Tenantbeperkingen instellen v2
Van toepassing op:
Externe tenants
van werknemers (meer informatie)
Notitie
Bepaalde functies die in dit artikel worden beschreven, zijn preview-functies. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.
Om de beveiliging te verbeteren, kunt u beperken waartoe uw gebruikers toegang hebben wanneer ze een extern account gebruiken om zich aan te melden vanuit uw netwerken of apparaten. Met de instellingen voor tenantbeperkingen , die zijn opgenomen in de toegangsinstellingen voor meerdere tenants, kunt u een beleid maken om de toegang tot externe apps te beheren.
Stel dat een gebruiker in uw organisatie een afzonderlijk account heeft gemaakt in een onbekende tenant of dat een externe organisatie uw gebruiker een account heeft gegeven waarmee ze zich kunnen aanmelden bij hun organisatie. U kunt tenantbeperkingen gebruiken om te voorkomen dat gebruikers bepaalde of alle externe apps gebruiken terwijl ze zijn aangemeld met het externe account op uw netwerk of apparaten.
| Stappen | Beschrijving |
|---|---|
| 1 | Contoso configureert tenantbeperkingen in hun instellingen voor toegang tot meerdere tenants om alle externe accounts en externe apps te blokkeren. Contoso voegt TRv2-afdwingingssignaal toe met TRv2-header via Universal TRv2 of een bedrijfsproxy en Microsoft Entra-id dwingt TRv2-beleid af wanneer de header aanwezig is op de aanvraag. |
| 2 | Een gebruiker die een door Contoso beheerd apparaat gebruikt, probeert zich aan te melden bij een externe app met behulp van een account van een onbekende tenant. De TRv2 HTTP-header met de tenant-id van Contoso en de tenantbeperkingenbeleids-id wordt toegevoegd aan de verificatieaanvraag. |
| 3 | Beveiliging van verificatievlak: Met de Microsoft Entra-id wordt het TRv2-beleid van Contoso afgedwongen en wordt voorkomen dat externe accounts toegang krijgen tot externe tenants tijdens de verificatie volgens het Contoso TRv2-beleid. |
| 4 | Gegevensvlakbeveiliging (preview): Microsoft Entra ID blokkeert anonieme toegang tot sharePoint-bestanden of anonieme teamsvergaderingen en blokkeert gebruikerstoegang tot de resource met een geïnfiltreerd token. |
Tenantbeperkingen v2 biedt opties voor zowel beveiliging van verificatievlak als gegevensvlakbeveiliging.
Beveiliging van verificatievlak verwijst naar het gebruik van een tenantbeperkingen v2-beleid om aanmeldingen te blokkeren met behulp van externe identiteiten. U kunt bijvoorbeeld voorkomen dat een kwaadwillende insider gegevens via externe e-mail lekt door te voorkomen dat de aanvaller zich aanmeldt bij de schadelijke tenant. Tenantbeperkingen v2-verificatievlakbeveiliging is algemeen beschikbaar.
Gegevensvlakbeveiliging verwijst naar het voorkomen van aanvallen die verificatie omzeilen. Een aanvaller kan bijvoorbeeld proberen toegang te verlenen tot schadelijke tenant-apps met behulp van anonieme deelname aan teams of anonieme sharePoint-bestandstoegang. Of de aanvaller kan een toegangstoken van een apparaat in een schadelijke tenant kopiëren en importeren naar uw organisatieapparaat. Tenantbeperkingen v2-gegevensvlakbeveiliging dwingt de gebruiker om te verifiëren bij een poging toegang te krijgen tot een resource en blokkeert de toegang als verificatie mislukt.
Hoewel tenantbeperkingen v1 verificatievlakbeveiliging bieden via een tenant-acceptatielijst die is geconfigureerd op uw bedrijfsproxy, bieden tenantbeperkingen v2 u opties voor gedetailleerde verificatie en gegevensvlakbeveiliging, met of zonder een bedrijfsproxy. Als u een bedrijfsproxy gebruikt voor headerinjectie, bevatten opties alleen beveiliging van verificatievlakken.
Overzicht van tenantbeperkingen v2
In de toegangsinstellingen voor meerdere tenants van uw organisatie kunt u een tenantbeperkingen v2-beleid configureren. Nadat u het beleid hebt gemaakt, zijn er drie manieren om het beleid in uw organisatie toe te passen.
- Universele tenantbeperkingen v2. Deze optie biedt zowel verificatievlak- als gegevensvlakbeveiliging zonder bedrijfsproxy. Universele tenantbeperkingen maken gebruik van Global Secure Access (preview) om al het verkeer te taggen, ongeacht het besturingssysteem, de browser of de formulierfactor van het apparaat. Het biedt ondersteuning voor zowel client- als externe netwerkconnectiviteit.
- Tenantbeperkingen voor verificatievlak v2. U kunt een bedrijfsproxy in uw organisatie implementeren en de proxy configureren om tenantbeperkingen v2-signalen in te stellen voor al het verkeer naar Microsoft Entra ID en Microsoft-accounts (MSA).
- Windows-tenantbeperkingen v2. Voor uw Windows-apparaten in bedrijfseigendom kunt u zowel de beveiliging van het verificatievlak als de gegevenslaag afdwingen door tenantbeperkingen rechtstreeks op apparaten af te dwingen. Tenantbeperkingen worden afgedwongen bij toegang tot resources en bieden dekking van gegevenspaden en beveiliging tegen infiltratie van tokens. Een bedrijfsproxy is niet vereist voor het afdwingen van beleid. Apparaten kunnen door Microsoft Entra ID worden beheerd of aan een domein gekoppelde apparaten die worden beheerd via Groepsbeleid.
Notitie
In dit artikel wordt beschreven hoe u tenantbeperkingen v2 configureert met behulp van het Microsoft Entra-beheercentrum. U kunt ook de API voor meerdere tenants van Microsoft Graph gebruiken om hetzelfde tenantbeperkingenbeleid te maken.
Ondersteunde scenario's
Tenantbeperkingen v2 kunnen worden afgestemd op specifieke gebruikers, groepen, organisaties of externe apps. Apps die zijn gebouwd op de Netwerkstack van het Windows-besturingssysteem, zijn beveiligd. De volgende scenario's worden ondersteund:
- Alle Office-app s (alle versies/releasekanalen).
- Universeel Windows-platform (UWP) .NET-toepassingen.
- Beveiliging van verificatievlakken voor alle toepassingen die worden geverifieerd met Microsoft Entra-id, inclusief alle microsoft-toepassingen van derden en toepassingen van derden die gebruikmaken van Microsoft Entra ID voor verificatie.
- Gegevensvlakbeveiliging voor SharePoint Online en Exchange Online.
- Anonieme toegangsbeveiliging voor SharePoint Online, OneDrive en Teams (met federatiebesturingselementen geconfigureerd).
- Verificatie en gegevensvlakbeveiliging voor Microsoft-tenant- of consumentenaccounts.
- Bij het gebruik van universele tenantbeperkingen in Global Secure Access (preview), alle browsers en platforms.
- Wanneer u Windows-groepsbeleid, Microsoft Edge en alle websites in Microsoft Edge gebruikt.
Niet-ondersteunde scenario's
- Anonieme blokkering voor OneDrive-account voor consumenten. Klanten kunnen op proxyniveau werken door te blokkeren https://onedrive.live.com/.
- Wanneer een gebruiker toegang heeft tot een app van derden, zoals Slack, met behulp van een anonieme koppeling of een niet-Azure AD-account.
- Wanneer een gebruiker een door Microsoft Entra ID uitgegeven token kopieert van een thuiscomputer naar een werkcomputer en deze gebruikt voor toegang tot een app van derden, zoals Slack.
- Tenantbeperkingen per gebruiker voor Microsoft-accounts.
Tenantbeperkingen vergelijken v1 en v2
In de volgende tabel worden de functies in elke versie vergeleken.
| Tenantbeperkingen v1 | Tenantbeperkingen v2 | |
|---|---|---|
| Beleidsafdwinging | De bedrijfsproxy dwingt het tenantbeperkingsbeleid af in het Microsoft Entra ID-besturingsvlak. | Opties: - Universele tenantbeperkingen in Global Secure Access (preview), die gebruikmaakt van beleidssignalering om al het verkeer te taggen, met ondersteuning voor zowel verificatie als gegevensvlak op alle platforms. - Beveiliging met alleen verificatievlak, waarbij de bedrijfsproxy tenantbeperkingen v2-signalen voor al het verkeer instelt. - Windows-apparaatbeheer, waarbij apparaten zijn geconfigureerd om Microsoft-verkeer naar het tenantbeperkingsbeleid te laten verwijzen en het beleid wordt afgedwongen in de cloud. |
| Beperking voor het afdwingen van beleid | Beheer zakelijke proxy's door tenants toe te voegen aan de acceptatielijst voor Microsoft Entra-verkeer. De tekenlimiet van de headerwaarde in Restrict-Access-To-Tenants: <allowed-tenant-list> beperkt het aantal tenants dat kan worden toegevoegd. |
Beheerd door een cloudbeleid in het toegangsbeleid voor meerdere tenants. Er wordt een partnerbeleid gemaakt voor elke externe tenant. Momenteel is de configuratie voor alle externe tenants opgenomen in één beleid met een groottelimiet van 25 kB. |
| Schadelijke tenantaanvragen | Microsoft Entra ID blokkeert schadelijke tenantverificatieaanvragen om beveiliging van verificatievlakken te bieden. | Microsoft Entra ID blokkeert schadelijke tenantverificatieaanvragen om beveiliging van verificatievlakken te bieden. |
| Granulariteit | Beperkt tot tenant en alle Microsoft-accounts. | Tenant-, gebruikers-, groeps- en toepassingsgranulariteit. (Granulariteit op gebruikersniveau wordt niet ondersteund met Microsoft-accounts.) |
| Anonieme toegang | Anonieme toegang tot Teams-vergaderingen en het delen van bestanden is toegestaan. | Anonieme toegang tot Teams-vergaderingen wordt geblokkeerd. Toegang tot anoniem gedeelde resources ('Iedereen met de koppeling') wordt geblokkeerd. |
| Microsoft-accounts | Hiermee gebruikt u een MSA-header beperken om de toegang tot consumentenaccounts te blokkeren. | Hiermee kunt u de verificatie van Microsoft-accounts (MSA en Live ID) op zowel de identiteits- als gegevensvlakken beheren. Als u bijvoorbeeld standaard tenantbeperkingen afdwingt, kunt u een microsoft-accountspecifiek beleid maken waarmee gebruikers toegang hebben tot specifieke apps met hun Microsoft-accounts, bijvoorbeeld: Microsoft Learn (app-id 18fbca16-2224-45f6-85b0-f7bf2b39b3f3) of Microsoft Enterprise Skills Initiative (app-id 195e7f27-02f9-4045-9a91-cd2fa1c2af2f). |
| Proxybeheer | Beheer zakelijke proxy's door tenants toe te voegen aan de acceptatielijst voor Microsoft Entra-verkeer. | Voor beveiliging van bedrijfsproxyverificatievlak configureert u de proxy om tenantbeperkingen v2-signalen voor al het verkeer in te stellen. |
| Platformondersteuning | Ondersteund op alle platforms. Biedt alleen beveiliging van verificatievlakken. | Universele tenantbeperkingen in Global Secure Access (preview) ondersteunen elk besturingssysteem, browser of apparaatformulierfactor. Beveiliging van bedrijfsproxyverificatievlak ondersteunt macOS-, Chrome-browser- en .NET-toepassingen. Windows-apparaatbeheer ondersteunt Windows-besturingssystemen en Microsoft Edge. |
| Portalondersteuning | Er is geen gebruikersinterface in het Microsoft Entra-beheercentrum voor het configureren van het beleid. | Gebruikersinterface beschikbaar in het Microsoft Entra-beheercentrum voor het instellen van het cloudbeleid. |
| Niet-ondersteunde apps | N.v.t. | Blokkeer niet-ondersteund app-gebruik met Microsoft-eindpunten met behulp van Windows Defender Application Control (WDAC) of Windows Firewall (bijvoorbeeld voor Chrome, Firefox, enzovoort). Zie Chrome-, Firefox- en .NET-toepassingen zoals PowerShell blokkeren. |
Tenantbeperkingen v1-beleid migreren naar v2 op de proxy
Het migreren van tenantrestrictiebeleid van v1 naar v2 is een eenmalige bewerking. Na de migratie zijn er geen wijzigingen aan de clientzijde vereist. U kunt eventuele volgende beleidswijzigingen aan de serverzijde aanbrengen via het Microsoft Entra-beheercentrum.
Wanneer u TRv2 inschakelt voor de proxy, kunt u TRv2 alleen afdwingen op het verificatievlak. Als u TRv2 wilt inschakelen op zowel verificatie als gegevensvlak, moet u signalering aan de clientzijde van TRv2 inschakelen met behulp van Universal TRv2
Stap 1: toegestane lijst met partnertenants configureren
Met TRv1: Tenantbeperkingen v1 (TRv1) kunt u een acceptatielijst met tenant-id's en/of Microsoft-aanmeldingseindpunten maken om ervoor te zorgen dat gebruikers toegang hebben tot externe tenants die uw organisatie toestaat. TRv1 heeft dit bereikt door header toe te voegen Restrict-Access-To-Tenants: <allowed-tenant-list> aan de proxy. Bijvoorbeeld: 'Toegang tot tenants beperken: ' contoso.com, fabrikam.com, dogfood.com'. Meer informatie over tenantbeperkingen v1.
TRv2: Met tenantbeperkingen v2 (TRv2) wordt de configuratie verplaatst naar het cloudbeleid aan de serverzijde en is de TRv1-header niet nodig.
- Op uw bedrijfsproxy moet u tenantbeperkingen v1-header verwijderen.
Restrict-Access-To-Tenants: <allowed-tenant-list> - Maak voor elke tenant in de lijst met toegestane tenants een tenantbeleid voor partners door de stappen in stap 2 te volgen: Tenantbeperkingen v2 configureren voor specifieke partners. Volg deze richtlijnen:
Notitie
- Behoud het standaardbeleid voor tenantbeperkingen v2 waarmee alle toegang tot externe tenants wordt geblokkeerd met behulp van externe identiteiten (bijvoorbeeld
user@externaltenant.com). - Maak een tenantbeleid voor partners voor elke tenant die wordt vermeld in uw v1-acceptatielijst door de stappen in stap 2 te volgen: Tenantbeperkingen v2 configureren voor specifieke partners.
- Alleen specifieke gebruikers toegang geven tot specifieke toepassingen. Dit ontwerp verhoogt uw beveiligingspostuur door alleen de toegang tot de benodigde gebruikers te beperken.
Stap 2: Consumentenaccount of Microsoft-accounttenant blokkeren
TRv1: gebruikers niet toestaan zich aan te melden bij consumententoepassingen. Trv1 vereist dat de header Sec-Restrict-Tenant-Access-Policy wordt geïnjecteerd voor verkeer dat login.live.com zoals sec-Restrict-Tenant-Access-Policy: restrict-msa'
TRv2: Met TRv2 wordt de configuratie verplaatst naar het cloudbeleid aan de serverzijde en is de TRv1-header niet nodig.
- In uw bedrijfsproxy moet u tenantbeperkingen v1 header sec-Restrict-Tenant-Access-Policy: restrict-msa' verwijderen.
- Maak een tenantbeleid voor partners voor De tenant Microsoft-accounts door stap 2 te volgen : Tenantbeperkingen v2 configureren voor specifieke partners. Omdat toewijzing op gebruikersniveau niet beschikbaar is voor MSA-tenants, is het beleid van toepassing op alle MSA-gebruikers. Granulariteit op toepassingsniveau is echter beschikbaar en u moet de toepassingen beperken waartoe MSA- of consumentenaccounts alleen toegang hebben tot toepassingen die nodig zijn.
Notitie
Door de MSA-tenant te blokkeren, wordt het verkeer zonder gebruiker voor apparaten niet geblokkeerd, waaronder:
- Verkeer voor Autopilot, Windows Update en organisatietelemetrie.
- B2B-verificatie van consumentenaccounts of 'passthrough'-verificatie, waarbij Azure-apps en Office.com-apps Microsoft Entra ID gebruiken om consumentengebruikers aan te melden in een consumentencontext.
Stap 3: Tenantbeperkingen v2 inschakelen op de bedrijfsproxy
TRv2: U kunt de bedrijfsproxy configureren om taggen aan de clientzijde van de header tenantbeperkingen V2 in te schakelen met behulp van de volgende bedrijfsproxy-instelling: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>
waar <DirectoryID> is uw Microsoft Entra-tenant-id en <policyGUID> is de object-id voor uw toegangsbeleid voor meerdere tenants.
Tenantbeperkingen versus inkomende en uitgaande instellingen
Hoewel tenantbeperkingen samen met uw toegangsinstellingen voor meerdere tenants worden geconfigureerd, werken ze afzonderlijk van de instellingen voor binnenkomende en uitgaande toegang. Instellingen voor toegang tussen tenants geven u controle wanneer gebruikers zich aanmelden met een account van uw organisatie. Tenantbeperkingen bieden u daarentegen controle wanneer gebruikers een extern account gebruiken. De instellingen voor binnenkomende en uitgaande verbindingen voor B2B-samenwerking en B2B direct connect zijn niet van invloed (en worden niet beïnvloed door) de instellingen voor tenantbeperkingen.
Denk aan de verschillende toegangsinstellingen voor meerdere tenants op deze manier:
- Binnenkomende instellingen beheren de toegang van externe accounts tot uw interne apps.
- Uitgaande instellingen beheren de toegang van het interne account tot externe apps.
- Tenantbeperkingen beheren de toegang van externe accounts tot externe apps.
Tenantbeperkingen versus B2B-samenwerking
Wanneer uw gebruikers toegang nodig hebben tot externe organisaties en apps, raden we u aan tenantbeperkingen in te schakelen om externe accounts te blokkeren en in plaats daarvan B2B-samenwerking te gebruiken. B2B-samenwerking biedt u de mogelijkheid om:
- Gebruik voorwaardelijke toegang en dwing meervoudige verificatie af voor B2B-samenwerkingsgebruikers.
- Binnenkomende en uitgaande toegang beheren.
- Beëindig sessies en referenties wanneer de werkstatus van een B2B-samenwerkingsgebruiker wordt gewijzigd of hun referenties worden geschonden.
- Gebruik aanmeldingslogboeken om details weer te geven over de B2B-samenwerkingsgebruiker.
Vereisten
Voor het configureren van tenantbeperkingen hebt u het volgende nodig:
- Microsoft Entra ID P1 of P2
- Account met een rol van ten minste Beveiliging Beheer istrator
- Windows-apparaten met Windows 10, Windows 11 met de nieuwste updates
Tenantbeperkingen aan serverzijde configureren v2-cloudbeleid
Stap 1: Standaardtenantbeperkingen v2 configureren
Instellingen voor tenantbeperkingen v2 bevinden zich in het Microsoft Entra-beheercentrum onder Instellingen voor toegang tussen tenants. Configureer eerst de standaardtenantbeperkingen die u wilt toepassen op alle gebruikers, groepen, apps en organisaties. Als u vervolgens partnerspecifieke configuraties nodig hebt, kunt u de organisatie van een partner toevoegen en instellingen aanpassen die afwijken van uw standaardinstellingen.
Standaardtenantbeperkingen configureren
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een security Beheer istrator.
Blader naar >de toegangsinstellingen voor externe identiteiten voor meerdere tenants>en selecteer vervolgens instellingen voor toegang tot meerdere tenants.
Selecteer het tabblad Standaardinstellingen .
Schuif naar de sectie Tenantbeperkingen .
Selecteer de koppeling Tenantbeperkingen bewerken.
Als er nog geen standaardbeleid in de tenant bestaat, wordt er naast de beleids-id een koppeling Beleid maken weergegeven. Selecteer deze koppeling.
Op de pagina Tenantbeperkingen worden zowel uw tenant-id als de beleids-id voor tenantbeperkingen weergegeven. Gebruik de kopieerpictogrammen om beide waarden te kopiëren. U gebruikt deze later wanneer u Windows-clients configureert om tenantbeperkingen in te schakelen.
Selecteer het tabblad Externe gebruikers en groepen . Kies onder Toegangsstatus een van de volgende opties:
- Toegang toestaan: hiermee kunnen alle gebruikers die zijn aangemeld met externe accounts toegang krijgen tot externe apps (opgegeven op het tabblad Externe toepassingen).
- Toegang blokkeren: hiermee blokkeert u alle gebruikers die zijn aangemeld met externe accounts toegang tot externe apps (opgegeven op het tabblad Externe toepassingen).
Notitie
Standaardinstellingen kunnen niet worden ingesteld op afzonderlijke accounts of groepen. Dit geldt dus altijd voor alle <tenantgebruikers> en -groepen. Als u de toegang voor alle gebruikers en groepen blokkeert, moet u ook de toegang tot alle externe toepassingen blokkeren (op het tabblad Externe toepassingen ).
Selecteer het tabblad Externe toepassingen . Kies onder Toegangsstatus een van de volgende opties:
- Toegang toestaan: hiermee kunnen alle gebruikers die zijn aangemeld met externe accounts toegang krijgen tot de apps die zijn opgegeven in de sectie Van toepassing op .
- Toegang blokkeren: hiermee voorkomt u dat alle gebruikers die zijn aangemeld met externe accounts toegang krijgen tot de apps die zijn opgegeven in de sectie Van toepassing op.
Selecteer een van de volgende opties onder Van toepassing op:
- Alle externe toepassingen: past de actie die u hebt gekozen onder Toegangsstatus op al uw externe toepassingen toe. Als u de toegang blokkeert voor alle externe toepassingen, moet u ook de toegang voor al uw gebruikers en groepen blokkeren (op het tabblad Gebruikers en groepen).
- Selecteer externe toepassingen: Hiermee kunt u de externe toepassingen kiezen waarop u de actie wilt toepassen onder De toegangsstatus . Als u toepassingen wilt selecteren, kiest u Microsoft-toepassingen toevoegen of andere toepassingen toevoegen. Zoek vervolgens op de naam van de toepassing of de toepassings-id (de client-app-id of de id van de resource-app) en selecteer de app. (Zie een lijst met id's voor veelgebruikte Microsoft-toepassingen.) Als u meer apps wilt toevoegen, gebruikt u de knop Toevoegen . Wanneer u klaar bent, selecteert u Verzenden.
Selecteer Opslaan.
Stap 2: Tenantbeperkingen v2 configureren voor specifieke partners
Stel dat u tenantbeperkingen gebruikt om de toegang standaard te blokkeren, maar u wilt toestaan dat gebruikers toegang hebben tot bepaalde toepassingen met hun eigen externe accounts. Stel dat u wilt dat gebruikers toegang hebben tot Microsoft Learn met hun eigen Microsoft-accounts. In de instructies in deze sectie wordt beschreven hoe u organisatiespecifieke instellingen toevoegt die voorrang hebben op de standaardinstellingen.
Voorbeeld: Tenantbeperkingen v2 configureren om Microsoft-accounts toe te staan
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligings-Beheer istrator of een Beheer istrator voor voorwaardelijke toegang.
Blader naar >de toegangsinstellingen voor externe identiteiten voor meerdere tenants.>
Selecteer Organisatie-instellingen.
Notitie
Als de organisatie die u wilt toevoegen al aan de lijst is toegevoegd, kunt u het toevoegen overslaan en rechtstreeks naar de instellingen gaan.
Selecteer Organisatie toevoegen.
Typ in het deelvenster Organisatie toevoegen de volledige domeinnaam (of tenant-id) van de organisatie.
Voorbeeld: Zoek naar de volgende tenant-id van Microsoft-accounts:
9188040d-6c67-4c5b-b112-36a304b66dad
Selecteer de organisatie in de zoekresultaten en selecteer vervolgens Toevoegen.
Wijzig de instellingen: zoek de organisatie in de lijst met organisatie-instellingen en schuif horizontaal om de kolom Tenantbeperkingen weer te geven. Op dit moment worden alle instellingen voor tenantbeperkingen voor deze organisatie overgenomen van uw standaardinstellingen. Als u de instellingen voor deze organisatie wilt wijzigen, selecteert u de koppeling Overgenomen van de standaardkoppeling onder de kolom Tenantbeperkingen .
De pagina Tenantbeperkingen voor de organisatie wordt weergegeven. Kopieer de waarden voor tenant-id en beleids-id. U gebruikt deze later wanneer u Windows-clients configureert om tenantbeperkingen in te schakelen.
Selecteer Instellingen aanpassen en selecteer vervolgens het tabblad Externe gebruikers en groepen . Kies onder Toegangsstatus een optie:
- Toegang toestaan: staat gebruikers en groepen toe die zijn opgegeven onder Van toepassing op wie is aangemeld met externe accounts voor toegang tot externe apps (opgegeven op het tabblad Externe toepassingen).
- Toegang blokkeren: hiermee blokkeert u gebruikers en groepen die zijn opgegeven onder Van toepassing op wie met externe accounts is aangemeld, geen toegang hebben tot externe apps (opgegeven op het tabblad Externe toepassingen).
Notitie
Voor ons voorbeeld van Microsoft-accounts selecteren we Toegang toestaan.
Kies onder Van toepassing op alle <organisatiegebruikers> en -groepen.
Notitie
Gebruikersgranulariteit wordt niet ondersteund met Microsoft-accounts, dus de mogelijkheid organisatiegebruikers en groepen selecteren <> is niet beschikbaar. Voor andere organisaties kunt u organisatiegebruikers en groepen selecteren <> en vervolgens deze stappen uitvoeren voor elke gebruiker of groep die u wilt toevoegen:
- Selecteer Externe gebruikers en groepen toevoegen.
- Typ in het deelvenster Selecteren de gebruikersnaam of groepsnaam in het zoekvak.
- Selecteer de gebruiker of groep in de zoekresultaten.
- Als u meer wilt toevoegen, selecteert u Toevoegen en herhaalt u deze stappen. Wanneer u klaar bent met het selecteren van de gebruikers en groepen die u wilt toevoegen, selecteert u Verzenden.
Selecteer het tabblad Externe toepassingen . Kies onder Toegangsstatus of u toegang tot externe toepassingen wilt toestaan of blokkeren.
- Toegang toestaan: hiermee staat u toe dat de externe toepassingen die zijn opgegeven onder Van toepassing, toegankelijk zijn voor uw gebruikers wanneer ze externe accounts gebruiken.
- Toegang blokkeren: hiermee blokkeert u de externe toepassingen die zijn opgegeven onder Van toepassing op toegang door uw gebruikers wanneer ze externe accounts gebruiken.
Notitie
Voor ons voorbeeld van Microsoft-accounts selecteren we Toegang toestaan.
Selecteer een van de volgende opties onder Van toepassing op:
- Alle externe toepassingen: past de actie die u hebt gekozen onder Toegangsstatus op al uw externe toepassingen toe.
- Externe toepassingen selecteren: past de actie die u hebt gekozen onder Toegangsstatus op al uw externe toepassingen toe.
Notitie
- Voor ons voorbeeld van Microsoft-accounts kiezen we Externe toepassingen selecteren.
- Als u de toegang blokkeert voor alle externe toepassingen, moet u ook de toegang voor al uw gebruikers en groepen blokkeren (op het tabblad Gebruikers en groepen).
Als u Externe toepassingen selecteren hebt gekozen, gaat u als volgt te werk voor elke toepassing die u wilt toevoegen:
- Selecteer Microsoft-toepassingen toevoegen of andere toepassingen toevoegen. Voor ons Voorbeeld van Microsoft Learn kiezen we Andere toepassingen toevoegen.
- Typ in het zoekvak de naam van de toepassing of de toepassings-id (de client-app-id of de resource-app-id). (Zie een lijst met id's voor veelgebruikte Microsoft-toepassingen.) Voor ons Voorbeeld van Microsoft Learn voeren we de toepassings-id
18fbca16-2224-45f6-85b0-f7bf2b39b3f3in. - Selecteer de toepassing in de zoekresultaten en selecteer vervolgens Toevoegen.
- Herhaal dit voor elke toepassing die u wilt toevoegen.
- Wanneer u klaar bent met het selecteren van toepassingen, selecteert u Verzenden.
De toepassingen die u hebt geselecteerd, worden weergegeven op het tabblad Externe toepassingen . Selecteer Opslaan.
Notitie
Als u de MSA-tenant blokkeert, wordt het volgende niet geblokkeerd:
- Gebruikerloos verkeer voor apparaten. Dit omvat verkeer voor Autopilot, Windows Update en organisatietelemetrie.
- B2B-verificatie van consumentenaccounts.
- Passthrough-verificatie, gebruikt door veel Azure-apps en Office.com, waarbij apps Microsoft Entra-id gebruiken om consumentengebruikers aan te melden in een consumentencontext.
Tenantbeperkingen aan clientzijde configureren v2
Er zijn drie opties voor het afdwingen van tenantbeperkingen v2 voor clients:
- Optie 1: Universele tenantbeperkingen v2 als onderdeel van Microsoft Entra Global Secure Access (preview)
- Optie 2: Tenantbeperkingen v2 instellen voor uw bedrijfsproxy
- Optie 3: Tenantbeperkingen inschakelen op door Windows beheerde apparaten (preview)
Optie 1: Universele tenantbeperkingen v2 als onderdeel van Microsoft Entra Global Secure Access (preview)
Universele tenantbeperkingen v2 als onderdeel van Microsoft Entra Global Secure Access wordt aanbevolen omdat het verificatie- en gegevensvlakbeveiliging biedt voor alle apparaten en platforms. Deze optie biedt meer bescherming tegen geavanceerde pogingen om verificatie te omzeilen. Aanvallers kunnen bijvoorbeeld proberen anonieme toegang tot de apps van een kwaadwillende tenant toe te staan, zoals anonieme vergadering in Teams. Of aanvallers kunnen proberen om een toegangstoken te importeren naar uw organisatieapparaat dat is verwijderd van een apparaat in de schadelijke tenant. Universele tenantbeperkingen v2 voorkomt deze aanvallen door tenantbeperkingen v2-signalen te verzenden op het verificatievlak (Microsoft Entra-id en Microsoft-account) en gegevensvlak (Microsoft-cloudtoepassingen).
Optie 2: Tenantbeperkingen v2 instellen voor uw bedrijfsproxy
Om ervoor te zorgen dat aanmeldingen worden beperkt op alle apparaten en apps in uw bedrijfsnetwerk, configureert u uw bedrijfsproxy om tenantbeperkingen v2 af te dwingen. Hoewel het configureren van tenantbeperkingen voor uw bedrijfsproxy geen gegevensvlakbeveiliging biedt, biedt het wel beveiliging van het verificatievlak.
Belangrijk
Als u eerder tenantbeperkingen hebt ingesteld, moet u stoppen met het verzenden restrict-msa naar login.live.com. Anders conflicteren de nieuwe instellingen met uw bestaande instructies voor de MSA-aanmeldingsservice.
Configureer de tenantbeperkingen v2-header als volgt:
Headernaam Headerwaarde sec-Restrict-Tenant-Access-Policy<TenantId>:<policyGuid>TenantIDis uw Microsoft Entra-tenant-id. Zoek deze waarde door u aan te melden bij het Microsoft Entra-beheercentrum als beheerder en naar Identiteitsoverzicht> te bladeren en het tabblad Overzicht te selecteren.policyGUIDis de object-id voor uw toegangsbeleid voor meerdere tenants. Zoek deze waarde door het veld Id aan te roepen/crosstenantaccesspolicy/defaulten te gebruiken dat wordt geretourneerd.
Verzend op uw bedrijfsproxy de tenantbeperkingen v2-header naar de volgende Microsoft-aanmeldingsdomeinen:
- login.live.com
- login.microsoft.com
- login.microsoftonline.com
- login.windows.net
Deze header dwingt uw tenantbeperkingen v2-beleid af voor alle aanmeldingen in uw netwerk. Deze koptekst blokkeert geen anonieme toegang tot Teams-vergaderingen, SharePoint-bestanden of andere resources waarvoor geen verificatie is vereist.
Tenantbeperkingen v2 zonder ondersteuning voor onderbreking en inspectie
Voor niet-Windows-platforms kunt u verkeer onderbreken en inspecteren om de tenantbeperkingen v2-parameters toe te voegen aan de header via proxy. Sommige platforms bieden echter geen ondersteuning voor onderbreking en inspectie, dus tenantbeperkingen v2 werken niet. Voor deze platforms kunnen de volgende functies van Microsoft Entra ID beveiliging bieden:
- Voorwaardelijke toegang: alleen het gebruik van beheerde/compatibele apparaten toestaan
- Voorwaardelijke toegang: toegang beheren voor gast-/externe gebruikers
- B2B-samenwerking: uitgaande regels beperken door toegang tussen tenants voor dezelfde tenants die worden vermeld in de parameter 'Restrict-Access-To-Tenants'
- B2B-samenwerking: uitnodigingen voor B2B-gebruikers beperken tot dezelfde domeinen die worden vermeld in de parameter 'Toegang tot tenants beperken'
- Toepassingsbeheer: beperken hoe gebruikers toestemming geven voor toepassingen
- Intune: App-beleid toepassen via Intune om het gebruik van beheerde apps te beperken tot alleen de UPN van het account dat het apparaat heeft geregistreerd (onder Alleen geconfigureerde organisatieaccounts in apps toestaan)
Hoewel deze alternatieven bescherming bieden, kunnen bepaalde scenario's alleen worden gedekt door tenantbeperkingen, zoals het gebruik van een browser voor toegang tot Microsoft 365-services via internet in plaats van de toegewezen app.
Optie 3: Tenantbeperkingen inschakelen op door Windows beheerde apparaten (preview)
Nadat u een tenantbeperkingen v2-beleid hebt gemaakt, kunt u het beleid afdwingen op elk Windows 10-, Windows 11- en Windows Server 2022-apparaat door uw tenant-id en de beleids-id toe te voegen aan de configuratie van tenantbeperkingen van het apparaat. Wanneer tenantbeperkingen zijn ingeschakeld op een Windows-apparaat, zijn bedrijfsproxy's niet vereist voor het afdwingen van beleid. Apparaten hoeven geen Microsoft Entra-id te zijn die wordt beheerd om tenantbeperkingen v2 af te dwingen; Apparaten die lid zijn van een domein die worden beheerd met Groepsbeleid, worden ook ondersteund.
Notitie
Tenantbeperkingen V2 in Windows is een gedeeltelijke oplossing die de verificatie- en gegevensvlakken voor sommige scenario's beveiligt. Het werkt op beheerde Windows-apparaten en beveiligt .NET-stack, Chrome of Firefox niet. De Windows-oplossing biedt een tijdelijke oplossing totdat algemene beschikbaarheid van universele tenantbeperkingen in Microsoft Entra Global Secure Access (preview).
Beheer istratieve sjablonen (.admx) voor Windows 10 November 2021 Update (21H2) en groepsbeleidsinstellingen
U kunt Groepsbeleid gebruiken om de configuratie van tenantbeperkingen te implementeren op Windows-apparaten. Raadpleeg deze resources:
- Beheer istratieve sjablonen voor Windows 10
- Groepsbeleid Instellingen referentieblad voor Windows 10
Het beleid op een apparaat testen
Volg deze stappen om het beleid voor tenantbeperkingen v2 op een apparaat te testen.
Notitie
- Op het apparaat moet Windows 10 of Windows 11 worden uitgevoerd met de nieuwste updates.
Druk op de Windows-computer op de Windows-toets, typ gpedit en selecteer groepsbeleid bewerken (Configuratiescherm).
Ga naar Computerconfiguratie> Beheer istratieve sjablonen>Tenantbeperkingen voor Windows-onderdelen.>
Klik met de rechtermuisknop op Cloud Policy Details in het rechterdeelvenster en selecteer Bewerken.
Haal de tenant-id en beleids-id op die u eerder hebt vastgelegd (in stap 7 onder Standaardtenantbeperkingen configureren) en voer deze in de volgende velden in (laat alle andere velden leeg):
- Microsoft Entra Directory-id: Voer de tenant-id in die u eerder hebt vastgelegd. door u als beheerder aan te melden bij het Microsoft Entra-beheercentrum en naar Identiteitsoverzicht> te bladeren en het tabblad Overzicht te selecteren.
- Beleids-GUID: de id voor uw toegangsbeleid voor meerdere tenants. Dit is de beleids-id die u eerder hebt vastgelegd. U kunt deze id ook vinden met behulp van de Graph Explorer-opdracht https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/default.
Selecteer OK.
Chrome-, Firefox- en .NET-toepassingen zoals PowerShell blokkeren
U kunt de Windows Firewall-functie gebruiken om te voorkomen dat niet-beveiligde apps toegang krijgen tot Microsoft-resources via Chrome, Firefox en .NET-toepassingen zoals PowerShell. De toepassingen die worden geblokkeerd/toegestaan volgens het beleid voor tenantbeperkingen v2.
Als een klant bijvoorbeeld PowerShell toevoegt aan hun tenantbeperkingen v2 CIP-beleid en graph.microsoft.com heeft in de lijst met tenantbeperkingen v2-beleidseindpunten, moet PowerShell toegang hebben tot het beleid waarvoor firewall is ingeschakeld.
Druk op de Windows-computer op de Windows-toets, typ gpedit en selecteer groepsbeleid bewerken (Configuratiescherm).
Ga naar Computerconfiguratie> Beheer istratieve sjablonen>Tenantbeperkingen voor Windows-onderdelen.>
Klik met de rechtermuisknop op Cloud Policy Details in het rechterdeelvenster en selecteer Bewerken.
Schakel het selectievakje Firewallbeveiliging van Microsoft-eindpunten in en selecteer VERVOLGENS OK.
Nadat u de firewallinstelling hebt ingeschakeld, meldt u zich aan met een Chrome-browser. Aanmelden mislukt met het volgende bericht:
Tenantbeperkingen v2-gebeurtenissen weergeven
Bekijk gebeurtenissen met betrekking tot tenantbeperkingen in Logboeken.
- Open in Logboeken logboeken toepassingen en services.
- Navigeer naar Microsoft>Windows>TenantRestrictions>Operational en zoek naar gebeurtenissen.
Tenantbeperkingen en ondersteuning voor gegevensvlakken (preview)
Trv2 wordt afgedwongen door de volgende resources die betrekking hebben op tokeninfiltratiescenario's waarbij een slechte actor rechtstreeks toegang heeft tot de resource met een geïnfiltreerd token of anoniem.
- Teams
- SharePoint Online, zoals oneDrive-app
- Exchange Online, zoals Outlook-app
- Office.com/Office-apps
Tenantbeperkingen en Microsoft Teams (preview)
Teams heeft standaard een open federatie, wat betekent dat niemand die deelneemt aan een vergadering die wordt gehost door een externe tenant, niet blokkeert. Voor meer controle over de toegang tot Teams-vergaderingen kunt u Federatiebesturingselementen in Teams gebruiken om specifieke tenants toe te staan of te blokkeren, samen met tenantbeperkingen v2 om anonieme toegang tot Teams-vergaderingen te blokkeren. Als u tenantbeperkingen voor Teams wilt afdwingen, moet u tenantbeperkingen v2 configureren in de toegangsinstellingen voor meerdere tenants van Microsoft Entra. U moet ook federatiebesturingselementen instellen in de Teams Beheer-portal en Teams opnieuw starten. Tenantbeperkingen die zijn geïmplementeerd op de bedrijfsproxy blokkeren geen anonieme toegang tot Teams-vergaderingen, SharePoint-bestanden en andere resources waarvoor geen verificatie is vereist.
- Met Teams kunnen gebruikers momenteel deelnemen aan een extern gehoste vergadering met behulp van hun door het bedrijf/de thuis verstrekte identiteit. U kunt uitgaande toegangsinstellingen voor meerdere tenants gebruiken om gebruikers met een door het bedrijf/thuis verstrekte identiteit te beheren om deel te nemen aan extern gehoste Teams-vergaderingen.
- Tenantbeperkingen voorkomen dat gebruikers een extern uitgegeven identiteit gebruiken om deel te nemen aan Teams-vergaderingen.
Notitie
De Microsoft Teams-app is afhankelijk van SharePoint Online- en Exchange Online-apps. U wordt aangeraden het TRv2-beleid in te stellen voor de Office 365-app in plaats van Microsoft Teams Services of SharePoint Online of Exchange Online afzonderlijk. Als u een van de toepassingen (SPO of EXO etc.) die deel uitmaakt van Office 365 toestaat/blokkeert, heeft dit ook invloed op apps zoals Microsoft Teams. Als de Microsoft Teams-app is toegestaan/geblokkeerd, worden SPO en EXO met in de Teams-app beïnvloed.
Pure anonieme vergaderingsdeelname
Tenantbeperkingen v2 blokkeren automatisch alle niet-geverifieerde en extern uitgegeven identiteitstoegang tot extern gehoste Teams-vergaderingen. Stel dat Contoso Federatiebesturingselementen van Teams gebruikt om de Fabrikam-tenant te blokkeren. Als iemand met een Contoso-apparaat een Fabrikam-account gebruikt om deel te nemen aan een Contoso Teams-vergadering, mogen ze als anonieme gebruiker deelnemen aan de vergadering. Als Contoso nu ook tenantbeperkingen v2 inschakelt, blokkeert Teams anonieme toegang en kan de gebruiker niet deelnemen aan de vergadering.
Deelnemen aan vergadering met een extern uitgegeven identiteit
U kunt het beleid voor tenantbeperkingen v2 configureren om specifieke gebruikers of groepen met extern uitgegeven identiteiten toe te staan deel te nemen aan specifieke extern gehoste Teams-vergaderingen. Met deze configuratie kunnen gebruikers zich aanmelden bij Teams met hun extern uitgegeven identiteiten en deelnemen aan de extern gehoste Teams-vergaderingen van de opgegeven tenant.
| Verificatie-identiteit | Geverifieerde sessie | Resultaat |
|---|---|---|
| Tenantlidgebruikers (geverifieerde sessie) Voorbeeld: Een gebruiker gebruikt zijn thuisidentiteit als lidgebruiker (bijvoorbeeld user@mytenant.com) |
Geverifieerd | Tenantbeperkingen v2 biedt toegang tot de Teams-vergadering. TRv2 wordt nooit toegepast op tenantlidgebruikers. Beleid voor binnenkomende/uitgaande toegang tussen tenants is van toepassing. |
| Anoniem (geen geverifieerde sessie) Voorbeeld: Een gebruiker probeert een niet-geverifieerde sessie te gebruiken, bijvoorbeeld in een InPrivate-browservenster, om toegang te krijgen tot een Teams-vergadering. |
Niet geverifieerd | Tenantbeperkingen v2 blokkeert de toegang tot de Teams-vergadering. |
| Extern uitgegeven identiteit (geverifieerde sessie) Voorbeeld: Een gebruiker gebruikt een andere identiteit dan hun thuisidentiteit (bijvoorbeeld user@externaltenant.com) |
Geverifieerd als een extern uitgegeven identiteit | Toegang tot de Teams-vergadering per tenantbeperkingen v2-beleid toestaan of blokkeren. Indien toegestaan door het beleid, kan de gebruiker deelnemen aan de vergadering. Anders wordt de toegang geblokkeerd. |
Tenantbeperkingen v2 en SharePoint Online
SharePoint Online ondersteunt tenantbeperkingen v2 op zowel het verificatievlak als het gegevensvlak.
Geverifieerde sessies
Wanneer tenantbeperkingen v2 zijn ingeschakeld voor een tenant, wordt onbevoegde toegang geblokkeerd tijdens verificatie. Als een gebruiker rechtstreeks toegang heeft tot een SharePoint Online-resource zonder een geverifieerde sessie, wordt deze gevraagd zich aan te melden. Als het beleid voor tenantbeperkingen v2 toegang toestaat, heeft de gebruiker toegang tot de resource; anders wordt de toegang geblokkeerd.
Anonieme toegang (preview)
Als een gebruiker probeert toegang te krijgen tot een anoniem bestand met behulp van de identiteit van de thuistenant of het bedrijf, heeft hij of zij toegang tot het bestand. Maar als de gebruiker probeert toegang te krijgen tot het anonieme bestand met een extern uitgegeven identiteit, wordt de toegang geblokkeerd.
Stel dat een gebruiker een beheerd apparaat gebruikt dat is geconfigureerd met tenantbeperkingen v2 voor Tenant A. Als ze een anonieme toegangskoppeling selecteren die is gegenereerd voor een Tenant A-resource, moeten ze anoniem toegang hebben tot de resource. Maar als ze een anonieme toegangskoppeling selecteren die is gegenereerd voor Tenant B SharePoint Online, wordt ze gevraagd zich aan te melden. Anonieme toegang tot resources met een extern uitgegeven identiteit wordt altijd geblokkeerd.
Tenantbeperkingen v2 en OneDrive
Geverifieerde sessies
Wanneer tenantbeperkingen v2 zijn ingeschakeld voor een tenant, wordt onbevoegde toegang geblokkeerd tijdens verificatie. Als een gebruiker rechtstreeks toegang heeft tot een OneDrive zonder een geverifieerde sessie, wordt hij of zij gevraagd zich aan te melden. Als het beleid voor tenantbeperkingen v2 toegang toestaat, heeft de gebruiker toegang tot de resource; anders wordt de toegang geblokkeerd.
Anonieme toegang (preview)
Net als SharePoint ondersteunt OneDrive tenantbeperkingen v2 op zowel het verificatievlak als het gegevensvlak. Het blokkeren van anonieme toegang tot OneDrive wordt ook ondersteund. Tenantbeperkingen v2-beleidshandhaving werkt bijvoorbeeld op het OneDrive-eindpunt (microsoft-my.sharepoint.com).
Niet binnen bereik
OneDrive voor consumentenaccounts (via onedrive.live.com) biedt geen ondersteuning voor tenantbeperkingen v2. Sommige URL's (zoals onedrive.live.com) zijn nietconverged en gebruiken onze verouderde stack. Wanneer een gebruiker via deze URL's toegang heeft tot de OneDrive-consumententenant, wordt het beleid niet afgedwongen. Als tijdelijke oplossing kunt u blokkeren https://onedrive.live.com/ op proxyniveau.
Aanmeldingslogboeken
Met microsoft Entra-aanmeldingslogboeken kunt u details bekijken over aanmeldingen met een tenantbeperkingen v2-beleid. Wanneer een B2B-gebruiker zich aanmeldt bij een resource-tenant om samen te werken, wordt er een aanmeldingslogboek gegenereerd in zowel de starttenant als de resource-tenant. Deze logboeken bevatten informatie zoals de toepassing die wordt gebruikt, e-mailadressen, tenant-naam en tenant-id voor zowel de start- als de resource-tenant. In het volgende voorbeeld ziet u een geslaagde aanmelding:
Als het aanmelden mislukt, geven de activiteitsgegevens informatie over de reden voor een fout:
Auditlogboeken
De auditlogboeken bevatten records van systeem- en gebruikersactiviteiten, waaronder activiteiten die door gastgebruikers zijn geïnitieerd. U kunt auditlogboeken voor de tenant bekijken onder Bewaking of auditlogboeken voor een specifieke gebruiker bekijken door naar het profiel van de gebruiker te navigeren.
Selecteer een gebeurtenis in het logboek voor meer informatie over de gebeurtenis, bijvoorbeeld:
U kunt deze logboeken ook exporteren vanuit Microsoft Entra ID en het rapportagehulpprogramma van uw keuze gebruiken om aangepaste rapporten op te halen.
Microsoft Graph
Gebruik Microsoft Graph om beleidsinformatie op te halen:
HTTP-aanvraag
Standaardbeleid ophalen
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/defaultStandaardinstelling voor systeem herstellen
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefaultPartnerconfiguratie ophalen
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partnersEen specifieke partnerconfiguratie ophalen
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dadEen specifieke partner bijwerken
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
Aanvraagtekst
"tenantRestrictions": {
"usersAndGroups": {
"accessType": "allowed",
"targets": [
{
"target": "AllUsers",
"targetType": "user"
}
]
},
"applications": {
"accessType": "allowed",
"targets": [
{
"target": "AllApplications",
"targetType": "application"
}
]
}
}
Volgende stappen
Zie Instellingen voor externe samenwerking configureren voor B2B-samenwerking met niet-Azure AD-id's, sociale identiteiten en niet door IT beheerde externe accounts.