Configurar as restrições de locatário v2
Aplica-se a: Locatários da força de trabalho Locatários externos(saiba mais)
Observação
Alguns recursos descritos neste artigo são versões prévias. Para saber mais sobre versões prévias, consulte os Termos de Uso Complementares para Visualizações do Microsoft Azure.
Para aumentar a segurança, você pode limitar o que os usuários podem acessar ao usar uma conta externa para se conectarem por meio das redes ou dos dispositivos. As configurações de Restrições de locatário, incluídas nas configurações de acesso entre locatários, permitem que você crie uma política para controlar o acesso a aplicativos externos.
Por exemplo, suponha que um usuário da sua organização tenha criado uma conta separada em um locatário desconhecido ou uma organização externa tenha dado ao usuário uma conta que permita a ele entrar na respectiva organização. Você pode usar restrições de locatário para impedir que o usuário use alguns ou todos os aplicativos externos enquanto ele está conectado com a conta externa em sua rede ou dispositivos.
Etapas | Descrição |
---|---|
1 | A Contoso configura restrições de locatário em suas configurações de acesso entre locatários para bloquear todas as contas externas e aplicativos externos. A Contoso adiciona a sinalização de imposição TRv2 com o cabeçalho TRv2 via Universal TRv2 ou um proxy corporativo e o Microsoft Entra ID imporá a política TRv2 quando o cabeçalho estiver presente na solicitação. |
2 | Um usuário com um dispositivo Windows gerenciado pela Contoso tenta entrar em um aplicativo externo usando uma conta de um locatário desconhecido. O cabeçalho HTTP TRv2 com a ID do locatário da Contoso e a ID da política de restrições de locatário é adicionado à solicitação de autenticação. |
3 | Proteção do plano de autenticação: o Microsoft Entra ID vai impor a política TRv2 da Contoso e impedirá que contas externas acessem locatários externos durante a autenticação de acordo com a política da Contoso TRv2. |
4 | Proteção do plano de dados (versão prévia): O Microsoft Entra ID bloqueará qualquer acesso anônimo ao arquivo do SharePoint ou à junção de reuniões de equipes anônimas, bem como bloqueará o acesso do usuário ao recurso com um token infiltrado. |
As restrições de locatário v2 fornecem opções para a proteção do plano de autenticação e a proteção do plano de dados.
A proteção do plano de autenticação refere-se ao uso de uma política das restrições de locatário v2 para bloquear as entradas que usam identidades externas. Por exemplo, você pode impedir o vazamento de dados em emails externos causado por um funcionário interno mal-intencionado, impedindo que o invasor entre no respectivo locatário mal-intencionado. As restrições de locatário v2 da proteção do plano de autenticação estão em disponibilidade geral.
A proteção do plano de dados refere-se à prevenção contra ataques que ignoram a autenticação. Por exemplo, um invasor pode tentar permitir o acesso a aplicativos de locatário mal-intencionados usando o ingresso anônimo em reuniões do Teams ou o acesso anônimo a arquivos do SharePoint. Ou, então, o invasor pode copiar um token de acesso de um dispositivo em um locatário mal-intencionado e importá-lo para seu dispositivo organizacional. As restrições de locatário v2 da proteção do plano de dados forçam o usuário a se autenticar ao tentar acessar um recurso e bloqueiam o acesso em caso de falha na autenticação.
Embora as restrições de locatário v1 forneçam a proteção do plano de autenticação por meio de uma lista de locatários permitidos configurada no seu proxy corporativo, as restrições de locatário v2 oferecem opções de proteção granular do plano de dados e de autenticação, com ou sem um proxy corporativo. Se você estiver usando um proxy corporativo para injeção de cabeçalho, as opções incluirão apenas a proteção do plano de autenticação.
Visão geral das restrições de locatário v2
Nas configurações de acesso entre locatários da sua organização, você pode configurar uma política das restrições de locatário v2. Após a criação da política, há três maneiras de aplicar a política na sua organização.
- Restrições de locatário universal v2. Essa opção fornece proteção do plano de autenticação e do plano de dados sem um proxy corporativo. Restrições universais de locatário use o Global Secure Access para marcar todo o tráfego, independentemente do sistema operacional, navegador ou formato do dispositivo. Ele permite o suporte para conectividade de cliente e de rede remota.
- Restrições de locatário do plano de autenticação v2. Você pode implantar um proxy corporativo na sua organização e configurá-lo para definir sinais das restrições de locatário v2 em todo o tráfego para o Microsoft Entra ID e MSA (contas Microsoft).
- Restrições de locatário do Windows v2. Nos seus dispositivos Windows corporativos, você pode impor a proteção do plano de autenticação e do plano de dados aplicando as restrições de locatário diretamente nos dispositivos. As restrições de locatário são impostas no acesso a recursos, fornecendo cobertura de caminho de dados e proteção contra a infiltração de token. Um proxy corporativo não é necessário para a imposição de políticas. Os dispositivos podem ser dispositivos gerenciados pelo Microsoft Entra ID ou conectados ao domínio que são gerenciados por meio da Política de Grupo.
Observação
Este artigo descreve como configurar as restrições de locatário v2 usando o centro de administração do Microsoft Entra. Você também pode usar a API de acesso entre locatários do Microsoft Graph para criar essas mesmas políticas de restrições de locatário.
Cenários com suporte
As restrições de locatário v2 podem ter como escopo usuários, grupos, organizações ou aplicativos externos específicos. Os aplicativos criados na pilha de rede do sistema operacional Windows são protegidos. Há suporte para os seguintes cenários:
- Todos os aplicativos do Office (todos os canais de versão/lançamentos).
- Aplicativos .NET da UWP (Plataforma Universal do Windows).
- Proteção do plano de autenticação para todos os aplicativos que se autenticam com o Microsoft Entra ID, incluindo todos os aplicativos primários da Microsoft e todos os aplicativos de terceiros que usam o Microsoft Entra ID para autenticação.
- Proteção do plano de dados para o SharePoint Online e Exchange Online.
- Proteção de acesso anônimo para o SharePoint Online, OneDrive for Business e Teams (com Controles de Federação configurados).
- Autenticação e proteção do plano de dados para contas de consumidor ou de locatário da Microsoft.
- Ao usar restrições de locatário universais no Global Secure Access, todos os navegadores e plataformas.
- Ao usar a Política de Grupo do Windows, o Microsoft Edge e todos os sites do Microsoft Edge.
Cenários sem suporte
- Bloqueio anônimo para a conta de consumidor do OneDrive. Os clientes podem contornar o nível de proxy bloqueando https://onedrive.live.com/.
- Quando um usuário acessa um aplicativo de terceiros, como o Slack, usando um link anônimo ou uma conta que não seja do Azure AD.
- Quando um usuário copia um token emitido pelo Microsoft Entra ID de um computador doméstico para um computador de trabalho e o usa para acessar um aplicativo de terceiros como o Slack.
- Restrições de locatário por usuário para contas Microsoft.
Comparar restrições de locatário v1 e v2
A tabela a seguir compara os recursos de cada versão.
Restrições de locatário v1 | Restrições de locatário v2 | |
---|---|---|
Imposição de política | O proxy corporativo impõe a política de restrição de locatário no painel de controle do Microsoft Entra ID. | Opções: - Restrições universais de locatário no Global Secure Access, que usa sinalização de política para marcar todo o tráfego, fornecendo autenticação e suporte ao plano de dados em todas as plataformas. – Proteção somente do plano de autenticação, em que o proxy corporativo define os sinais das restrições de locatário v2 em todo o tráfego. – Gerenciamento de dispositivo Windows, em que os dispositivos são configurados para apontar o tráfego da Microsoft para a política de restrição de locatário e a política é imposta na nuvem. |
Limitações de imposição de política | Gerencie proxies corporativos incluindo locatários na lista de permitidos do tráfego do Microsoft Entra. O limite de caracteres do valor do cabeçalho em Restrict-Access-To-Tenants: <allowed-tenant-list> limita o número de locatários que podem ser adicionados. |
Gerenciado por uma política de nuvem na política de acesso entre locatários. A política padrão no nível do locatário e uma política de parceiro são criadas para cada locatário externo. |
Solicitações de locatário mal-intencionado | O Microsoft Entra ID bloqueia solicitações de autenticação de locatário mal-intencionado para fornecer proteção do plano de autenticação. | O Microsoft Entra ID bloqueia solicitações de autenticação de locatário mal-intencionado para fornecer proteção do plano de autenticação. |
Granularidade | Limitado ao locatário e a todas as contas da Microsoft. | Granularidade de locatário, usuário, grupo e aplicativo. (Não há suporte à granularidade de nível do usuário nas contas Microsoft). |
Acesso anônimo | O acesso anônimo às reuniões do Teams e ao compartilhamento de arquivos é permitido. | O acesso anônimo às reuniões do Teams está bloqueado. O acesso aos recursos compartilhados anonimamente ("qualquer pessoa com o link") está bloqueado. |
Contas Microsoft | Usa um cabeçalho Restrict-MSA para bloquear o acesso às contas de consumidor. | Permite o controle da autenticação de Live ID e MSA (contas Microsoft) nos planos de identidade e de dados. Por exemplo, se você impor restrições de locatário por padrão, poderá criar uma política específica de contas Microsoft que permita que os usuários acessem aplicativos específicos com suas contas Microsoft, por exemplo: Microsoft Learn (ID do aplicativo 18fbca16-2224-45f6-85b0-f7bf2b39b3f3 ) ou Microsoft Enterprise Skills Initiative (ID do aplicativo 195e7f27-02f9-4045-9a91-cd2fa1c2af2f ). |
Gerenciamento de proxy | Gerencie proxies corporativos incluindo locatários na lista de permitidos do tráfego do Microsoft Entra. | Para a proteção do plano de autenticação do proxy corporativo, configure o proxy para definir sinais das restrições de locatário v2 em todo o tráfego. |
Suporte a plataforma | Com suporte em todas as plataformas. Fornece apenas proteção do plano de autenticação. | As restrições universais de locatário no Global Secure Access suportam qualquer sistema operacional, navegador ou formato de dispositivo. A proteção do plano de autenticação do proxy corporativo dá suporte ao macOS, ao navegador Chrome e aos aplicativos .NET. O gerenciamento de dispositivo Windows dá suporte aos sistemas operacionais Windows e ao Microsoft Edge. |
Suporte do Portal | Nenhuma interface do usuário no centro de administração do Microsoft Entra para configurar a política. | A interface do usuário está disponível no centro de administração do Microsoft Entra para configurar a política de nuvem. |
Aplicativos sem suporte | N/D | Bloqueie o uso de aplicativos sem suporte com pontos de extremidade da Microsoft usando o WDAC (Controle de Aplicativos do Windows Defender) ou o Firewall do Windows (por exemplo, para Chrome, Firefox e assim por diante). Confira Bloquear aplicativos .NET, Chrome e Firefox, como o PowerShell. |
Migrar políticas de restrições de locatário v1 para v2 no proxy
Migrar políticas de restrição de locatário de v1 para v2 é uma operação única. Após a migração, nenhuma alteração do lado do cliente é necessária. Você pode fazer as seguintes alterações na política do lado do servidor por meio do centro de administração do Microsoft Entra.
Ao habilitar o TRv2 no proxy, você poderá implementar o TRv2 somente no plano de autenticação. Para habilitar o TRv2 na autenticação e no plano de dados, você deve habilitar a sinalização do lado do cliente TRv2 usando o Universal TRv2
Etapa 1: Configurando a lista de permissões de locatários parceiros
TRv1: as Restrições de Locatário v1 (TRv1) permitem que você crie uma lista de permissões de IDs de locatário e/ou pontos de extremidade de login da Microsoft para garantir que os usuários acessem locatários externos autorizados por sua organização. O TRv1 alcançou isso adicionando o cabeçalho Restrict-Access-To-Tenants: <allowed-tenant-list>
ao proxy. Por exemplo: `Restrict-Access-To-Tenants: " contoso.com, fabrikam.com, dogfood.com". Saiba mais sobre as restrições do locatário v1.
TRv2: com as Restrições de Locatário v2 (TRv2), a configuração é movida para a política de nuvem do lado do servidor e não há necessidade de cabeçalho TRv1.
- No seu proxy corporativo, você deve remover o cabeçalho de restrições de locatário v1,
Restrict-Access-To-Tenants: <allowed-tenant-list>
. - Para cada locatário na lista de locatários permitidos, crie uma política de locatários parceiros seguindo as etapas em Etapa 2: configurar restrições de locatário v2 para parceiros específicos. Siga estas diretrizes:
Observação
- Mantenha a política padrão de restrições de locatário v2 que bloqueia todo o acesso de locatário externo usando identidades estrangeiras (por exemplo,
user@externaltenant.com
). - Crie uma política de locatário de parceiro para cada locatário listado em sua lista de permitidos v1 seguindo as etapas em Etapa 2: configurar restrições de locatário v2 para parceiros específicos.
- Permitir que apenas usuários específicos acessem aplicativos específicos. Esse design aumenta sua postura de segurança limitando o acesso somente aos usuários necessários.
Etapa 2: Bloquear conta de consumidor ou locatário da conta Microsoft
TRv1: para não permitir que os usuários façam login em aplicativos de consumidor. O Trv1 precisa que o cabeçalho sec-Restrict-Tenant-Access-Policy seja injetado no tráfego acessando login.live.com como sec-Restrict-Tenant-Access-Policy: restrict-msa`
TRv2: com o TRv2, a configuração é movida para a política de nuvem do lado do servidor e não há necessidade de cabeçalho TRv1.
- No seu proxy corporativo, você deve remover o cabeçalho das restrições de locatário v1 sec-Restrict-Tenant-Access-Policy: restrict-msa`.
- Crie uma política de locatários parceiros para locatários de contas Microsoft seguindo as etapas em Etapa 2: configurar restrições de locatário v2 para parceiros específicos. Como a atribuição no nível do usuário não está disponível para locatários MSA, a política se aplica a todos os usuários do MSA. No entanto, a granularidade no nível do aplicativo está disponível e você deve limitar os aplicativos que a MSA ou as contas de consumidor podem acessar apenas aos aplicativos necessários.
Observação
Bloquear o locatário MSA não bloqueará o tráfego sem usuário para dispositivos, incluindo:
- Tráfego para Autopilot, Windows Update e telemetria organizacional.
- Autenticação B2B de contas de consumidor ou autenticação de "passagem", em que aplicativos do Azure e aplicativos Office.com usam o Microsoft Entra ID para conectar usuários consumidores em um contexto de consumidor.
Etapa 3: Habilitar as Restrições de locatário v2 no proxy corporativo
TRv2: você pode configurar o proxy corporativo para habilitar a marcação do lado do cliente do cabeçalho de restrições de locatário V2 usando a seguinte configuração de proxy corporativo: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>
onde <DirectoryID>
é sua ID de locatário do Microsoft Entra e <policyGUID>
é a ID do objeto para sua política de acesso entre locatários.
Restrições de locatário versus configurações de entrada e saída
Embora as restrições de locatário sejam configuradas junto com as configurações de acesso entre locatários, elas operam separadamente das configurações de acesso de entrada e saída. As configurações de acesso entre locatários oferecem controle quando os usuários se conectam com uma conta da sua organização. Por outro lado, as restrições de locatário oferecem controle quando os usuários usam uma conta externa. Suas configurações de entrada e saída para colaboração B2B e conexão direta de B2B não afetam (e não são afetadas por) suas configurações de restrições de locatário.
Pense nas diferentes configurações de acesso entre locatários dessa maneira:
- As configurações de entrada controlam o acesso da conta externa aos seus aplicativos internos.
- As configurações de saída controlam o acesso da conta interna aos aplicativos externos.
- As restrições de locatário controlam o acesso da conta externa aos aplicativos externos .
Restrições de locatário versus colaboração B2B
Quando os usuários precisam de acesso a organizações e aplicativos externos, recomendamos habilitar restrições de locatário para bloquear contas externas e usar a colaboração B2B no lugar. A colaboração B2B permite:
- Usar o Acesso Condicional e impor a autenticação multifator para usuários de colaboração B2B.
- Gerenciar acesso de entrada e saída.
- Encerrar sessões e credenciais quando o status do emprego de um usuário de colaboração B2B mudar ou suas credenciais forem violadas.
- Use logs de entrada para exibir detalhes sobre o usuário de colaboração B2B.
Pré-requisitos
Para configurar as restrições de locatário, você precisa:
- Microsoft Entra ID P1 ou P2
- Conta com uma função de pelo menos Administrador de Segurança
- Dispositivos Windows com Windows 10 e Windows 11 com as atualizações mais recentes
Configurar a política de nuvem das restrições de locatário v2 do servidor
Etapa 1: Configurar as restrições de locatário v2 padrão
As configurações das restrições de locatário v2 estão localizadas no centro de administração do Microsoft Entra em Configurações de acesso entre locatários. Primeiro, configure as restrições de locatário padrão que você deseja aplicar a todos os usuários, grupos, aplicativos e organizações. Em seguida, se você precisar de configurações específicas do parceiro, poderá adicionar a organização de um parceiro e personalizar as configurações que diferem de seus padrões.
Configurar restrições de locatário padrão
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Identidades>Identidades Externas>Configurações de acesso entre locatários e selecione Configurações de acesso entre locatários.
Selecione a guia Configurações Padrão.
Role a página até a seção Restrições de locatário.
Selecione o link Editar padrões de restrições de locatário.
Se uma política padrão ainda não existir no locatário, ao lado da ID da Política, um link Criar Política será exibido. Selecione esse link.
A página Restrições de locatário exibe a ID do Locatário e a ID da Política de restrições de locatário. Use os ícones de cópia para copiar esses dois valores. Você os usará mais tarde ao configurar os clientes Windows para habilitar as restrições de locatário.
Selecione a guia Usuários e grupos externos. Em Status de acesso, escolha uma das seguintes opções:
- Permitir acesso: permite que todos os usuários conectados com contas externas acessem aplicativos externos (especificado na guia Aplicativos externos).
- Bloquear acesso: impede que todos os usuários conectados com contas externas acessem aplicativos externos (especificado na guia Aplicativos externos).
Observação
As configurações padrão não podem ter escopo para contas ou grupos individuais, portanto, Aplica-se a é sempre Todos< os usuários e grupos do >seu locatário. Saiba que se você bloquear o acesso para todos os usuários e grupos, também precisará bloquear o acesso a todos os aplicativos externos (na guia Aplicativos externos).
Selecione a guia Aplicativos externos. Em Status de acesso, escolha uma das seguintes opções:
- Permitir acesso: permite que todos os usuários conectados com contas externas acessem os aplicativos especificados na seção Aplica-se a .
- Bloquear acesso: impede que todos os usuários conectados com contas externas acessem os aplicativos especificados na seção Aplica-se a .
Em Aplica-se a, selecione uma das seguintes opções:
- Todos os aplicativos externos: aplica a ação escolhida em Status do acesso a todos os aplicativos externos. Se você bloquear o acesso a todos os aplicativos externos, também precisará bloquear o acesso a todos os usuários e grupos (na guia Usuários e grupos).
- Selecionar aplicativos externos: permite escolher os aplicativos externos aos quais deseja que a ação em Status de acesso se aplique. Para selecionar os aplicativos, clique em Adicionar aplicativos da Microsoft ou Adicionar outros aplicativos. Depois pesquise o nome do aplicativo ou a ID do aplicativo (a ID do aplicativo cliente ou a ID do aplicativo de recurso) e selecione o aplicativo. (Confira uma lista de IDs para aplicativos da Microsoft comumente usados.) Se você quiser adicionar mais aplicativos, use o botão Adicionar. Ao concluir, selecione Enviar.
Clique em Salvar.
Etapa 2: Configurar as restrições de locatário v2 para parceiros específicos
Suponha que você use restrições de locatário para bloquear o acesso por padrão, mas deseja permitir que os usuários acessem determinados aplicativos usando suas próprias contas externas. Por exemplo, digamos que você queira que os usuários possam acessar o Microsoft Learn com as respectivas contas Microsoft. As instruções nesta seção descrevem como adicionar configurações específicas da organização que têm precedência sobre as configurações padrão.
Exemplo: Configurar as restrições de locatário v2 para permitir contas Microsoft
Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de Segurança ou um Administrador de Acesso Condicional.
Navegue até Identidades>Identidades Externas>Configurações de acesso entre locatários.
Escolha Configurações organizacionais.
Observação
Se a organização que você deseja adicionar já tiver sido adicionada à lista, ignore a adição dela e prossiga diretamente para modificar as configurações.
Selecione Adicionar organização.
No painel Adicionar organização, digite o nome de domínio completo (ou a ID de locatário) da organização.
Exemplo: pesquise a seguinte ID de locatário de contas Microsoft:
9188040d-6c67-4c5b-b112-36a304b66dad
Selecione a organização nos resultados da pesquisa e escolha Adicionar.
Como modificar as configurações: encontre a organização na lista Configurações organizacionais e role a página horizontalmente para ver a coluna Restrições de locatário. Neste momento, todas as configurações de restrição de locatário dessa organização são herdadas das configurações padrão. Para alterar as configurações dessa organização, selecione o link Herdado do padrão na coluna Restrições de locatário.
A página Restrições de locatário da organização será exibida. Copie os valores da ID do locatário e da ID da política. Você os usará mais tarde ao configurar os clientes Windows para habilitar as restrições de locatário.
Selecione Personalizar configurações e, em seguida, selecione a guia Usuários e grupos externos. Em Status de acesso, escolha uma opção:
- Permitir acesso: permite que todos os usuários e grupos especificados em Aplica-se a que estão conectados com contas externas acessem aplicativos externos (especificados na guia Aplicativos externos).
- Bloquear acesso: impede que todos os usuários e grupos especificados em Aplica-se a que estão conectados com contas externas acessem aplicativos externos (especificados na guia Aplicativos externos).
Observação
Para nosso exemplo de Contas Microsoft, selecionamos Permitir acesso.
Em Aplica-se a, escolha Todos os usuários e grupos da <organização>.
Observação
A granularidade do usuário não é compatível com as contas Microsoft, ou seja, a funcionalidade Selecionar usuários e grupos da <organização> não está disponível. Para outras organizações, você pode escolher Selecionar usuários e grupos da <organização> e executar estas etapas para cada usuário ou grupo que deseja adicionar:
- Selecione Adicionar usuários e grupos externos.
- No painel Selecionar, digite o nome de usuário ou o nome do grupo na caixa de pesquisa.
- Escolha o usuário ou o grupo nos resultados da pesquisa.
- Se você quiser adicionar mais, selecione Adicionar e repita essas etapas. Quando terminar de selecionar os usuários e os grupos que deseja adicionar, escolha Enviar.
Selecione a guia Aplicativos externos. Em Status de acesso, escolha se deseja permitir ou bloquear o acesso a aplicativos externos.
- Permitir acesso: permite que os aplicativos externos especificados em Aplica-se a sejam acessados pelos usuários quando estão usando contas externas.
- Bloquear acesso: impede que os aplicativos externos especificados em Aplica-se a sejam acessados pelos usuários quando estiverem usando contas externas.
Observação
Para nosso exemplo de Contas Microsoft, selecionamos Permitir acesso.
Em Aplica-se a, selecione uma das seguintes opções:
- Todos os aplicativos externos: aplica a ação escolhida em Status do acesso a todos os aplicativos externos.
- Selecionar aplicativos externos: aplica a ação escolhida em Status do acesso a todos os aplicativos externos.
Observação
- Para nosso exemplo de Contas Microsoft, escolhemos Selecionar aplicativos externos.
- Se você bloquear o acesso a todos os aplicativos externos, também precisará bloquear o acesso a todos os usuários e grupos (na guia Usuários e grupos).
Se você escolher Selecionar aplicativos externos, faça o seguinte para cada aplicativo que deseja adicionar:
- Escolha Adicionar aplicativos da Microsoft ou Adicionar outros aplicativos. Para nosso exemplo do Microsoft Learn, escolhemos Adicionar outros aplicativos.
- Na caixa de pesquisa, digite o nome do aplicativo ou a ID do aplicativo (a ID do aplicativo cliente ou a ID do aplicativo de recurso). (Consulte uma lista de IDs para aplicativos da Microsoft comumente usados.) Para nosso exemplo do Microsoft Learn, inserimos a ID do aplicativo
18fbca16-2224-45f6-85b0-f7bf2b39b3f3
. - Selecione o aplicativo nos resultados da pesquisa e clique em Adicionar.
- Repita a etapa para cada aplicativo que deseja adicionar.
- Quando terminar de selecionar os aplicativos, clique em Enviar.
Os aplicativos selecionados estão listados na guia Aplicativos externos. Selecione Salvar.
Observação
O bloqueio do locatário da MSA não bloqueará:
- Tráfego sem usuário para dispositivos. Isso inclui o tráfego para Autopilot, Windows Update e telemetria organizacional.
- Autenticação B2B de contas de consumidor.
- Autenticação de "passagem", usada por muitos aplicativos do Azure, bem como o Office.com, em que os aplicativos usam o Microsoft Entra ID para conectar usuários consumidores em um contexto de consumidor.
Configurar as restrições de locatário v2 do lado do cliente
Há três opções para impor as restrições de locatário v2 para os clientes:
- Opção 1: restrições de locatário universal v2 como parte do Acesso Global Seguro (versão prévia) do Microsoft Entra
- Opção 2: configurar as restrições de locatário v2 no proxy corporativo
- Opção 3: habilitar as restrições de locatário em dispositivos Windows gerenciados (versão prévia)
Opção 1: Restrições universais de locatário v2 como parte do Microsoft Entra Global Secure Access
As restrições de locatário universal v2 como parte do Acesso Global Seguro do Microsoft Entra são recomendadas, porque fornecem proteção do plano de dados e de autenticação para todos os dispositivos e todas as plataformas. Essa opção fornece mais proteção contra tentativas sofisticadas de ignorar a autenticação. Por exemplo, os invasores podem tentar permitir o acesso anônimo aos aplicativos de um locatário mal-intencionado, como o ingresso anônimo no Teams. Ou, então, os invasores podem tentar importar para seu dispositivo organizacional um token de acesso roubado de um dispositivo no locatário mal-intencionado. As restrições de locatário universal v2 impedem esses ataques enviando sinais das restrições de locatário v2 no plano de autenticação (Microsoft Entra ID e conta Microsoft) e no plano de dados (aplicativos de nuvem da Microsoft).
Opção 2: configurar as restrições de locatário v2 no proxy corporativo
Para garantir que as entradas sejam restritas em todos os dispositivos e aplicativos na sua rede corporativa, configure o proxy corporativo para impor as restrições de locatário v2. Embora a configuração de restrições de locatário em seu proxy corporativo não forneça proteção do plano de dados, ela oferece proteção do plano de autenticação.
Importante
Se você já configurou restrições de locatário, precisa parar de enviar restrict-msa
para login.live.com. Caso contrário, as novas configurações entrarão em conflito com as instruções existentes para o serviço de logon do MSA.
Configure o cabeçalho das restrições de locatário v2 da seguinte maneira:
Nome do cabeçalho Valor do Cabeçalho Valor de exemplo sec-Restrict-Tenant-Access-Policy
<TenantId>:<policyGuid>
aaaabbbb-0000-cccc-1111-dddd2222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5 TenantID
é a sua ID de locatário do Microsoft Entra. Encontre esse valor entrando no centro de administração do Microsoft Entra como administrador e navegando até Identidade>Visão geral e selecionando a guia Visão geral.policyGUID
é o objeto da ID da política de acesso entre locatários. Localize esse valor chamando/crosstenantaccesspolicy/default
e usando o campo "id" retornado.
No proxy corporativo, envie o cabeçalho das restrições de locatário v2 para os seguintes domínios de logon da Microsoft:
- login.live.com
- login.microsoft.com
- login.microsoftonline.com
- login.windows.net
Esse cabeçalho impõe a política das restrições de locatário v2 a todas as entradas na rede. O cabeçalho não bloqueia o acesso anônimo a reuniões do Teams, a arquivos do SharePoint ou a outros recursos que não exigem autenticação.
Importante
Descriptografar URLs da Microsoft – as restrições de locatário (v1 e v2) no proxy exigem a descriptografia de solicitações para fazer logon em URLs, como login.microsoftonline.com. A descriptografia do tráfego para esses domínios de logon para fins de inserção de cabeçalho TR tem suporte da Microsoft e é uma exceção válida das políticas em Uso de dispositivos de rede ou soluções de terceiros com o Microsoft 365.
Restrições de locatário v2 sem suporte para interrupção e inspeção
Em plataformas não Windows, você pode interromper e inspecionar o tráfego para adicionar os parâmetros das restrições de locatário v2 ao cabeçalho por meio de proxy. No entanto, algumas plataformas não dão suporte a interrupções e inspeções, ou seja, as restrições de locatário v2 não funcionam. Para essas plataformas, os seguintes recursos do Microsoft Entra ID podem oferecer proteção:
- Acesso Condicional: Permitir apenas o uso de dispositivos gerenciados/em conformidade
- Acesso Condicional: Gerenciar o acesso para usuários convidados/externos
- Colaboração B2B: Restringir regras de saída pelo acesso entre locatários para os mesmos locatários listados no parâmetro "Restrict-Access-To-Tenants"
- Colaboração B2B: Restringir convites a usuários B2B para os mesmos domínios listados no parâmetro "Restrict-Access-To-Tenants"
- Gerenciamento de aplicativos: Restringir como os usuários consentem com aplicativos
- Intune: aplicar a Política de Aplicativo por meio do Intune para restringir o uso de aplicativos gerenciados apenas ao UPN da conta que registrou o dispositivo (em Permitir somente contas de organização configuradas nos aplicativos)
Embora essas alternativas forneçam proteção, determinados cenários só podem ser abordados por meio de restrições de locatário, como o uso de um navegador para acessar os serviços do Microsoft 365 por meio da Web em vez do aplicativo dedicado.
Opção 3: habilitar as restrições de locatário em dispositivos Windows gerenciados (versão prévia)
Depois de criar uma política de restrições de locatário v2, você pode impor a política em cada Windows 10, Windows 11 adicionando sua ID de locatário e a ID da política à configuração de Restrições de Locatário do dispositivo. Quando as restrições de locatário são habilitadas em um dispositivo Windows, os proxies corporativos não são necessários para a imposição de políticas. Os dispositivos não precisam ser gerenciados pelo Microsoft Entra ID para impor restrições de locatário v2; também há suporte para dispositivos conectados ao domínio que são gerenciados com a Política de Grupo.
Observação
As restrições de locatário V2 no Windows são uma solução parcial que protege a autenticação e os planos de dados de alguns cenários. Ele funciona nos dispositivos Windows gerenciados e não protege a pilha do .NET, Chrome ou Firefox. A solução Windows fornece uma solução temporária até a disponibilidade geral das restrições de locatário universal no Microsoft Entra Global Secure Access.
Modelos Administrativos (.admx) para Windows 10, atualização de novembro de 2021 (21H2) e configurações de Política de grupo
Você pode usar a Política de Grupo para implantar a configuração de restrições de locatário em dispositivos Windows. Consulte estes recursos:
- Modelos administrativos para o Windows 10
- Planilha de referência de configurações de Política de Grupo para Windows 10
Testar as políticas em um dispositivo
Para testar a política das restrições de locatário v2 em um dispositivo, siga estas etapas.
Observação
- O dispositivo deve estar executando o Windows 10 ou o Windows 11 com as atualizações mais recentes.
No computador Windows, pressione a tecla do Windows, digite gpedit e selecione Editar política de grupo (Painel de controle).
Acesse Configuração do computador>Modelos administrativos>Componentes do Windows>Restrições de locatário.
Clique com o botão direito do mouse em Detalhes da Política de Nuvem no painel direito e selecione Editar.
Recupere a ID do Locatário e a ID da Política que você registrou anteriormente (na etapa 7 em Para configurar restrições de locatário padrão) e insira-as nos campos a seguir (deixe todos os outros campos em branco):
- ID do Diretório do Microsoft Entra: insira a ID do Locatário que você registrou anteriormente. entrando no centro de administração do Microsoft Entra como administrador e navegando até Identidade>Visão geral e selecionando a guia Visão geral.
- GUID da política: a ID da política de acesso entre locatários. É a ID da política que você registrou anteriormente. Você também pode encontrar essa ID usando o comando https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/default do Explorador do Graph.
Selecione OK.
Bloquear aplicativos .NET, Chrome e Firefox, como o PowerShell
Você pode usar o recurso do Firewall do Windows para impedir que aplicativos desprotegidos acessem recursos da Microsoft por meio do Chrome, Firefox e aplicativos .NET, como o PowerShell. Os aplicativos que seriam bloqueados/permitidos de acordo com a política das restrições de locatário v2.
Por exemplo, se um cliente adicionar o PowerShell à política CIP das restrições de locatário v2 e tiver o graph.microsoft.com na lista de pontos de extremidade da política das restrições de locatário v2, o PowerShell poderá acessá-lo com o firewall habilitado.
No computador Windows, pressione a tecla do Windows, digite gpedit e selecione Editar política de grupo (Painel de controle).
Acesse Configuração do computador>Modelos administrativos>Componentes do Windows>Restrições de locatário.
Clique com o botão direito do mouse em Detalhes da Política de Nuvem no painel direito e selecione Editar.
Marque a caixa de seleção Habilitar proteção de firewall dos pontos de extremidade da Microsoft e selecione OK.
Depois de habilitar a configuração de firewall, tente entrar usando um navegador Chrome. A entrada deve falhar com a seguinte mensagem:
Exibir eventos das restrições de locatário v2
Exibir eventos relacionados a restrições de locatário no Visualizador de Eventos.
- No Visualizador de Eventos, abra Logs de aplicativos e serviços.
- Acesse Microsoft>Windows>Restrições de locatário>Operacional e pesquise eventos.
Restrições de locatário e suporte ao plano de dados (versão prévia)
O Trv2 é imposto pelos recursos a seguir, que abordarão cenários de infiltração de token em que um ator incorreto acessa o recurso diretamente com um token infiltrado ou sinônimo.
- Teams
- SharePoint Online como o aplicativo OneDrive
- Exchange Online como o aplicativo Outlook
- Office.com / Aplicativos do Office
Restrições de locatário e Microsoft Teams (versão prévia)
Por padrão, o Teams tem federação aberta, o que significa que não impedimos ninguém de ingressar em uma reunião hospedada por um locatário externo. Para maior controle sobre o acesso às reuniões do Teams, use os Controles de Federação do Teams para permitir ou bloquear locatários específicos, acompanhados das restrições de locatário v2 para bloquear o acesso anônimo às reuniões do Teams. Para impor restrições de locatário para o Teams, você precisa configurar as restrições de locatário v2 nas configurações de acesso entre locatários do Microsoft Entra. Você também precisa configurar controles de federação no portal de Administração do Teams e reiniciar o Teams. As restrições de locatário implementadas no proxy corporativo não bloquearão o acesso anônimo a reuniões do Teams, arquivos do SharePoint e outros recursos que não exigem autenticação.
- Atualmente, o Teams permite que os usuários ingressem em qualquer reunião hospedada externamente usando suas identidades corporativas/domésticas fornecidas. Você pode usar as configurações de acesso entre locatários de saída para controlar usuários com identidade corporativa/doméstica fornecida para ingressar em reuniões do Teams hospedadas externamente.
- As restrições de locatário impedem que os usuários usem uma identidade emitida externamente para ingressar em reuniões do Teams.
Observação
O aplicativo Microsoft Teams tem dependência de aplicativos do SharePoint Online e do Exchange Online. É recomendável configurar a política TRv2 no aplicativo Office 365 em vez de nos serviços do Microsoft Teams ou no SharePoint Online ou no Exchange Online separadamente. Se você permitir/bloquear um dos aplicativos (SPO ou EXO, etc.) que fazem parte do Office 365, isso também afetará aplicativos como o Microsoft Teams. Da mesma forma, se o aplicativo Microsoft Teams for permitido/bloqueado, o SPO e o EXO com o aplicativo Teams serão afetados.
Ingresso em reunião puramente anônima
As restrições de locatário v2 bloqueiam de modo automático todo o acesso de identidade não autenticado e emitido externamente às reuniões do Teams hospedadas externamente. Por exemplo, suponha que a Contoso use Controles de federação do Teams para bloquear o locatário da Fabrikam. Se alguém com um dispositivo Contoso usar uma conta da Fabrikam para ingressar em uma reunião do Teams da Contoso, ele poderá entrar na reunião como um usuário anônimo. Agora, se a Contoso também habilitar as restrições de locatário v2, o Teams bloqueará o acesso anônimo e o usuário não poderá ingressar na reunião.
Ingressar na reunião usando uma identidade emitida externamente
Você pode configurar a política das restrições de locatário v2 para permitir que usuários ou grupos específicos com identidades emitidas externamente ingressem em reuniões específicas do Teams hospedadas externamente. Com essa configuração, os usuários podem entrar no Teams com suas identidades emitidas externamente e ingressar nas reuniões do Teams hospedadas externamente do locatário especificado.
Identidade de autenticação | Sessão autenticada | Resultado |
---|---|---|
Usuários membros do locatário (sessão autenticada) Exemplo: um usuário usa sua identidade inicial como um usuário membro (por exemplo, user@mytenant.com) |
Autenticado | As restrições de locatário v2 permitem o acesso à reunião do Teams. O TRv2 nunca é aplicado a usuários membros do locatário. A política de entrada/saída de acesso entre locatários se aplica. |
Anônimo (sem sessão autenticada) Exemplo: um usuário tenta usar uma sessão não autenticada, por exemplo, em uma janela InPrivate do navegador, para acessar uma reunião do Teams. |
Não autenticado | As restrições de locatário v2 bloqueiam o acesso à reunião do Teams. |
Identidade emitida externamente (sessão autenticada) Exemplo: um usuário usa qualquer identidade diferente da sua identidade doméstica (por exemplo, user@externaltenant.com) |
Autenticada como uma identidade emitida externamente | Permite ou bloqueia o acesso à reunião do Teams por política das restrições de locatário v2. Se permitido pela política, o usuário pode ingressar na reunião. Caso contrário, o acesso será bloqueado. |
Restrições de locatário v2 e SharePoint Online (versão prévia)
O SharePoint Online dá suporte a restrições de locatário v2 no plano de autenticação e no plano de dados.
Sessões autenticadas
Quando as restrições de locatário v2 são habilitadas em um locatário, o acesso não autorizado é bloqueado durante a autenticação. Se um usuário acessar diretamente um recurso do SharePoint Online sem uma sessão autenticada, ele será solicitado a entrar. Se a política de restrições de locatário v2 permitir o acesso, o usuário poderá acessar o recurso; caso contrário, o acesso será bloqueado.
Acesso anônimo (versão prévia)
Se um usuário tentar acessar um arquivo anônimo usando a identidade corporativa/o locatário doméstico, ele poderá acessar o arquivo. Mas se o usuário tentar acessar o arquivo anônimo usando qualquer identidade emitida externamente, o acesso será bloqueado.
Por exemplo, suponha que um usuário esteja usando um dispositivo gerenciado configurado com as restrições de locatário v2 para o Locatário A. Se ele selecionar um link de acesso anônimo gerado para um recurso do Locatário A, poderá acessar o recurso anonimamente. Mas se eles selecionarem um link de acesso anônimo gerado para o Locatário B do SharePoint Online, eles serão solicitados a entrar. O acesso anônimo aos recursos usando uma identidade emitida externamente é sempre bloqueado.
Restrições de locatário v2 e OneDrive (versão prévia)
Sessões autenticadas
Quando as restrições de locatário v2 são habilitadas em um locatário, o acesso não autorizado é bloqueado durante a autenticação. Se um usuário acessar diretamente um recurso do OneDrive for Business sem uma sessão autenticada, ele será solicitado a se conectar. Se a política de restrições de locatário v2 permitir o acesso, o usuário poderá acessar o recurso; caso contrário, o acesso será bloqueado.
Acesso anônimo (versão prévia)
Como o SharePoint Online, o OneDrive for Business dá suporte a restrições de locatário v2 no plano de autenticação e no plano de dados. Também há suporte para bloquear o acesso anônimo ao OneDrive. Por exemplo, a imposição de política de restrições de locatário v2 funciona no ponto de extremidade do OneDrive for Business (microsoft-my.sharepoint.com).
Não está no escopo
O OneDrive para contas de consumidores (por meio do onedrive.live.com) não dá suporte às restrições de locatário v2. Algumas URLs (como onedrive.live.com) não são verificadas e usam nossa pilha herdada. Quando um usuário acessa o locatário do consumidor do OneDrive por meio dessas URLs, a política não é imposta. Como solução alternativa, você pode bloquear https://onedrive.live.com/ no nível do proxy.
Logs de entrada
Os logs de entrada do Microsoft Entra permitem que você visualize detalhes sobre as entradas com uma política das restrições de locatário v2 em vigor. Quando um usuário B2B entra em um locatário de recursos para colaborar, um log de conexão é gerado tanto no locatário inicial quanto no locatário do recurso. Esses logs incluem informações como o aplicativo que está sendo usado, os endereços de email, o nome e a ID do locatário inicial e do locatário do recurso. O seguinte exemplo mostra uma entrada bem-sucedida:
Em caso de falha da entrada, os Detalhes da Atividade fornecerão informações sobre o motivo da falha:
Logs de auditoria
Os logs de auditoria fornecem registros das atividades do usuário e do sistema, incluindo atividades iniciadas por usuários convidados. Você pode visualizar os logs de auditoria do locatário em Monitoramento ou visualizar os logs de auditoria de um usuário específico navegando até o perfil do usuário.
Selecione um evento no log para obter mais detalhes sobre o evento, por exemplo:
Você também pode exportar esses logs do Microsoft Entra ID e usar a ferramenta de relatório de sua preferência para obter relatórios personalizados.
Microsoft Graph
Use o Microsoft Graph para obter informações de política:
Solicitação HTTP
Definir a política padrão
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
Redefinir para o padrão do sistema
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
Obter configuração de parceiro
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
Obter uma configuração de parceiro específica
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
Atualizar um parceiro específico
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
Corpo da solicitação
"tenantRestrictions": {
"usersAndGroups": {
"accessType": "allowed",
"targets": [
{
"target": "AllUsers",
"targetType": "user"
}
]
},
"applications": {
"accessType": "allowed",
"targets": [
{
"target": "AllApplications",
"targetType": "application"
}
]
}
}
Limitações conhecidas
As Restrições de Locatário v2 não serão aplicadas a solicitações que atravessam nuvens cruzadas.
Próximas etapas
Confira Definir configurações de colaboração externa para a colaboração B2B com identidades que não são do Azure AD, identidades sociais e contas externas gerenciadas que não são de TI.