Configurare le restrizioni di tenant v2

Si applica a: Tenant delle risorse Tenant esterni (altre informazioni)

Nota

Alcune funzionalità descritte in questo articolo sono funzionalità di anteprima. Per altre informazioni sulle anteprime, vedere Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.

Per migliorare la sicurezza, è possibile limitare ciò a cui gli utenti possono accedere quando usano un account esterno per l'accesso da reti o dispositivi. Le impostazioni di restrizione dei tenant, incluse nelle impostazioni di accesso tra tenant, consentono di creare un criterio per controllare l'accesso alle app esterne.

Si supponga, ad esempio, che un utente dell'organizzazione abbia creato un account separato in un tenant sconosciuto o che un'organizzazione esterna abbia assegnato all'utente un account che consenta di accedere all'organizzazione. È possibile usare le restrizioni di tenant per impedire all'utente di usare alcune o tutte le app esterne durante l'accesso con l'account esterno alla rete o ai dispositivi.

Passaggi	Descrizione
1	Contoso configura le restrizioni di tenant v2 nelle impostazioni di accesso tra tenant per bloccare tutti gli account e tutte le app esterni. Contoso aggiunge la segnalazione dell'applicazione di TRv2 con l'intestazione TRv2 tramite Universal TRv2 o un proxy aziendale; Microsoft Entra ID applicherà i criteri TRv2 quando l'intestazione è presente nella richiesta.
2	Un utente che usa un dispositivo gestito da Contoso tenta di accedere a un'app esterna usando un account da un tenant sconosciuto. L'intestazione HTTP TRv2 con l'ID tenant di Contoso e l'ID del criterio delle restrizioni di tenant viene aggiunta alla richiesta di autenticazione.
3	Protezione del piano di autenticazione: Microsoft Entra ID applica i criteri TRv2 di Contoso e impedisce agli account esterni di accedere ai tenant esterni durante l'autenticazione in base ai criteri TRv2 di Contoso.
4	Protezione del piano dati (anteprima): Microsoft Entra ID bloccherà l'accesso anonimo al file di SharePoint o alla riunione anonima di Teams, oltre a bloccare l'accesso utente alla risorsa con un token infiltrato.

Le restrizioni di tenant v2 offrono opzioni sia per la protezione del piano di autenticazione che per la protezione del piano dati.

• La protezione del piano di autenticazione si riferisce all'uso di criteri v2 per bloccare gli accessi usando identità esterne. Ad esempio, è possibile impedire a un utente malintenzionato di perdere dati tramite posta elettronica esterna impedendone l'accesso al tenant pericoloso. La protezione del piano di autenticazione v2 delle restrizioni di tenant è disponibile a livello generale.

• La protezione del piano dati si riferisce alla prevenzione degli attacchi che ignorano l'autenticazione. Ad esempio, un utente malintenzionato potrebbe tentare di consentire l'accesso alle app tenant pericolose usando l'accesso anonimo alle riunioni di Teams o l'accesso anonimo ai file di SharePoint. In alternativa, l'utente malintenzionato potrebbe copiare un token di accesso da un dispositivo in un tenant pericoloso e importarlo nel dispositivo aziendale. Le restrizioni di tenant v2 per la protezione del piano dati forzano l'autenticazione dell'utente quando tentano di accedere a una risorsa e bloccano l'accesso in caso di errore di autenticazione.

Sebbene le restrizioni di tenant v1 forniscano la protezione del piano di autenticazione tramite un elenco di tenant consentiti configurato nel proxy aziendale, le restrizioni di tenant v2 offrono opzioni per l'autenticazione granulare e la protezione del piano dati, con o senza un proxy aziendale. Se si usa un proxy aziendale per l'inserimento di intestazioni, le opzioni includono solo la protezione del piano di autenticazione.

Panoramica delle restrizioni di tenant v2

Nelle impostazioni di accesso tra tenant dell'organizzazione è possibile configurare i criteri di restrizione di tenant v2. Dopo aver creato i criteri, esistono tre modi per applicare i criteri nell'organizzazione.

• Restrizioni di tenant universali v2. Questa opzione fornisce la protezione sia del piano di autenticazione che del piano dati senza un proxy aziendale. Le restrizioni del tenant universale usano l'accesso sicuro globale per contrassegnare tutto il traffico indipendentemente dal fattore di forma del sistema operativo, del browser o del dispositivo. Consente il supporto per la connettività di rete remota e client.
• Restrizioni di tenant del piano di autenticazione v2. È possibile distribuire un proxy aziendale nell'organizzazione e configurare il proxy per impostare i segnali delle restrizioni di tenant v2 su tutto il traffico verso Microsoft Entra ID e gli account Microsoft (MSA).
• Restrizioni di tenant di Windows v2. Per i dispositivi Windows di proprietà dell'azienda, è possibile applicare la protezione sia del piano di autenticazione che del piano dati applicando le restrizioni di tenant direttamente nei dispositivi. Le restrizioni di tenant vengono applicate all'accesso alle risorse, fornendo la copertura del percorso dati e la protezione dall'infiltrazione dei token. Non è richiesto un proxy aziendale per l'imposizione dei criteri. I dispositivi possono essere dispositivi gestiti da Microsoft Entra ID o dispositivi aggiunti a un dominio gestiti tramite Criteri di gruppo.

Nota

Questo articolo descrive come configurare le restrizioni di tenant v2 usando l'Interfaccia di amministrazione di Microsoft Entra. È anche possibile usare l'API di accesso tra tenant di Microsoft Graph per creare questi stessi criteri di restrizioni di tenant.

Scenari supportati

Le restrizioni di tenant v2 possono essere limitate a utenti, gruppi, organizzazioni o app esterne specifici. Le app basate sullo stack di rete del sistema operativo Windows sono protette. Sono supportati gli scenari che seguono:

• Tutte le app di Office (tutte le versioni/tutti i canali di rilascio).
• Applicazioni .NET UWP (Universal Windows Platform).
• Protezione del piano di autenticazione per tutte le applicazioni che eseguono l'autenticazione con Microsoft Entra ID, incluse tutte le applicazioni Microsoft di prima parte e tutte le applicazioni di terze parti che usano Microsoft Entra ID per l'autenticazione.
• Protezione del piano dati per SharePoint Online ed Exchange Online.
• Protezione dell'accesso anonimo per SharePoint Online, OneDrive e Teams (con i controlli di federazione configurati).
• Autenticazione e protezione del piano dati per gli account Microsoft tenant o consumer.
• Quando si usano restrizioni del tenant universale in Accesso sicuro globale, tutti i browser e le piattaforme.
• Quando si usano Criteri di gruppo di Windows, Microsoft Edge e tutti i siti Web in Microsoft Edge.

Scenari non supportati

• Blocco anonimo dell'account OneDrive consumer. I clienti possono risolvere il problema a livello di proxy bloccando https://onedrive.live.com/.
• Quando un utente accede a un'app di terze parti, ad esempio Slack, usando un collegamento anonimo o un account non Azure AD.
• Quando un utente copia un token rilasciato da Microsoft Entra ID da un computer principale a un computer aziendale e lo usa per accedere a un'app di terze parti come Slack.
• Restrizioni di tenant per utente per gli account Microsoft.

Confrontare le restrizioni di tenant v1 e v2

La tabella seguente confronta le caratteristiche di ogni versione.

	Restrizioni di tenant v1	Restrizioni di tenant V2
Applicazione dei criteri	Il proxy aziendale applica i criteri della restrizione di tenant nel piano di controllo di Microsoft Entra ID.	Opzioni: - Restrizioni del tenant universale in Accesso sicuro globale, che usa la segnalazione dei criteri per contrassegnare tutto il traffico, fornendo il supporto sia dell'autenticazione che del piano dati in tutte le piattaforme. : protezione solo del piano di autenticazione, dove il proxy aziendale imposta i segnali delle restrizioni di tenant v2 per tutto il traffico. : gestione dei dispositivi Windows, dove i dispositivi sono configurati per indirizzare il traffico Microsoft ai criteri di restrizione di tenant e i criteri vengono applicati nel cloud.
Limitazioni relative all'applicazione di criteri	Gestire i proxy aziendali aggiungendo tenant all'elenco del traffico consentito di Microsoft Entra. Limite di caratteri del valore dell'intestazione Restrict-Access-To-Tenants: <allowed-tenant-list> limita il numero di tenant che è possibile aggiungere.	Gestito da criteri cloud nei criteri di accesso tra tenant. Viene creato un criterio partner per ogni tenant esterno. Attualmente, la configurazione per tutti i tenant esterni è contenuta in un criterio con un limite di dimensioni di 25 kB.
Richieste di tenant dannose	Microsoft Entra ID blocca le richieste di autenticazione del tenant dannoso per fornire la protezione del piano di autenticazione.	Microsoft Entra ID blocca le richieste di autenticazione del tenant dannoso per fornire la protezione del piano di autenticazione.
Granularità	Limitate al tenant e a tutti gli account Microsoft.	Granularità a livello di tenant, utente, gruppo e applicazione. La granularità a livello di utente non è supportata con gli account Microsoft.
Accesso anonimo	È consentito l'accesso anonimo alle riunioni di Teams e alla condivisione file.	L'accesso anonimo alle riunioni di Teams è bloccato. L'accesso alle risorse condivise in modo anonimo ("Chiunque con il collegamento") è bloccato.
Account Microsoft	Usa un'intestazione Restrict-MSA per bloccare l'accesso agli account consumer.	Consente il controllo dell'autenticazione degli account Microsoft (MSA e Live ID) nei piani di identità e dati. Ad esempio, se le restrizioni di tenant vengono applicate per impostazione predefinita, è possibile creare criteri specifici degli account Microsoft che consentono agli utenti di accedere ad app specifiche con i propri account Microsoft, ad esempio: Microsoft Learn (ID app 18fbca16-2224-45f6-85b0-f7bf2b39b3f3) o Microsoft Enterprise Skills Initiative (ID app 195e7f27-02f9-4045-9a91-cd2fa1c2af2f).
Gestione proxy	Gestire i proxy aziendali aggiungendo tenant all'elenco del traffico consentito di Microsoft Entra.	Per la protezione del piano di autenticazione proxy aziendale, configurare il proxy per impostare i segnali delle restrizioni di tenant v2 per tutto il traffico.
Supporto delle piattaforme	Supportate in tutte le piattaforme. Fornisce solo la protezione del piano di autenticazione.	Le restrizioni del tenant universale in Accesso sicuro globale supportano qualsiasi fattore di forma del sistema operativo, del browser o del dispositivo. La protezione del piano di autenticazione proxy aziendale supporta applicazioni macOS, browser Chrome e .NET. La gestione dei dispositivi Windows supporta i sistemi operativi Windows e Microsoft Edge.
Supporto del portale	Nessuna interfaccia utente nell'Interfaccia di amministrazione di Microsoft Entra per la configurazione dei criteri.	Interfaccia utente disponibile nell'Interfaccia di amministrazione di Microsoft Entra per la configurazione dei criteri cloud.
App non supportate	N/D	Blocca l'uso di app non supportate con gli endpoint Microsoft usando Windows Defender Application Control (WDAC) o Windows Firewall (ad esempio, per Chrome, Firefox e così via). Vedere Bloccare Chrome, Firefox e le applicazioni .NET come PowerShell.

Eseguire la migrazione dei criteri delle restrizioni di tenant v1 alla versione 2 nel proxy

La migrazione dei criteri delle restrizioni di tenant dalla versione 1 alla versione 2 è un'operazione una tantum. Dopo la migrazione, non sono necessarie modifiche sul lato client. È possibile apportare eventuali modifiche ai criteri lato server successive tramite l'Interfaccia di amministrazione di Microsoft Entra.

Quando si abilita TRv2 nel proxy, sarà possibile applicare TRv2 solo al piano di autenticazione. Per abilitare TRv2 sia sull'autenticazione che sul piano dati, è necessario abilitare la segnalazione TRv2 lato client tramite Universal TRv2

Passaggio 1: Configurazione dell'elenco di tenant partner consentiti

TRv1: le restrizioni di tenant v1 (TRv1) consentono di creare un elenco di ID tenant e/o endpoint di accesso Microsoft per garantire che gli utenti accedano ai tenant esterni autorizzati dall'organizzazione. In TRv1 ciò è possibile aggiungendo l'intestazione Restrict-Access-To-Tenants: <allowed-tenant-list> nel proxy. Ad esempio: "Restrict-Access-To-Tenants: " contoso.com, fabrikam.com, dogfood.com". Altre informazioni sulle restrizioni di tenant v1.

TRv2: con le restrizioni di tenant v2 (TRv2), la configurazione viene spostata nei criteri cloud lato server e non è necessaria l'intestazione TRv1.

• Nel proxy aziendale è necessario rimuovere l'intestazione delle restrizioni di tenant v1, Restrict-Access-To-Tenants: <allowed-tenant-list>.
• Per ogni tenant nell'elenco di tenant consentiti, creare un criterio per il tenant partner seguendo la procedura descritta in Passaggio 2: Configurare le restrizioni di tenant v2 per partner specifici. Assicurarsi di seguire linee guida seguenti:

Nota

• Conservare i criteri predefiniti delle restrizioni di tenant v2 che bloccano l'accesso a tutti i tenant esterni usando identità esterne (ad esempio, user@externaltenant.com).
• Creare un criterio per il tenant partner per ogni tenant elencato nell'elenco di tenant consentiti v1 seguendo la procedura descritta in Passaggio 2: Configurare le restrizioni di tenant v2 per partner specifici.
• Consentire solo a utenti specifici di accedere ad applicazioni specifiche. Questa progettazione aumenta la postura di sicurezza limitando l'accesso solo agli utenti necessari.

Passaggio 2: Blocco del tenant dell'account consumer o dell'account Microsoft

TRv1: per non consentire agli utenti di accedere alle applicazioni consumer. Trv1 richiede che l'intestazione sec-Restrict-Tenant-Access-Policy venga inserita nel traffico che visita login.live.com come sec-Restrict-Tenant-Access-Policy: restrict-msa`

TRv2: con TRv2, la configurazione viene spostata nei criteri cloud lato server e non è necessaria l'intestazione TRv1.

• Nel proxy aziendale è necessario rimuovere l'intestazione delle restrizioni di tenant v1 sec-Restrict-Tenant-Access-Policy: restrict-msa'.
• Creare un criterio per il tenant partner per il tenant degli account Microsoft seguendo il passaggio 2: Configurare le restrizioni di tenant v2 per partner specifici. Poiché l'assegnazione a livello di utente non è disponibile per i tenant degli account Microsoft, il criterio si applica a tutti gli utenti con account Microsoft. Tuttavia, è disponibile la granularità a livello di applicazione; è necessario limitare le applicazioni a cui gli account Microsoft o gli account consumer possono accedere solo alle applicazioni necessarie.

Nota

Il blocco del tenant degli account Microsoft non blocca il traffico senza utente per i dispositivi, tra cui:

• Traffico per Autopilot, Windows Update e dati di telemetria dell'organizzazione.
• Autenticazione B2B degli account consumer o autenticazione "pass-through", in cui le app di Azure e Office.com app usano Microsoft Entra ID per consentire agli utenti consumer di accedere a un contesto consumer.

Passaggio 3: Abilitare le restrizioni di tenant v2 nel proxy aziendale

TRv2: è possibile configurare il proxy aziendale per abilitare l'assegnazione di tag lato client dell'intestazione delle restrizioni di tenant V2 usando l'impostazione proxy aziendale seguente: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>

dove <DirectoryID> è l'ID tenant di Microsoft Entra e <policyGUID> è l'ID oggetto per i criteri di accesso tra tenant.

Restrizioni di tenant rispetto alle impostazioni in ingresso e in uscita

Anche se sono configurate insieme alle impostazioni di accesso tra tenant, le restrizioni di tenant funzionano separatamente rispetto alle impostazioni di accesso in ingresso e in uscita. Le impostazioni di accesso tra tenant consentono di controllare quando gli utenti accedono con un account dall'organizzazione. Al contrario, le restrizioni di tenant consentono di controllare quando gli utenti usano un account esterno. Le impostazioni in ingresso e in uscita per la collaborazione B2B e la connessione diretta B2B non influiscono sulle impostazioni delle restrizioni di tenant e non sono interessate.

Si considerino le diverse impostazioni di accesso tra tenant in questo modo:

• Le impostazioni in ingresso controllano l'accesso dell'account esterno alle app interne.
• Le impostazioni in uscita controllano l'accesso dell'account interno alle app esterne.
• Le restrizioni di tenant controllano l'accesso dell'account esterno alle app esterne.

Restrizioni di tenant e collaborazione B2B

Quando gli utenti devono accedere a organizzazioni e app esterne, è consigliabile abilitare le restrizioni di tenant per bloccare gli account esterni e usare invece la collaborazione B2B. La collaborazione B2B offre la possibilità di:

• Usare l'accesso condizionale e forzare l'autenticazione a più fattori per gli utenti di Collaborazione B2B.
• Gestire l'accesso in ingresso e in uscita.
• Terminare sessioni e credenziali quando lo stato di occupazione di un utente di Collaborazione B2B cambia o le credenziali vengono violate.
• Usare i log di accesso per visualizzare i dettagli sull'utente di Collaborazione B2B.

Prerequisiti

Per configurare le restrizioni di tenant, è necessario:

• Microsoft Entra ID P1 o P2
• Account almeno con un ruolo Amministratore della sicurezza
• Dispositivi Windows che eseguono Windows 10, Windows 11 con gli aggiornamenti più recenti

Configurare i criteri cloud per le restrizioni di tenant lato server v2

Passaggio 1: Configurare le restrizioni di tenant predefinite v2

Le impostazioni per le restrizioni di tenant v2 si trovano nell'Interfaccia di amministrazione di Microsoft Entra in Impostazioni di accesso tra tenant. Prima di tutto, configurare le restrizioni di tenant predefinite da applicare a tutti gli utenti, gruppi, app e organizzazioni. Quindi, se sono necessarie configurazioni specifiche del partner, è possibile aggiungere l'organizzazione di un partner e personalizzare le impostazioni diverse dalle impostazioni predefinite.

Per configurare le restrizioni di tenant predefinite

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.

2. Passare a Identità>Identità esterne>Impostazioni di accesso tra tenant, quindi selezionare Impostazioni di accesso tra tenant.

3. Selezionare la scheda Impostazioni predefinite.

   

4. Scorrere fino alla sezione Restrizioni tenant.

5. Selezionare il collegamento Modifica restrizioni tenant predefinite.

   

6. Se non esiste ancora un criterio predefinito nel tenant, accanto a ID criterio viene visualizzato un collegamento Crea criteri. Selezionare il collegamento.

   

7. Nella pagina Restrizioni tenant vengono visualizzati sia l'ID tenant che l'ID criterio delle restrizioni di tenant. Usare le icone di copia per copiare entrambi questi valori. Usare questi valori in un secondo momento quando si configurano i client Windows per abilitare le restrizioni di tenant.

   

8. Selezionare la scheda Utenti e gruppi esterni. In Stato di accesso scegliere una delle opzioni seguenti:

   • Consenti accesso: consente a tutti gli utenti che hanno eseguito l'accesso con account esterni di accedere alle app esterne (specificate nella scheda Applicazioni esterne).
   • Blocca accesso: impedisce a tutti gli utenti che hanno eseguito l'accesso con account esterni di accedere alle app esterne (specificate nella scheda Applicazioni esterne).

   

   Nota

   Non è possibile definire l'ambito delle impostazioni predefinite per singoli account o gruppi e quindi le indicazioni riportate nella sezione Si applica a fanno sempre riferimento a Tutti gli utenti e i gruppi di <tenant in uso>. Tenere presente che se si blocca l'accesso per tutti gli utenti e i gruppi, è necessario bloccare anche l'accesso a tutte le applicazioni esterne (nella scheda Applicazioni esterne).

9. Selezionare la scheda Applicazioni esterne. In Stato di accesso scegliere una delle opzioni seguenti:

   • Consenti accesso: consente a tutti gli utenti che hanno eseguito l'accesso con account esterni di accedere alle app specificare nella sezione Si applica a.
   • Blocca accesso: blocca a tutti gli utenti che hanno eseguito l'accesso con account esterni l'accesso alle app specificare nella sezione Si applica a.

   

10. In Si applica a selezionare una delle opzioni seguenti:

    • Tutte le applicazioni esterne: applica l'azione scelta in Stato di accesso a tutte le applicazioni esterne. Se si blocca l'accesso a tutte le applicazioni esterne, è anche necessario bloccare l'accesso per tutti gli utenti e i gruppi (nella scheda Utenti e gruppi).
    • Seleziona applicazioni esterne: consente di scegliere le applicazioni esterne a cui si vuole applicare l'azione indicata in Stato di accesso. Per selezionare le applicazioni, scegliere Aggiungi applicazioni Microsoft o Aggiungi altre applicazioni. Cercare quindi in base al nome dell'applicazione o all'ID applicazione (ID app ID client o ID app risorsa) e selezionare l'app. Vedere un elenco di ID per le applicazioni Microsoft di uso comune. Se si vuole aggiungere altre app, usa il pulsante Aggiungi. Al termine, selezionare Invia.

    

11. Seleziona Salva.

Passaggio 2: Configurare le restrizioni di tenant v2 per partner specifici

Si supponga di usare le restrizioni di tenant per bloccare l'accesso per impostazione predefinita. Tuttavia, si vuole consentire agli utenti di accedere a determinate applicazioni usando i propri account esterni. Si supponga, ad esempio, di voler consentire agli utenti di accedere a Microsoft Learn con i propri account Microsoft. Le istruzioni in questa sezione descrivono come aggiungere impostazioni specifiche dell'organizzazione che hanno la precedenza sulle impostazioni predefinite.

Esempio: Configurare le restrizioni di tenant v2 per consentire gli account Microsoft

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza o Amministratore accesso condizionale.

2. Passare a Identità>Identità esterne>Impostazioni accesso tra tenant.

3. Selezionare Impostazioni organizzative.

   Nota

   Se l'organizzazione da aggiungere è già stata aggiunta all'elenco, è possibile ignorare l'operazione di aggiunta a e passare direttamente alla modifica delle impostazioni.

4. Selezionare Aggiungi organizzazione.

5. Nel riquadro Aggiungi organizzazione digitare il nome di dominio completo (o l'ID tenant) dell'organizzazione.

   Esempio: cercare l'ID tenant degli account Microsoft seguente:

   9188040d-6c67-4c5b-b112-36a304b66dad
   

   

6. Selezionare l'organizzazione nei risultati della ricerca e quindi selezionare Aggiungi.

7. Modifica delle impostazioni: trovare l'organizzazione nell'elenco Impostazioni organizzazione e quindi scorrere orizzontalmente fino a visualizzare la colonna Restrizioni tenant. A questo punto, tutte le impostazioni delle restrizioni di tenant per questa organizzazione vengono ereditate dalle impostazioni predefinite. Per modificare le impostazioni per questa organizzazione, selezionare il collegamento Ereditato dal valore predefinito nella colonna Restrizioni tenant.

   

8. Viene visualizzata la pagina Restrizioni tenant per l'organizzazione. Copiare i valori per ID tenant e ID criterio. Usare questi valori in un secondo momento quando si configurano i client Windows per abilitare le restrizioni di tenant.

   

9. Selezionare Personalizza impostazioni e quindi selezionare la scheda Utenti e gruppi esterni. In Stato di accesso scegliere un'opzione:

   • Consenti accesso: consente agli utenti e ai gruppi specificati nella sezione Si applica a che hanno eseguito l'accesso con account esterni di accedere alle app esterne (specificate nella scheda Applicazioni esterne).
   • Blocca accesso: blocca gli utenti e i gruppi specificati nella sezione Si applica a che hanno eseguito l'accesso con account esterni dall'accesso alle app esterne (specificate nella scheda Applicazioni esterne).

   Nota

   Per l'esempio degli account Microsoft, selezionare Consenti accesso.

   

10. In Si applica a scegliere Tutti gli utenti e gruppi di <organizzazione>.

    Nota

    La granularità degli utenti non è supportata con gli account Microsoft e pertanto la funzionalità Seleziona utenti e gruppi di <organizzazione> non è disponibile. Per altre organizzazioni, è possibile scegliere Seleziona utenti e gruppi di <organizzazione> e quindi seguire questa procedura per ogni utente o gruppo da aggiungere:

    • Selezionare Aggiungi utenti e gruppi esterni.
    • Nel riquadro Seleziona digitare il nome utente o il nome del gruppo nella casella di ricerca.
    • Selezionare l'utente o il gruppo nei risultati della ricerca.
    • Per aggiungere altro, selezionare Aggiungi e ripetere questi passaggi. Al termine della selezione degli utenti e dei gruppi da aggiungere, selezionare Invia.

    

11. Selezionare la scheda Applicazioni esterne. In Stato di accesso scegliere se consentire o bloccare l'accesso alle applicazioni esterne.

    • Consenti accesso: consente alle applicazioni esterne specificate nella sezione Si applica a di accettare l'accesso da parte degli utenti quando usano account esterni.
    • Blocca accesso: impedisce alle applicazioni esterne specificate nella sezione Si applica a di accettare l'accesso da parte degli utenti quando usano account esterni.

    Nota

    Per l'esempio degli account Microsoft, selezionare Consenti accesso.

    

12. In Si applica a selezionare una delle opzioni seguenti:

    • Tutte le applicazioni esterne: applica l'azione scelta in Stato di accesso a tutte le applicazioni esterne.
    • Seleziona applicazioni esterne: applica l'azione scelta in Stato di accesso a tutte le applicazioni esterne.

    Nota

    • Per l'esempio degli account Microsoft, scegliere Seleziona applicazioni esterne.
    • Se si blocca l'accesso a tutte le applicazioni esterne, è anche necessario bloccare l'accesso per tutti gli utenti e i gruppi (nella scheda Utenti e gruppi).

    

13. Se si sceglie Seleziona applicazioni esterne, eseguire le operazioni seguenti per ogni applicazione da aggiungere:

    • Selezionare Aggiungi applicazioni Microsoft o Aggiungi altre applicazioni. Per l'esempio di Microsoft Learn, scegliere Aggiungi altre applicazioni.
    • Nella casella di ricerca digitare il nome dell'applicazione o l'ID applicazione (ID app ID client o ID app risorsa). Vedere l'elenco di ID per le applicazioni Microsoft di uso comune. Per l'esempio di Microsoft Learn, immettere l'ID applicazione 18fbca16-2224-45f6-85b0-f7bf2b39b3f3.
    • Selezionare l'applicazione nei risultati della ricerca e quindi selezionare Aggiungi.
    • Ripetere la procedura per ogni applicazione da aggiungere.
    • Al termine della selezione delle applicazioni, selezionare Invia.

    

14. Le applicazioni selezionate sono elencate nella scheda Applicazioni esterne. Selezionare Salva.

    

Nota

Il blocco del tenant dell'account Microsoft non bloccherà gli elementi seguenti:

• Traffico senza utenti per i dispositivi. Sono inclusi il traffico per Autopilot, Windows Update e i dati di telemetria dell'organizzazione.
• Autenticazione B2B degli account consumer.
• Autenticazione "pass-through", usata da molte app di Azure e Office.com, in cui le app usano Microsoft Entra ID per consentire agli utenti consumer di accedere a un contesto consumer.

Configurare le restrizioni di tenant lato client v2

Sono disponibili tre opzioni per l'applicazione delle restrizioni di tenant v2 per i client:

• Opzione 1: Restrizioni del tenant universale v2 come parte di Microsoft Entra Global Secure Access
• Opzione 2: configurare le restrizioni di tenant v2 nel proxy aziendale
• Opzione 3: abilitare le restrizioni di tenant nei dispositivi gestiti da Windows (anteprima)

Opzione 1: Restrizioni del tenant universale v2 come parte di Microsoft Entra Global Secure Access

Le restrizioni di tenant universali v2 come parte del servizio Accesso globale sicuro di Microsoft Entra sono consigliate perché forniscono la protezione dell'autenticazione e del piano dati per tutti i dispositivi e tutte le piattaforme. Questa opzione offre maggiore protezione da elaborati tentativi di ignorare l'autenticazione. Ad esempio, gli utenti malintenzionati potrebbero provare a consentire l'accesso anonimo alle app di un tenant pericoloso, ad esempio mediante l'aggiunta a una riunione anonima in Teams. In alternativa, gli utenti malintenzionati potrebbero tentare di importare nel dispositivo aziendale un token di accesso recuperato da un dispositivo nel tenant pericoloso. Le restrizioni di tenant universali v2 impediscono questi attacchi mediante l'invio dei segnali delle restrizioni di tenant v2 al piano di autenticazione (Microsoft Entra ID e account Microsoft) e al piano dati (applicazioni cloud Microsoft).

Opzione 2: configurare le restrizioni di tenant v2 nel proxy aziendale

Per assicurarsi che gli accessi siano limitati a tutti i dispositivi e a tutte le app nella rete aziendale, configurare il proxy aziendale in modo che vengano applicate le restrizioni di tenant v2. Sebbene non fornisca la protezione del piano dati, la configurazione delle restrizioni di tenant nel proxy aziendale fornisce protezione del piano di autenticazione.

Importante

Se in precedenza sono state configurate restrizioni di tenant, è necessario interrompere l'invio di restrict-msa a login.live.com. In caso contrario, le nuove impostazioni saranno in conflitto con le istruzioni esistenti per il servizio di accesso dell'account Microsoft.

1. Configurare l'intestazione delle restrizioni di tenant v2 come indicato di seguito:

   Nome intestazione	Valore intestazione
   sec-Restrict-Tenant-Access-Policy	<TenantId>:<policyGuid>

   • TenantID è l'ID tenant di Microsoft Entra. Per trovare questo valore, accedere all'Interfaccia di amministrazione di Microsoft Entra come amministratore e passare a Identità>Panoramica e selezionare la scheda Panoramica.
   • policyGUID è l'ID oggetto per i criteri di accesso tra tenant. Per trovare questo valore, chiamare /crosstenantaccesspolicy/default e usare il campo "id" restituito.

2. Nel proxy aziendale inviare l'intestazione delle restrizioni di tenant v2 ai domini di accesso Microsoft seguenti:

   • login.live.com
   • login.microsoft.com
   • login.microsoftonline.com
   • login.windows.net

   Questa intestazione applica i criteri delle restrizioni di tenant v2 a tutti gli accessi nella rete. Questa intestazione non blocca l'accesso anonimo alle riunioni di Teams, ai file di SharePoint o ad altre risorse che non richiedono l'autenticazione.

Restrizioni di tenant v2 senza supporto per l'interruzione e l'ispezione

Per le piattaforme non Windows, è possibile interrompere e ispezionare il traffico per aggiungere i parametri delle restrizioni di tenant v2 nell'intestazione tramite proxy. Tuttavia, alcune piattaforme non supportano interruzioni e ispezioni e pertanto le restrizioni di tenant v2 non funzionano. Per queste piattaforme, le funzionalità seguenti di Microsoft Entra ID possono fornire protezione:

• Accesso condizionale: consentire solo l'uso di dispositivi gestiti/conformi
• Accesso condizionale: gestire l'accesso per utenti guest/esterni
• Collaborazione B2B: limitare le regole in uscita in base all'accesso tra tenant per gli stessi tenant elencati nel parametro "Restrict-Access-To-Tenants"
• Collaborazione B2B: limitare gli inviti agli utenti B2B per gli stessi domini elencati nel parametro "Restrict-Access-To-Tenants"
• Gestione delle applicazioni: limitare il consenso utente per le applicazioni
• Intune: applicare criteri di protezione delle app tramite Intune per limitare l'utilizzo delle app gestite all'UPN dell'account che ha registrato il dispositivo: vedere Consentire solo gli account dell'organizzazione configurati nelle app.

Sebbene queste alternative forniscano protezione, alcuni scenari possono essere gestiti solo tramite le restrizioni di tenant, ad esempio l'uso di un browser per accedere ai servizi di Microsoft 365 tramite il Web anziché l'app dedicata.

Opzione 3: abilitare le restrizioni di tenant nei dispositivi gestiti da Windows (anteprima)

Dopo aver creato un criterio per le restrizioni di tenant v2, è possibile applicare i criteri in ogni dispositivo Windows 10, Windows 11 e Windows Server 2022 aggiungendo l'ID tenant e l'ID criterio alla configurazione delle restrizioni di tenant del dispositivo. Quando le restrizioni di tenant sono abilitate in un dispositivo Windows, i proxy aziendali non sono richiesti per l'imposizione dei criteri. Ai fini dell'applicazione delle restrizioni di tenant v2, non è necessario che i dispositivi siano gestiti da Microsoft Entra ID; sono supportati anche i dispositivi aggiunti a un dominio gestiti con Criteri di gruppo.

Nota

Le restrizioni di tenant V2 in Windows sono una soluzione parziale che protegge l'autenticazione e i piani dati per alcuni scenari. Funziona su dispositivi Windows gestiti e non protegge lo stack .NET, Chrome o Firefox. La soluzione Windows offre una soluzione temporanea fino alla disponibilità generale delle restrizioni del tenant universale in Microsoft Entra Global Secure Access.

Modelli amministrativi (.admx) per l'aggiornamento di Windows del 10 novembre 2021 (21H2) e impostazioni di Criteri di gruppo

È possibile usare Criteri di gruppo per distribuire la configurazione delle restrizioni di tenant nei dispositivi Windows. Fare riferimento a queste risorse:

• Modelli amministrativi per Windows 10
• Foglio di calcolo di riferimento delle impostazioni di Criteri di gruppo per Windows 10

Testare i criteri in un dispositivo

Per testare i criteri delle restrizioni di tenant v2 in un dispositivo, seguire questa procedura.

Nota

• Il dispositivo deve eseguire Windows 10 o Windows 11 con gli aggiornamenti più recenti.

1. Nel computer Windows premere il tasto Windows, digitare gpedit e quindi selezionare Modifica criteri di gruppo (Pannello di controllo).

2. Passare a Configurazione computer>Modelli amministrativi>Componenti di Windows>Restrizioni di tenant.

3. Fare clic con il pulsante destro del mouse su Dettagli criteri cloud nel riquadro a destra e quindi selezionare Modifica.

4. Recuperare i valori di ID tenant e ID criterio registrati in precedenza (nel passaggio 7 in Per configurare le restrizioni di tenant predefinite) e immetterli nei campi seguenti (lasciare vuoti tutti gli altri campi):

   • ID directory Microsoft Entra: immettere l'ID tenant registrato in precedenza. accedere all'Interfaccia di amministrazione di Microsoft Entra come amministratore e passare a Identità>Panoramica e selezionare la scheda Panoramica.
   • GUID criteri: ID per i criteri di accesso tra tenant. Si tratta dell'ID criterio registrato in precedenza. È anche possibile trovare questo ID usando il comando di Graph explorer https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/default.

   

5. Seleziona OK.

Bloccare Chrome, Firefox e le applicazioni .NET come PowerShell

È possibile usare la funzionalità Windows Firewall per impedire alle app non protette di accedere alle risorse Microsoft tramite Chrome, Firefox e applicazioni .NET come PowerShell, ovvero le applicazioni che verrebbero bloccate/consentite in base ai criteri delle restrizioni di tenant v2.

Ad esempio, se un cliente aggiunge PowerShell ai criteri CIP v2 tenant e ha graph.microsoft.com nell'elenco degli endpoint dei criteri delle restrizioni di tenant v2, PowerShell dovrebbe essere in grado di accedervi con il firewall abilitato.

1. Nel computer Windows premere il tasto Windows, digitare gpedit e quindi selezionare Modifica criteri di gruppo (Pannello di controllo).

2. Passare a Configurazione computer>Modelli amministrativi>Componenti di Windows>Restrizioni di tenant.

3. Fare clic con il pulsante destro del mouse su Dettagli criteri cloud nel riquadro a destra e quindi selezionare Modifica.

4. Selezionare la casella di controllo Abilita protezione firewall degli endpoint Microsoft e quindi selezionare OK.

Dopo aver abilitato l'impostazione del firewall, provare ad accedere usando un browser Chrome. L'accesso ha esito negativo e viene visualizzato il messaggio seguente:

Visualizzare le restrizioni di tenant v2

Visualizzare gli eventi correlati alle restrizioni di tenant in Visualizzatore eventi.

1. In Visualizzatore eventi aprire Log applicazioni e servizi.
2. Passare a Microsoft>Windows>Restrizioni tenant>Operativo e cercare gli eventi.

Restrizioni di tenant e supporto del piano dati (anteprima)

Trv2 viene applicato dalle risorse seguenti per risolvere gli scenari di infiltrazione dei token in cui un utente malintenzionato accede direttamente alla risorsa con un token infiltrato o in modo anonimo.

• Teams
• SharePoint Online come l'app OneDrive
• Exchange Online come l'app Outlook
• Office.com/app di Office

Restrizioni di tenant e Microsoft Teams (anteprima)

Per impostazione predefinita, Teams ha una federazione aperta, il che significa che gli utenti che partecipano a una riunione ospitata da un tenant esterno non vengono bloccati. Per un maggiore controllo sull'accesso alle riunioni di Teams, è possibile usare i controlli federativi in Teams per consentire o bloccare tenant specifici, insieme alle restrizioni di tenant v2 per bloccare l'accesso anonimo alle riunioni di Teams. Per applicare le restrizioni di tenant per Teams, è necessario configurare le restrizioni di tenant v2 nelle impostazioni di accesso tra tenant di Microsoft Entra. È anche necessario configurare i controlli federativi nel portale di amministrazione di Teams e riavviare Teams. Le restrizioni di tenant implementate nel proxy aziendale non bloccano l'accesso anonimo alle riunioni di Teams, ai file di SharePoint e ad altre risorse che non richiedono l'autenticazione.

• Teams attualmente consente agli utenti di partecipare a qualsiasi riunione ospitata esternamente usando l'identità principale o aziendale. È possibile usare le impostazioni di accesso tra tenant in uscita per controllare gli utenti con identità principale/aziendale che partecipano alle riunioni di Teams ospitate esternamente.
• Le restrizioni di tenant impediscono agli utenti di usare un'identità rilasciata esternamente per partecipare alle riunioni di Teams.

Nota

L'app Microsoft Teams ha dipendenze con le app di SharePoint Online ed Exchange Online. È consigliabile impostare i criteri TRv2 nell'app di Office 365 invece che in Microsoft Teams Services o SharePoint Online o Exchange Online separatamente. Se si consente/blocca una delle applicazioni (SPO o EXO e così via) appartenenti a Office 365, ciò interessa anche le app come Microsoft Teams. Analogamente, se l'app Microsoft Teams è consentita/bloccata, ne risulteranno interessante anche le app SPO e EXO all'interno di Teams.

Partecipazione anonima a una riunione

Le restrizioni di tenant v2 bloccano automaticamente l'accesso all'identità non autenticata e rilasciata esternamente relativamente alle riunioni di Teams ospitate esternamente. Si supponga, ad esempio, che Contoso usi i controlli federativi di Teams per bloccare il tenant di Fabrikam. Se un utente con un dispositivo Contoso usa un account Fabrikam per partecipare a una riunione di Contoso in Teams, l'utente può partecipare alla riunione come utente anonimo. Ora, se Contoso abilita anche le restrizioni di tenant v2, Teams blocca l'accesso anonimo e l'utente non è in grado di partecipare alla riunione.

Partecipare alla riunione usando un'identità rilasciata esternamente

È possibile configurare i criteri delle restrizioni di tenant v2 per consentire a utenti o gruppi specifici con identità rilasciate esternamente di partecipare a specifiche riunioni di Teams ospitate esternamente. Con questa configurazione, gli utenti possono accedere a Teams con le identità rilasciate esternamente e partecipare alle riunioni di Teams ospitate esternamente dal tenant specificato.

Identità di autenticazione	Sessione autenticata	Risultato
Utenti membri del tenant (sessione autenticata) Esempio: un utente usa la propria identità principale come utente membro (ad esempio, user@mytenant.com)	Autenticato	Le restrizioni di tenant v2 consentono l'accesso alla riunione di Teams. TRv2 non viene mai applicato agli utenti membri del tenant. Si applicano i criteri di accesso tra tenant in ingresso/in uscita.
Anonimo (nessuna sessione autenticata) Esempio: un utente tenta di usare una sessione non autenticata, ad esempio in una finestra del browser InPrivate, per accedere a una riunione di Teams.	Non autenticato	Le restrizioni di tenant v2 bloccano l'accesso alla riunione di Teams.
Identità rilasciata esternamente (sessione autenticata) Esempio: un utente usa una qualsiasi identità diversa dall'identità principale (ad esempio user@externaltenant.com)	Autenticato come identità rilasciata esternamente	Consentire o bloccare l'accesso alla riunione di Team in base ai criteri delle restrizioni di tenant v2. Se consentito dai criteri, l'utente può partecipare alla riunione. In caso contrario, l'accesso viene bloccato.

Restrizioni di tenant v2 e SharePoint Online

SharePoint Online supporta le restrizioni di tenant v2 a livello sia di piano di autenticazione che di piano dati.

Sessioni autenticate

Quando le restrizioni di tenant v2 sono abilitate in un tenant, l'accesso non autorizzato viene bloccato durante l'autenticazione. Se un utente accede direttamente a una risorsa di SharePoint Online senza una sessione autenticata, verrà richiesto di eseguire l'accesso. Se i criteri delle restrizioni di tenant v2 consentono l'accesso, l'utente può accedere alla risorsa; in caso contrario, l'accesso è bloccato.

Accesso anonimo (anteprima)

Se un utente tenta di accedere a un file anonimo usando il tenant principale o aziendale, può accedere al file. Tuttavia, se l'utente tenta di accedere al file anonimo usando un'identità rilasciata esternamente, l'accesso viene bloccato.

Si supponga, ad esempio, che un utente usi un dispositivo gestito configurato con restrizioni di tenant v2 per il tenant A. Se l'utente seleziona un collegamento di accesso anonimo generato per una risorsa del tenant A, dovrebbe essere in grado di accedere alla risorsa in modo anonimo. Se invece seleziona un collegamento di accesso anonimo generato per il tenant B di SharePoint Online, verrà richiesto di eseguire l'accesso. L'accesso anonimo alle risorse che usano un'identità rilasciata esternamente viene sempre bloccato.

Restrizioni di tenant v2 e OneDrive

Sessioni autenticate

Quando le restrizioni di tenant v2 sono abilitate in un tenant, l'accesso non autorizzato viene bloccato durante l'autenticazione. Se un utente accede direttamente a OneDrive senza una sessione autenticata, verrà richiesto di eseguire l'accesso. Se i criteri delle restrizioni di tenant v2 consentono l'accesso, l'utente può accedere alla risorsa; in caso contrario, l'accesso è bloccato.

Accesso anonimo (anteprima)

Analogamente a SharePoint, OneDrive supporta le restrizioni di tenant v2 a livello sia di piano di autenticazione che di piano dati. È supportato anche il blocco dell'accesso anonimo a OneDrive. Ad esempio, le restrizioni di tenant v2 funzionano nell'endpoint di OneDrive (microsoft-my.sharepoint.com).

Non nell'ambito

OneDrive per gli account consumer (tramite onedrive.live.com) non supporta le restrizioni di tenant v2. Alcuni URL (ad esempio onedrive.live.com) non sono verificati e usano lo stack legacy. Quando un utente accede al tenant consumer di OneDrive tramite questi URL, i criteri non vengono applicati. Come soluzione alternativa, è possibile bloccare https://onedrive.live.com/ a livello di proxy.

Log di accesso

I log di accesso di Microsoft Entra consentono di visualizzare i dettagli relativi agli accessi con i criteri delle restrizioni di tenant v2. Quando un utente B2B accede a un tenant di risorse per collaborare, viene generato un log di accesso sia nel tenant principale che nel tenant delle risorse. Questi log includono informazioni come l'applicazione usata, gli indirizzi di posta elettronica, il nome del tenant e l'ID tenant sia per il tenant principale che per il tenant delle risorse. L'esempio seguente illustra un accesso riuscito:

Se l'accesso non riesce, i dettagli dell'attività forniscono informazioni sul motivo dell'errore:

Log di audit

I log di audit forniscono i record delle attività di sistema e utente, incluse le attività avviate da parte degli utenti guest. È possibile visualizzare i log di audit per il tenant in Monitoraggio o visualizzare i log di audit per un utente specifico passando al profilo dell'utente.

Selezionare un evento nel log per recuperare ulteriori dettagli sull'evento, ad esempio:

È anche possibile esportare i log da Microsoft Entra ID e usare lo strumento di creazione di report per ottenere report personalizzati.

Microsoft Graph

Usare Microsoft Graph per ottenere informazioni sui criteri:

Richiesta HTTP

• Ottenere i criteri predefiniti

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  

• Reimpostare l'impostazione predefinita del sistema

  POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
  

• Recuperare la configurazione partner

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
  

• Recuperare una configurazione partner specifica

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

• Aggiornare un partner specifico

  PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

Testo della richiesta

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

Passaggi successivi

Vedere Configurare le impostazioni di collaborazione esterna per la collaborazione B2B con identità non Azure AD, identità di social networking e account esterni non gestiti dall'IT.