16-2224-45f6-85b0-f7bf2b39b3f3írjuk be.
    3. Jelölje ki az alkalmazást a keresési eredmények között, majd válassza a Hozzáadás lehetőséget.
    4. Ismételje meg a fenti lépéseket minden hozzáadni kívánt alkalmazásnál.
    5. Amikor befejezte az alkalmazások kiválasztását, válassza a Küldés lehetőséget.

    

14. A kiválasztott alkalmazások a Külső alkalmazások lapon jelennek meg. Válassza a Mentés lehetőséget.

    

Feljegyzés

A Microsoft-fiók bérlőjének letiltása nem blokkolja a következőket:

• Olyan eszközforgalom, amely nem felhasználóktól származik. Ilyen például az Autopilot, a Windows Update és a szervezeti adatgyűjtés forgalma.
• A fogyasztói fiókok B2B-hitelesítése.
• Átmenő hitelesítés, amelyet számos Azure-alkalmazás és az Office.com használ, ahol az alkalmazások a Microsoft Entra ID segítségével jelentkeznek be fogyasztói felhasználókkal fogyasztói kontextusban.

Bérlőkorlátozások konfigurálása v2 az ügyféloldalon

Az ügyfelekre vonatkozó bérlőkorlátozások v2 kényszerítése háromféleképpen lehetséges:

• Univerzális bérlői korlátozások használata v2-ben a Microsoft Entra Global Secure Access részeként
• Bérlőkorlátozások beállítása v2 a vállalati proxyn
• Bérlőkorlátozások engedélyezése Windows által felügyelt eszközökön (előzetes verzió)

1. lehetőség: Univerzális bérlői korlátozások használata v2 a Microsoft Entra Global Secure Access részeként

A Microsoft Entra Global Secure Access részeként az univerzális bérlői korlátozások v2 minden eszközhöz és platformhoz biztosítják a hitelesítési sík védelmét.

2. lehetőség: Bérlői korlátozások beállítása v2 a vállalati proxyn

Annak érdekében, hogy a bejelentkezések korlátozva legyenek a vállalati hálózat összes eszközén és alkalmazásában, konfigurálja a vállalati proxyt a bérlői korlátozások v2-hez való kényszerítéséhez. Bár a vállalati proxy bérlőkorlátozásainak konfigurálása nem biztosít adatsík-védelmet, a hitelesítési sík védelmét is biztosítja.

Fontos

Ha korábban beállította a bérlői korlátozásokat, meg kell állítania az adatküldést a login.live.com oldalra. Ellenkező esetben az új beállítások ütköznek a Microsoft-fiók bejelentkezési szolgáltatásának meglévő utasításaival.

1. Konfigurálja a bérlői korlátozások v2 fejlécét az alábbiak szerint:

   Fejléc neve	Fejléc értéke	Mintaérték
   sec-Restrict-Tenant-Access-Policy	<TenantId>:<policyGuid>	aaaabbbb-0000-cccc-1111-dddd2222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5

   • TenantID az Ön Microsoft Entra-bérlő azonosítója. Ezt az értéket a Microsoft Entra felügyeleti központba való bejelentkezéssel és az Entra-azonosító>áttekintési>tulajdonságai között való böngészéssel találja meg.
   • policyGUID A bérlők közötti hozzáférési szabályzat objektumazonosítója. Keresse meg ezt az értéket a /crosstenantaccesspolicy/default meghívásával és a visszaadott id mező használatával.

2. A vállalati proxyn küldje el a bérlői korlátozások v2 fejlécét a következő Microsoft bejelentkezési tartományokba:

   • login.live.com
   • login.microsoft.com
   • login.microsoftonline.com
   • login.windows.net

   Ez a fejléc érvényesíti a hálózaton lévő összes bejelentkezésnél a bérlői korlátozások v2 szabályzatát. Ez a fejléc nem blokkolja a névtelen hozzáférést a Teams-értekezletekhez, SharePoint-fájlokhoz vagy más, hitelesítést nem igénylő erőforrásokhoz.

Fontos

A proxyn az 1. és a 2. verzióra vonatkozó bérlői korlátozásokhoz vissza kell fejteni a bejelentkezési URL-címekre( például login.microsoftonline.com) vonatkozó kéréseket. A Microsoft támogatja a bejelentkezési tartományok forgalmának dekódolását a bérlők korlátozásainak fejléc beillesztése céljából. Ez a visszafejtés érvényes kivétel a Microsoft 365-ben külső hálózati eszközök vagy megoldások használata szabályzatai alól.

A bérlőkorlátozások 2. verziója nem támogatja a megszakítást és a vizsgálatot.

Nem Windows-platformok esetén megszakíthatja és megvizsgálhatja a forgalmat, hogy proxyn keresztül adja hozzá a bérlői korlátozások v2 paramétereit a fejléchez. Azonban egyes platformok nem támogatják a szünetelést és ellenőrzést, így a bérlői korlátozások a 2. verzióra vonatkozóan nem működnek. Ezen platformok esetében a Microsoft Entra ID alábbi funkciói nyújthatnak védelmet:

• Feltételes hozzáférés: Csak felügyelt vagy megfelelő eszközök használatának engedélyezése
• Feltételes hozzáférés: Vendég- vagy külső felhasználók hozzáférésének kezelése
• B2B-együttműködés: A kimenő szabályok korlátozása bérlők közötti hozzáféréssel a Restrict-Access-To-Tenants paraméterben felsorolt bérlőkhöz
• B2B együttműködés: A B2B-felhasználók meghívásainak korlátozása ugyanarra a tartományra, amely a Korlátozott hozzáférés -To-Tenants paraméterben szerepel
• Alkalmazáskezelés: Annak korlátozása, hogy a felhasználók hogyan járulnak hozzá az alkalmazásokhoz
• Intune: Alkalmazásszabályzat alkalmazása az Intune-on keresztül, hogy a felügyelt alkalmazások használatát csak az eszközt regisztráló fiók upn-jára korlátozza (az Alkalmazásokban konfigurált szervezeti fiókok engedélyezése) területen

Bár ezek az alternatívák védelmet nyújtanak, bizonyos forgatókönyveket csak bérlői korlátozásokon keresztül fedhet le. Ilyen például egy böngésző használata a Microsoft 365-szolgáltatások webes elérésére a dedikált alkalmazás helyett.

3. lehetőség: Bérlői korlátozások engedélyezése Windows által felügyelt eszközökön (előzetes verzió)

Miután létrehozott egy bérlőkorlátozások v2-szabályzatot, a házirendet minden Windows 10- vagy Windows 11-eszközön kikényszerítheti, ha hozzáadja a bérlőazonosítót és a szabályzatazonosítót az eszköz bérlőkorlátozási konfigurációjához.

Ha engedélyezi a bérlői korlátozásokat egy Windows-eszközön, a szabályzatkényszerítéshez nincs szükség vállalati proxykra. Az eszközöknek nem kell Microsoft Entra ID-vel kezelve lenniük az bérlői korlátozások v2 érvényesítéséhez. A csoportházirenddel felügyelt tartományhoz csatlakoztatott eszközök is támogatottak.

Feljegyzés

A windowsos bérlőkorlátozások v2 egy részleges megoldás, amely bizonyos helyzetekben segít megvédeni a hitelesítést és az adatsíkokat. Felügyelt Windows-eszközökön működik. Nem védi a .NET-vermet, a Chrome-ot vagy a Firefoxot.

Bérlőkorlátozások üzembe helyezése csoportházirend használatával

A csoportházirend használatával üzembe helyezheti a bérlőkorlátozások konfigurációját a Windows-eszközökön. Tekintse meg az alábbi erőforrásokat:

• Felügyeleti sablonok a Windows 10 2021. novemberi frissítéséhez (21H2)
• Csoportházirend-beállítások referenciatáblázata a Windows 10 2021. novemberi frissítéséhez (21H2)

A szabályzat tesztelése egy eszközön

Ha egy eszközön szeretné tesztelni a bérlői korlátozások v2-szabályzatát, kövesse az alábbi lépéseket.

Feljegyzés

Az eszköznek Windows 10-et vagy Windows 11-et kell futtatnia a legújabb frissítésekkel.

1. A Windows számítógépen válassza a Windows billentyűkombinációt, írja be a gpedit kifejezést, majd válassza a Csoportházirend szerkesztése (Vezérlőpult) lehetőséget.

2. Nyissa meg a számítógép konfigurációjának>felügyeleti sablonjait>a Windows-összetevők bérlői>korlátozásait.

3. Kattintson a jobb gombbal a felhőházirend részletei elemre a jobb oldali panelen, majd válassza a Szerkesztés lehetőséget.

4. Kérje le a korábban rögzített bérlőazonosító - és házirend-azonosító értékeket (az 1. lépés 7. lépésében : Alapértelmezett bérlőkorlátozások konfigurálása) és adja meg őket a következő mezőkben. Hagyja üresen a többi mezőt.

   • Microsoft Entra Directory-azonosító: Adja meg a korábban rögzített bérlőazonosító-értéket a Microsoft Entra felügyeleti központba való bejelentkezéssel és az Entra ID> áttekintésitulajdonságainak>.

   • Házirend GUID azonosítója: A bérlők közötti hozzáférési szabályzat azonosítója. Ez az a szabályzatazonosító érték, amit korábban feljegyzett.

     

5. Válassza az OK gombot.

Bérlőkorlátozások v2 események megtekintése

Bérlőkorlátozásokkal kapcsolatos események megtekintése az Eseménynaplóban:

1. Az Eseménynaplóban nyissa meg az Alkalmazások és szolgáltatások naplóit.
2. Nyissa meg a Microsoft>Windows>TenantRestrictions Operational webhelyet>, és keresse meg az eseményeket.

Chrome-, Firefox- és .NET-alkalmazások, például a PowerShell letiltása

Az alkalmazások letiltásához be kell állítania a Vállalati alkalmazásvezérlést a Windowsban (korábban Windows Defender alkalmazásvezérlő [WDAC]), és engedélyeznie kell a Windows tűzfalbeállítást.

Az Alkalmazásvezérlés vállalati verzió beállítása a Microsoft-erőforrásokhoz való hozzáférés szabályozásához

Az App Control for Business a Windowsba épített szabályzatmotor, amellyel szabályozhatja, hogy mely alkalmazások futtathatók a felhasználó eszközein. A v2-es bérlői korlátozások esetén az App Control vállalati verzióval blokkolnia kell a nem naprakész alkalmazásokat (olyan alkalmazások, amelyek nem biztosítják a bérlői korlátozások v2 védelmét) a Microsoft-erőforrások elérése elől. Ez a követelmény lehetővé teszi, hogy továbbra is a választott böngészőket és alkalmazásokat használja, miközben tudja, hogy a Microsoft Entra által védett adatok csak biztonságos eszközökkel érhetők el.

Az optimalizálatlan alkalmazások nem használják a Windows hálózati rétegét, így nem élvezhetik a Windowshoz hozzáadott, bérlőkre vonatkozó korlátozások v2 funkcióit. Nem tudják elküldeni a jelet a login.live.com címre a Microsoft Entra számára, sem pedig olyan Microsoft-erőforrások számára, amelyek azt jelzik, hogy szükség van a bérlői korlátozások v2-védelemre. Így nem támaszkodhat a nem tájékozott alkalmazásokra az adatsíkok védelme érdekében.

Az App Control for Business kétféleképpen használható a nem biztonságos alkalmazások elleni védekezéshez:

• Tiltsa le teljesen a nem kijelölt alkalmazások használatát (azaz tiltsa le a PowerShell vagy a Chrome teljes futtatását). Használhat egy szabványos alkalmazásvezérlési vállalati szabályzatot, amely szabályozza, hogy mely alkalmazások futtathatók.
• Engedélyezi a nem megszentesített alkalmazások használatát, de megakadályozza, hogy elérjék a Microsoft-erőforrásokat. Ehhez a módszerhez egy speciális, alkalmazásazonosító címkézési szabályzat-nak nevezett Alkalmazásvezérlő szabályzatot használAppIdTaggingPolicy.

Mindkét beállításhoz először létre kell hoznia egy alkalmazásvezérlő vállalati szabályzatot. Ezután igény szerint alakítsa át alkalmazásazonosító címkézési szabályzattá. Végül vigye át az eszközökre, miután tesztelte egy tesztgépen.

További információ: App Control AppId címkézési szabályzatok létrehozása.

Feljegyzés

Az alábbi lépésekhez egy up-to-date Windows-eszközre van szükség a szabályzat létrehozásához szükséges legújabb PowerShell-parancsmagok eléréséhez.

1. lépés: Szabályzat létrehozása az Alkalmazásvezérlési szabályzat varázslóval

1. Telepítse az Alkalmazásvezérlési házirend varázslót.

2. Válassza a Szabályzat létrehozása lehetőséget, és válassza ki a szabályzat formátumát. Az alapértelmezett érték több szabályzat, alapházirend.

3. Válassza ki az alapsablont (ajánlott: Alapértelmezett Windows vagy Microsoft engedélyezése). Részletes lépésekért tekintse meg a sablon alapszabályzatát.

4. Amikor a szabályzatot alkalmazásazonosító címkézési szabályzattá alakítja, a varázsló feltételezi, hogy a szabályzatszabályok be vannak állítva. Itt állíthatja be őket, de ez nem kötelező. Ezek a szabályzatszabályok közé tartozik a Speciális rendszerindítási beállítások menü, a szkript kényszerítése letiltása, az áruházbeli alkalmazások kényszerítése, a naplózási mód és a felhasználói mód kódintegritása.

5. Válassza ki a házirend XML mentési helyét, és hozza létre a szabályzatot.

2. lépés: A szabályzat átalakítása alkalmazásazonosító címkézési szabályzattá

Miután létrehozta a házirendet a varázslóban, vagy sajátot hoz létre a PowerShell használatával, konvertálja a .xml kimenetet alkalmazásazonosító címkézési szabályzattá. A címkézési szabályzat megjelöli azokat az alkalmazásokat, amelyek számára engedélyezni szeretné a Microsoft-erőforrásokhoz való hozzáférést. A GUID-kimenet az új szabályzatazonosító.

   Set-CIPolicyIdInfo -ResetPolicyID .\policy.xml -AppIdTaggingPolicy -AppIdTaggingKey "M365ResourceAccessEnforced" -AppIdTaggingValue "True" 

3. lépés: A szabályzat fordítása és üzembe helyezése teszteléshez

Miután szerkesztette a szabályzatot, és alkalmazásazonosító címkézési szabályzattá alakította, állítsa össze a fájlnévnek megfelelő házirend-azonosítóval:

   ConvertFrom-CIPolicy .\policy.xml ".\{PolicyID}.cip"

Ezután helyezze üzembe a szabályzatot a CiPolicies\Active címtárban:

   copy ".\{Policy ID}.cip" c:\windows\system32\codeintegrity\CiPolicies\Active\ 

Frissítse a rendszer szabályzatait a RefreshPolicy.exemeghívásával.

A Windows tűzfal beállításának engedélyezése

A Windows tűzfal funkcióval letilthatja, hogy a védelem nélküli alkalmazások a Chrome, a Firefox és a .NET-alkalmazások, például a PowerShell segítségével férhessenek hozzá a Microsoft-erőforrásokhoz. Ezeket az alkalmazásokat a bérlői korlátozások v2-szabályzatának megfelelően blokkolják vagy engedélyezik.

Ha például hozzáadja a PowerShellt az Ügyfélazonosítási program (CIP) házirendjéhez a bérlői korlátozások v2-hez, és a graph.microsoft.com szerepel a bérlői korlátozások v2 házirend végpontlistájában, a PowerShell képes lesz elérni azt a tűzfal engedélyezése mellett.

1. A Windows számítógépen válassza a Windows billentyűkombinációt, írja be a gpedit kifejezést, majd válassza a Csoportházirend szerkesztése (Vezérlőpult) lehetőséget.

2. Nyissa meg a számítógép konfigurációjának>felügyeleti sablonjait>a Windows-összetevők bérlői>korlátozásait.

3. Kattintson a jobb gombbal a felhőházirend részletei elemre a jobb oldali panelen, majd válassza a Szerkesztés lehetőséget.

4. Jelölje be a Microsoft-végpontok tűzfalvédelmének engedélyezése jelölőnégyzetet, majd kattintson az OK gombra.

   

5. Frissítse a csoportházirendet az eszközén az alábbi parancs futtatásával gpudate:

      gupdate /force
   

6. Indítsa újra az eszközt.

Annak tesztelése, hogy a bérlői korlátozások v2 blokkolja-e a hozzáférést

Miután engedélyezte a tűzfalat és az App Control for Business beállítást, próbáljon meg bejelentkezni egy Chrome böngészővel, és férhessen hozzá office.com. A bejelentkezésnek a következő üzenettel kell meghiúsulnia.

Bérlői korlátozások és adatsík támogatása (előzetes verzió)

Az alábbi erőforrások kikényszerítik a bérlői korlátozásokat v2. Ezek az erőforrások olyan jogkivonat-beszivárgási forgatókönyveket kezelnek, amikor egy rossz szereplő közvetlenül egy beszivárogtatott jogkivonattal vagy névtelenül fér hozzá az erőforráshoz.

• Csapatok
• SharePoint Online, például OneDrive-alkalmazás
• Exchange Online, például Outlook-alkalmazás
• Office.com és Office-alkalmazások

Bérlői korlátozások és Microsoft Forms (előzetes verzió)

A v2-es bérlői korlátozások érvényesítésekor automatikusan letiltja az összes névtelen vagy nem hitelesített identitás hozzáférését a Külsőleg üzemeltetett űrlapokhoz a Microsoft Formsból.

Bérlői korlátozások és Microsoft Teams (előzetes verzió)

A Teams alapértelmezés szerint nyitott összevonással rendelkezik. Ez nem akadályozza meg, hogy bárki csatlakozzon egy külső bérlő által üzemeltetett értekezlethez. A Teams-értekezletekhez való hozzáférés nagyobb mértékű szabályozásához használhatja a Teams összevonási vezérlőit adott bérlők engedélyezéséhez vagy letiltásához. Ezeket az összevonási vezérlőket és a 2. verziójú bérlői korlátozásokat is használhatja a Teams-értekezletekhez való névtelen hozzáférés letiltásához.

A Teams bérlői korlátozásainak kikényszerítéséhez konfigurálnia kell a 2. verzióra vonatkozó bérlői korlátozásokat a Microsoft Entra bérlők közötti hozzáférési beállításai között. Összevonási vezérlőket is be kell állítania a Teams felügyeleti portálján, és újra kell indítania a Teamst. A vállalati proxyn végrehajtott bérlői korlátozások nem tiltják le a Teams-értekezletekhez, SharePoint-fájlokhoz és más, hitelesítést nem igénylő erőforrásokhoz való névtelen hozzáférést.

Ha a Teams bérlői korlátozásainak használatát fontolgatja, tartsa szem előtt az identitással kapcsolatos alábbi szempontokat:

• A Teams jelenleg lehetővé teszi a felhasználók számára, hogy vállalati vagy otthoni identitásukkal csatlakozzanak a külsőleg üzemeltetett értekezletekhez. A bérlők közötti kimenő hozzáférési beállítások segítségével szabályozhatja, hogy a vállalati vagy otthoni identitással rendelkező felhasználók mely felhasználók csatlakozhatnak külsőleg üzemeltetett Teams-értekezletekhez.
• A bérlői korlátozások megakadályozzák, hogy a felhasználók külsőleg kiadott identitást használjanak a Teams-értekezletekhez való csatlakozáshoz.

Feljegyzés

A Microsoft Teams alkalmazás függőségben van a SharePoint Online- és az Exchange Online-alkalmazásoktól. Javasoljuk, hogy a Microsoft Teams-szolgáltatásokra, a SharePoint Online-ra vagy az Exchange Online-ra vonatkozó szabályzat külön beállítása helyett az Office 365-appban állítsa be a bérlői korlátozások v2-szabályzatát. Ha engedélyezi vagy letiltja az Office 365 részét képező egyik alkalmazást (SharePoint Online, Exchange Online stb.), az olyan alkalmazásokat is érint, mint a Microsoft Teams. Hasonlóképpen, ha a Microsoft Teams alkalmazás engedélyezve van vagy le van tiltva, a SharePoint Online és az Exchange Online a Teams alkalmazásban is hatással lesz.

Tiszta névtelen értekezletbe való bekapcsolódás

A v2-es bérlői korlátozások automatikusan letiltják a külsőleg üzemeltetett Teams-értekezletekhez való hitelesítés nélküli és külsőleg kiadott identitáshozzáférést.

Tegyük fel például, hogy a Contoso Teams összevonási vezérlőkkel blokkolja a Fabrikam-bérlőt. Ha egy Contoso-eszközzel rendelkező személy Fabrikam-fiókkal csatlakozik egy Contoso Teams-értekezlethez, névtelen felhasználóként beléphet az értekezletbe. Ha a Contoso engedélyezi a 2. verzióra vonatkozó bérlői korlátozásokat is, a Teams letiltja a névtelen hozzáférést, és a felhasználó nem tud csatlakozni az értekezlethez.

Értekezletbe való bekapcsolódás külsőleg kiadott identitáson keresztül

Konfigurálhatja a bérlőkorlátozások v2-szabályzatát, hogy bizonyos, külső identitásokkal rendelkező felhasználók vagy csoportok csatlakozhassanak adott külsőleg üzemeltetett Teams-értekezletekhez. Ezzel a konfigurációval a felhasználók bejelentkezhetnek a Teamsbe a külsőleg kiadott identitásokkal, és csatlakozhatnak a megadott bérlő külsőleg üzemeltetett Teams-értekezleteihez.

Hitelesítési identitás	Hitelesített munkamenet	Eredmény
Bérlői tag felhasználója Példa: A felhasználó az otthoni identitását használja tagfelhasználóként (például user@<mytenant>.com).	Hitelesített	A 2. verzióra vonatkozó bérlőkorlátozások lehetővé teszik a Teams-értekezlet elérését. A bérlői korlátozások v2 nem vonatkoznak a bérlőtag felhasználókra. A bérlők közötti hozzáférésre vonatkozó bejövő/kimenő szabályzat érvényes.
Névtelen Példa: Egy felhasználó egy Nem hitelesített munkamenetet próbál használni egy InPrivate böngészőablakban egy Teams-értekezlet eléréséhez.	Nincs hitelesítve	A v2-bérlői korlátozások letiltják a Teams-értekezlethez való hozzáférést.
Külsőleg kiadott identitás Példa: A felhasználó az otthoni identitástól (például user@<externaltenant>.com) eltérő identitást használ.	Külsőleg kiadott identitásként hitelesített	A bérlői korlátozások v2-szabályzata engedélyezi vagy letiltja a Teams-értekezlethez való hozzáférést. A felhasználó csatlakozhat az értekezlethez, ha a szabályzat engedélyezi. Ellenkező esetben a hozzáférés le van tiltva.

Bérlői korlátozások v2 és SharePoint Online (előzetes verzió)

A SharePoint Online mind a hitelesítési síkon, mind az adatsíkon támogatja a v2-vel kapcsolatos bérlői korlátozásokat.

Hitelesített munkamenetek

Ha a bérlői korlátozások v2 engedélyezve vannak egy bérlőn, a hitelesítés során az illetéktelen hozzáférés le lesz tiltva. Ha egy felhasználó közvetlenül, hitelesített munkamenet nélkül fér hozzá egy SharePoint Online-erőforráshoz, a rendszer kérni fogja, hogy jelentkezzen be. Ha a bérlői korlátozások v2 szabályzata engedélyezi a hozzáférést, a felhasználó hozzáférhet az erőforráshoz. Ellenkező esetben a hozzáférés le van tiltva.

Névtelen hozzáférés (előzetes verzió)

Ha egy felhasználó az otthoni bérlő vagy a vállalati identitás használatával próbál hozzáférni egy névtelen fájlhoz, a felhasználó hozzáférhet a fájlhoz. Ha azonban a felhasználó külsőleg kiadott identitással próbál hozzáférni a névtelen fájlhoz, a hozzáférés le lesz tiltva.

Tegyük fel például, hogy egy felhasználó olyan felügyelt eszközt használ, amely konfigurálva van az A bérlőre vonatkozó v2 bérlői korlátozásokkal. Ha a felhasználó egy A bérlői erőforráshoz létrehozott névtelen hozzáférési hivatkozást választ, névtelenül kell tudnia hozzáférnie az erőforráshoz. Ha azonban a felhasználó a B bérlőben a SharePoint Online-hoz létrehozott névtelen hozzáférési hivatkozást választja, a rendszer kérni fogja, hogy jelentkezzen be. Az erőforrásokhoz való névtelen hozzáférés egy külsőleg kiadott identitáson keresztül mindig le van tiltva.

Bérlői korlátozások v2 és OneDrive (előzetes verzió)

Hitelesített munkamenetek

Ha a bérlői korlátozások v2 engedélyezve vannak egy bérlőn, a hitelesítés során az illetéktelen hozzáférés le lesz tiltva. Ha egy felhasználó közvetlenül, hitelesített munkamenet nélkül fér hozzá egy OneDrive-erőforráshoz, a rendszer kérni fogja, hogy jelentkezzen be. Ha a bérlői korlátozások v2 szabályzata engedélyezi a hozzáférést, a felhasználó hozzáférhet az erőforráshoz. Ellenkező esetben a hozzáférés le van tiltva.

Névtelen hozzáférés (előzetes verzió)

A SharePointhoz hasonlóan a OneDrive is támogatja a 2. verziós bérlői korlátozásokat a hitelesítési síkon és az adatsíkon is. A OneDrive-hoz való névtelen hozzáférés letiltása is támogatott. A bérlői korlátozások v2-szabályzatának kényszerítése például a OneDrive-végponton (microsoft-my.sharepoint.com) működik.

Nincs hatókör

A OneDrive fogyasztói fiókok (onedrive.live.com keresztül) nem támogatják a 2. verziós bérlői korlátozásokat. Egyes URL-címek (például onedrive.live.com) nincsenek összekapcsolva, és a régi technológiai réteget használják. Ha egy felhasználó ezen URL-címeken keresztül fér hozzá a OneDrive felhasználói fiókhoz, a szabályzat nem lesz érvényesítve. Áthidaló megoldásként letilthatja https://onedrive.live.com/ a proxy szintjén.

Bérlői korlátozások v2 és szolgáltatási attitűdök

A bérlői korlátozások v2 blokkolják a hozzáférést egy szolgáltatás-alaptól. Ügyfél jelzést az alábbi módon engedélyezhet:

• Tűzfal vagy vállalati proxy. Jelentkezzen be a szolgáltatásnév használatával:

      $client_id = "00001111-aaaa-2222-bbbb-3333cccc4444"
      $clientSecret = Get-Credential -Username $client_id
      Connect-MgGraph -TenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee" -ClientSecretCredential $clientSecret
  

  A bejelentkezés a következőkkel meghiúsul:

  Connect-MgGraph : ClientSecretCredential authentication failed: AADSTS5000211: A tenant restrictions policy added to this request by a device or network administrator does not allow access to 'tenant'.

• Windows-csoportházirend-objektum. Ellenőriznie kell a Microsoft végpontok tűzfalvédelmének engedélyezését és az Alkalmazásvezérlés vállalati verziójának engedélyezését. Lásd a cikk korábbi részében a Chrome, Firefox és a .NET alkalmazások, például a PowerShell blokkolását.

Bérlői korlátozások az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modullal

Az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul egyszeri bejelentkezési lehetőséget (SSO) biztosít macOS, iOS és iPadOS rendszerű Microsoft Entra-fiókokhoz, minden olyan alkalmazás számára, amely támogatja az Apple Nagyvállalati egyszeri bejelentkezés funkcióját. A Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz való használatához ki kell zárnia bizonyos URL-címeket a hálózati proxykból, a lehallgatásból és más nagyvállalati rendszerekből.

Ha a szervezet a 2022 után kiadott Apple OS-verziókat használja, nem szükséges kizárni a Microsoft bejelentkezési URL-címeit a TLS-vizsgálatból. Ha a bérlőkorlátozási funkciót használja, TLS-ellenőrzést végezhet a Microsoft bejelentkezési URL-címeiben, és hozzáadhatja a szükséges fejléceket a kérelemhez. További információ: Microsoft Enterprise SSO beépülő modul Apple-eszközökhöz.

MacOS-eszközön ellenőrizheti a hálózati konfigurációt, hogy az SSO-konfiguráció ne legyen hibás a TLS-vizsgálat miatt.

Bejelentkezési naplók

A Microsoft Entra bejelentkezési naplói lehetővé teszik a bérlői korlátozások v2 szabályzattal rendelkező bejelentkezések részleteinek megtekintését. Amikor egy B2B-felhasználó bejelentkezik egy erőforrás-bérlőbe együttműködés céljából, a rendszer bejelentkezési naplót hoz létre mind az otthoni bérlőben, mind az erőforrás-bérlőben. Ezek a naplók olyan információkat tartalmaznak, mint a használt alkalmazás, az e-mail-címek, a bérlő neve és a bérlőazonosító mind az otthoni bérlő, mind az erőforrás-bérlő számára. Az alábbi példa egy sikeres bejelentkezést mutat be.

Ha a bejelentkezés sikertelen, a tevékenység adatai információkat adnak a hiba okáról.

Ellenőrzési naplók

A naplók rögzítik a rendszer- és felhasználói tevékenységeket, beleértve a vendégfelhasználók által kezdeményezett tevékenységeket is. A bérlő naplóit a Figyelés területen tekintheti meg, vagy megtekintheti egy adott felhasználó naplóit a felhasználó profiljának megnyitásával.

Ha további részleteket szeretne megtudni az eseményről, válassza ki az eseményt a naplóban.

Ezeket a naplókat a Microsoft Entra-azonosítóból is exportálhatja, és a választott jelentéskészítő eszközzel testre szabott jelentéseket kérhet le.

Microsoft Graph

Szabályzatinformációk lekérése a Microsoft Graph használatával.

HTTP-kérelem

• Az alapértelmezett szabályzat lekérése:

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  

• Visszaállítás a rendszer alapértelmezett értékére:

  POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
  

• Partnerkonfigurációk lekérése:

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
  

• Adott partnerkonfiguráció lekérése:

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

• Adott partner frissítése:

  PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

Kérési törzsadatok

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

Ismert korlátozások

A 2. verzióra vonatkozó bérlői korlátozások minden felhőben támogatottak. A 2. verziójú bérlőkorlátozások azonban nem kényszeríthetők felhőközi kérésekkel.

A 2. verziójú bérlőkorlátozások nem működnek a macOS Platform SSO szolgáltatással, amely vállalati proxyn keresztüli ügyfél-jelzést használ. A bérlői korlátozásokat v2-t és a Platform Egyszeri Bejelentkezést használó ügyfeleknek az univerzális bérlői korlátozásokat v2-t kell használniuk a Global Secure Access kliens jelzéssel. Ez egy Apple-korlátozás, amely miatt a Platform SSO nem kompatibilis a bérlői korlátozásokkal, amikor egy közvetítő hálózati megoldás fejléceket injektál. Ilyen megoldás például egy proxy, amely egy tanúsítványmegbízhatósági láncot használ az Apple rendszer főtanúsítványaion kívül.

Kapcsolódó tartalom

• A B2B külső együttműködési beállításainak konfigurálása a Microsoft Entra külső azonosítójában