Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As restrições universais de locatário aprimoram a funcionalidade das restrições de locatário v2. Eles usam o Acesso Seguro Global para marcar todo o tráfego, independentemente do sistema operacional, navegador ou fator de forma do dispositivo. Eles permitem suporte para conectividade de rede remota e cliente.
Os administradores não precisam mais gerenciar configurações de servidor proxy ou configurações de rede complexas. Eles podem aplicar restrições de locatário v2 em qualquer plataforma usando o cliente de Acesso Seguro Global ou redes remotas.
Quando você habilita restrições universais de locatário, o Acesso Seguro Global adiciona informações de política para restrições de locatário v2 ao tráfego de rede do plano de autenticação. Esse tráfego é do Microsoft Entra ID e do Microsoft Graph. Como resultado, os usuários que usam dispositivos e redes em sua organização devem usar apenas locatários externos autorizados. Essa restrição ajuda a impedir a exfiltração de dados para qualquer aplicativo integrado ao locatário do Microsoft Entra ID por meio do SSO (logon único).
O diagrama a seguir mostra as etapas que uma organização de exemplo executa para ajudar a proteger contra usuários mal-intencionados usando restrições de locatário v2.
| Etapa | Descrição |
|---|---|
| 1 | A Contoso configura uma política de restrições de locatário v2 em suas configurações de acesso entre locatários para bloquear todas as contas externas e aplicativos externos. A Contoso impõe a política usando o Acesso Seguro Global e restrições universais de locatário. |
| 2 | Um usuário com um dispositivo gerenciado pela Contoso tenta acessar um aplicativo integrado do Microsoft Entra com uma identidade externa não sancionada. |
| 3 | Proteção do plano de autenticação: Com a ID do Microsoft Entra, a política da Contoso impede que contas externas não sancionadas acessem locatários externos. Além disso, se um token do Microsoft Graph for obtido por meio de outro dispositivo e trazido para o ambiente ainda dentro de seu tempo de vida, esse token não poderá ser reproduzido a partir dos dispositivos que têm o cliente de Acesso Seguro Global ou por meio de redes remotas. |
| 4 | Proteção do plano de dados: Se um token do Microsoft Graph for obtido por meio de outro dispositivo e trazido para o ambiente ainda dentro de seu tempo de vida, esse token não poderá ser reproduzido a partir dos dispositivos que têm o cliente de Acesso Seguro Global ou por meio de redes remotas. |
As restrições universais de locatário ajudam a impedir a exfiltração dos dados entre navegadores, dispositivos e redes das seguintes maneiras:
- Eles permitem que o Microsoft Entra ID, as contas da Microsoft e os aplicativos da Microsoft busquem e imponham as restrições de locatário associadas à política v2. Esta consulta permite a aplicação consistente de políticas.
- Eles trabalham com todos os aplicativos de terceiros integrados ao Microsoft Entra na camada de autenticação durante o processo de login.
- Eles ajudam a proteger o Microsoft Graph.
Pontos de imposição para restrições universais de locatário
Plano de autenticação (ID do Microsoft Entra)
A imposição do plano de autenticação ocorre no momento da autenticação do Microsoft Entra ID ou da conta da Microsoft.
Quando o usuário está conectado com o cliente de Acesso Seguro Global ou por meio de conectividade de rede remota, a política de restrições de locatário v2 é verificada para determinar se a autenticação deve ser permitida. Se o usuário estiver entrando no locatário da organização, a política de restrições de locatário v2 não será aplicada. Se o usuário estiver entrando em outro locatário, a política será aplicada.
Qualquer aplicativo integrado ao Microsoft Entra ID ou que use uma conta da Microsoft para autenticação dá suporte a restrições universais de locatário na camada de autenticação.
Plano de dados (Microsoft Graph)
Atualmente, há suporte para a imposição do plano de dados para o Microsoft Graph. A proteção do plano de dados garante que os artefatos de autenticação importados não possam ser reutilizados nos dispositivos da sua organização para extrair dados. Um exemplo desse artefato é um token de acesso obtido em outro dispositivo e que ignora as imposições do plano de autenticação definidas na política v2 de restrições de locatários.
Pré-requisitos
- Os administradores que interagem com os recursos de Acesso Seguro Global devem ter a função de Administrador global de acesso seguro para gerenciar esses recursos.
- O Acesso Seguro Global requer uma licença. Para obter detalhes, confira a visão geral do licenciamento. Se você ainda não tiver uma, poderá comprar uma licença ou obter uma licença de avaliação.
- Você deve habilitar um perfil de tráfego da Microsoft. FQDNs (nomes de domínio totalmente qualificados) e endereços IP dos serviços que terão restrições universais de locatário devem ser configurados como o modo de túnel.
- Você deve implantar clientes de Acesso Seguro Global ou configurar a conectividade de rede remota.
Configurar a política de restrições de locatário v2
Antes de usar restrições universais de locatário, você deve configurar as restrições de locatário padrão e as restrições de locatário para parceiros específicos.
Para obter mais informações sobre como configurar essas políticas, consulte Configurar restrições de locatário v2.
Habilitar a sinalização de Acesso Seguro Global para restrições de locatário
Depois de criar as políticas de restrição de locatário v2, você pode usar o Acesso Seguro Global para aplicar tags para restrições de locatário v2. Um administrador que tenha as funções administrador global de acesso seguro e administrador de segurança deve seguir as seguintes etapas para habilitar a imposição com o Acesso Seguro Global:
Entre no centro de administração do Microsoft Entra como um Administrador do Acesso Global Seguro.
Navegue até Acesso Seguro Global>Configurações>Gerenciamento de sessão>Restrições universais de locatário.
Ative a opção Habilitar Restrições de Locatário do Entra ID (abrangendo todos os aplicativos de nuvem).
Tente restrições universais para inquilinos
As restrições de locatário não são impostas quando um usuário (ou um usuário convidado) tenta acessar recursos no locatário onde as políticas estão configuradas. As políticas v2 de restrições de locatário são processadas somente quando uma identidade de um locatário diferente tenta entrar ou acessa recursos.
Por exemplo, se você configurar uma política de restrições de locatário v2 no locatário contoso.com para bloquear todas as organizações, exceto fabrikam.com, a política será aplicada de acordo com esta tabela:
| Usuário | Tipo | Locatário | Política de restrições de locatário v2 processada? | Acesso autenticado permitido? | Acesso anônimo permitido? |
|---|---|---|---|---|---|
alice@contoso.com |
Membro | contoso.com | Não (mesmo locatário) | Sim | Não |
alice@fabrikam.com |
Membro | fabrikam.com | Sim | Sim (locatário permitido pela política) | Não |
bob@northwindtraders.com |
Membro | northwindtraders.com | Sim | Não (locatário não permitido pela política) | Não |
alice@contoso.com |
Membro | contoso.com | Não (mesmo locatário) | Sim | Não |
bob_northwindtraders.com#EXT#@contoso.com |
Convidado | contoso.com | Não (usuário convidado) | Sim | Não |
Validar a proteção do plano de autenticação
Verifique se a sinalização para restrições universais de locatário está desativada nas configurações de Acesso Seguro Global.
Em um navegador, acesse o portal Meus Aplicativos. Entre com a identidade de um locatário diferente da sua e que não esteja na lista de permissões em uma política de restrições de locatário v2. Talvez seja necessário usar uma janela do navegador privado e/ou sair da sua conta primária para executar esta etapa.
Por exemplo, se o locatário for Contoso, entre como um usuário da Fabrikam no locatário da Fabrikam. O usuário da Fabrikam deve ser capaz de acessar o portal Meus Aplicativos, pois a sinalização para restrições universais de locatário está desativada no Acesso Seguro Global.
Ative as restrições universais de locatário no Centro de administração do Microsoft Entra. Vá para Acesso Seguro Global>Gerenciamento de Sessão>Restrições Universais de Locatário, e então ative a alternância Habilitar Restrições de Locatário para a ID do Entra (abrangendo todos os aplicativos de nuvem).
Saia do portal Meus Aplicativos e reinicie seu navegador.
Com o cliente de Acesso Seguro Global em execução, acesse o portal Meus Aplicativos usando a mesma identidade (no exemplo anterior, o usuário fabrikam no locatário da Fabrikam).
Você deve ser impedido de autenticar no portal Meus Aplicativos. Uma mensagem de erro como esta deve aparecer: "O acesso está bloqueado. O departamento de TI da Contoso restringiu quais organizações podem ser acessadas. Entre em contato com o departamento de TI da Contoso para obter acesso."
Validar a proteção do plano de dados
Certifique-se de que a sinalização nas restrições universais de inquilinos esteja desativada nas configurações de Acesso Seguro Global.
Em um navegador, vá para o Explorador do Graph. Entre com a identidade de um locatário diferente da sua e que não esteja na lista de permissões em uma política de restrições de locatário v2. Para executar essa etapa, talvez seja necessário usar uma janela privada do navegador e/ou sair da sua conta primária.
Por exemplo, se o locatário for Contoso, entre como um usuário da Fabrikam no locatário da Fabrikam. O usuário Fabrikam deve ser capaz de acessar o Explorador do Graph, pois a sinalização em restrições de locatário v2 está desativada no Acesso Seguro Global.
Opcionalmente, no mesmo navegador com o Explorador do Graph aberto, abra as Ferramentas de Desenvolvedor selecionando F12 no teclado. Comece a capturar os logs de rede.
Você deverá ver solicitações HTTP retornando status
200enquanto interage com o Explorador do Graph quando tudo está funcionando conforme o esperado. Por exemplo, envie uma solicitaçãoGETpara recuperar usuários em seu locatário.Verifique se a opção Preservar log está selecionada.
Mantenha a janela do navegador aberta com os logs.
Ative as restrições universais de locatário no Centro de administração do Microsoft Entra. Vá para Acesso Seguro Global>Gerenciamento de Sessão>Restrições Universais de Locatário, e então ative a alternância Habilitar Restrições de Locatário para a ID do Entra (abrangendo todos os aplicativos de nuvem).
Enquanto você está conectado como o outro usuário (o usuário fabrikam no exemplo anterior), novos logs aparecem no navegador com o Explorador do Graph aberto. O processo pode levar alguns minutos. Além disso, o navegador pode se atualizar, com base na solicitação e nas respostas que ocorrem no back-end. Se o navegador não se atualizar após alguns minutos, atualize a página.
Seu acesso agora está bloqueado com esta mensagem: "O acesso está bloqueado. O departamento de TI da Contoso restringiu quais organizações podem ser acessadas. Entre em contato com o departamento de TI da Contoso para obter acesso."
Nos logs, procure um valor de
Status302. Esta linha mostra as restrições universais de locatário que estão sendo aplicadas ao tráfego.Na mesma resposta, verifique os cabeçalhos para obter as seguintes informações a fim de confirmar se as restrições universais de locatário foram aplicadas:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requires";error_category="insufficient_claims"
Limitações conhecidas
Se você habilitar restrições universais de locatário e acessar o centro de administração do Microsoft Entra para um locatário na lista de permissão de restrições de locatário v2, poderá receber um erro de "Acesso negado". Para corrigir esse erro, adicione o seguinte sinalizador de recurso ao centro de administração do Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true.
Por exemplo, suponha que você trabalhe para a Contoso. Fabrikam, um locatário parceiro, está na lista de aprovação. Você pode receber uma mensagem de erro no centro de administração do Microsoft Entra para o locatário Fabrikam.
Se você recebeu a mensagem de erro "Acesso negado" para a URL https://entra.microsoft.com/, adicione o sinalizador de recurso da seguinte maneira: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home.
Para obter informações detalhadas sobre problemas e limitações conhecidos, consulte limitações conhecidas para acesso seguro global.