Delen via


Niet-goedgekeurde huurders in quarantaine plaatsen

Belangrijk

Raadpleeg dit artikel pas nadat u de veelgestelde vragen over Microsoft Cloud Footprint hebt bekeken om de inventaris van tenants van uw organisatie te ontdekken. In dit artikel vindt u een overzicht van de specifieke bestaande Microsoft Entra-functies die beheerders binnen hun primaire tenant kunnen gebruiken om verdachte niet-goedgekeurde tenants in quarantaine te laten plaatsen in hun ontdekte lijst van tenants.

Wat betekent het om een tenant in quarantaine te plaatsen?

Quarantaine omvat het isoleren van verdachte niet-goedgekeurde tenants met behulp van de mogelijkheden van Microsoft Entra. Dit vermindert onmiddellijk het beveiligingsrisico dat bestaat van blootstelling aan dergelijke tenants waarvoor u geen beheerbeheer hebt binnen uw omgeving. Door zich te isoleren, introduceert u wrijving tussen uw tenant en hun, die fungeert als een schreeuwtest. Deze wrijving vraagt beheerders van de vermoedelijke tenants om contact met u op te nemen als u hulp nodig hebt, zodat u de mogelijkheid hebt om de geldigheid van de relaties met deze tenants te controleren en/of de controle over deze tenants te krijgen. Als niemand contact met u moet opnemen, kunt u de tenants voor onbepaalde tijd in quarantaine laten.

Wanneer moet ik een tenant in quarantaine plaatsen?

U bent een IT-beheerder voor het bedrijf Contoso met de primaire tenant van 'Contoso.com'. Als u gegevens in de centrale Contoso-tenant wilt beveiligen, moet u ervoor zorgen dat gebruikers en toepassingen met bevoorrechte toegang tot uw tenant zich in tenants bevinden die deze resources correct beveiligen. Op dezelfde manier wilt u ervoor zorgen dat externe tenants waarin uw tenant machtigingen heeft, bekend zijn en veilige procedures volgen. Als u Contoso wilt beveiligen, wilt u alle tenants vinden die binnenkomende of uitgaande relaties hebben met uw primaire tenant. Nadat u de veelgestelde vragen over Microsoft Cloud Footprint hebt gevolgd, hebt u enkele potentiële tenants geïdentificeerd die al dan niet tot uw bedrijf behoren. We noemen deze tenants ContosoTest.com en ContosoDemo.com voor scenariodoeleinden. Omdat u niet weet wie de globale beheerders voor deze tenants zijn, maakt u zich zorgen dat ze mogelijk door werknemers worden beheerd en niet voldoen aan het beveiligingsbeleid van uw organisatie. Dit vormt een groot beveiligingsrisico voor uw omgeving als ze onbeheerd blijven. Omdat u geen directe controle hebt over ContosoTest.com en ContosoDemo.com, kunt u alleen instellingen voor de Contoso.com-tenant wijzigen. U wilt ze in quarantaine plaatsen om potentiële beveiligingsproblemen te minimaliseren die afkomstig zijn van de blootstelling aan deze tenants. Het is echter van cruciaal belang dat alle wijzigingen die u aanbrengt gemakkelijk omkeerbaar zijn, zodat er geen kritieke systemen onbedoeld worden beïnvloed in het proces. Na quarantaine hebt u voldoende wrijving tussen uw tenant en de verdachte tenants geïntroduceerd om de beheerders van de tenants aan te moedigen contact op te leggen met uw helpdesk.

Diagram met niet-goedgekeurde huurders die zijn ontdekt in de omgeving.

De beheerder van de ContosoTest.com tenant neemt contact met u op. Op dit moment bepaalt u dat de tenant is gemaakt door werknemers en dat u als beheerder binnen de tenant moet worden toegevoegd om weer controle te krijgen. U plaatst de ContosoTest.com tenant niet meer in quarantaine. Er nemen echter geen beheerders van de ContosoDemo.com-tenant contact met u op, dus laat u de tenant in de quarantaine staan.

Diagram dat een overzicht toont van niet-toegelaten tenants in quarantaine

Hoe kan ik de mogelijkheden van Microsoft Entra gebruiken om verdachte tenants in quarantaine te plaatsen?

Instellingen voor cross-tenant toegang van External ID gebruiken om gebruikersaanmelding te blokkeren

Licentie vereist: Entra ID P1

Acties tegen verdachte tenant:

Microsoft Entra-organisaties kunnen Cross-tenant toegang met Externe ID gebruiken om te bepalen welke gebruikers van andere externe Entra-organisaties toegang hebben tot uw resources en welke gebruikers van uw organisatie toegang hebben tot andere externe Entra-organisaties. Met deze beleidsregels kunt u binnenkomende of uitgaande aanmeldingspogingen beperken met een verdachte tenant zonder de samenwerking met andere tenants te verstoren. Een beheerder kan een organisatie toevoegen en aangepaste instellingen configureren om binnenkomende en uitgaande gebruikerstekens voor de verdachte tenant te blokkeren.

Standaard beveiligd:

Een beheerder kan standaardinstellingen configureren om alle binnenkomende aanmeldingspogingen van externe gebruikers van een verdachte tenant te blokkeren. Op dezelfde manier kunt u de uitgaande gebruikersaanmeldingen van uw eigen tenant naar een verdachte tenant blokkeren. Vervolgens kunt u een organisatie toevoegen en aangepaste instellingen configureren om alleen inkomende en uitgaande gebruikersaanmeldingen van en naar opgegeven tenants toe te staan. Met deze instellingen kunt u uw tenant standaard beveiligen en alleen B2B-samenwerking met vertrouwde tenants toestaan.

Zie voor meer informatie over het beheren van toegangsinstellingen voor meerdere tenants:

Globale beveiligingstoegang en universele tenantbeperkingen gebruiken om aanmelding van gebruikers te blokkeren

Licentie vereist: Entra ID P1

Acties tegen verdachte tenant:
Tenantbeperkingen v2 (TRv2) en Global Secure Access (GSA) verhinderen effectief verificatie in niet-geautoriseerde of verdachte tenants op alle beheerde apparaten en netwerken. Als beheerder kunt u beleidsregels maken om te voorkomen dat gebruikers zich aanmelden bij en toegang krijgen tot de specifieke verdachte tenant met behulp van aangepaste TRv2-configuraties. Vervolgens kunt u deze gemaakte beleidsregels toepassen met behulp van Universal Tenant Restrictions v2 als onderdeel van GSA om zowel verificatievlak- als gegevensvlakbeveiliging te bieden zonder verificatie voor andere bestaande tenants te verstoren.

Standaard beveiligd:

Als beheerder kunt u standaardbeperkingen configureren en gebruikers vervolgens toestaan zich aan te melden en toegang te krijgen tot specifieke organisaties. Microsoft Entra ID voorkomt verificatie voor alle andere tenants zodra beleidsregels worden toegepast met behulp van Universal Tenant Restrictions v2 als onderdeel van GSA. Als u TRv2 inschakelt in de controlemodus en TRv2-beleid toepast met GSA, worden alle activiteiten weergegeven, inclusief pogingen om toegang te krijgen tot buitenlandse tenants.

Zie voor meer informatie over het gebruik van TRv2 en GSA:

Machtigingen intrekken voor multitenant applicaties en service-principals

Licentie vereist: Entra ID P1

Acties tegen verdachte tenant:

Met Microsoft Entra kunnen klanten de toegang tot binnenkomende toepassingen beperken voor apps van derden met meerdere tenants, waarbij de tenant waarin de app is geregistreerd, wordt beschouwd als een verdachte tenant. Om de toegang te beperken, moeten beheerders de juiste service-principal vinden, die overeenkomt met de toepassing die is geregistreerd in de verdachte tenant. De eigenschap appOwnerOrganizationId op het service-principal-object bevat de tenantId waarin de toepassing is geregistreerd. Het vastleggen van deze service-principals kan alleen programmatisch worden uitgevoerd via MSGraph API:

MSGraph: Aanvraagheaders: { ConsistencyLevel: eventual }


GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$filter=appOwnerOrganizationId eq {tenantId}

Nadat u de juiste service-principal hebt gevonden, kunt u machtigingen bekijken en intrekken die aan de toepassing zijn verleend of de service-principal allemaal samen verwijderen. Het verwijderen van een service-principal is een herstelbare actie die binnen 30 dagen kan worden hersteld.

Zie Apps & service-principals in Microsoft Entra ID voor meer informatie over multitenant-apps en service-principals.

Abonnementen annuleren die zijn ingericht in verdachte gebruikersomgevingen

Licentie vereist: Geen, beschikbaar voor alle betalende klanten met een Microsoft-factureringsaccount

Acties tegen verdachte tenant:

Gebruik de volgende resources wanneer u een tenant detecteert op basis van uw factureringsrekeningrelaties, maar niet de tenant herkent waarin de abonnementsservices zijn ingericht. Geannuleerde Azure- en Microsoft 365-abonnementen kunnen opnieuw worden geactiveerd tijdens de respijtperiode (30 tot 90 dagen na annuleren) voordat ze definitief worden verwijderd. Neem indien nodig contact op met de ondersteuning voor hulp bij het annuleren en verwijderen van abonnementen.