Univerzális bérlőkorlátozások
Az univerzális bérlői korlátozások a globális biztonságos hozzáférés (előzetes verzió) használatával növelik a bérlői korlátozás funkcióit, függetlenül az operációs rendszertől, a böngészőtől vagy az eszköz űrlapjának tényezőitől. Lehetővé teszi az ügyfél- és a távoli hálózati kapcsolat támogatását is. Rendszergazda istratoroknak már nem kell proxykiszolgáló-konfigurációkat vagy összetett hálózati konfigurációkat kezelniük.
Az univerzális bérlői korlátozások globális biztonságos hozzáférésen alapuló házirend-jelzéssel végzik ezt a kényszerítést mind a hitelesítés, mind az adatsík esetében. A bérlői korlátozások v2 lehetővé teszik a vállalatok számára, hogy megakadályozzák a külső bérlői identitásokat használó felhasználók adatkiszivárgását a Microsoft Entra integrált alkalmazásaihoz, például a Microsoft Graphhoz, a SharePoint Online-hoz és az Exchange Online-hoz. Ezek a technológiák együttműködve megakadályozzák az adatkiszivárgást minden eszközön és hálózaton.
Az alábbi táblázat az előző diagram minden pontján végrehajtott lépéseket ismerteti.
Lépés | Leírás |
---|---|
1 | A Contoso bérlői korlátozások v2-szabályzatát konfigurálja a bérlők közötti hozzáférési beállításaikban, hogy letiltsa az összes külső fiókot és külső alkalmazást. A Contoso globális biztonságos hozzáférésű univerzális bérlői korlátozásokkal kényszeríti ki a szabályzatot. |
2 | A Contoso által felügyelt eszközzel rendelkező felhasználók megpróbálnak hozzáférni egy Microsoft Entra integrált alkalmazáshoz egy nem felügyelt külső identitással. |
3 | Hitelesítési sík védelme: A Microsoft Entra ID használatával a Contoso szabályzata megakadályozza, hogy a nem felügyelt külső fiókok hozzáférjenek a külső bérlőkhöz. |
4 | Adatsíkok védelme: Ha a felhasználó ismét megpróbál hozzáférni egy külső, nem engedélyezett alkalmazáshoz a Contoso hálózatán kívül beszerzett hitelesítési válasz jogkivonat másolásával és az eszközre való beillesztésével, a rendszer letiltja őket. A jogkivonat eltérése aktiválja az újrahitelesítést, és letiltja a hozzáférést. A SharePoint Online esetében az erőforrások névtelen elérésére tett kísérletek le lesznek tiltva. |
Az univerzális bérlői korlátozások segítenek megakadályozni az adatkiszivárgást a böngészőkben, az eszközökön és a hálózatokban az alábbi módokon:
- Lehetővé teszi a Microsoft Entra ID, a Microsoft Accounts és a Microsoft 365-alkalmazások számára a társított bérlői korlátozások v2-szabályzatának keresését és kikényszerítését. Ez a keresés konzisztens szabályzatalkalmazást tesz lehetővé.
- A bejelentkezés során együttműködik az összes Microsoft Entra integrált külső alkalmazással a hitelesítési síkon.
- Együttműködik az Exchange, a SharePoint és a Microsoft Graph használatával az adatsíkok védelméhez.
Előfeltételek
- Rendszergazda kultátorok, akik A globális biztonságos hozzáférés előzetes verziójának funkcióinak az elvégzett feladatoktól függően legalább egy szerepkör-hozzárendeléssel kell rendelkezniük.
- A Global Secure Access Rendszergazda istrator szerepkör a Globális biztonságos hozzáférés előzetes verziójú funkcióinak kezeléséhez.
- A feltételes hozzáférés Rendszergazda istrator a feltételes hozzáférési szabályzatok létrehozásához és használatához.
- Az előzetes verzióhoz Microsoft Entra ID P1-licenc szükséges. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.
Ismert korlátozások
- Ha engedélyezte az univerzális bérlői korlátozásokat, és a Microsoft Entra felügyeleti központjához fér hozzá az engedélyezett felsorolt bérlők egyikéhez, "Hozzáférés megtagadva" hibaüzenet jelenhet meg. Adja hozzá a következő funkciójelzőt a Microsoft Entra Felügyeleti központhoz:
?feature.msaljs=true&exp.msaljsexp=true
- Például a Contoso-nál dolgozik, és engedélyezte a Fabrikam partnerbérlként való felsorolását. A Fabrikam-bérlő Microsoft Entra felügyeleti központjának hibaüzenete jelenhet meg.
- Ha a "hozzáférés megtagadva" hibaüzenetet kapta ehhez az URL-címhez,
https://entra.microsoft.com/
adja hozzá a funkciójelzőt az alábbiak szerint:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- Ha a "hozzáférés megtagadva" hibaüzenetet kapta ehhez az URL-címhez,
Bérlőkorlátozások v2-szabályzat konfigurálása
Ahhoz, hogy egy szervezet univerzális bérlői korlátozásokat használjon, konfigurálnia kell az alapértelmezett bérlőkorlátozásokat és bérlőkorlátozásokat az adott partnerek számára.
A szabályzatok konfigurálásához további információt a Bérlői korlátozások beállítása v2 (előzetes verzió) című cikkben talál.
Címkézés engedélyezése a bérlői korlátozások v2-hez
Miután létrehozta a bérlőkorlátozási v2-szabályzatokat, a Global Secure Access használatával címkézést alkalmazhat a bérlői korlátozások v2-jére. A globális biztonságos hozzáférésű Rendszergazda istrator és biztonsági Rendszergazda istrator szerepkörrel rendelkező rendszergazdáknak a következő lépéseket kell megtenniük a globális biztonságos hozzáféréssel való kényszerítés engedélyezéséhez.
- Jelentkezzen be a Microsoft Entra felügyeleti központba globális biztonságos hozzáférésű Rendszergazda istratorként.
- Keresse meg a Globális biztonságos hozzáférés>globális Gépház> Session Management>bérlőkorlátozásait.
- Válassza a címkézés engedélyezése kapcsolót a bérlői korlátozások érvényesítéséhez a hálózaton.
- Válassza a Mentés lehetőséget.
Próbáljon ki univerzális bérlőkorlátozásokat a SharePoint Online-ban.
Ez a funkció ugyanúgy működik az Exchange Online és a Microsoft Graph esetében az alábbi példákban, amelyekből megtudhatja, hogyan tekintheti meg működés közben a saját környezetében.
Próbálja ki a hitelesítési útvonalat:
- A globális biztonságos hozzáférés globális beállításaiban ki van kapcsolva az univerzális bérlői korlátozások.
- Nyissa meg a SharePoint Online-t olyan külső identitással,
https://yourcompanyname.sharepoint.com/
amely nem szerepel a bérlői korlátozások v2 szabályzatában.- Például egy Fabrikam-felhasználó a Fabrikam-bérlőben.
- A Fabrikam-felhasználónak hozzá kell tudnia férni a SharePoint Online-hoz.
- Kapcsolja be az univerzális bérlőkorlátozásokat.
- Végfelhasználóként a globális biztonságos hozzáférésű ügyfél futtatásával lépjen a SharePoint Online-ba egy olyan külső identitással, amely nem lett explicit módon engedélyezve a listán.
- Például egy Fabrikam-felhasználó a Fabrikam-bérlőben.
- A Fabrikam-felhasználónak le kell tiltani a SharePoint Online elérését egy hibaüzenettel, amely a következőt mondja:
- A hozzáférés le van tiltva, a Contoso informatikai részlege korlátozta, hogy mely szervezetek érhetők el. A hozzáférésért lépjen kapcsolatba a Contoso informatikai részlegével.
Az adatelérési út kipróbálása
- A globális biztonságos hozzáférés globális beállításaiban ki van kapcsolva az univerzális bérlői korlátozások.
- Nyissa meg a SharePoint Online-t olyan külső identitással,
https://yourcompanyname.sharepoint.com/
amely nem szerepel a bérlői korlátozások v2 szabályzatában.- Például egy Fabrikam-felhasználó a Fabrikam-bérlőben.
- A Fabrikam-felhasználónak hozzá kell tudnia férni a SharePoint Online-hoz.
- Ugyanabban a böngészőben, amelyben meg van nyitva a SharePoint Online, nyissa meg a Fejlesztői eszközöket, vagy nyomja le az F12 billentyűt a billentyűzeten. Kezdje el rögzíteni a hálózati naplókat. A 200-as állapotnak kell megjelennie, amikor minden a várt módon működik.
- A folytatás előtt győződjön meg arról, hogy a Napló megőrzése beállítás be van jelölve.
- Tartsa nyitva a böngészőablakot a naplókkal együtt.
- Kapcsolja be az univerzális bérlőkorlátozásokat.
- Fabrikam-felhasználóként a SharePoint Online böngészőben néhány percen belül új naplók jelennek meg. Emellett a böngésző a háttérrendszerben megjelenő kérések és válaszok alapján frissítheti magát. Ha a böngésző néhány perc elteltével nem frissül automatikusan, nyissa meg a SharePoint Online-t a böngészőben.
- A Fabrikam-felhasználó úgy látja, hogy a hozzáférésük le van tiltva a következőhöz hasonlóan:
- A hozzáférés le van tiltva, a Contoso informatikai részlege korlátozta, hogy mely szervezetek érhetők el. A hozzáférésért lépjen kapcsolatba a Contoso informatikai részlegével.
- A Fabrikam-felhasználó úgy látja, hogy a hozzáférésük le van tiltva a következőhöz hasonlóan:
- A naplókban keresse meg a 302-et . Ez a sor a forgalomra alkalmazott univerzális bérlőkorlátozásokat jeleníti meg.
- Ugyanebben a válaszban ellenőrizze a fejléceket az univerzális bérlőkorlátozások alkalmazását azonosító alábbi információknál:
Restrict-Access-Confirm: 1
x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- Ugyanebben a válaszban ellenőrizze a fejléceket az univerzális bérlőkorlátozások alkalmazását azonosító alábbi információknál:
Használati Feltételek
A Microsoft Entra privát hozzáférés és Microsoft Entra internet-hozzáférés előzetes verziójú szolgáltatások és szolgáltatások használatára az előzetes verziójú online szolgáltatási feltételek vonatkoznak, amelyek alapján a szolgáltatásokat beszerezte. Az előzetes verziókra kisebb vagy eltérő biztonsági, megfelelőségi és adatvédelmi kötelezettségvállalások vonatkozhatnak, amint azt az online szolgáltatásokra vonatkozó általános licencfeltételek, valamint a Microsoft Termékek és szolgáltatások adatvédelmi bővítménye ("DPA") és az előzetes verzióval kapcsolatos egyéb közlemények is ismertetik.
Következő lépések
A Microsoft Entra internet-hozzáférés használatának következő lépése a fokozott globális biztonságos hozzáférés jelzésének engedélyezése.
A Global Secure Access feltételes hozzáférési szabályzatairól (előzetes verzió) az alábbi cikkekben talál további információt:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: