Delen via

Universele tenantbeperkingen

  • Artikel

Universele tenantbeperkingen verbeteren de functionaliteit van tenantbeperking v2 met behulp van Global Secure Access (preview) om al het verkeer te taggen, ongeacht het besturingssysteem, de browser of de formulierfactor van het apparaat. Het biedt ondersteuning voor zowel client- als externe netwerkconnectiviteit. Beheer istrators hoeven geen proxyserverconfiguraties of complexe netwerkconfiguraties meer te beheren.

Universal Tenant Restrictions voert deze afdwinging uit met behulp van global Secure Access based policy signaling for both the authentication and data plane. Met tenantbeperkingen v2 kunnen ondernemingen gegevensexfiltratie voorkomen door gebruikers die externe tenantidentiteiten gebruiken voor geïntegreerde Microsoft Entra-toepassingen zoals Microsoft Graph, SharePoint Online en Exchange Online. Deze technologieën werken samen om gegevensexfiltratie universeel te voorkomen op alle apparaten en netwerken.

Diagram waarin wordt getoond hoe tenantbeperkingen v2 worden beschermd tegen kwaadwillende gebruikers.

In de volgende tabel worden de stappen beschreven die op elk punt in het vorige diagram zijn uitgevoerd.

Stap Omschrijving
1 Contoso configureert een tenantbeperkingen v2-beleid in hun instellingen voor toegang tussen tenants om alle externe accounts en externe apps te blokkeren. Contoso dwingt het beleid af met behulp van universele tenantbeperkingen van Global Secure Access.
2 Een gebruiker met een door Contoso beheerd apparaat probeert toegang te krijgen tot een geïntegreerde Microsoft Entra-app met een niet-opgegeven externe identiteit.
3 Beveiliging van verificatievlak: Met behulp van Microsoft Entra-id blokkeert het beleid van Contoso dat niet-opgegeven externe accounts geen toegang hebben tot externe tenants.
4 Gegevensvlakbeveiliging: als de gebruiker opnieuw toegang probeert te krijgen tot een externe niet-opgegeven toepassing door een verificatieantwoordtoken te kopiëren dat ze buiten het netwerk van Contoso hebben verkregen en deze in het apparaat plakken, worden ze geblokkeerd. Het token komt niet overeen met verificatie en blokkeert de toegang. Voor SharePoint Online wordt elke poging om anoniem toegang te krijgen tot resources geblokkeerd.

Universele tenantbeperkingen helpen om gegevensexfiltratie tussen browsers, apparaten en netwerken op de volgende manieren te voorkomen:

  • Hiermee kunnen Microsoft Entra ID-, Microsoft-accounts en Microsoft 365-toepassingen het bijbehorende tenantbeperkingen v2-beleid opzoeken en afdwingen. Deze zoekopdracht maakt consistente beleidstoepassing mogelijk.
  • Werkt met alle door Microsoft Entra geïntegreerde apps van derden op het verificatievlak tijdens het aanmelden.
  • Werkt met Exchange, SharePoint en Microsoft Graph voor gegevensvlakbeveiliging.

Vereisten

  • Beheer istrators die interactie hebben met De preview-functies van Global Secure Access moeten een of meer van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren.
    • De rol global Secure Access Beheer istrator om de preview-functies van Global Secure Access te beheren.
    • De Beheer istrator voor voorwaardelijke toegang om beleid voor voorwaardelijke toegang te maken en te gebruiken.
  • Voor de preview is een Licentie voor Microsoft Entra ID P1 vereist. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

Bekende beperkingen

  • Als u universele tenantbeperkingen hebt ingeschakeld en u toegang hebt tot het Microsoft Entra-beheercentrum voor een van de toegestane tenants, ziet u mogelijk de foutmelding 'Toegang geweigerd'. Voeg de volgende functievlag toe aan het Microsoft Entra-beheercentrum:
    • ?feature.msaljs=true&exp.msaljsexp=true
    • U werkt bijvoorbeeld voor Contoso en u hebt Fabrikam als partnertenant toegestaan. Mogelijk ziet u het foutbericht voor het Microsoft Entra-beheercentrum van de Fabrikam-tenant.
      • Als u het foutbericht 'Toegang geweigerd' voor deze URL hebt ontvangen, https://entra.microsoft.com/ voegt u de functievlag als volgt toe: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Tenantbeperkingen v2-beleid configureren

Voordat een organisatie universele tenantbeperkingen kan gebruiken, moeten ze zowel de standaardtenantbeperkingen als tenantbeperkingen voor specifieke partners configureren.

Zie het artikel Tenantbeperkingen V2 (preview) instellen voor meer informatie over het configureren van dit beleid.

Schermopname van een voorbeeld van een tenantbeperkingsbeleid in de portal.

Taggen inschakelen voor tenantbeperkingen v2

Zodra u het tenantbeperkingsbeleid v2 hebt gemaakt, kunt u Global Secure Access gebruiken om tags toe te passen op tenantbeperkingen v2. Een beheerder met de rollen Global Secure Access Beheer istrator en Security Beheer istrator moet de volgende stappen uitvoeren om afdwinging met Global Secure Access mogelijk te maken.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als een global Secure Access Beheer istrator.
  2. Blader naar global Secure Access>Global Instellingen> Session Management>Tenant Restrictions.
  3. Selecteer de wisselknop Tagging inschakelen om tenantbeperkingen op uw netwerk af te dwingen.
  4. Selecteer Opslaan.

Schermopname van de wisselknop om taggen in te schakelen.

Probeer universele tenantbeperkingen met SharePoint Online.

Deze mogelijkheid werkt hetzelfde voor Exchange Online en Microsoft Graph in de volgende voorbeelden waarin wordt uitgelegd hoe u deze in actie kunt zien in uw eigen omgeving.

Probeer het verificatiepad:

  1. Als universele tenantbeperkingen zijn uitgeschakeld in globale instellingen van Global Secure Access.
  2. Ga naar SharePoint Online, https://yourcompanyname.sharepoint.com/met een externe identiteit die niet is toegestaan in een tenantbeperkingen v2-beleid.
    1. Bijvoorbeeld een Fabrikam-gebruiker in de Fabrikam-tenant.
    2. De Fabrikam-gebruiker moet toegang hebben tot SharePoint Online.
  3. Schakel universele tenantbeperkingen in.
  4. Als eindgebruiker gaat u met de global Secure Access-client die wordt uitgevoerd naar SharePoint Online met een externe identiteit die niet expliciet is toegestaan.
    1. Bijvoorbeeld een Fabrikam-gebruiker in de Fabrikam-tenant.
    2. De Fabrikam-gebruiker moet worden geblokkeerd voor toegang tot SharePoint Online met een foutbericht met de mededeling:
      1. Toegang wordt geblokkeerd, de IT-afdeling van Contoso heeft beperkt waartoe organisaties toegang hebben. Neem contact op met de IT-afdeling van Contoso om toegang te krijgen.

Het gegevenspad proberen

  1. Als universele tenantbeperkingen zijn uitgeschakeld in globale instellingen van Global Secure Access.
  2. Ga naar SharePoint Online, https://yourcompanyname.sharepoint.com/met een externe identiteit die niet is toegestaan in een tenantbeperkingen v2-beleid.
    1. Bijvoorbeeld een Fabrikam-gebruiker in de Fabrikam-tenant.
    2. De Fabrikam-gebruiker moet toegang hebben tot SharePoint Online.
  3. Ga in dezelfde browser met SharePoint Online naar Ontwikkelhulpprogramma's of druk op F12 op het toetsenbord. Begin met het vastleggen van de netwerklogboeken. Als alles werkt zoals verwacht, ziet u status 200.
  4. Zorg ervoor dat de optie Logboek behouden is ingeschakeld voordat u doorgaat.
  5. Houd het browservenster geopend met de logboeken.
  6. Schakel universele tenantbeperkingen in.
  7. Als fabrikam-gebruiker worden in de browser met SharePoint Online binnen enkele minuten nieuwe logboeken weergegeven. Bovendien kan de browser zichzelf vernieuwen op basis van de aanvraag en reacties die plaatsvinden in de back-end. Als de browser na een paar minuten niet automatisch wordt vernieuwd, drukt u op Vernieuwen in de browser met SharePoint Online geopend.
    1. De Fabrikam-gebruiker ziet dat de toegang nu wordt geblokkeerd en zegt:
      1. Toegang wordt geblokkeerd, de IT-afdeling van Contoso heeft beperkt waartoe organisaties toegang hebben. Neem contact op met de IT-afdeling van Contoso om toegang te krijgen.
  8. Zoek in de logboeken naar een status van 302. Deze rij toont universele tenantbeperkingen die worden toegepast op het verkeer.
    1. Controleer in hetzelfde antwoord de headers op de volgende informatie die aangeeft dat universele tenantbeperkingen zijn toegepast:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

Gebruiksvoorwaarden

Uw gebruik van de Microsoft Entra-privétoegang en Microsoft Entra-internettoegang preview-ervaringen en -functies is onderhevig aan de voorwaarden van de online online servicevoorwaarden van de overeenkomst(en) waaronder u de services hebt verkregen. Previews kunnen onderhevig zijn aan verminderde of andere verplichtingen op het gebied van beveiliging, naleving en privacy, zoals verder wordt uitgelegd in de universele licentievoorwaarden voor onlineservices en de Microsoft-gegevensbeschermingstoevoeging ('DPA') en eventuele andere kennisgevingen die bij de preview worden geleverd.

Volgende stappen

De volgende stap voor het aan de slag gaan met Microsoft Entra-internettoegang is het inschakelen van verbeterde global Secure Access-signalering.

Zie de volgende artikelen voor meer informatie over het beleid voor voorwaardelijke toegang voor Global Secure Access (preview):