Megosztás a következőn keresztül:


Univerzális bérlőkorlátozások

Az univerzális bérlői korlátozások növelik a 2- es bérlőkorlátozás funkcióit a Global Secure Access használatával az összes forgalom címkézéséhez, függetlenül az operációs rendszertől, a böngészőtől vagy az eszközalakítási tényezőtől. Lehetővé teszi az ügyfél- és a távoli hálózati kapcsolat támogatását is. A rendszergazdáknak már nem kell proxykiszolgáló-konfigurációkat vagy összetett hálózati konfigurációkat kezelniük.

Az univerzális bérlői korlátozások globális biztonságos hozzáférésen alapuló házirend-jelzéssel végzik ezt a kényszerítést a hitelesítési sík (általánosan elérhető) és az adatsík (előzetes verzió) esetében is. A bérlői korlátozások v2 lehetővé teszik a vállalatok számára, hogy megakadályozzák a külső bérlői identitásokat használó felhasználók adatkiszivárgását a Microsoft Entra integrált alkalmazásaihoz, például a Microsoft Graphhoz, a SharePoint Online-hoz és az Exchange Online-hoz. Ezek a technológiák együttműködve megakadályozzák az adatkiszivárgást minden eszközön és hálózaton.

Diagram, amely bemutatja, hogyan véd a bérlői korlátozások v2 a rosszindulatú felhasználók ellen.

Az alábbi táblázat az előző diagram minden pontján végrehajtott lépéseket ismerteti.

Lépés Leírás
1 A Contoso egy **bérlői korlátozások v2 ** szabályzatot konfigurál a bérlők közötti hozzáférési beállításaikban az összes külső fiók és külső alkalmazás letiltásához. A Contoso globális biztonságos hozzáférésű univerzális bérlői korlátozásokkal kényszeríti ki a szabályzatot.
2 A Contoso által felügyelt eszközzel rendelkező felhasználók megpróbálnak hozzáférni egy Microsoft Entra integrált alkalmazáshoz egy nem felügyelt külső identitással.
3 Hitelesítési sík védelme: A Microsoft Entra ID használatával a Contoso szabályzata megakadályozza, hogy a nem felügyelt külső fiókok hozzáférjenek a külső bérlőkhöz.
4 Adatsíkok védelme: Ha a felhasználó ismét megpróbál hozzáférni egy külső, nem engedélyezett alkalmazáshoz a Contoso hálózatán kívül beszerzett hitelesítési válasz jogkivonat másolásával és az eszközre való beillesztésével, a rendszer letiltja őket. A jogkivonat eltérése aktiválja az újrahitelesítést, és letiltja a hozzáférést. A SharePoint Online esetében az erőforrások névtelen elérésére tett kísérletek le lesznek tiltva.

Az univerzális bérlői korlátozások segítenek megakadályozni az adatkiszivárgást a böngészőkben, az eszközökön és a hálózatokban az alábbi módokon:

  • Lehetővé teszi a Microsoft Entra-azonosító, a Microsoft-fiókok és a Microsoft-alkalmazások számára, hogy megkeresse és betartsa a társított bérlői korlátozások v2-szabályzatát. Ez a keresés konzisztens szabályzatalkalmazást tesz lehetővé.
  • A bejelentkezés során együttműködik az összes Microsoft Entra integrált külső alkalmazással a hitelesítési síkon.
  • Az Exchange, a SharePoint és a Microsoft Graph használata az adatsíkok védelméhez (előzetes verzió)

Előfeltételek

Ismert korlátozások

  • Az adatsíkvédelmi képességek előzetes verzióban érhetők el (a hitelesítési sík védelme általánosan elérhető)
  • Ha univerzális bérlői korlátozásokat használ, és a Microsoft Entra felügyeleti központhoz fér hozzá a Bérlőkorlátozások v2 szabályzat által engedélyezett partnerbérlelő kezeléséhez, engedélyezési hibák léphetnek fel. A probléma megoldásához hozzá kell adnia ?exp.msaljsoptedoutextensions=%7B%7D a lekérdezési paramétert a Microsoft Entra Felügyeleti központ URL-címéhez (például https://entra.microsoft.com/?exp.msaljsoptedoutextensions=%7B%7D).

Bérlőkorlátozások v2-szabályzat konfigurálása

Ahhoz, hogy egy szervezet univerzális bérlői korlátozásokat használjon, konfigurálnia kell az alapértelmezett bérlőkorlátozásokat és bérlőkorlátozásokat az adott partnerek számára.

A szabályzatok konfigurálásához további információt a Bérlői korlátozások beállítása v2 című cikkben talál.

Címkézés engedélyezése a bérlői korlátozások v2-hez

Miután létrehozta a bérlőkorlátozási v2-szabályzatokat, a Global Secure Access használatával címkézést alkalmazhat a bérlői korlátozások v2-jére. A globális biztonsági hozzáférés-rendszergazdai és biztonsági rendszergazdai szerepkörrel rendelkező rendszergazdáknak az alábbi lépéseket kell végrehajtaniuk a globális biztonságos hozzáféréssel való kényszerítés engedélyezéséhez.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális biztonságos hozzáférésű rendszergazdaként.
  2. Keresse meg a globális biztonságos hozzáférési>beállítások>munkamenet-kezelési>univerzális bérlői korlátozásait.
  3. Válassza a kapcsolót az Entra-azonosító bérlőkorlátozásainak engedélyezéséhez (az összes felhőalkalmazásra kiterjedően).

Univerzális bérlőkorlátozások kipróbálása

A bérlőkorlátozások nem lesznek kényszerítve, ha egy felhasználó (vagy vendégfelhasználó) megpróbál hozzáférni azon bérlő erőforrásaihoz, ahol a házirendek vannak konfigurálva. A bérlőkorlátozások v2-szabályzatai csak akkor lesznek feldolgozva, ha egy másik bérlő identitása megpróbál bejelentkezni és/vagy hozzáférni az erőforrásokhoz. Ha például egy bérlői korlátozások v2-házirendet konfigurál a bérlőben contoso.com az összes szervezet letiltására, a fabrikam.comszabályzat az alábbi táblázat szerint lesz alkalmazva:

User Típus Bérlő A TRv2-szabályzat feldolgozva? Engedélyezett a hitelesített hozzáférés? Névtelen hozzáférés engedélyezett?
alice@contoso.com Tag contoso.com Nem(ugyanaz a bérlő) Igen Nem
alice@fabrikam.com Tag fabrikam.com Igen Igen (a házirend által engedélyezett bérlő) Nem
bob@northwinds.com Tag northwinds.com Igen Nem(a házirend nem engedélyezi a bérlőt) Nem
alice@contoso.com Tag contoso.com Nem(ugyanaz a bérlő) Igen Nem
bob_northwinds.com#EXT#@contoso.com Vendég contoso.com Nem(vendégfelhasználó) Igen Nem

A hitelesítési sík védelmének ellenőrzése

  1. Győződjön meg arról, hogy az univerzális bérlőkorlátozások jelzése ki van kapcsolva a globális biztonságos hozzáférés beállításai között.
  2. A böngészőben navigálhat https://myapps.microsoft.com/ és bejelentkezhet a bérlői korlátozások v2-szabályzatában nem engedélyezett bérlői identitással. Vegye figyelembe, hogy ennek a lépésnek a végrehajtásához egy privát böngészőablakot kell használnia, és/vagy ki kell jelentkeznie az elsődleges fiókból.
    1. Ha például a bérlője Contoso, jelentkezzen be Fabrikam-felhasználóként a Fabrikam-bérlőben.
    2. A Fabrikam-felhasználónak hozzá kell férnie a MyApps portálhoz, mivel a bérlői korlátozások jelzése le van tiltva a globális biztonságos hozzáférésben.
  3. Az univerzális bérlőkorlátozások bekapcsolása a Microsoft Entra felügyeleti központban –> Globális biztonságos hozzáférés –> Munkamenet-kezelés –> Univerzális bérlőkorlátozások.
  4. Jelentkezzen ki a MyApps portálról, és indítsa újra a böngészőt.
  5. Végfelhasználóként a Global Secure Access-ügyfél fut, https://myapps.microsoft.com/ és ugyanazt az identitást használja (Fabrikam-felhasználó a Fabrikam-bérlőben).
    1. A Fabrikam-felhasználónak le kell tiltani a MyApps-hitelesítést a következő hibaüzenettel: A hozzáférés le van tiltva, a Contoso informatikai részlege korlátozta, hogy mely szervezetek érhetők el. A hozzáférésért lépjen kapcsolatba a Contoso informatikai részlegével.

Az adatsík védelmének ellenőrzése

  1. Győződjön meg arról, hogy az univerzális bérlői korlátozások jelzése ki van kapcsolva a globális biztonságos hozzáférés beállításai között.
  2. A böngészőben keresse meg https://yourcompany.sharepoint.com/ és jelentkezzen be a bérlői korlátozások v2-szabályzatában nem engedélyezett bérlői identitással. Vegye figyelembe, hogy ennek a lépésnek a végrehajtásához egy privát böngészőablakot kell használnia, és/vagy ki kell jelentkeznie az elsődleges fiókból.
    1. Ha például a bérlője Contoso, jelentkezzen be Fabrikam-felhasználóként a Fabrikam-bérlőben.
    2. A Fabrikam-felhasználónak képesnek kell lennie a SharePoint elérésére, mivel a bérlői korlátozások v2 jelzése le van tiltva a globális biztonságos hozzáférésben.
  3. Ha szeretné, ugyanabban a böngészőben nyissa meg a SharePoint Online-t, nyissa meg a Fejlesztői eszközöket, vagy nyomja le az F12 billentyűt a billentyűzeten. Kezdje el rögzíteni a hálózati naplókat. Amikor minden a várt módon működik, a SharePointban való navigálás során a HTTP-kérések állapotának 200 kell megjelennie.
  4. A folytatás előtt győződjön meg arról, hogy a Napló megőrzése beállítás be van jelölve.
  5. Tartsa nyitva a böngészőablakot a naplókkal együtt.
  6. Az univerzális bérlőkorlátozások bekapcsolása a Microsoft Entra felügyeleti központban –> Globális biztonságos hozzáférés –> Munkamenet-kezelés –> Univerzális bérlőkorlátozások.
  7. Fabrikam-felhasználóként a SharePoint Online böngészőben néhány percen belül új naplók jelennek meg. Emellett a böngésző a háttérrendszerben megjelenő kérések és válaszok alapján frissítheti magát. Ha a böngésző néhány perc elteltével nem frissül automatikusan, frissítse a lapot.
    1. A Fabrikam-felhasználó a következő üzenettel látja, hogy hozzáférése le van tiltva: A hozzáférés le van tiltva, a Contoso informatikai részlege korlátozta, hogy mely szervezetek érhetők el. A hozzáférésért lépjen kapcsolatba a Contoso informatikai részlegével.
  8. A naplókban keresse meg a következő állapotát302: . Ez a sor a forgalomra alkalmazott univerzális bérlőkorlátozásokat jeleníti meg.
    1. Ugyanebben a válaszban ellenőrizze a fejléceket az univerzális bérlőkorlátozások alkalmazását azonosító alábbi információknál:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

Következő lépések