Bérlőhöz való hozzáférés korlátozása

  • Cikk

A biztonságot hangsúlyozó nagy szervezetek olyan felhőszolgáltatásokra szeretnének áttérni, mint a Microsoft 365, de tudniuk kell, hogy a felhasználók csak jóváhagyott erőforrásokhoz férhetnek hozzá. A vállalatok hagyományosan korlátozzák a tartományneveket vagy AZ IP-címeket, amikor kezelni szeretnék a hozzáférést. Ez a megközelítés egy olyan világban meghiúsul, ahol a szolgáltatásként (vagy SaaS-) alkalmazások egy nyilvános felhőben futnak, és olyan megosztott tartományneveken futnak, mint az outlook.office.com és login.microsoftonline.com. Ha letiltja ezeket a címeket, a felhasználók nem férnek hozzá teljes mértékben Webes Outlook ahelyett, hogy csak jóváhagyott identitásokra és erőforrásokra korlátoznák őket.

A Microsoft Entra megoldás erre a kihívásra egy bérlői korlátozásoknak nevezett szolgáltatás. Bérlői korlátozások esetén a szervezetek szabályozhatják az SaaS-felhőalkalmazásokhoz való hozzáférést a Microsoft Entra-bérlő alapján, amelyet az alkalmazások az egyszeri bejelentkezéshez használnak. Előfordulhat például, hogy engedélyezni szeretné a hozzáférést a szervezet Microsoft 365-alkalmazásaihoz, ugyanakkor meg szeretné akadályozni, hogy más szervezetek is hozzáférhessenek ezekhez az alkalmazásokhoz.

Bérlőkorlátozások esetén a szervezetek megadhatja azoknak a bérlőknek a listáját, amelyekhez a hálózatuk felhasználói hozzáférhetnek. A Microsoft Entra-azonosító ezután csak ezekhez az engedélyezett bérlőkhöz biztosít hozzáférést – az összes többi bérlő le van tiltva, még azokhoz is, amelyekben a felhasználók vendégek lehetnek.

Ez a cikk a Microsoft 365 bérlői korlátozásaira összpontosít, de a funkció minden olyan alkalmazást véd, amely a felhasználót a Microsoft Entra-azonosítóra küldi egyszeri bejelentkezéshez. Ha a Microsoft 365 által használt bérlőtől eltérő Microsoft Entra-bérlővel használja az SaaS-alkalmazásokat, győződjön meg arról, hogy minden szükséges bérlő engedélyezve van. (Például B2B együttműködési forgatókönyvekben). Az SaaS-felhőalkalmazásokról további információt az Active Directory Marketplace-en talál.

A bérlőkorlátozások funkció emellett támogatja az összes Microsoft-felhasználói alkalmazás (MSA-alkalmazás), például a OneDrive, a Hotmail és a Xbox.com használatát. Ez a funkció egy külön fejlécet használ a login.live.com végponthoz, és a cikk végén részletezi.

Működés

A teljes megoldás a következő összetevőkből áll:

  1. Microsoft Entra-azonosító: Ha a fejléc jelen van, a Restrict-Access-To-Tenants: <permitted tenant list> Microsoft Entra csak biztonsági jogkivonatokat ad ki az engedélyezett bérlők számára.

  2. Helyszíni proxykiszolgáló-infrastruktúra: Ez az infrastruktúra egy olyan proxyeszköz, amely képes a Transport Layer Security (TLS) vizsgálatára. A proxyt úgy kell konfigurálnia, hogy beszúrja az engedélyezett bérlők listáját tartalmazó fejlécet a Microsoft Entra-azonosítóhoz rendelt forgalomba.

  3. Ügyfélszoftver: A bérlői korlátozások támogatásához az ügyfélszoftvernek közvetlenül a Microsoft Entra ID-ból kell jogkivonatokat kérnie, hogy a proxyinfrastruktúra elfoghassa a forgalmat. A böngészőalapú Microsoft 365-alkalmazások jelenleg támogatják a bérlői korlátozásokat, akárcsak a modern hitelesítést használó Office-ügyfelek (például az OAuth 2.0).

  4. Modern hitelesítés: A felhőszolgáltatásoknak modern hitelesítést kell használniuk a bérlői korlátozások használatához és az összes nem engedélyezett bérlő hozzáférésének letiltásához. A Microsoft 365 felhőalapú szolgáltatásait alapértelmezés szerint modern hitelesítési protokollok használatára kell konfigurálnia. A modern hitelesítés Microsoft 365-támogatásáról a frissített Office 365 modern hitelesítés című témakörben olvashat.

Az alábbi ábra a magas szintű forgalmat szemlélteti. A bérlői korlátozások csak a Microsoft Entra ID felé irányuló forgalom TLS-ellenőrzését igénylik, a Microsoft 365 felhőszolgáltatásai felé nem. Ez a különbség azért fontos, mert a Microsoft Entra-azonosítóhoz való hitelesítés forgalma általában sokkal alacsonyabb, mint az Olyan SaaS-alkalmazások, mint az Exchange Online és a SharePoint Online felé irányuló forgalom mennyisége.

Diagram of tenant restrictions traffic flow.

Bérlőkorlátozások beállítása

A bérlőkorlátozások használatának első lépései két lépésből állnak. Először győződjön meg arról, hogy az ügyfelek a megfelelő címekhez tudnak csatlakozni. Másodszor konfigurálja a proxyinfrastruktúrát.

URL-címek és IP-címek

A bérlőkorlátozások használatához az ügyfeleknek csatlakozniuk kell a következő Microsoft Entra URL-címekhez a hitelesítéshez:

  • login.microsoftonline.com
  • login.microsoft.com
  • login.windows.net

Emellett az Office 365 eléréséhez az ügyfeleknek képesnek kell lenniük csatlakozni az Office 365 URL-címeiben és IP-címtartományaiban definiált teljes tartománynevekhez (teljes tartománynevekhez), URL-címekhez és IP-címekhez is.

Proxykonfiguráció és követelmények

A bérlőkorlátozások proxyinfrastruktúra használatával történő engedélyezéséhez a következő konfiguráció szükséges. Ez az útmutató általános, ezért tekintse meg a proxy gyártójának dokumentációját a konkrét megvalósítási lépésekhez.

Előfeltételek

  • A proxynak képesnek kell lennie TLS-elfogásra, HTTP-fejléc beszúrására és célhelyek szűrésére teljes tartománynevek/URL-címek használatával.

  • Az ügyfeleknek megbízhatónak kell lenniük a proxy által a TLS-kommunikációhoz bemutatott tanúsítványláncban. Ha például egy belső nyilvános kulcsú infrastruktúrából (PKI) származó tanúsítványokat használ, a belső tanúsítványkibocsátó főtanúsítványt megbízhatónak kell lennie.

  • A bérlői korlátozások használatához Microsoft Entra ID P1 vagy P2 licenc szükséges.

Konfiguráció

Minden kimenő kéréshez login.microsoftonline.comlogin.microsoft.comlogin.windows.netszúrjon be két HTTP-fejlécet: a Korlátozott hozzáférésű bérlők és a Korlátozott hozzáférés-környezet lehetőséget.

Feljegyzés

Ne foglalja bele az altartományokat *.login.microsoftonline.com a proxykonfigurációba. Ez az eszközregisztrációban és az eszközalapú feltételes hozzáférési forgatókönyvekben használt ügyféltanúsítvány-hitelesítést is magában foglalja device.login.microsoftonline.com és zavarja. Konfigurálja a proxykiszolgálót úgy, hogy kizárja és enterpriseregistration.windows.net kizárja device.login.microsoftonline.com a TLS-ből a törés- és vizsgálatvizsgálatot és a fejlécinjektálást.

A fejléceknek a következő elemeket kell tartalmazniuk:

  • A korlátozott hozzáférésű bérlők esetében használja az <engedélyezett bérlői lista> értékét, amely a felhasználók hozzáférését engedélyezni kívánt bérlők vesszővel tagolt listája. A bérlővel regisztrált tartományok segítségével azonosíthatja a bérlőt ebben a listában, és magát a címtárazonosítót is. A bérlők leírásának mindhárom módjára példaként a Contoso, a Fabrikam és a Microsoft számára engedélyezett név-érték pár a következőképpen néz ki: Restrict-Access-To-Tenants: contoso.com,fabrikam.onmicrosoft.com,72f988bf-86f1-41af-91ab-2d7cd011db47

  • A Korlátozott hozzáférés-környezet beállításhoz használjon egyetlen címtárazonosítót, amely deklarálja, hogy melyik bérlő állítja be a bérlői korlátozásokat. Ha például a Contoso-t a bérlőkorlátozási szabályzatot beállítva bérlőként szeretné deklarálni, a név/érték pár a következőképpen néz ki: Restrict-Access-Context: 456ff232-35l2-5h23-b3b3-3236w0826f3d. A hitelesítések naplóinak lekéréséhez saját címtárazonosítót kell használnia. Ha a sajáttól eltérő címtárazonosítót használ, a bejelentkezési naplók *mások bérlőjében jelennek meg, és minden személyes adatot eltávolítanak. További információ: Rendszergazda felület.

A címtárazonosító megkeresése:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább globális olvasóként.
  2. Tallózás az identitás>áttekintéséhez – áttekintés.>
  3. Másolja ki a bérlőazonosító értékét.

Annak ellenőrzéséhez, hogy egy címtárazonosító vagy tartománynév ugyanarra a bérlőre hivatkozik-e, használja ezt az azonosítót vagy tartományt a bérlő> helyett <ebben az URL-címen: https://login.microsoftonline.com/<tenant>/v2.0/.well-known/openid-configuration. Ha a tartományt és az azonosítót tartalmazó eredmények azonosak, ugyanarra a bérlőre hivatkoznak.

Ha meg szeretné akadályozni, hogy a felhasználók saját HTTP-fejlécet szúrjanak be nem jóváhagyott bérlőkkel, a proxynak le kell cserélnie a Korlátozott hozzáférésű bérlők fejlécet , ha az már szerepel a bejövő kérelemben.

Az ügyfeleknek a proxyt kell használniuk az összes , login.microsoftonline.comlogin.microsoft.comés login.windows.net. Ha például PAC-fájlokkal irányítják az ügyfeleket a proxy használatára, a végfelhasználóknak nem szabad tudniuk szerkeszteni vagy letiltani a PAC-fájlokat.

A felhasználói élmény

Ez a szakasz a végfelhasználók és a rendszergazdák felhasználói élményét ismerteti.

Végfelhasználói élmény

Egy példafelhasználó a Contoso-hálózaton található, de egy megosztott SaaS-alkalmazás Fabrikam-példányát próbálja elérni, például az Outlook Online-t. Ha a Fabrikam a Contoso-példány nem felügyelt bérlője, a felhasználó egy hozzáférés-megtagadó üzenetet lát. A megtagadásról szóló üzenet azt jelzi, hogy olyan erőforrást próbál elérni, amely az informatikai részleg által nem jóváhagyott szervezethez tartozik.

Screenshot of tenant restrictions error message, from April 2021.

Rendszergazda élmény

Bár a bérlőkorlátozások konfigurálása a vállalati proxyinfrastruktúrán történik, a rendszergazdák közvetlenül a Microsoft Entra felügyeleti központban érhetik el a bérlőkorlátozási jelentéseket. A jelentések megtekintése:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább globális olvasóként.
  2. Keresse meg az Identitás>áttekintése>bérlői korlátozásokat.

A korlátozott hozzáférésű környezet bérlőjeként megadott bérlő rendszergazdája ezzel a jelentéssel megtekintheti a bérlőkorlátozási szabályzat miatt letiltott bejelentkezéseket, beleértve a használt identitást és a célkönyvtár-azonosítót. A bejelentkezések akkor jelennek meg, ha a korlátozást állító bérlő a felhasználói bérlő vagy az erőforrás-bérlő a bejelentkezéshez.

A jelentés tartalmazhat korlátozott információkat, például a célkönyvtár-azonosítót, amikor egy olyan felhasználó jelentkezik be, aki nem a korlátozott hozzáférésű környezet bérlőjében van. Ebben az esetben a felhasználóazonosításra alkalmas adatok, például a név és a felhasználónév maszkolásával védik a többi bérlő felhasználói adatait (például "{PII Removed}@domain.com" or 00000000-0000-0000-0000-000000000000 a felhasználónevek és objektumazonosítók helyett, ha szükséges).

A Microsoft Entra Felügyeleti központban található többi jelentéshez hasonlóan szűrőkkel is meghatározhatja a jelentés hatókörét. Szűrhet egy adott időintervallumra, felhasználóra, alkalmazásra, ügyfélre vagy állapotra. Ha az Oszlopok gombot választja, az alábbi mezők tetszőleges kombinációjával jelenítheti meg az adatokat:

  • Felhasználó – ez a mező eltávolíthatja a személyes adatokat, ahol az értéke meg van adva 00000000-0000-0000-0000-000000000000.
  • Alkalmazás
  • Állapot
  • Dátum
  • Dátum (UTC) – ahol az UTC az egyezményes világidő
  • IP Address
  • Ügyfél
  • Felhasználónév – ez a mező eltávolíthatja a személyes adatokat, ahol az értéke a következőre van állítva: {PII Removed}@domain.com
  • Helyen
  • Cél bérlőazonosítója

Microsoft 365-támogatás

A Microsoft 365-alkalmazásoknak két feltételnek kell megfelelniük a bérlői korlátozások teljes körű támogatásához:

  1. A használt ügyfél támogatja a modern hitelesítést.
  2. A modern hitelesítés engedélyezve van a felhőszolgáltatás alapértelmezett hitelesítési protokolljaként.

A legújabb információk arról, hogy mely Office-ügyfelek támogatják jelenleg a modern hitelesítést, tekintse meg az Office 365 modern hitelesítésének frissítését ismertető témakört. Ez a lap hivatkozásokat is tartalmaz a modern hitelesítés engedélyezésére vonatkozó utasításokra adott Exchange Online- és Skype Vállalati verzió Online-bérlők esetében. A SharePoint Online már alapértelmezés szerint engedélyezi a modern hitelesítést. A Teams csak a modern hitelesítést támogatja, és nem támogatja az örökölt hitelesítést, ezért ez a megkerülő probléma nem vonatkozik a Teamsre.

A Microsoft 365 böngészőalapú alkalmazásai (például az Office Portal, a Yammer, a SharePoint-webhelyek és a Webes Outlook) jelenleg támogatják a bérlői korlátozásokat. A vastag ügyfelek (Outlook, Skype Vállalati verzió, Word, Excel, PowerPoint stb.) csak modern hitelesítéssel kényszeríthetnek bérlői korlátozásokat.

Előfordulhat, hogy a modern hitelesítést támogató Outlook- és Skype Vállalati verzió-ügyfelek továbbra is használhatnak örökölt protokollokat olyan bérlőkkel szemben, ahol a modern hitelesítés nincs engedélyezve, így gyakorlatilag megkerülve a bérlői korlátozásokat. A bérlői korlátozások blokkolhatják az örökölt protokollokat használó alkalmazásokat, ha kapcsolatba lépnek login.microsoftonline.com, login.microsoft.comvagy login.windows.net a hitelesítés során.

A Windows Outlook esetében az ügyfelek olyan korlátozásokat alkalmazhatnak, amelyek megakadályozzák, hogy a végfelhasználók nem jóváhagyott e-mail-fiókokat vegyenek fel a profiljukba. Lásd például a Nem megfelelő Exchange-fiókok csoportházirend-beállításának hozzáadásának megakadályozása című témakört.

Az Azure RMS és az Office Üzenettitkosítás kompatibilitása

A Azure Tartalomvédelmi szolgáltatások szolgáltatás (RMS) és az Office üzenettitkosítási funkciói nem kompatibilisek a bérlői korlátozásokkal. Ezek a funkciók arra támaszkodnak, hogy a felhasználókat más bérlőkbe dedikálják a titkosított dokumentumok visszafejtési kulcsainak lekérése érdekében. Mivel a bérlőkorlátozások letiltják a hozzáférést más bérlőkhöz, a nem megbízható bérlőktől a felhasználóknak küldött titkosított levelek és dokumentumok nem érhetők el.

Tesztelés

Ha ki szeretné próbálni a bérlői korlátozásokat, mielőtt implementálná az egész szervezet számára, két lehetősége van: egy gazdagépalapú megközelítés egy olyan eszközzel, mint a Fiddler, vagy a proxybeállítások szakaszos bevezetése.

Fiddler gazdagépalapú megközelítéshez

A Fiddler egy ingyenes webes hibakeresési proxy, amely a HTTP/HTTPS-forgalom rögzítésére és módosítására használható, beleértve a HTTP-fejlécek beszúrását is. A Fiddler bérlői korlátozások tesztelésére való konfigurálásához hajtsa végre a következő lépéseket:

  1. Töltse le és telepítse a Fiddlert.

  2. Konfigurálja a Fiddlert a HTTPS-forgalom visszafejtéséhez a Fiddler súgódokumentációja szerint.

  3. Konfigurálja a Fiddlert, hogy egyéni szabályokkal szúrja be a Restrict-Access-To-Tenants és a Restrict-Access-Context fejléceket:

    1. A Fiddler Web Debugger eszközben válassza a Szabályok menüt, majd a Szabályok testreszabása lehetőséget a CustomRules fájl megnyitásához.

    2. Adja hozzá a következő sorokat a függvényhez OnBeforeRequest . Cserélje le <a bérlőazonosítók> listáját a bérlőjéhez regisztrált tartományra (például contoso.onmicrosoft.com). Cserélje le <a címtárazonosítót> a bérlő Microsoft Entra GUID-azonosítójára. A megfelelő GUID-azonosítót kell megadnia ahhoz, hogy a naplók megjelenjenek a bérlőben.

     // Allows access to the listed tenants.
   if (
       oSession.HostnameIs("login.microsoftonline.com") ||
       oSession.HostnameIs("login.microsoft.com") ||
       oSession.HostnameIs("login.windows.net")
   )
   {
       oSession.oRequest["Restrict-Access-To-Tenants"] = "<List of tenant identifiers>";
       oSession.oRequest["Restrict-Access-Context"] = "<Your directory ID>";
   }

 // Blocks access to consumer apps
   if (
       oSession.HostnameIs("login.live.com")
   )
   {
       oSession.oRequest["sec-Restrict-Tenant-Access-Policy"] = "restrict-msa";
   }

    Ha több bérlőt kell engedélyeznie, használjon vesszőt a bérlőnevek elválasztásához. Példa:

    oSession.oRequest["Restrict-Access-To-Tenants"] = "contoso.onmicrosoft.com,fabrikam.onmicrosoft.com";

  4. Mentse és zárja be a CustomRules fájlt.

A Fiddler konfigurálása után a Fájl menüben a Forgalom rögzítése lehetőséget választva rögzítheti a forgalmat.

Proxybeállítások szakaszos bevezetése

A proxyinfrastruktúra képességeitől függően előfordulhat, hogy a beállítások bevezetése a felhasználók számára is lehetővé teszi. Tekintse meg a következő magas szintű beállításokat:

  1. PAC-fájlokkal a tesztfelhasználókat egy tesztproxy-infrastruktúrára irányíthatja, míg a normál felhasználók továbbra is az éles proxyinfrastruktúra használatát használják.
  2. Egyes proxykiszolgálók különböző konfigurációkat támogathatnak csoportok használatával.

További részletekért tekintse meg a proxykiszolgáló dokumentációját.

Fogyasztói alkalmazások blokkolása

A microsoftos alkalmazások, amelyek mind a fogyasztói fiókokat, mind a vállalati fiókokat, például a OneDrive-ot támogatják, néha ugyanazon az URL-címen üzemeltethetők. Ez azt jelenti, hogy azok a felhasználók, akiknek munkahelyi célból kell hozzáférniük ehhez az URL-címhez, személyes használatra is hozzáférhetnek. Ez a beállítás nem feltétlenül engedélyezett az üzemeltetési irányelvek szerint.

Egyes szervezetek a személyes fiókok hitelesítésének letiltásával login.live.com próbálják elhárítani ezt a problémát. A javításnak több hátránya is van:

  1. A letiltás login.live.com letiltja a személyes fiókok használatát a B2B-vendégforgatókönyvekben, ami megzavarhatja a látogatókat és az együttműködést.
  2. Az Autopilot használatához szükség van az login.live.com üzembe helyezéshez. Az Intune és az Autopilot-forgatókönyvek meghiúsulhatnak, ha login.live.com le van tiltva.
  3. Az eszközazonosítók login.live.com szolgáltatására támaszkodó szervezeti telemetria és Windows-frissítések működése megszűnik.

Konfigurálás fogyasztói alkalmazásokhoz

Bár a Restrict-Access-To-Tenants fejléc engedélyezési listaként működik, a Microsoft-fiók (MSA) blokkja megtagadási jelként működik, és arra utasítja a Microsoft-fiókplatformot, hogy a felhasználók ne jelentkezzenek be a fogyasztói alkalmazásokba. A jel elküldéséhez a rendszer a sec-Restrict-Tenant-Access-Policy fejlécet a jelen cikk proxykonfiguráció és követelmények szakaszában említett vállalati proxy vagy tűzfal használatával injektálja a látogató login.live.com forgalomba. A fejléc értékének meg kell lennie restrict-msa. Ha a fejléc jelen van, és egy fogyasztói alkalmazás közvetlenül próbál bejelentkezni egy felhasználóba, a rendszer letiltja a bejelentkezést.

A fogyasztói alkalmazások hitelesítése jelenleg nem jelenik meg a felügyeleti naplókban, mivel a login.live.com a Microsoft Entra-azonosítótól elkülönítve van üzemeltetve.

Az élőfej művelete, és nem tiltja le

A restrict-msa szabályzat letiltja a fogyasztói alkalmazások használatát, de számos más típusú forgalmat és hitelesítést tesz lehetővé:

  1. Felhasználó nélküli forgalom az eszközökhöz. Ez a beállítás tartalmazza az Autopilot, a Windows Update és a szervezeti telemetriai adatok forgalmát.
  2. A fogyasztói fiókok B2B-hitelesítése. Azok a Microsoft-fiókokkal rendelkező felhasználók, akiket meghívnak , hogy együttműködjenek egy bérlővel , hitelesítsék a login.live.com egy erőforrás-bérlő elérése érdekében.
    1. Ezt a hozzáférést a fejléc használatával vezérli az Restrict-Access-To-Tenants adott erőforrás-bérlőhöz való hozzáférés engedélyezéséhez vagy megtagadásához.
  3. Számos Azure-alkalmazás és Office.com által használt "átengedés" hitelesítés, amelyben az alkalmazások a Microsoft Entra azonosítót használják a fogyasztói felhasználók felhasználóinak felhasználói környezetbe való bejelentkezéséhez.
    1. Ez a hozzáférés a Restrict-Access-To-Tenants fejléc használatával is szabályozható a speciális "átmenő" bérlő (f8cdef31-a31e-4b4a-93e4-5f571e91255a) hozzáférésének engedélyezéséhez vagy megtagadásához. Ha ez a bérlő nem jelenik meg az engedélyezett tartományok listájában, a Restrict-Access-To-Tenants Microsoft Entra-azonosító letiltja, hogy a felhasználói fiókok bejelentkezhessenek ezekbe az alkalmazásokba.

A TLS-törést és -vizsgálatot nem támogató platformok

A bérlői korlátozások az engedélyezett bérlők HTTPS-fejlécben lévő listájának injektálásától függnek. Ehhez a függőséghez a forgalom megszakításához és vizsgálatához a Transport Layer Security Inspection (TLSI) szükséges. Az olyan környezetekben, ahol az ügyféloldal nem tudja megszakítani és megvizsgálni a forgalmat fejlécek hozzáadásához, a bérlői korlátozások nem működnek.

Vegyük az Android 7.0-s és újabb verzióit. Az Android megváltoztatta, hogyan kezeli a megbízható hitelesítésszolgáltatókat (CA-kat), hogy biztonságosabb alapértelmezett értékeket biztosítson az alkalmazások biztonságos forgalmához. További információ: A megbízható hitelesítésszolgáltatók módosításai az Android Nougatban.

A Google javaslatát követve a Microsoft ügyfélalkalmazásai alapértelmezés szerint figyelmen kívül hagyják a felhasználói tanúsítványokat. Ez a szabályzat nem teszi lehetővé az ilyen alkalmazások számára a bérlői korlátozások használatát, mivel a hálózati proxy által használt tanúsítványok a felhasználói tanúsítványtárban vannak telepítve, amelyekben az ügyfélalkalmazások nem bíznak meg.

Az olyan környezetek esetében, amelyek nem tudják megszakítani és ellenőrizni a forgalmat a bérlőkorlátozási paraméterek fejléchez való hozzáadásához, a Microsoft Entra ID egyéb funkciói védelmet nyújthatnak. Az alábbi lista további információkat tartalmaz az ilyen Microsoft Entra-funkciókról.

Néhány konkrét forgatókönyvet azonban csak bérlői korlátozások használatával lehet lefedni.

Következő lépések