Univerzális bérlőkorlátozások

Az univerzális bérlői korlátozások a globális biztonságos hozzáférés (előzetes verzió) használatával növelik a bérlői korlátozás funkcióit, függetlenül az operációs rendszertől, a böngészőtől vagy az eszköz űrlapjának tényezőitől. Lehetővé teszi az ügyfél- és a távoli hálózati kapcsolat támogatását is. Rendszergazda istratoroknak már nem kell proxykiszolgáló-konfigurációkat vagy összetett hálózati konfigurációkat kezelniük.

Az univerzális bérlői korlátozások globális biztonságos hozzáférésen alapuló házirend-jelzéssel végzik ezt a kényszerítést mind a hitelesítés, mind az adatsík esetében. A bérlői korlátozások v2 lehetővé teszik a vállalatok számára, hogy megakadályozzák a külső bérlői identitásokat használó felhasználók adatkiszivárgását a Microsoft Entra integrált alkalmazásaihoz, például a Microsoft Graphhoz, a SharePoint Online-hoz és az Exchange Online-hoz. Ezek a technológiák együttműködve megakadályozzák az adatkiszivárgást minden eszközön és hálózaton.

Az alábbi táblázat az előző diagram minden pontján végrehajtott lépéseket ismerteti.

Lépés	Leírás
1	A Contoso bérlői korlátozások v2-szabályzatát konfigurálja a bérlők közötti hozzáférési beállításaikban, hogy letiltsa az összes külső fiókot és külső alkalmazást. A Contoso globális biztonságos hozzáférésű univerzális bérlői korlátozásokkal kényszeríti ki a szabályzatot.
2	A Contoso által felügyelt eszközzel rendelkező felhasználók megpróbálnak hozzáférni egy Microsoft Entra integrált alkalmazáshoz egy nem felügyelt külső identitással.
3	Hitelesítési sík védelme: A Microsoft Entra ID használatával a Contoso szabályzata megakadályozza, hogy a nem felügyelt külső fiókok hozzáférjenek a külső bérlőkhöz.
4	Adatsíkok védelme: Ha a felhasználó ismét megpróbál hozzáférni egy külső, nem engedélyezett alkalmazáshoz a Contoso hálózatán kívül beszerzett hitelesítési válasz jogkivonat másolásával és az eszközre való beillesztésével, a rendszer letiltja őket. A jogkivonat eltérése aktiválja az újrahitelesítést, és letiltja a hozzáférést. A SharePoint Online esetében az erőforrások névtelen elérésére tett kísérletek le lesznek tiltva.

Az univerzális bérlői korlátozások segítenek megakadályozni az adatkiszivárgást a böngészőkben, az eszközökön és a hálózatokban az alábbi módokon:

• Lehetővé teszi a Microsoft Entra ID, a Microsoft Accounts és a Microsoft 365-alkalmazások számára a társított bérlői korlátozások v2-szabályzatának keresését és kikényszerítését. Ez a keresés konzisztens szabályzatalkalmazást tesz lehetővé.
• A bejelentkezés során együttműködik az összes Microsoft Entra integrált külső alkalmazással a hitelesítési síkon.
• Együttműködik az Exchange, a SharePoint és a Microsoft Graph használatával az adatsíkok védelméhez.

Előfeltételek

• Rendszergazda kultátorok, akik A globális biztonságos hozzáférés előzetes verziójának funkcióinak az elvégzett feladatoktól függően legalább egy szerepkör-hozzárendeléssel kell rendelkezniük.
  • A Global Secure Access Rendszergazda istrator szerepkör a Globális biztonságos hozzáférés előzetes verziójú funkcióinak kezeléséhez.
  • A feltételes hozzáférés Rendszergazda istrator a feltételes hozzáférési szabályzatok létrehozásához és használatához.
• Az előzetes verzióhoz Microsoft Entra ID P1-licenc szükséges. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.

Ismert korlátozások

• Ha engedélyezte az univerzális bérlői korlátozásokat, és a Microsoft Entra felügyeleti központjához fér hozzá az engedélyezett felsorolt bérlők egyikéhez, "Hozzáférés megtagadva" hibaüzenet jelenhet meg. Adja hozzá a következő funkciójelzőt a Microsoft Entra Felügyeleti központhoz:
  • ?feature.msaljs=true&exp.msaljsexp=true
  • Például a Contoso-nál dolgozik, és engedélyezte a Fabrikam partnerbérlként való felsorolását. A Fabrikam-bérlő Microsoft Entra felügyeleti központjának hibaüzenete jelenhet meg.
    • Ha a "hozzáférés megtagadva" hibaüzenetet kapta ehhez az URL-címhez, https://entra.microsoft.com/ adja hozzá a funkciójelzőt az alábbiak szerint: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Bérlőkorlátozások v2-szabályzat konfigurálása

Ahhoz, hogy egy szervezet univerzális bérlői korlátozásokat használjon, konfigurálnia kell az alapértelmezett bérlőkorlátozásokat és bérlőkorlátozásokat az adott partnerek számára.

A szabályzatok konfigurálásához további információt a Bérlői korlátozások beállítása v2 (előzetes verzió) című cikkben talál.

Címkézés engedélyezése a bérlői korlátozások v2-hez

Miután létrehozta a bérlőkorlátozási v2-szabályzatokat, a Global Secure Access használatával címkézést alkalmazhat a bérlői korlátozások v2-jére. A globális biztonságos hozzáférésű Rendszergazda istrator és biztonsági Rendszergazda istrator szerepkörrel rendelkező rendszergazdáknak a következő lépéseket kell megtenniük a globális biztonságos hozzáféréssel való kényszerítés engedélyezéséhez.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális biztonságos hozzáférésű Rendszergazda istratorként.
2. Keresse meg a Globális biztonságos hozzáférés>globális Gépház> Session Management>bérlőkorlátozásait.
3. Válassza a címkézés engedélyezése kapcsolót a bérlői korlátozások érvényesítéséhez a hálózaton.
4. Válassza a Mentés lehetőséget.

Próbáljon ki univerzális bérlőkorlátozásokat a SharePoint Online-ban.

Ez a funkció ugyanúgy működik az Exchange Online és a Microsoft Graph esetében az alábbi példákban, amelyekből megtudhatja, hogyan tekintheti meg működés közben a saját környezetében.

Próbálja ki a hitelesítési útvonalat:

1. A globális biztonságos hozzáférés globális beállításaiban ki van kapcsolva az univerzális bérlői korlátozások.
2. Nyissa meg a SharePoint Online-t olyan külső identitással, https://yourcompanyname.sharepoint.com/amely nem szerepel a bérlői korlátozások v2 szabályzatában.
   1. Például egy Fabrikam-felhasználó a Fabrikam-bérlőben.
   2. A Fabrikam-felhasználónak hozzá kell tudnia férni a SharePoint Online-hoz.
3. Kapcsolja be az univerzális bérlőkorlátozásokat.
4. Végfelhasználóként a globális biztonságos hozzáférésű ügyfél futtatásával lépjen a SharePoint Online-ba egy olyan külső identitással, amely nem lett explicit módon engedélyezve a listán.
   1. Például egy Fabrikam-felhasználó a Fabrikam-bérlőben.
   2. A Fabrikam-felhasználónak le kell tiltani a SharePoint Online elérését egy hibaüzenettel, amely a következőt mondja:
      1. A hozzáférés le van tiltva, a Contoso informatikai részlege korlátozta, hogy mely szervezetek érhetők el. A hozzáférésért lépjen kapcsolatba a Contoso informatikai részlegével.

Az adatelérési út kipróbálása

1. A globális biztonságos hozzáférés globális beállításaiban ki van kapcsolva az univerzális bérlői korlátozások.
2. Nyissa meg a SharePoint Online-t olyan külső identitással, https://yourcompanyname.sharepoint.com/amely nem szerepel a bérlői korlátozások v2 szabályzatában.
   1. Például egy Fabrikam-felhasználó a Fabrikam-bérlőben.
   2. A Fabrikam-felhasználónak hozzá kell tudnia férni a SharePoint Online-hoz.
3. Ugyanabban a böngészőben, amelyben meg van nyitva a SharePoint Online, nyissa meg a Fejlesztői eszközöket, vagy nyomja le az F12 billentyűt a billentyűzeten. Kezdje el rögzíteni a hálózati naplókat. A 200-as állapotnak kell megjelennie, amikor minden a várt módon működik.
4. A folytatás előtt győződjön meg arról, hogy a Napló megőrzése beállítás be van jelölve.
5. Tartsa nyitva a böngészőablakot a naplókkal együtt.
6. Kapcsolja be az univerzális bérlőkorlátozásokat.
7. Fabrikam-felhasználóként a SharePoint Online böngészőben néhány percen belül új naplók jelennek meg. Emellett a böngésző a háttérrendszerben megjelenő kérések és válaszok alapján frissítheti magát. Ha a böngésző néhány perc elteltével nem frissül automatikusan, nyissa meg a SharePoint Online-t a böngészőben.
   1. A Fabrikam-felhasználó úgy látja, hogy a hozzáférésük le van tiltva a következőhöz hasonlóan:
      1. A hozzáférés le van tiltva, a Contoso informatikai részlege korlátozta, hogy mely szervezetek érhetők el. A hozzáférésért lépjen kapcsolatba a Contoso informatikai részlegével.
8. A naplókban keresse meg a 302-et . Ez a sor a forgalomra alkalmazott univerzális bérlőkorlátozásokat jeleníti meg.
   1. Ugyanebben a válaszban ellenőrizze a fejléceket az univerzális bérlőkorlátozások alkalmazását azonosító alábbi információknál:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

Használati Feltételek

A Microsoft Entra privát hozzáférés és Microsoft Entra internet-hozzáférés előzetes verziójú szolgáltatások és szolgáltatások használatára az előzetes verziójú online szolgáltatási feltételek vonatkoznak, amelyek alapján a szolgáltatásokat beszerezte. Az előzetes verziókra kisebb vagy eltérő biztonsági, megfelelőségi és adatvédelmi kötelezettségvállalások vonatkozhatnak, amint azt az online szolgáltatásokra vonatkozó általános licencfeltételek, valamint a Microsoft Termékek és szolgáltatások adatvédelmi bővítménye ("DPA") és az előzetes verzióval kapcsolatos egyéb közlemények is ismertetik.

Következő lépések

A Microsoft Entra internet-hozzáférés használatának következő lépése a fokozott globális biztonságos hozzáférés jelzésének engedélyezése.

A Global Secure Access feltételes hozzáférési szabályzatairól (előzetes verzió) az alábbi cikkekben talál további információt:

• Bérlőkorlátozások beállítása v2 (előzetes verzió)
• Forrás IP-címének visszaállítása
• A megfelelő hálózatellenőrzés engedélyezése feltételes hozzáféréssel