Univerzális bérlőkorlátozások
Az univerzális bérlői korlátozások növelik a 2- es bérlőkorlátozás funkcióit a Global Secure Access használatával az összes forgalom címkézéséhez, függetlenül az operációs rendszertől, a böngészőtől vagy az eszközalakítási tényezőtől. Lehetővé teszi az ügyfél- és a távoli hálózati kapcsolat támogatását is. A rendszergazdáknak már nem kell proxykiszolgáló-konfigurációkat vagy összetett hálózati konfigurációkat kezelniük.
Az univerzális bérlői korlátozások globális biztonságos hozzáférésen alapuló házirend-jelzéssel végzik ezt a kényszerítést a hitelesítési sík (általánosan elérhető) és az adatsík (előzetes verzió) esetében is. A bérlői korlátozások v2 lehetővé teszik a vállalatok számára, hogy megakadályozzák a külső bérlői identitásokat használó felhasználók adatkiszivárgását a Microsoft Entra integrált alkalmazásaihoz, például a Microsoft Graphhoz, a SharePoint Online-hoz és az Exchange Online-hoz. Ezek a technológiák együttműködve megakadályozzák az adatkiszivárgást minden eszközön és hálózaton.
Az alábbi táblázat az előző diagram minden pontján végrehajtott lépéseket ismerteti.
Lépés | Leírás |
---|---|
1 | A Contoso egy **bérlői korlátozások v2 ** szabályzatot konfigurál a bérlők közötti hozzáférési beállításaikban az összes külső fiók és külső alkalmazás letiltásához. A Contoso globális biztonságos hozzáférésű univerzális bérlői korlátozásokkal kényszeríti ki a szabályzatot. |
2 | A Contoso által felügyelt eszközzel rendelkező felhasználók megpróbálnak hozzáférni egy Microsoft Entra integrált alkalmazáshoz egy nem felügyelt külső identitással. |
3 | Hitelesítési sík védelme: A Microsoft Entra ID használatával a Contoso szabályzata megakadályozza, hogy a nem felügyelt külső fiókok hozzáférjenek a külső bérlőkhöz. |
4 | Adatsíkok védelme: Ha a felhasználó ismét megpróbál hozzáférni egy külső, nem engedélyezett alkalmazáshoz a Contoso hálózatán kívül beszerzett hitelesítési válasz jogkivonat másolásával és az eszközre való beillesztésével, a rendszer letiltja őket. A jogkivonat eltérése aktiválja az újrahitelesítést, és letiltja a hozzáférést. A SharePoint Online esetében az erőforrások névtelen elérésére tett kísérletek le lesznek tiltva. |
Az univerzális bérlői korlátozások segítenek megakadályozni az adatkiszivárgást a böngészőkben, az eszközökön és a hálózatokban az alábbi módokon:
- Lehetővé teszi a Microsoft Entra-azonosító, a Microsoft-fiókok és a Microsoft-alkalmazások számára, hogy megkeresse és betartsa a társított bérlői korlátozások v2-szabályzatát. Ez a keresés konzisztens szabályzatalkalmazást tesz lehetővé.
- A bejelentkezés során együttműködik az összes Microsoft Entra integrált külső alkalmazással a hitelesítési síkon.
- Az Exchange, a SharePoint és a Microsoft Graph használata az adatsíkok védelméhez (előzetes verzió)
Előfeltételek
- A globális biztonságos hozzáférés funkcióit használó rendszergazdáknak az elvégzett feladatoktól függően az alábbi szerepkör-hozzárendelések közül legalább egynek kell rendelkezniük.
- A globális biztonságos hozzáférés-rendszergazdai szerepkör a globális biztonságos hozzáférés funkcióinak kezeléséhez.
- A feltételes hozzáférési szabályzatok létrehozásához és használatához szükséges feltételes hozzáférési rendszergazda .
- A termék licencelést igényel. További részletekért tekintse meg a Mi a globális biztonságos hozzáférés licencelési szakaszát. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.
Ismert korlátozások
- Az adatsíkvédelmi képességek előzetes verzióban érhetők el (a hitelesítési sík védelme általánosan elérhető)
- Ha univerzális bérlői korlátozásokat használ, és a Microsoft Entra felügyeleti központhoz fér hozzá a Bérlőkorlátozások v2 szabályzat által engedélyezett partnerbérlelő kezeléséhez, engedélyezési hibák léphetnek fel. A probléma megoldásához hozzá kell adnia
?exp.msaljsoptedoutextensions=%7B%7D
a lekérdezési paramétert a Microsoft Entra Felügyeleti központ URL-címéhez (példáulhttps://entra.microsoft.com/?exp.msaljsoptedoutextensions=%7B%7D
).
Bérlőkorlátozások v2-szabályzat konfigurálása
Ahhoz, hogy egy szervezet univerzális bérlői korlátozásokat használjon, konfigurálnia kell az alapértelmezett bérlőkorlátozásokat és bérlőkorlátozásokat az adott partnerek számára.
A szabályzatok konfigurálásához további információt a Bérlői korlátozások beállítása v2 című cikkben talál.
Címkézés engedélyezése a bérlői korlátozások v2-hez
Miután létrehozta a bérlőkorlátozási v2-szabályzatokat, a Global Secure Access használatával címkézést alkalmazhat a bérlői korlátozások v2-jére. A globális biztonsági hozzáférés-rendszergazdai és biztonsági rendszergazdai szerepkörrel rendelkező rendszergazdáknak az alábbi lépéseket kell végrehajtaniuk a globális biztonságos hozzáféréssel való kényszerítés engedélyezéséhez.
- Jelentkezzen be a Microsoft Entra felügyeleti központba globális biztonságos hozzáférésű rendszergazdaként.
- Keresse meg a globális biztonságos hozzáférési>beállítások>munkamenet-kezelési>univerzális bérlői korlátozásait.
- Válassza a kapcsolót az Entra-azonosító bérlőkorlátozásainak engedélyezéséhez (az összes felhőalkalmazásra kiterjedően).
Univerzális bérlőkorlátozások kipróbálása
A bérlőkorlátozások nem lesznek kényszerítve, ha egy felhasználó (vagy vendégfelhasználó) megpróbál hozzáférni azon bérlő erőforrásaihoz, ahol a házirendek vannak konfigurálva. A bérlőkorlátozások v2-szabályzatai csak akkor lesznek feldolgozva, ha egy másik bérlő identitása megpróbál bejelentkezni és/vagy hozzáférni az erőforrásokhoz. Ha például egy bérlői korlátozások v2-házirendet konfigurál a bérlőben contoso.com
az összes szervezet letiltására, a fabrikam.com
szabályzat az alábbi táblázat szerint lesz alkalmazva:
User | Típus | Bérlő | A TRv2-szabályzat feldolgozva? | Engedélyezett a hitelesített hozzáférés? | Névtelen hozzáférés engedélyezett? |
---|---|---|---|---|---|
alice@contoso.com |
Tag | contoso.com | Nem(ugyanaz a bérlő) | Igen | Nem |
alice@fabrikam.com |
Tag | fabrikam.com | Igen | Igen (a házirend által engedélyezett bérlő) | Nem |
bob@northwinds.com |
Tag | northwinds.com | Igen | Nem(a házirend nem engedélyezi a bérlőt) | Nem |
alice@contoso.com |
Tag | contoso.com | Nem(ugyanaz a bérlő) | Igen | Nem |
bob_northwinds.com#EXT#@contoso.com |
Vendég | contoso.com | Nem(vendégfelhasználó) | Igen | Nem |
A hitelesítési sík védelmének ellenőrzése
- Győződjön meg arról, hogy az univerzális bérlőkorlátozások jelzése ki van kapcsolva a globális biztonságos hozzáférés beállításai között.
- A böngészőben navigálhat
https://myapps.microsoft.com/
és bejelentkezhet a bérlői korlátozások v2-szabályzatában nem engedélyezett bérlői identitással. Vegye figyelembe, hogy ennek a lépésnek a végrehajtásához egy privát böngészőablakot kell használnia, és/vagy ki kell jelentkeznie az elsődleges fiókból.- Ha például a bérlője Contoso, jelentkezzen be Fabrikam-felhasználóként a Fabrikam-bérlőben.
- A Fabrikam-felhasználónak hozzá kell férnie a MyApps portálhoz, mivel a bérlői korlátozások jelzése le van tiltva a globális biztonságos hozzáférésben.
- Az univerzális bérlőkorlátozások bekapcsolása a Microsoft Entra felügyeleti központban –> Globális biztonságos hozzáférés –> Munkamenet-kezelés –> Univerzális bérlőkorlátozások.
- Jelentkezzen ki a MyApps portálról, és indítsa újra a böngészőt.
- Végfelhasználóként a Global Secure Access-ügyfél fut,
https://myapps.microsoft.com/
és ugyanazt az identitást használja (Fabrikam-felhasználó a Fabrikam-bérlőben).- A Fabrikam-felhasználónak le kell tiltani a MyApps-hitelesítést a következő hibaüzenettel: A hozzáférés le van tiltva, a Contoso informatikai részlege korlátozta, hogy mely szervezetek érhetők el. A hozzáférésért lépjen kapcsolatba a Contoso informatikai részlegével.
Az adatsík védelmének ellenőrzése
- Győződjön meg arról, hogy az univerzális bérlői korlátozások jelzése ki van kapcsolva a globális biztonságos hozzáférés beállításai között.
- A böngészőben keresse meg
https://yourcompany.sharepoint.com/
és jelentkezzen be a bérlői korlátozások v2-szabályzatában nem engedélyezett bérlői identitással. Vegye figyelembe, hogy ennek a lépésnek a végrehajtásához egy privát böngészőablakot kell használnia, és/vagy ki kell jelentkeznie az elsődleges fiókból.- Ha például a bérlője Contoso, jelentkezzen be Fabrikam-felhasználóként a Fabrikam-bérlőben.
- A Fabrikam-felhasználónak képesnek kell lennie a SharePoint elérésére, mivel a bérlői korlátozások v2 jelzése le van tiltva a globális biztonságos hozzáférésben.
- Ha szeretné, ugyanabban a böngészőben nyissa meg a SharePoint Online-t, nyissa meg a Fejlesztői eszközöket, vagy nyomja le az F12 billentyűt a billentyűzeten. Kezdje el rögzíteni a hálózati naplókat. Amikor minden a várt módon működik, a SharePointban való navigálás során a HTTP-kérések állapotának
200
kell megjelennie. - A folytatás előtt győződjön meg arról, hogy a Napló megőrzése beállítás be van jelölve.
- Tartsa nyitva a böngészőablakot a naplókkal együtt.
- Az univerzális bérlőkorlátozások bekapcsolása a Microsoft Entra felügyeleti központban –> Globális biztonságos hozzáférés –> Munkamenet-kezelés –> Univerzális bérlőkorlátozások.
- Fabrikam-felhasználóként a SharePoint Online böngészőben néhány percen belül új naplók jelennek meg. Emellett a böngésző a háttérrendszerben megjelenő kérések és válaszok alapján frissítheti magát. Ha a böngésző néhány perc elteltével nem frissül automatikusan, frissítse a lapot.
- A Fabrikam-felhasználó a következő üzenettel látja, hogy hozzáférése le van tiltva: A hozzáférés le van tiltva, a Contoso informatikai részlege korlátozta, hogy mely szervezetek érhetők el. A hozzáférésért lépjen kapcsolatba a Contoso informatikai részlegével.
- A naplókban keresse meg a következő állapotát
302
: . Ez a sor a forgalomra alkalmazott univerzális bérlőkorlátozásokat jeleníti meg.- Ugyanebben a válaszban ellenőrizze a fejléceket az univerzális bérlőkorlátozások alkalmazását azonosító alábbi információknál:
Restrict-Access-Confirm: 1
x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- Ugyanebben a válaszban ellenőrizze a fejléceket az univerzális bérlőkorlátozások alkalmazását azonosító alábbi információknál: