Condividi tramite


Restrizioni del tenant universale

Le restrizioni del tenant universale migliorano la funzionalità della restrizione del tenant v2 usando l'accesso sicuro globale per contrassegnare tutto il traffico indipendentemente dal sistema operativo, dal browser o dal fattore di forma del dispositivo. Consente il supporto per la connettività di rete remota e client. Gli amministratori non devono più gestire le configurazioni del server proxy o le configurazioni di rete complesse.

Le restrizioni del tenant universale usano la segnalazione di criteri basati su accesso sicuro globale per l'autenticazione e il piano dati. Le restrizioni del tenant v2 consentono alle aziende di impedire l'esfiltrazione di dati da parte degli utenti che usano identità tenant esterne per applicazioni integrate di Microsoft Entra come Microsoft Graph, SharePoint Online ed Exchange Online. Queste tecnologie interagiscono per impedire l'esfiltrazione dei dati universalmente in tutti i dispositivi e le reti.

Diagramma che mostra il modo in cui le restrizioni del tenant v2 proteggono dagli utenti malintenzionati.

Nella tabella seguente vengono illustrati i passaggi eseguiti in ogni punto del diagramma precedente.

Procedi Description
1 Contoso configura un criterio **restrizioni tenant v2** nelle impostazioni di accesso tra tenant per bloccare tutti gli account esterni e le app esterne. Contoso applica i criteri usando le restrizioni del tenant universale di Accesso sicuro globale.
2 Un utente con un dispositivo gestito da Contoso tenta di accedere a un'app integrata Microsoft Entra con un'identità esterna non approvata.
3 Protezione del piano di autenticazione: usando Microsoft Entra ID, i criteri di Contoso impediscono agli account esterni non autorizzati di accedere ai tenant esterni.
4 Protezione del piano dati: se l'utente tenta nuovamente di accedere a un'applicazione esterna non approvata copiando un token di risposta di autenticazione ottenuto all'esterno della rete di Contoso e incollandolo nel dispositivo, vengono bloccati. La mancata corrispondenza del token attiva la riautenticazione e blocca l'accesso. Per SharePoint Online, qualsiasi tentativo di accesso anonimo alle risorse verrà bloccato.

Le restrizioni del tenant universale consentono di evitare l'esfiltrazione di dati tra browser, dispositivi e reti nei modi seguenti:

  • Consente a Microsoft Entra ID, account Microsoft e applicazioni Microsoft di cercare e applicare i criteri di restrizioni del tenant associati v2. Questa ricerca consente un'applicazione di criteri coerente.
  • Funziona con tutte le app di terze parti integrate di Microsoft Entra nel piano di autenticazione durante l'accesso.
  • Funziona con Exchange, SharePoint e Microsoft Graph per la protezione del piano dati.

Prerequisiti

Limitazioni note

  • Se sono state abilitate le restrizioni del tenant universale e si accede all'interfaccia di amministrazione di Microsoft Entra per uno dei tenant consentiti elencati, è possibile che venga visualizzato un errore "Accesso negato". Aggiungere il flag di funzionalità seguente all'interfaccia di amministrazione di Microsoft Entra:
    • ?feature.msaljs=true&exp.msaljsexp=true
    • Ad esempio, si lavora per Contoso e si ha consentito Fabrikam come tenant partner. È possibile che venga visualizzato il messaggio di errore per l'interfaccia di amministrazione di Microsoft Entra del tenant di Fabrikam.
      • Se viene visualizzato il messaggio di errore "accesso negato" per questo URL: https://entra.microsoft.com/ aggiungere il flag di funzionalità come indicato di seguito: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Configurare i criteri di restrizione del tenant v2

Prima che un'organizzazione possa usare restrizioni del tenant universale, è necessario configurare sia le restrizioni predefinite del tenant che le restrizioni del tenant per i partner specifici.

Per altre informazioni su come configurare questi criteri, vedere l'articolo Configurare le restrizioni del tenant v2.

Abilitare l'assegnazione di tag per le restrizioni del tenant v2

Dopo aver creato i criteri di restrizione del tenant v2, è possibile usare l'accesso sicuro globale per applicare l'assegnazione di tag per le restrizioni del tenant v2. Un amministratore con entrambi i ruoli Amministratore accesso sicuro globale e Amministratore della sicurezza deve eseguire i passaggi seguenti per abilitare l'imposizione con l'accesso sicuro globale.

  1. Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.
  2. Passare a Global Secure Access Global Settings Global Settings Session Management Tenant Restrictions (Restrizioni del tenant di gestione>delle sessioni>per l'accesso>sicuro globale).
  3. Selezionare l'interruttore Abilita l'assegnazione di tag per applicare le restrizioni del tenant nella rete.
  4. Seleziona Salva.

Provare le restrizioni del tenant universale con SharePoint Online (anteprima).

Questa funzionalità funziona allo stesso modo per Exchange Online e Microsoft Graph negli esempi seguenti viene illustrato come vederla in azione nel proprio ambiente.

Provare il percorso di autenticazione:

  1. Con le restrizioni del tenant universale disattivate nelle impostazioni globali di Accesso sicuro globale.
  2. Passare a SharePoint Online, https://yourcompanyname.sharepoint.com/, con un'identità esterna che non è consentita nei criteri delle restrizioni del tenant v2.
    1. Ad esempio, un utente Fabrikam nel tenant di Fabrikam.
    2. L'utente Fabrikam deve essere in grado di accedere a SharePoint Online.
  3. Attivare le restrizioni del tenant universale.
  4. Come utente finale, con il client di accesso sicuro globale in esecuzione, passare a SharePoint Online con un'identità esterna che non è stata esplicitamente consentita.
    1. Ad esempio, un utente Fabrikam nel tenant di Fabrikam.
    2. L'utente Fabrikam deve essere bloccato dall'accesso a SharePoint Online con un messaggio di errore che indica:
      1. L'accesso è bloccato, il reparto IT contoso ha limitato le organizzazioni a cui è possibile accedere. Per ottenere l'accesso, contattare il reparto IT di Contoso.

Provare il percorso dei dati

  1. Con le restrizioni del tenant universale disattivate nelle impostazioni globali di Accesso sicuro globale.
  2. Passare a SharePoint Online, https://yourcompanyname.sharepoint.com/, con un'identità esterna che non è consentita nei criteri delle restrizioni del tenant v2.
    1. Ad esempio, un utente Fabrikam nel tenant di Fabrikam.
    2. L'utente Fabrikam deve essere in grado di accedere a SharePoint Online.
  3. Nello stesso browser con SharePoint Online aperto passare a Strumenti di sviluppo o premere F12 sulla tastiera. Avviare l'acquisizione dei log di rete. Dovrebbe essere visualizzato lo stato 200, quando tutto funziona come previsto.
  4. Verificare che l'opzione Mantieni log sia selezionata prima di continuare.
  5. Mantenere aperta la finestra del browser con i log.
  6. Attivare le restrizioni del tenant universale.
  7. Quando l'utente di Fabrikam, nel browser con SharePoint Online aperto, entro pochi minuti vengono visualizzati nuovi log. Inoltre, il browser può aggiornarsi in base alla richiesta e alle risposte eseguite nel back-end. Se il browser non viene aggiornato automaticamente dopo un paio di minuti, premere aggiorna nel browser con SharePoint Online aperto.
    1. L'utente Fabrikam rileva che l'accesso è stato bloccato dicendo:
      1. L'accesso è bloccato, il reparto IT contoso ha limitato le organizzazioni a cui è possibile accedere. Per ottenere l'accesso, contattare il reparto IT di Contoso.
  8. Nei log cercare lo stato 302. Questa riga mostra le restrizioni del tenant universale applicate al traffico.
    1. Nella stessa risposta controllare le intestazioni per le informazioni seguenti che identificano che sono state applicate le restrizioni del tenant universale:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

Condizioni per l’Utilizzo

L'uso delle esperienze e delle funzionalità di anteprima di Accesso privato Microsoft Entra e Accesso a Internet Microsoft Entra è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali tali servizi sono stati ottenuti. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy diversi o ridotti, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nell’Appendice al contratto per i prodotti e i servizi Microsoft (“DPA”) e qualsiasi altro avviso fornito con l'Anteprima.

Passaggi successivi

Il passaggio successivo per iniziare a usare Accesso a Internet Microsoft Entra consiste nell'abilitare la segnalazione avanzata dell'accesso sicuro globale.

Per altre informazioni sui criteri di accesso condizionale per l'accesso sicuro globale, vedere gli articoli seguenti: