Universele tenantbeperkingen
Universele tenantbeperkingen verbeteren de functionaliteit van tenantbeperking v2 met behulp van Global Secure Access om al het verkeer te taggen, ongeacht het besturingssysteem, de browser of de formulierfactor van het apparaat. Het biedt ondersteuning voor zowel client- als externe netwerkconnectiviteit. Beheerders hoeven geen proxyserverconfiguraties of complexe netwerkconfiguraties meer te beheren.
Universele tenantbeperkingen doen dit afdwingen met behulp van beleid op basis van globale beveiligde toegang voor zowel het verificatievlak (algemeen beschikbaar) als het gegevensvlak (preview). Met tenantbeperkingen v2 kunnen ondernemingen gegevensexfiltratie voorkomen door gebruikers die externe tenantidentiteiten gebruiken voor geïntegreerde Microsoft Entra-toepassingen zoals Microsoft Graph, SharePoint Online en Exchange Online. Deze technologieën werken samen om gegevensexfiltratie universeel te voorkomen op alle apparaten en netwerken.
In de volgende tabel worden de stappen beschreven die op elk punt in het vorige diagram zijn uitgevoerd.
| Stap | Omschrijving |
|---|---|
| 1 | Contoso configureert een beleid voor **tenantbeperkingen v2 ** in hun instellingen voor toegang tot meerdere tenants om alle externe accounts en externe apps te blokkeren. Contoso dwingt het beleid af met behulp van universele tenantbeperkingen van Global Secure Access. |
| 2 | Een gebruiker met een door Contoso beheerd apparaat probeert toegang te krijgen tot een geïntegreerde Microsoft Entra-app met een niet-opgegeven externe identiteit. |
| 3 | Beveiliging van verificatievlak: Met behulp van Microsoft Entra-id blokkeert het beleid van Contoso dat niet-opgegeven externe accounts geen toegang hebben tot externe tenants. |
| 4 | Gegevensvlakbeveiliging: als de gebruiker opnieuw toegang probeert te krijgen tot een externe niet-opgegeven toepassing door een verificatieantwoordtoken te kopiëren dat ze buiten het netwerk van Contoso hebben verkregen en deze in het apparaat plakken, worden ze geblokkeerd. Het token komt niet overeen met verificatie en blokkeert de toegang. Voor SharePoint Online wordt elke poging om anoniem toegang te krijgen tot resources geblokkeerd. |
Universele tenantbeperkingen helpen om gegevensexfiltratie tussen browsers, apparaten en netwerken op de volgende manieren te voorkomen:
- Hiermee kunnen Microsoft Entra ID-, Microsoft-accounts en Microsoft-toepassingen de bijbehorende tenantbeperkingen v2-beleid opzoeken en afdwingen. Deze zoekopdracht maakt consistente beleidstoepassing mogelijk.
- Werkt met alle door Microsoft Entra geïntegreerde apps van derden op het verificatievlak tijdens het aanmelden.
- Werkt met Exchange, SharePoint en Microsoft Graph voor gegevensvlakbeveiliging (preview)
Vereisten
- Beheerders die werken met globale beveiligde toegangsfuncties , moeten een of meer van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren.
- Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.
Bekende beperkingen
- De mogelijkheden voor gegevensvlakbeveiliging zijn beschikbaar als preview-versie (beveiliging van verificatievlak is algemeen beschikbaar)
- Als u universele tenantbeperkingen hebt ingeschakeld en u toegang hebt tot het Microsoft Entra-beheercentrum voor een van de toegestane tenants, ziet u mogelijk de foutmelding 'Toegang geweigerd'. Voeg de volgende functievlag toe aan het Microsoft Entra-beheercentrum:
?feature.msaljs=true&exp.msaljsexp=true- U werkt bijvoorbeeld voor Contoso en u hebt Fabrikam als partnertenant toegestaan. Mogelijk ziet u het foutbericht voor het Microsoft Entra-beheercentrum van de Fabrikam-tenant.
- Als u het foutbericht 'Toegang geweigerd' voor deze URL hebt ontvangen,
https://entra.microsoft.com/voegt u de functievlag als volgt toe:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- Als u het foutbericht 'Toegang geweigerd' voor deze URL hebt ontvangen,
Tenantbeperkingen v2-beleid configureren
Voordat een organisatie universele tenantbeperkingen kan gebruiken, moeten ze zowel de standaardtenantbeperkingen als tenantbeperkingen voor specifieke partners configureren.
Zie het artikel Tenantbeperkingen instellen v2 voor meer informatie over het configureren van dit beleid.
Taggen inschakelen voor tenantbeperkingen v2
Zodra u het tenantbeperkingsbeleid v2 hebt gemaakt, kunt u Global Secure Access gebruiken om tags toe te passen op tenantbeperkingen v2. Een beheerder met zowel de rol Globale beveiligingstoegangsbeheerder als beveiligingsbeheerder moet de volgende stappen uitvoeren om afdwinging met globale beveiligde toegang mogelijk te maken.
- Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.
- Blader naar algemene beperkingen voor het beheer>van de universele tenant voor instellingen voor beveiligde toegang.>>
- Selecteer de wisselknop om Tenantbeperkingen in te schakelen voor Entra ID (met alle cloud-apps).
Universal Tenant Restrictions (Universal Tenant Restrictions) proberen
Tenantbeperkingen worden niet afgedwongen wanneer een gebruiker (of een gastgebruiker) toegang probeert te krijgen tot resources in de tenant waarin het beleid is geconfigureerd. Tenantbeperkingen v2-beleid worden alleen verwerkt wanneer een identiteit van een andere tenant probeert zich aan te aanmelden en/of toegang heeft tot resources. Als u bijvoorbeeld een tenantbeperkingen v2-beleid in de tenant contoso.com configureert om alle organisaties fabrikam.comte blokkeren, wordt het beleid toegepast op basis van deze tabel:
| User | Type | Tenant | TRv2-beleid verwerkt? | Geverifieerde toegang toegestaan? | Anonieme toegang toegestaan? |
|---|---|---|---|---|---|
alice@contoso.com |
Lid | contoso.com | Nee(dezelfde tenant) | Ja | Nr. |
alice@fabrikam.com |
Lid | fabrikam.com | Ja | Ja (tenant toegestaan door beleid) | Nee |
bob@northwinds.com |
Lid | northwinds.com | Ja | Nee(tenant niet toegestaan door beleid) | Nee |
alice@contoso.com |
Lid | contoso.com | Nee(dezelfde tenant) | Ja | Nr. |
bob_northwinds.com#EXT#@contoso.com |
Gast | contoso.com | Nee (gastgebruiker) | Ja | Nr. |
De beveiliging van het verificatievlak valideren
- Zorg ervoor dat universal tenant restrictions signaling is uitgeschakeld in global Secure Access-instellingen.
- Gebruik uw browser om te navigeren naar
https://myapps.microsoft.com/en u aan te melden met de identiteit van een andere tenant dan die van u die niet is toegestaan in een tenantbeperkingen v2-beleid. Mogelijk moet u een privébrowservenster gebruiken en/of u afmelden bij uw primaire account om deze stap uit te voeren.- Als uw tenant bijvoorbeeld Contoso is, meldt u zich aan als fabrikam-gebruiker in de Fabrikam-tenant.
- De Fabrikam-gebruiker moet toegang hebben tot de MyApps-portal, omdat tenantbeperkingen worden uitgeschakeld in Global Secure Access.
- Schakel universele tenantbeperkingen in het Microsoft Entra-beheercentrum -> Global Secure Access -> Session Management -> Universal Tenant Restrictions in.
- Meld u af bij de MyApps-portal en start uw browser opnieuw.
- Als eindgebruiker, waarbij de Global Secure Access-client wordt uitgevoerd,
https://myapps.microsoft.com/heeft deze toegang met dezelfde identiteit (Fabrikam-gebruiker in de Fabrikam-tenant).- De Fabrikam-gebruiker moet worden geblokkeerd voor verificatie bij MyApps met het foutbericht: Toegang wordt geblokkeerd, de IT-afdeling van Contoso heeft beperkt waartoe organisaties toegang hebben. Neem contact op met de IT-afdeling van Contoso om toegang te krijgen.
De beveiliging van het gegevensvlak valideren
- Zorg ervoor dat de signalering voor universele tenantbeperkingen is uitgeschakeld in de algemene instellingen voor beveiligde toegang.
- Gebruik uw browser om te navigeren naar
https://yourcompany.sharepoint.com/en u aan te melden met de identiteit van een andere tenant dan die van u die niet is toegestaan in een tenantbeperkingen v2-beleid. Mogelijk moet u een privébrowservenster gebruiken en/of u afmelden bij uw primaire account om deze stap uit te voeren.- Als uw tenant bijvoorbeeld Contoso is, meldt u zich aan als fabrikam-gebruiker in de Fabrikam-tenant.
- De Fabrikam-gebruiker moet toegang hebben tot SharePoint, omdat tenantbeperkingen v2-signalering is uitgeschakeld in Global Secure Access.
- U kunt desgewenst in dezelfde browser met SharePoint Online ontwikkelhulpprogramma's openen of op F12 op het toetsenbord drukken. Begin met het vastleggen van de netwerklogboeken. U ziet dat HTTP-aanvragen de status
200retourneren terwijl u door SharePoint navigeert wanneer alles werkt zoals verwacht. - Zorg ervoor dat de optie Logboek behouden is ingeschakeld voordat u doorgaat.
- Houd het browservenster geopend met de logboeken.
- Schakel Universal Tenant Restrictions in in het Microsoft Entra-beheercentrum -> Global Secure Access -> Session Management -> Universal Tenant Restrictions.
- Als fabrikam-gebruiker worden in de browser met SharePoint Online binnen enkele minuten nieuwe logboeken weergegeven. Bovendien kan de browser zichzelf vernieuwen op basis van de aanvraag en reacties die plaatsvinden in de back-end. Als de browser na een paar minuten niet automatisch wordt vernieuwd, vernieuwt u de pagina.
- De Fabrikam-gebruiker ziet dat de toegang nu wordt geblokkeerd met het bericht: Toegang is geblokkeerd, de IT-afdeling van Contoso heeft beperkt waartoe organisaties toegang hebben. Neem contact op met de IT-afdeling van Contoso om toegang te krijgen.
- Zoek in de logboeken naar een status van
302. Deze rij toont universele tenantbeperkingen die worden toegepast op het verkeer.- Controleer in hetzelfde antwoord de headers op de volgende informatie die aangeeft dat universele tenantbeperkingen zijn toegepast:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- Controleer in hetzelfde antwoord de headers op de volgende informatie die aangeeft dat universele tenantbeperkingen zijn toegepast: