Delen via

Een tenantbeperkingen v1-migratie naar tenantbeperkingen v2 plannen

  • Artikel

Van toepassing op: Groene cirkel met een wit vinkje. Werknemers huurders Witte cirkel met een grijs X-symbool. Externe huurders (meer informatie)

Beheerders gebruiken tenantbeperkingen v1 om gebruikerstoegang tot externe tenants in hun netwerk te beheren. Tenantbeperkingen v2 met instellingen voor toegang tussen tenants voegt echter beperkingen op tenantniveau en meer granulariteit toe, zoals afzonderlijke gebruikers, groepen en toepassingsbesturingselementen. Tenantbeperkingen v2 verplaatst beleidsbeheer van netwerkproxy's naar een cloudportal. Organisaties bereiken niet langer een maximum aantal gerichte huurders vanwege beperkingen van de grootte van de proxy-header.

Migratie van tenantbeperkingen v1 naar tenantbeperkingen v2 is een eenmalig proces zonder andere licentievereisten. Neem tijdens het plannen van de migratie belanghebbenden van netwerken en identiteitsteams op.

Vereisten

Zorg dat aan de volgende vereisten wordt voldaan.

Vereiste rollen

In deze sectie zijn de rollen met minimale bevoegdheden vereist voor de implementatie. Gebruik de rol Beveiligingsbeheerder of een aangepaste rol met ten minste de volgende machtigingen.

Microsoft.directory/crossTenantAccessPolicy/

  • Standaard/leesmodus
  • Partners/standaard/lezen
  • Standaard/standaard/lezen
  • Basis/bijwerken
  • Standaard/huurderBeperkingen/bijwerken
  • Partners/tenantBeperkingen/update
  • Partners/aanmaken
  • Partners/b2bSamenwerking/bijwerken
  • Standaard/B2B-samenwerking/bijwerken

Beleid voor het opstellen en invoeren van nieuwe huurderbeperkingen

Verkrijg de huidige headertekenreeks die uw proxies injecteren. Evalueer het huidige beleid en verwijder ongewenste tenant-id's of toegestane bestemmingen. Maak na de evaluatie een lijst met externe tenant-id's en/of externe domeinen.

Configureer de tenantoverschrijdende toegangsinstellingen en de tenantbeperkingen v2-beleidsregels voor de migratie. Instellingen voor uitgaande toegang over tenant-grenzen heen definiëren de tenants waartoe interne identiteiten toegang hebben. In instellingen voor toegang tussen tenants bepaalt tenantbeperkingen v2 welke tenants toegang hebben tot andere externe identiteiten in uw beheerde netwerk.

Technische overwegingen

Wanneer u de uitgaande toegang tussen tenants configureert, treedt het beleid binnen één uur in werking en wordt het beoordeeld naast het beleid inzake tenantbeperkingen v1. Instellingen voor toegang tussen tenants en tenantbeperkingen v1 worden geëvalueerd en de meest beperkende wordt toegepast. Omdat deze actie invloed kan hebben op gebruikers, moet u het beleid voor tenantbeperkingen v1 zoveel mogelijk spiegelen in het nieuwe beleid om negatieve gevolgen voor gebruikers te voorkomen. Het beleid voor tenantbeperkingen v2 dat u configureert in instellingen voor toegang tussen tenants wordt van kracht nadat u uw proxy's hebt bijgewerkt met de nieuwe header.

Notitie

De volgende sectie bevat migratie- en configuratiebeheer voor veelvoorkomende scenario's. Gebruik deze richtlijnen om het beleid te maken dat uw organisatie nodig heeft.

Alleen interne identiteiten toegang tot specifieke externe tenants toestaan

Interne identiteiten, zoals werknemers, toegang geven tot specifieke externe tenants in uw beheerde netwerk. Toegang tot niet-vermelde tenants voor interne identiteiten blokkeren. Blokkeer externe identiteiten, zoals aannemers en leveranciers, voor toegang tot alle externe gebruikers.

  1. Voeg in de toegangsinstellingen voor meerdere tenants elk domein/tenant toe als organisatie onder Organisatie-instellingen.

  2. Als u alle gebruikers en groepen wilt toestaan en alle toepassingen wilt toestaan, configureert u voor elke toegevoegde organisatie uitgaande toegang voor B2B-samenwerking.

    Schermopname van het tabblad Organisatie-instellingen onder toegangsinstellingen voor meerdere tenants.

  3. Als u alle gebruikers en groepen en alle toepassingen voor B2B-samenwerking wilt blokkeren, configureert u de standaardinstellingen voor uitgaande toegang tussen tenants. Deze actie is alleen van toepassing op tenants die niet zijn toegevoegd in stap 1.

    Schermopname van het tabblad Standaardinstellingen onder toegangsinstellingen voor meerdere tenants.

  4. In standaardinstellingen voor tenantbeperkingen maakt u de beleids-id (indien niet gemaakt) en configureert u het beleid om alle gebruikers, groepen en externe toepassingen te blokkeren. Deze actie is alleen van toepassing op tenants die niet zijn toegevoegd in stap 1.

    Schermopname van de standaardinstellingen voor tenantbeperkingen.

Interne en externe identiteiten toegang geven tot specifieke externe tenants

Interne identiteiten, zoals werknemers en externe identiteiten, zoals aannemers en leveranciers, toestaan om toegang te krijgen tot specifieke externe tenants in uw beheerde netwerk. Blokkeer toegang tot niet-toegestane tenants voor alle identiteiten.

  1. Voeg in de toegangsinstellingen voor meerdere tenants elke domein-/tenant-id toe als organisatie onder Organisatie-instellingen.

  2. Voor elke toegevoegde organisatie om interne identiteiten in te schakelen, configureert u uitgaande toegang voor B2B-samenwerking om alle gebruikers, groepen en toepassingen toe te staan.

  3. Voor elke toegevoegde organisatie om externe identiteiten in te schakelen, configureert u de tenantbeperkingen van de organisatie om alle gebruikers, groepen en toepassingen toe te staan.

    Schermopname van details van uitgaande toegang en tenantbeperkingen onder Organisatie-instellingen.

  4. Als u alle gebruikers, groepen en toepassingen voor B2B-samenwerking wilt blokkeren, configureert u de standaardinstellingen voor uitgaande toegang voor meerdere tenants. Deze actie is alleen van toepassing op tenants die niet zijn toegevoegd in stap 1.

    Schermopname van instellingen voor uitgaande toegang onder Standaardinstellingen.

  5. In standaardinstellingen voor tenantbeperkingen maakt u de beleids-id (indien niet gemaakt) en configureert u het beleid om alle gebruikers, groepen en externe toepassingen te blokkeren. Deze actie is alleen van toepassing op tenants die niet zijn toegevoegd in stap 1.

    Schermopname van tenantbeperkingen, met externe gebruikers en groepen, ook externe apps.

    Notitie

    Voeg een organisatie toe met de volgende tenant-id: 9188040d-6c67-4c5b-b112-36a304b66dad om Microsoft-accounts (MSA's) van consumenten te targeten.

    Tip

    Het beleid voor tenantbeperkingen v2 is gemaakt, maar niet van kracht.

Tenantbeperkingen v2 inschakelen

Maak een nieuwe header met behulp van uw tenant-id en beleids-id-waarden. Werk uw netwerkproxy's bij om een nieuwe header te injecteren.

Notitie

Wanneer u een netwerkproxy bijwerkt om de nieuwe header Sec-Restrict-Tenant-Access-Policy te injecteren, verwijdert u de twee tenantbeperkingen v1-headers: Restrict-Access-To-Tenants en Restrict-Access-Context.

Tip

Werk de netwerkproxy's bij in een gefaseerde implementatie. Sla de huidige tenantbeperkingen v1-headers en -waarden op.

Belangrijk

Maak een terugdraaiplan om u te helpen bij het navigeren door potentiële problemen.

Gebruik een van de volgende patronen om uw proxyconfiguratie te migreren. Zorg ervoor dat uw proxy het patroon ondersteunt dat u selecteert.

  • Upgrade één proxy tegelijk met de tenantbeperkingen v2-header : gebruikers die via deze proxy uitgaan, ontvangen de bijgewerkte header en het nieuwe beleid is van toepassing. Controleren op problemen. Als er geen problemen optreden, werkt u de volgende proxy bij en gaat u door totdat u alle proxy's bijwerkt.
  • Updateheaderinjectie op basis van gebruikers : sommige proxy's vereisen geverifieerde gebruikers en kunnen selecteren welke header moet worden geïnjecteerd op basis van gebruikers en groepen. De nieuwe tenantbeperkingen v2-header implementeren voor een testgroep gebruikers. Controleren op problemen. Als er geen problemen optreden, voegt u meer gebruikers toe in fasen totdat 100% van het verkeer binnen het bereik valt.
  • Werk de service bij om de nieuwe tenantbeperkingen v2-header tegelijk toe te passen. Deze optie wordt niet aanbevolen.

Wanneer u de nieuwe header-updates implementeert, test en valideert u of gebruikers het verwachte gedrag ervaren.

Monitor

Wanneer tenantbeperkingen v2 en uitgaande toegangsinstellingen voor meerdere tenants worden geïmplementeerd, controleert u uw aanmeldingslogboeken en/of gebruikt u de werkmap voor activiteiten tussen tenants om te controleren of gebruikers geen toegang hebben tot onbevoegde tenants. Met deze hulpprogramma's kunt u bepalen wie toegang heeft tot welke externe toepassingen. U kunt de instellingen voor uitgaande toegang tussen tenants en tenantbeperkingen configureren om de uitgaande toegang te beperken op basis van groepslidmaatschap en/of bepaalde toepassingen.

Volgende stappen