Share via


Restrizioni del tenant universale

Le restrizioni del tenant universale migliorano la funzionalità di restrizione del tenant v2 usando l'accesso sicuro globale (anteprima) per contrassegnare tutto il traffico indipendentemente dal sistema operativo, dal browser o dal fattore di forma del dispositivo. Consente il supporto per la connettività di rete remota e client. Amministrazione istrator non è più necessario gestire le configurazioni del server proxy o le configurazioni di rete complesse.

Le restrizioni del tenant universale usano la segnalazione di criteri basati su accesso sicuro globale per l'autenticazione e il piano dati. Le restrizioni del tenant v2 consentono alle aziende di impedire l'esfiltrazione di dati da parte degli utenti che usano identità tenant esterne per applicazioni integrate di Microsoft Entra come Microsoft Graph, SharePoint Online ed Exchange Online. Queste tecnologie interagiscono per impedire l'esfiltrazione dei dati universalmente in tutti i dispositivi e le reti.

Diagramma che mostra il modo in cui le restrizioni del tenant v2 proteggono dagli utenti malintenzionati.

Nella tabella seguente vengono illustrati i passaggi eseguiti in ogni punto del diagramma precedente.

Procedi Description
1 Contoso configura un criterio di restrizioni del tenant v2 nelle impostazioni di accesso tra tenant per bloccare tutti gli account esterni e le app esterne. Contoso applica i criteri usando le restrizioni del tenant universale di Accesso sicuro globale.
2 Un utente con un dispositivo gestito da Contoso tenta di accedere a un'app integrata Microsoft Entra con un'identità esterna non approvata.
3 Protezione del piano di autenticazione: usando Microsoft Entra ID, i criteri di Contoso impediscono agli account esterni non autorizzati di accedere ai tenant esterni.
4 Protezione del piano dati: se l'utente tenta nuovamente di accedere a un'applicazione esterna non approvata copiando un token di risposta di autenticazione ottenuto all'esterno della rete di Contoso e incollandolo nel dispositivo, vengono bloccati. La mancata corrispondenza del token attiva la riautenticazione e blocca l'accesso. Per SharePoint Online, qualsiasi tentativo di accesso anonimo alle risorse e per Microsoft Teams, qualsiasi tentativo di partecipazione anonima alle chiamate, verrà bloccato.

Le restrizioni del tenant universale consentono di evitare l'esfiltrazione di dati tra browser, dispositivi e reti nei modi seguenti:

  • Consente alle applicazioni Microsoft Entra ID, Account Microsoft e Microsoft 365 di cercare e applicare i criteri relativi alle restrizioni del tenant associate v2. Questa ricerca consente un'applicazione di criteri coerente.
  • Funziona con tutte le app di terze parti integrate di Microsoft Entra nel piano di autenticazione durante l'accesso.
  • Funziona con Exchange, SharePoint e Microsoft Graph per la protezione del piano dati.

Prerequisiti

  • Amministrazione istratori che interagiscono con Le funzionalità di anteprima di Accesso sicuro globale devono avere una o più delle assegnazioni di ruolo seguenti a seconda delle attività eseguite.
    • Ruolo del ruolo Accesso sicuro globale Amministrazione istrator per gestire le funzionalità di anteprima di Accesso sicuro globale.
    • L'accesso condizionale Amministrazione istrator per creare e interagire con i criteri di accesso condizionale.
  • L'anteprima richiede una licenza microsoft Entra ID P1. Se necessario, è possibile acquistare licenze o ottenere licenze di valutazione.

Limitazioni note

  • Se sono state abilitate le restrizioni del tenant universale e si accede all'interfaccia di amministrazione di Microsoft Entra per uno dei tenant consentiti elencati, è possibile che venga visualizzato un errore "Accesso negato". Aggiungere il flag di funzionalità seguente all'interfaccia di amministrazione di Microsoft Entra:
    • ?feature.msaljs=true&exp.msaljsexp=true
    • Ad esempio, si lavora per Contoso e si ha consentito Fabrikam come tenant partner. È possibile che venga visualizzato il messaggio di errore per l'interfaccia di amministrazione di Microsoft Entra del tenant di Fabrikam.
      • Se viene visualizzato il messaggio di errore "accesso negato" per questo URL: https://entra.microsoft.com/ aggiungere il flag di funzionalità come indicato di seguito: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Configurare i criteri di restrizione del tenant v2

Prima che un'organizzazione possa usare restrizioni del tenant universale, è necessario configurare sia le restrizioni predefinite del tenant che le restrizioni del tenant per i partner specifici.

Per altre informazioni su come configurare questi criteri, vedere l'articolo Configurare le restrizioni del tenant V2 (anteprima).

Screenshot che mostra un criterio di restrizione tenant di esempio nel portale.

Abilitare l'assegnazione di tag per le restrizioni del tenant v2

Dopo aver creato i criteri di restrizione del tenant v2, è possibile usare l'accesso sicuro globale per applicare l'assegnazione di tag per le restrizioni del tenant v2. Per abilitare l'imposizione con l'accesso sicuro globale con accesso sicuro globale Amministrazione istrator e i ruoli security Amministrazione istrator, è necessario eseguire i passaggi seguenti per abilitare l'imposizione con l'accesso sicuro globale.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Secure Access Amministrazione istrator.
  2. Passare a Global Secure Access Global Impostazioni Session Management Tenant Restrictions .Browse to Global Secure Access>Global Impostazioni> Session Management>Tenant Restrictions.
  3. Selezionare l'interruttore Abilita l'assegnazione di tag per applicare le restrizioni del tenant nella rete.
  4. Seleziona Salva.

Screenshot che mostra l'interruttore per abilitare l'assegnazione di tag.

Provare le restrizioni del tenant universale con SharePoint Online.

Questa funzionalità funziona allo stesso modo per Exchange Online e Microsoft Graph negli esempi seguenti viene illustrato come vederla in azione nel proprio ambiente.

Provare il percorso di autenticazione:

  1. Con le restrizioni del tenant universale disattivate nelle impostazioni globali di Accesso sicuro globale.
  2. Passare a SharePoint Online, https://yourcompanyname.sharepoint.com/, con un'identità esterna che non è consentita nei criteri delle restrizioni del tenant v2.
    1. Ad esempio, un utente Fabrikam nel tenant di Fabrikam.
    2. L'utente Fabrikam deve essere in grado di accedere a SharePoint Online.
  3. Attivare le restrizioni del tenant universale.
  4. Come utente finale, con il client di accesso sicuro globale in esecuzione, passare a SharePoint Online con un'identità esterna che non è stata esplicitamente consentita.
    1. Ad esempio, un utente Fabrikam nel tenant di Fabrikam.
    2. L'utente Fabrikam deve essere bloccato dall'accesso a SharePoint Online con un messaggio di errore che indica:
      1. L'accesso è bloccato, il reparto IT contoso ha limitato le organizzazioni a cui è possibile accedere. Per ottenere l'accesso, contattare il reparto IT di Contoso.

Provare il percorso dei dati

  1. Con le restrizioni del tenant universale disattivate nelle impostazioni globali di Accesso sicuro globale.
  2. Passare a SharePoint Online, https://yourcompanyname.sharepoint.com/, con un'identità esterna che non è consentita nei criteri delle restrizioni del tenant v2.
    1. Ad esempio, un utente Fabrikam nel tenant di Fabrikam.
    2. L'utente Fabrikam deve essere in grado di accedere a SharePoint Online.
  3. Nello stesso browser con SharePoint Online aperto passare a Strumenti di sviluppo o premere F12 sulla tastiera. Avviare l'acquisizione dei log di rete. Dovrebbe essere visualizzato lo stato 200, quando tutto funziona come previsto.
  4. Verificare che l'opzione Mantieni log sia selezionata prima di continuare.
  5. Mantenere aperta la finestra del browser con i log.
  6. Attivare le restrizioni del tenant universale.
  7. Quando l'utente di Fabrikam, nel browser con SharePoint Online aperto, entro pochi minuti vengono visualizzati nuovi log. Inoltre, il browser può aggiornarsi in base alla richiesta e alle risposte eseguite nel back-end. Se il browser non viene aggiornato automaticamente dopo un paio di minuti, premere aggiorna nel browser con SharePoint Online aperto.
    1. L'utente Fabrikam rileva che l'accesso è stato bloccato dicendo:
      1. L'accesso è bloccato, il reparto IT contoso ha limitato le organizzazioni a cui è possibile accedere. Per ottenere l'accesso, contattare il reparto IT di Contoso.
  8. Nei log cercare lo stato 302. Questa riga mostra le restrizioni del tenant universale applicate al traffico.
    1. Nella stessa risposta controllare le intestazioni per le informazioni seguenti che identificano che sono state applicate le restrizioni del tenant universale:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

Condizioni per l’Utilizzo

L'uso delle Accesso privato Microsoft Entra e delle Accesso a Internet Microsoft Entra esperienze e funzionalità di anteprima è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali sono stati ottenuti i servizi. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy ridotti o diversi, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nel componente aggiuntivo per la protezione dei dati dei prodotti e servizi Microsoft ("DPA") e qualsiasi altro avviso fornito con l'anteprima.

Passaggi successivi

Il passaggio successivo per iniziare a usare Accesso a Internet Microsoft Entra consiste nell'abilitare la segnalazione avanzata dell'accesso sicuro globale.

Per altre informazioni sui criteri di accesso condizionale per l'accesso sicuro globale (anteprima), vedere gli articoli seguenti: