Ograniczenia dzierżawy uniwersalnej
Ograniczenia dzierżawy uniwersalnej zwiększają funkcjonalność ograniczeń dzierżawy w wersji 2 przy użyciu globalnego bezpiecznego dostępu do tagowania całego ruchu niezależnie od systemu operacyjnego, przeglądarki lub składnika formularza urządzenia. Umożliwia obsługę zarówno łączności klienta, jak i zdalnej sieci. Administratorzy nie muszą już zarządzać konfiguracjami serwera proxy ani złożonymi konfiguracjami sieci.
Ograniczenia dzierżawy uniwersalnej wymuszają stosowanie sygnałów globalnych zasad opartych na bezpiecznym dostępie zarówno dla płaszczyzny uwierzytelniania (ogólnie dostępnej) jak i płaszczyzny danych (wersja zapoznawcza). Ograniczenia dzierżawy w wersji 2 umożliwiają przedsiębiorstwom zapobieganie eksfiltracji danych przez użytkowników korzystających z zewnętrznych tożsamości dzierżaw dla zintegrowanych aplikacji firmy Microsoft, takich jak Microsoft Graph, SharePoint Online i Exchange Online. Te technologie współpracują ze sobą, aby zapobiec eksfiltracji danych powszechnie we wszystkich urządzeniach i sieciach.
W poniższej tabeli opisano kroki wykonywane w każdym momencie na poprzednim diagramie.
Krok | opis |
---|---|
1 | Firma Contoso konfiguruje zasady **ograniczeń dzierżawy w wersji 2** w ustawieniach dostępu między dzierżawami, aby zablokować wszystkie konta zewnętrzne i aplikacje zewnętrzne. Firma Contoso wymusza zasady przy użyciu globalnych ograniczeń dzierżawy uniwersalnej bezpiecznego dostępu. |
2 | Użytkownik z urządzeniem zarządzanym przez firmę Contoso próbuje uzyskać dostęp do zintegrowanej aplikacji firmy Microsoft Entra z niezaakceptowaną tożsamością zewnętrzną. |
3 | Ochrona płaszczyzny uwierzytelniania: przy użyciu identyfikatora Entra firmy Microsoft zasady firmy Contoso blokują niezaakceptowane konta zewnętrzne z uzyskiwania dostępu do dzierżaw zewnętrznych. |
4 | Ochrona płaszczyzny danych: jeśli użytkownik ponownie spróbuje uzyskać dostęp do zewnętrznej niezaakceptowanej aplikacji, kopiując token odpowiedzi uwierzytelniania uzyskany poza siecią firmy Contoso i wklejając go do urządzenia, zostaną one zablokowane. Niezgodność tokenu wyzwala ponowne uwierzytelnianie i blokuje dostęp. W przypadku usługi SharePoint Online wszelkie próby anonimowego uzyskiwania dostępu do zasobów zostaną zablokowane. |
Ograniczenia dzierżawy uniwersalnej pomagają zapobiegać eksfiltracji danych w przeglądarkach, urządzeniach i sieciach w następujący sposób:
- Umożliwia ona aplikacjom Microsoft Entra ID, Microsoft Accounts i Microsoft wyszukiwanie i wymuszanie skojarzonych ograniczeń dzierżawy w wersji 2. To wyszukiwanie umożliwia spójną aplikację zasad.
- Współpracuje ze wszystkimi zintegrowanymi aplikacjami innych firm firmy Microsoft na płaszczyźnie uwierzytelniania podczas logowania.
- Współpracuje z programem Exchange, programem SharePoint i programem Microsoft Graph w celu ochrony płaszczyzny danych (wersja zapoznawcza)
Wymagania wstępne
- Administratorzy korzystający z funkcji globalnego bezpiecznego dostępu muszą mieć co najmniej jedno z następujących przypisań ról w zależności od wykonywanych zadań.
- Rola Administratora globalnego bezpiecznego dostępu do zarządzania funkcjami globalnego bezpiecznego dostępu.
- Administrator dostępu warunkowego do tworzenia zasad dostępu warunkowego i interakcji z nimi.
- Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.
Znane ograniczenia
- Funkcje ochrony płaszczyzny danych są dostępne w wersji zapoznawczej (ochrona płaszczyzny uwierzytelniania jest ogólnie dostępna)
- Jeśli włączono ograniczenia dzierżawy uniwersalnej i uzyskujesz dostęp do centrum administracyjnego firmy Microsoft Entra dla jednej z dozwolonych dzierżaw, może zostać wyświetlony błąd "Odmowa dostępu". Dodaj następującą flagę funkcji do centrum administracyjnego firmy Microsoft Entra:
?feature.msaljs=true&exp.msaljsexp=true
- Na przykład pracujesz dla firmy Contoso i masz dozwoloną nazwę Fabrikam jako dzierżawę partnera. Może zostać wyświetlony komunikat o błędzie centrum administracyjnego firmy Microsoft Entra dzierżawy firmy Fabrikam.
- Jeśli został wyświetlony komunikat o błędzie "Odmowa dostępu" dla tego adresu URL:
https://entra.microsoft.com/
dodaj flagę funkcji w następujący sposób:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- Jeśli został wyświetlony komunikat o błędzie "Odmowa dostępu" dla tego adresu URL:
Konfigurowanie zasad ograniczeń dzierżawy w wersji 2
Aby organizacja mogła korzystać z ograniczeń dzierżawy uniwersalnej, musi skonfigurować zarówno domyślne ograniczenia dzierżawy, jak i ograniczenia dzierżawy dla określonych partnerów.
Aby uzyskać więcej informacji na temat konfigurowania tych zasad, zobacz artykuł Konfigurowanie ograniczeń dzierżawy w wersji 2.
Włączanie tagowania dla ograniczeń dzierżawy w wersji 2
Po utworzeniu zasad ograniczeń dzierżawy w wersji 2 można użyć globalnego bezpiecznego dostępu do stosowania tagowania dla ograniczeń dzierżawy w wersji 2. Administrator z rolami administratora globalnego bezpiecznego dostępu i administratora zabezpieczeń musi wykonać następujące kroki, aby włączyć wymuszanie z użyciem globalnego bezpiecznego dostępu.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
- Przejdź do obszaru Globalne ograniczenia uniwersalnej dzierżawy zarządzania ustawieniami>bezpiecznego dostępu.>>
- Wybierz przełącznik Włącz ograniczenia dzierżawy dla identyfikatora entra (obejmujące wszystkie aplikacje w chmurze).
Wypróbuj ograniczenia dzierżawy uniwersalnej
Ograniczenia dzierżawy nie są wymuszane, gdy użytkownik (lub użytkownik-gość) próbuje uzyskać dostęp do zasobów w dzierżawie, w której skonfigurowano zasady. Ograniczenia dzierżawy w wersji 2 są przetwarzane tylko wtedy, gdy tożsamość z innej dzierżawy próbuje zalogować się i/lub uzyskać dostęp do zasobów. Jeśli na przykład skonfigurujesz zasady Ograniczenia dzierżawy w wersji 2 w dzierżawie contoso.com
, aby zablokować wszystkie organizacje z wyjątkiem fabrikam.com
, zasady będą stosowane zgodnie z tą tabelą:
User | Typ | Dzierżawa | Przetworzone zasady TRv2? | Dozwolony dostęp uwierzytelniony? | Dostęp anonimowy jest dozwolony? |
---|---|---|---|---|---|
alice@contoso.com |
Element członkowski | contoso.com | Nie (ta sama dzierżawa) | Tak | Nie. |
alice@fabrikam.com |
Element członkowski | fabrikam.com | Tak | Tak (dzierżawa dozwolona przez zasady) | Nie. |
bob@northwinds.com |
Element członkowski | northwinds.com | Tak | Nie(dzierżawa nie jest dozwolona przez zasady) | Nie. |
alice@contoso.com |
Element członkowski | contoso.com | Nie (ta sama dzierżawa) | Tak | Nie. |
bob_northwinds.com#EXT#@contoso.com |
Gość | contoso.com | Nie (użytkownik-gość) | Tak | Nie. |
Weryfikowanie ochrony płaszczyzny uwierzytelniania
- Upewnij się, że sygnalizowanie ograniczeń dzierżawy uniwersalnej jest wyłączone w ustawieniach globalnego bezpiecznego dostępu.
- Użyj przeglądarki, aby przejść do adresu i zalogować
https://myapps.microsoft.com/
się przy użyciu tożsamości z dzierżawy innej niż twoja, która nie jest wyświetlana na liście dozwolonych w zasadach ograniczeń dzierżawy w wersji 2. Pamiętaj, że może być konieczne użycie prywatnego okna przeglądarki i/lub wylogowanie się z konta podstawowego, aby wykonać ten krok.- Jeśli na przykład dzierżawa to Contoso, zaloguj się jako użytkownik firmy Fabrikam w dzierżawie firmy Fabrikam.
- Użytkownik firmy Fabrikam powinien mieć dostęp do portalu MyApps, ponieważ sygnalizowanie ograniczeń dzierżawy jest wyłączone w globalnym bezpiecznym dostępie.
- Włącz ograniczenia dzierżawy uniwersalnej w centrum administracyjnym firmy Microsoft —> globalny bezpieczny dostęp —> zarządzanie sesjami —> ograniczenia dzierżawy uniwersalnej.
- Wyloguj się z portalu MyApps i uruchom ponownie przeglądarkę.
- Jako użytkownik końcowy z uruchomionym klientem globalnego bezpiecznego dostępu uzyskaj dostęp
https://myapps.microsoft.com/
przy użyciu tej samej tożsamości (użytkownik firmy Fabrikam w dzierżawie firmy Fabrikam).- Użytkownik firmy Fabrikam powinien mieć zablokowaną możliwość uwierzytelniania w usłudze MyApps z komunikatem o błędzie: Dostęp jest zablokowany. Dział IT firmy Contoso ograniczył dostęp do organizacji. Skontaktuj się z działem IT firmy Contoso, aby uzyskać dostęp.
Weryfikowanie ochrony płaszczyzny danych
- Upewnij się, że sygnalizowanie ograniczeń dzierżawy uniwersalnej jest wyłączone w ustawieniach globalnego bezpiecznego dostępu.
- Użyj przeglądarki, aby przejść do usługi i zalogować
https://yourcompany.sharepoint.com/
się przy użyciu tożsamości z dzierżawy innej niż twoja, która nie jest wyświetlana na liście dozwolonych w zasadach ograniczeń dzierżawy w wersji 2. Pamiętaj, że może być konieczne użycie prywatnego okna przeglądarki i/lub wylogowanie się z konta podstawowego, aby wykonać ten krok.- Jeśli na przykład dzierżawa to Contoso, zaloguj się jako użytkownik firmy Fabrikam w dzierżawie firmy Fabrikam.
- Użytkownik firmy Fabrikam powinien mieć dostęp do programu SharePoint, ponieważ sygnalizowanie ograniczeń dzierżawy w wersji 2 jest wyłączone w globalnym bezpiecznym dostępie.
- Opcjonalnie w tej samej przeglądarce z otwartą usługą SharePoint Online otwórz narzędzia deweloperskie lub naciśnij F12 na klawiaturze. Rozpocznij przechwytywanie dzienników sieciowych. Żądania HTTP powinny zwracać stan
200
podczas nawigowania po programie SharePoint, gdy wszystko działa zgodnie z oczekiwaniami. - Przed kontynuowaniem upewnij się, że opcja Zachowaj dziennik jest zaznaczona.
- Pozostaw otwarte okno przeglądarki za pomocą dzienników.
- Włącz ograniczenia dzierżawy uniwersalnej w centrum administracyjnym firmy Microsoft —> globalny bezpieczny dostęp —> zarządzanie sesjami —> ograniczenia dzierżawy uniwersalnej.
- Jako użytkownik firmy Fabrikam w przeglądarce z otwartą usługą SharePoint Online w ciągu kilku minut pojawiają się nowe dzienniki. Ponadto przeglądarka może odświeżać się na podstawie żądania i odpowiedzi w zapleczu. Jeśli przeglądarka nie zostanie automatycznie odświeżona po kilku minutach, odśwież stronę.
- Użytkownik firmy Fabrikam widzi, że jego dostęp jest teraz zablokowany z komunikatem: Dostęp jest zablokowany. Dział IT firmy Contoso ograniczył dostęp do organizacji. Skontaktuj się z działem IT firmy Contoso, aby uzyskać dostęp.
- W dziennikach wyszukaj stan .
302
W tym wierszu są wyświetlane ograniczenia dzierżawy uniwersalnej stosowane do ruchu.- W tej samej odpowiedzi sprawdź nagłówki pod kątem następujących informacji identyfikujących, że zastosowano ograniczenia dzierżawy uniwersalnej:
Restrict-Access-Confirm: 1
x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- W tej samej odpowiedzi sprawdź nagłówki pod kątem następujących informacji identyfikujących, że zastosowano ograniczenia dzierżawy uniwersalnej: