Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le restrizioni del tenant universale migliorano le funzionalità delle restrizioni del tenant v2. Usano l'accesso sicuro globale per contrassegnare tutto il traffico indipendentemente dal sistema operativo, dal browser o dal fattore di forma del dispositivo. Consentono il supporto per la connettività client e di rete remota.
Gli amministratori non devono più gestire le configurazioni del server proxy o le configurazioni di rete complesse. Possono applicare restrizioni del tenant v2 in qualsiasi piattaforma usando il client o le reti remote di Accesso sicuro globale.
Quando si abilitano le restrizioni del tenant universale, l'accesso sicuro globale aggiunge informazioni sui criteri per le restrizioni del tenant v2 al traffico di rete del piano di autenticazione. Questo traffico proviene da Microsoft Entra ID e Microsoft Graph. Di conseguenza, gli utenti che utilizzano dispositivi e reti nella vostra organizzazione devono servirsi esclusivamente di gruppi o enti esterni autorizzati. Questa restrizione consente di evitare l'esfiltrazione dei dati per qualsiasi applicazione integrata con il tenant di Microsoft Entra ID tramite Single Sign-On (SSO).
Il diagramma seguente illustra i passaggi eseguiti da un'organizzazione di esempio per proteggere gli utenti malintenzionati usando le restrizioni del tenant v2.
| Passo | Descrizione |
|---|---|
| 1 | Contoso configura i criteri di restrizione del tenant v2 nelle impostazioni di accesso tra tenant per bloccare tutti gli account esterni e le app esterne. Contoso applica i criteri usando Accesso Sicuro Globale e restrizioni universali per i tenant. |
| 2 | Un utente con un dispositivo gestito da Contoso tenta di accedere a un'app integrata da Microsoft Entra con un'identità esterna non approvata. |
| 3 | Protezione del piano di autenticazione: Con Microsoft Entra ID, i criteri di Contoso impediscono agli account esterni non autorizzati di accedere ai tenant esterni. Inoltre, se un token di Microsoft Graph viene ottenuto tramite un altro dispositivo e viene inserito nell'ambiente entro la sua durata, questo token non può essere riutilizzato dai dispositivi che dispongono del client Global Secure Access o tramite reti remote. |
| 4 | Protezione del piano del controllo dati: Se un token di Microsoft Graph viene ottenuto tramite un altro dispositivo e viene portato nell'ambiente nell'arco della sua durata, questo token non può essere riprodotto dai dispositivi che utilizzano il client di Accesso Sicuro Globale o tramite reti remote. |
Le restrizioni del tenant universale consentono di evitare l'esfiltrazione dei dati tra browser, dispositivi e reti nei modi seguenti:
- Consentono a Microsoft Entra ID, agli account Microsoft e alle applicazioni Microsoft di consultare e applicare la policy delle restrizioni del tenant associate v2. Questa ricerca consente l'applicazione coerente dei criteri.
- Funzionano con tutte le app di terze parti integrate con Microsoft Entra nell'ambito dell'autenticazione durante l'accesso.
- Aiutano a proteggere Microsoft Graph.
Punti di applicazione per le restrizioni universali del tenant
Piano di autenticazione (ID Microsoft Entra)
L'applicazione del piano di autenticazione avviene al momento dell'autenticazione dell'ID Microsoft Entra o dell'account Microsoft.
Quando l'utente è connesso al client Di accesso sicuro globale o tramite connettività di rete remota, viene controllato il criterio relativo alle restrizioni del tenant v2 per determinare se l'autenticazione deve essere consentita. Se l'utente accede al tenant dell'organizzazione, i criteri di restrizione del tenant v2 non vengono applicati. Se l'utente accede a un tenant diverso, viene applicata la politica.
Qualsiasi applicazione integrata con Microsoft Entra ID o che usa un account Microsoft per l'autenticazione supporta le restrizioni universali del tenant nel piano di autenticazione.
Piano dati (Microsoft Graph)
L'implementazione del piano dati è attualmente supportata per Microsoft Graph. La protezione del piano dati garantisce che gli artefatti di autenticazione importati non possano essere riutilizzati dai dispositivi della tua organizzazione per esfiltrare dati. Un esempio di tale artefatto è un token di accesso ottenuto su un altro dispositivo che aggira le misure di controllo dell'autenticazione definite nella politica delle restrizioni del tenant v2.
Prerequisiti
- Gli amministratori che interagiscono con le funzionalità di accesso sicuro globale devono avere il ruolo Amministratore accesso sicuro globale per gestire tali funzionalità.
- L'accesso sicuro globale richiede una licenza. Per informazioni dettagliate, vedere Panoramica delle licenze. Se non ne hai già uno, puoi acquistare una licenza o ottenere una licenza di valutazione.
- È necessario abilitare un profilo di traffico Microsoft. I nomi di dominio completi (FQDN) e gli indirizzi IP dei servizi con restrizioni del tenant universale devono essere impostati sulla modalità tunnel.
- È necessario distribuire i client di Accesso sicuro globale o configurare la connettività di rete remota.
Configurare i criteri di restrizione del tenant v2
Prima di poter usare le restrizioni del tenant universale, è necessario configurare le restrizioni predefinite del tenant e le restrizioni del tenant per qualsiasi partner specifico.
Per altre informazioni sulla configurazione di questi criteri, vedere Configurare le restrizioni del tenant v2.
Abilitare la segnalazione dell'accesso sicuro globale per le restrizioni del tenant
Dopo aver creato i criteri di restrizione del tenant v2, è possibile usare l'accesso sicuro globale per applicare l'assegnazione di tag alle restrizioni del tenant v2. Un amministratore con entrambi i ruoli Amministratore accesso sicuro globale e Amministratore della sicurezza deve seguire questa procedura per abilitare l'imposizione con l'accesso sicuro globale:
Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore Accesso globale sicuro.
Passare a Global Secure Access>Impostazioni>Gestione sessione>Restrizioni universali del tenant.
Attivare l'opzione Abilita restrizioni tenant per Entra ID (valida per tutte le app cloud).
Provare le restrizioni per i tenant universali
Le restrizioni del tenant non vengono applicate quando un utente (o un utente guest) tenta di accedere alle risorse nel tenant in cui sono configurati i criteri. I criteri di restrizione del tenant v2 vengono elaborati solo quando un'identità di un tenant diverso tenta di accedere o accede alle risorse.
Ad esempio, se si configurano criteri di restrizione del tenant v2 nel tenant contoso.com per bloccare tutte le organizzazioni ad eccezione di fabrikam.com, i criteri vengono applicati in base a questa tabella:
| Utente | Tipo | Inquilino | La politica di restrizione del tenant v2 è stata elaborata? | Accesso autenticato consentito? | Accesso anonimo consentito? |
|---|---|---|---|---|---|
alice@contoso.com |
Membro | contoso.com | No (stesso cliente) | Sì | NO |
alice@fabrikam.com |
Membro | fabrikam.com | Sì | Sì (locatario consentito dai criteri) | NO |
bob@northwindtraders.com |
Membro | northwindtraders.com | Sì | No (locatario non consentito dalla politica) | NO |
alice@contoso.com |
Membro | contoso.com | No (stesso tenant) | Sì | NO |
bob_northwindtraders.com#EXT#@contoso.com |
Ospite | contoso.com | No (utente ospite) | Sì | NO |
Convalidare la protezione del piano di autenticazione
Assicurarsi che la segnalazione per le restrizioni del tenant universale sia disattivata nelle impostazioni di accesso sicuro globale.
In un browser passare al portale App personali. Accedere con l'identità da un tenant diverso da quello dell'utente e che non si trova nell'elenco di elementi consentiti nei criteri di restrizione del tenant v2. Potrebbe essere necessario usare una finestra del browser privato e/o disconnettersi dall'account primario per eseguire questo passaggio.
Ad esempio, se il tenant è Contoso, accedi come utente Fabrikam nel tenant di Fabrikam. L'utente Fabrikam deve poter accedere al portale My Apps, perché la segnalazione per le restrizioni dei tenant universali è disattivata in Global Secure Access.
Attivare le restrizioni universali dei tenant nel Centro amministrativo di Microsoft Entra. Passare a Global Secure Access>Session Management>Universal Tenant Restrictions (Restrizioni del tenant universale) e quindi attivare l'interruttore Abilita restrizioni tenant per Entra ID (che copre tutte le app cloud).
Disconnettersi dal portale My Apps e riavviare il browser.
Con il client Accesso sicuro globale in esecuzione, passare al portale Le mie app usando la stessa identità (nell'esempio precedente l'utente Fabrikam nel tenant di Fabrikam).
Dovresti essere bloccato dall'autenticazione al portale My Apps. Verrà visualizzato un messaggio di errore simile al seguente: "L'accesso è bloccato. Il reparto IT di Contoso ha limitato le organizzazioni a cui è possibile accedere. Per ottenere l'accesso, contattare il reparto IT contoso".
Convalidare la protezione del piano dati
Assicurarsi che le notifiche nelle restrizioni del tenant universale siano disattivate nelle Impostazioni di Global Secure Access.
Apri un browser e vai a Graph Explorer. Accedi utilizzando l'identità di un tenant differente dal tuo e che non si trova nell'elenco dei consentiti secondo i criteri di restrizione dei tenant v2. Per eseguire questo passaggio, potrebbe essere necessario usare una finestra del browser privato e/o disconnettersi dall'account primario.
Ad esempio, se il tenant è Contoso, accedi come utente Fabrikam nel tenant di Fabrikam. L'utente Fabrikam deve essere in grado di accedere a Graph Explorer, perché la segnalazione nelle restrizioni del tenant v2 è disattivata in Accesso sicuro globale.
Facoltativamente, nello stesso browser con Graph Explorer aperto aprire Strumenti di sviluppo selezionando F12 sulla tastiera. Avviare l'acquisizione dei log di rete.
Le richieste HTTP restituiscono lo stato
200quando si interagisce con Graph Explorer quando tutto funziona come previsto. Ad esempio, invia una richiestaGETper recuperare gli utenti nel tuo tenant.Assicurarsi che l'opzione Mantieni log sia selezionata.
Mantenere aperta la finestra del browser con i log.
Attiva le restrizioni del tenant universale nel centro di amministrazione di Microsoft Entra. Passare a Global Secure Access>Session Management>Universal Tenant Restrictions (Restrizioni del tenant universale) e quindi attivare l'interruttore Abilita restrizioni tenant per Entra ID (che copre tutte le app cloud).
Mentre sei connesso come un altro utente (l'utente Fabrikam nell'esempio precedente), i nuovi log vengono visualizzati nel browser con Graph Explorer aperto. Il processo potrebbe richiedere alcuni minuti. Inoltre, il browser potrebbe aggiornarsi, in base alla richiesta e alle risposte che si verificano nel back-end. Se il browser non si aggiorna dopo un paio di minuti, aggiornare la pagina.
L'accesso è ora bloccato con questo messaggio: "L'accesso è bloccato. Il reparto IT di Contoso ha limitato le organizzazioni a cui è possibile accedere. Per ottenere l'accesso, contattare il reparto IT contoso".
Nei log, cerca un valore di
Status302. Questa riga mostra le restrizioni di tenant universali applicate al traffico.Nella stessa risposta, controlla le intestazioni per le seguenti informazioni per verificare che siano state applicate le restrizioni generali del tenant:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requires";error_category="insufficient_claims"
Limitazioni note
Se sono state abilitate le restrizioni universali del tenant e si accede all'interfaccia di amministrazione di Microsoft Entra per un tenant nell'elenco consenti delle restrizioni del tenant v2, potrebbe essere visualizzato un errore "Accesso negato". Per correggere questo errore, aggiungere il flag di funzionalità seguente all'interfaccia di amministrazione di Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true.
Si supponga, ad esempio, di lavorare per Contoso. Fabrikam, un tenant partner, è presente nella lista consentita. È possibile che venga visualizzato, nell'interfaccia di amministrazione di Microsoft Entra, il messaggio di errore relativo al tenant di Fabrikam.
Se viene visualizzato il messaggio di errore "Accesso negato" per l'URL https://entra.microsoft.com/, aggiungere il flag di funzionalità come indicato di seguito: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home.
Per informazioni dettagliate su problemi noti e limitazioni, vedere Limitazioni note per l'accesso sicuro globale.