Condividi tramite


Abilitare le restrizioni di tenant universali

Le restrizioni del tenant universale migliorano la funzionalità della restrizione del tenant v2 usando l'accesso sicuro globale per contrassegnare tutto il traffico indipendentemente dal sistema operativo, dal browser o dal fattore di forma del dispositivo. Consente il supporto per la connettività di rete remota e client. Gli amministratori non devono più gestire le configurazioni del server proxy o le configurazioni di rete complesse.

Le restrizioni del tenant universale usano la segnalazione dei criteri basati su accesso sicuro globale sia per il piano di autenticazione (disponibile a livello generale) che per il piano dati (anteprima). Le restrizioni di tenant v2 consentono alle aziende di impedire l'esfiltrazione di dati da parte degli utenti che usano identità tenant esterne per applicazioni integrate di Microsoft Entra come Microsoft Graph, SharePoint Online ed Exchange Online. Queste tecnologie interagiscono per impedire l'esfiltrazione dei dati universalmente in tutti i dispositivi e in tutte le reti.

Diagramma che mostra come le restrizioni di tenant v2 proteggono dagli utenti pericolosi.

Nella tabella seguente vengono descritti i passaggi eseguiti in ogni punto del diagramma precedente.

Procedi Description
1 Contoso configura un criterio **restrizioni tenant v2** nelle impostazioni di accesso tra tenant per bloccare tutti gli account esterni e le app esterne. Contoso applica i criteri usando le restrizioni di tenant universali del servizio Accesso globale sicuro.
2 Un utente con un dispositivo gestito da Contoso tenta di accedere a un'app integrata Microsoft Entra con un'identità esterna non approvata.
3 Protezione del piano di autenticazione: usando Microsoft Entra ID, i criteri di Contoso impediscono agli account esterni non autorizzati di accedere ai tenant esterni.
4 Protezione del piano dati: se l'utente tenta nuovamente di accedere a un'applicazione esterna non approvata copiando un token di risposta di autenticazione ottenuto all'esterno della rete di Contoso e incollandolo nel dispositivo, tale utente viene bloccato. La mancata corrispondenza del token attiva la riautenticazione e blocca l'accesso. Per SharePoint Online, qualsiasi tentativo di accesso anonimo alle risorse verrà bloccato.

Le restrizioni di tenant universali consentono di evitare l'esfiltrazione di dati tra browser, dispositivi e reti nei modi seguenti:

  • Consente a Microsoft Entra ID, account Microsoft e applicazioni Microsoft di cercare e applicare i criteri di restrizioni del tenant associati v2. Questa ricerca consente l'applicazione coerente dei criteri.
  • Funziona con tutte le app di terze parti integrate di Microsoft Entra nel piano di autenticazione durante l'accesso.
  • Funziona con Exchange, SharePoint e Microsoft Graph per la protezione del piano dati (anteprima)

Prerequisiti

Limitazioni note

  • Le funzionalità di protezione del piano dati sono in anteprima (la protezione del piano di autenticazione è disponibile a livello generale)
  • Se sono state abilitate le restrizioni di tenant universali e si accede all'Interfaccia di amministrazione di Microsoft Entra per uno dei tenant consentiti elencati, è possibile che venga visualizzato un errore "Accesso negato". Aggiungere il flag di funzionalità seguente all'Interfaccia di amministrazione di Microsoft Entra:
    • ?feature.msaljs=true&exp.msaljsexp=true
    • Ad esempio, si lavora per Contoso e Fabrikam è stato consentito come tenant partner. È possibile che venga visualizzato il messaggio di errore per l'Interfaccia di amministrazione di Microsoft Entra del tenant di Fabrikam.
      • Se viene visualizzato il messaggio di errore "Accesso negato" per questo URL: https://entra.microsoft.com/ aggiungere il flag di funzionalità come indicato di seguito: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Configurare i criteri delle restrizioni del tenant v2

Prima che un'organizzazione possa usare le restrizioni di tenant universali, è necessario configurare sia le restrizioni di tenant predefinite che le restrizioni di tenant per i partner specifici.

Per altre informazioni su come configurare questi criteri, vedere l'articolo Configurare le restrizioni del tenant v2.

Abilitare l'assegnazione di tag per restrizioni del tenant v2

Dopo aver creato i criteri delle restrizioni di tenant v2, è possibile usare l'accesso globale sicuro per applicare l'assegnazione di tag per le restrizioni di tenant v2. Un amministratore con entrambi i ruoli Amministratore accesso globale sicuro e Amministratore della sicurezza deve eseguire la procedura seguente per abilitare l'imposizione con l'accesso globale sicuro.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore Accesso globale sicuro.
  2. Passare ad Accesso globale sicuro>Impostazioni globali>Gestione delle sessioni>Restrizioni relative ai tenant.
  3. Selezionare l'interruttore Abilita l'assegnazione di tag per applicare le restrizioni del tenant nella rete.
  4. Seleziona Salva.

Provare le restrizioni del tenant universale

Le restrizioni del tenant non vengono applicate quando un utente (o un utente guest) tenta di accedere alle risorse nel tenant in cui sono configurati i criteri. I criteri di restrizione del tenant vengono elaborati solo quando un'identità di un tenant diverso tenta di accedere alle risorse e/o accede. Ad esempio, se si configura un criterio Restrizioni tenant v2 nel tenant contoso.com per bloccare tutte le organizzazioni ad eccezione di fabrikam.com, i criteri verranno applicati in base a questa tabella:

User Type Tenant Criteri TRv2 elaborati? Accesso autenticato consentito? Accesso anonimo consentito?
alice@contoso.com Member contoso.com No(stesso tenant) No
alice@fabrikam.com Member fabrikam.com Sì(tenant consentito dai criteri) No
bob@northwinds.com Member northwinds.com No(tenant non consentito dai criteri) No
alice@contoso.com Member contoso.com No(stesso tenant) No
bob_northwinds.com#EXT#@contoso.com Guest contoso.com No(utente guest) No

Convalidare la protezione del piano di autenticazione

  1. Assicurarsi che la segnalazione delle restrizioni del tenant universale sia disattivata nelle impostazioni globali di Accesso sicuro globale.
  2. Usare il browser per passare a https://myapps.microsoft.com/ e accedere con l'identità di un tenant diverso da quello specificato in un criterio di restrizione del tenant v2. Si noti che potrebbe essere necessario usare una finestra del browser privato e/o disconnettersi dall'account primario per eseguire questo passaggio.
    1. Ad esempio, se il tenant è Contoso, accedere come utente Fabrikam nel tenant di Fabrikam.
    2. L'utente di Fabrikam deve essere in grado di accedere al portale MyApps, perché la segnalazione delle restrizioni dei tenant è disabilitata in Accesso sicuro globale.
  3. Attivare le restrizioni del tenant universale nel portale Entra/Global Secure Access/Session Management/Universal Tenant Restrictions
  4. Disconnettersi dal portale MyApps e riavviare il browser.
  5. Come utente finale, con il client di accesso sicuro globale in esecuzione, accedere https://myapps.microsoft.com/ usando la stessa identità (utente Fabrikam nel tenant di Fabrikam)
    1. L'utente Fabrikam deve essere bloccato dall'autenticazione a MyApps con il messaggio di errore seguente:
      1. Accesso bloccato. Il reparto IT di Contoso ha limitato le organizzazioni a cui è possibile accedere. Per ottenere l'accesso, contattare il reparto IT di Contoso.

Convalidare la protezione del piano dati

  1. Assicurarsi che la segnalazione delle restrizioni del tenant universale sia disattivata nelle impostazioni globali di Accesso sicuro globale.
  2. Usare il browser per passare a https://yourcompany.sharepoint.com/ e accedere con l'identità di un tenant diverso da quello specificato in un criterio di restrizione del tenant v2. Si noti che potrebbe essere necessario usare una finestra del browser privato e/o disconnettersi dall'account primario per eseguire questo passaggio.
    1. Ad esempio, se il tenant è Contoso, accedere come utente Fabrikam nel tenant di Fabrikam.
    2. L'utente Fabrikam deve essere in grado di accedere a SharePoint, perché la segnalazione delle restrizioni dei tenant è disabilitata in Accesso sicuro globale.
  3. Facoltativamente, nello stesso browser con SharePoint Online aprire, aprire Strumenti di sviluppo o premere F12 sulla tastiera. Avviare l'acquisizione dei log di rete. Le richieste HTTP restituiscono lo stato 200 quando si esplora SharePoint quando tutto funziona come previsto.
  4. Verificare che l'opzione Mantieni log sia selezionata prima di continuare.
  5. Mantenere aperta la finestra del browser con i log.
  6. Attivare le restrizioni del tenant universale nel portale Entra/Global Secure Access/Session Management/Universal Tenant Restrictions
  7. Poiché l'accesso è stato effettuato da un utente Fabrikam, nel browser con SharePoint Online aperto entro pochi minuti vengono visualizzati i nuovi log. Inoltre, il browser può aggiornarsi in base alla richiesta e alle risposte eseguite nel back-end. Se il browser non viene aggiornato automaticamente dopo un paio di minuti, aggiornare la pagina.
    1. L'utente Fabrikam rileva che l'accesso è stato bloccato con un messaggio simile al seguente:
      1. Accesso bloccato. Il reparto IT di Contoso ha limitato le organizzazioni a cui è possibile accedere. Per ottenere l'accesso, contattare il reparto IT di Contoso.
  8. Nei log cercare lo stato 302. Questa riga mostra le restrizioni di tenant universali applicate al traffico.
    1. Nella stessa risposta, nelle intestazioni controllare la presenza delle informazioni seguenti, che indicano l'applicazione delle restrizioni di tenant universali:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

Passaggi successivi

Il passaggio successivo per iniziare con Accesso a Internet Microsoft Entra consiste nell'abilitare la segnalazione avanzata di Accesso globale sicuro.

Per altre informazioni sui criteri di accesso condizionale per l'accesso sicuro globale, vedere gli articoli seguenti: