Ограничения универсального клиента
Ограничения универсального клиента повышают функциональность ограничения клиента версии 2 с помощью глобального безопасного доступа для тегов всего трафика независимо от операционной системы, браузера или форм-фактора устройства. Она обеспечивает поддержку подключения как клиента, так и удаленного сетевого подключения. Администраторы больше не должны управлять конфигурациями прокси-сервера или сложными сетевыми конфигурациями.
Ограничения универсального клиента применяются с помощью политики на основе глобального безопасного доступа, сигналив для плоскости проверки подлинности (общедоступная версия) и плоскости данных (предварительная версия). Ограничения клиентов версии 2 позволяют предприятиям предотвращать утечку данных пользователями с помощью удостоверений внешнего клиента для интегрированных приложений Microsoft Entra, таких как Microsoft Graph, SharePoint Online и Exchange Online. Эти технологии работают вместе, чтобы предотвратить кражу данных на всех устройствах и сетях.
В следующей таблице описаны шаги, выполненные на каждой точке предыдущей схемы.
Этап | Описание: |
---|---|
1 | Компания Contoso настраивает политику **ограничения клиента версии 2 ** в параметрах доступа между клиентами для блокировки всех внешних учетных записей и внешних приложений. Компания Contoso применяет политику с помощью ограничений универсального клиента Global Secure Access. |
2 | Пользователь с управляемым contoso устройством пытается получить доступ к интегрированному приложению Microsoft Entra с неуправляемым внешним удостоверением. |
3 | Защита уровня проверки подлинности. Использование идентификатора Microsoft Entra политика Contoso блокирует неуправляемые внешние учетные записи от доступа к внешним клиентам. |
4 | Защита плоскости данных: если пользователь снова пытается получить доступ к внешнему несанкционированному приложению, скопировав маркер ответа проверки подлинности, полученный за пределами сети Contoso и вставив его на устройство, они блокируются. Несоответствие маркера активирует повторную проверку подлинности и блокирует доступ. Для SharePoint Online любая попытка анонимного доступа к ресурсам будет заблокирована. |
Ограничения универсального клиента помогают предотвратить кражу данных в браузерах, устройствах и сетях следующим образом:
- Он позволяет приложениям Microsoft Entra ID, учетных записей Майкрософт и приложений Майкрософт искать и применять связанные ограничения клиента версии 2. Эта подстановка позволяет согласованному приложению политики.
- Работает со всеми интегрированными сторонними приложениями Microsoft Entra на плоскости проверки подлинности во время входа.
- Работает с Exchange, SharePoint и Microsoft Graph для защиты плоскости данных (предварительная версия)
Необходимые компоненты
- Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
- Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
- Администратор условного доступа для создания и взаимодействия с политиками условного доступа.
- Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
Известные ограничения
- Возможности защиты плоскости данных доступны в предварительной версии (общедоступная защита уровня проверки подлинности)
- Если вы включили ограничения универсального клиента и обращаетесь к Центру администрирования Microsoft Entra для одного из разрешенных клиентов, может появилась ошибка "Доступ запрещен". Добавьте следующий флаг компонента в Центр администрирования Microsoft Entra:
?feature.msaljs=true&exp.msaljsexp=true
- Например, вы работаете в Компании Contoso и разрешаете использовать Fabrikam в качестве клиента партнера. Вы можете увидеть сообщение об ошибке для центра администрирования Microsoft Entra клиента Fabrikam.
- Если вы получили сообщение об ошибке "отказано в доступе" для этого URL-адреса:
https://entra.microsoft.com/
добавьте флаг компонента следующим образом:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- Если вы получили сообщение об ошибке "отказано в доступе" для этого URL-адреса:
Настройка политики ограничений клиента версии 2
Прежде чем организация сможет использовать универсальные ограничения клиента, они должны настроить как ограничения клиента по умолчанию, так и ограничения клиента для любых конкретных партнеров.
Дополнительные сведения о настройке этих политик см. в статье "Настройка ограничений клиента версии 2".
Включение тегов для ограничений клиента версии 2
После создания политик ограничения клиента версии 2 можно использовать глобальный безопасный доступ для применения тегов для ограничений клиента версии 2. Администратор с ролью глобального администратора безопасного доступа и администратора безопасности должен выполнить следующие действия, чтобы обеспечить принудительное применение с помощью глобального безопасного доступа.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к ограничениям глобального управления сеансами>> глобального доступа для глобального безопасного доступа.>
- Выберите переключатель Включить добавление тегов, чтобы применить ограничения клиента в сети.
- Выберите Сохранить.
Попробуйте использовать ограничения универсального клиента
Ограничения клиента не применяются, когда пользователь (или гостевой пользователь) пытается получить доступ к ресурсам в клиенте, где настроены политики. Политики ограничений клиента обрабатываются только в том случае, если удостоверение из другого клиента пытается войти и /или получить доступ к ресурсам. Например, если настроить политику ограничений клиента версии 2 в клиенте contoso.com блокировать все организации, кроме fabrikam.com, политика будет применяться в соответствии с этой таблицей:
User | Тип | Клиент | Политика TRv2 обработана? | Разрешен доступ с проверкой подлинности? | Разрешен анонимный доступ? |
---|---|---|---|---|---|
alice@contoso.com |
Элемент | contoso.com | No(тот же клиент) | Да | Нет |
alice@fabrikam.com |
Элемент | fabrikam.com | Да | Да(клиент, разрешенный политикой) | No |
bob@northwinds.com |
Элемент | northwinds.com | Да | Нет(клиент не разрешен политикой) | No |
alice@contoso.com |
Элемент | contoso.com | No(тот же клиент) | Да | Нет |
bob_northwinds.com#EXT#@contoso.com |
Гость | contoso.com | No(гостевой пользователь) | Да | Нет |
Проверка защиты уровня проверки подлинности
- Убедитесь, что в глобальных параметрах глобального безопасного доступа отключены сигналы об ограничениях универсального клиента.
- Используйте браузер для перехода
https://myapps.microsoft.com/
и входа с удостоверением из клиента, отличного от вашего, который не указан в политике ограничений клиента версии 2. Обратите внимание, что для выполнения этого шага может потребоваться использовать частное окно браузера и (или) выйти из основной учетной записи.- Например, если клиент — Contoso, войдите в качестве пользователя Fabrikam в клиенте Fabrikam.
- Пользователь Fabrikam должен иметь доступ к порталу MyApps, так как уведомления об ограничениях клиента отключены в глобальном безопасном доступе.
- Включение ограничений универсального клиента на портале Записей, глобальном безопасном доступе, управлении сеансами и ограничениях универсального клиента
- Выйдите на портале MyApps и перезапустите браузер.
- В качестве конечного пользователя с запущенным клиентом глобального безопасного доступа доступ к ним можно получить доступ
https://myapps.microsoft.com/
с помощью того же удостоверения (пользователь Fabrikam в клиенте Fabrikam).- Пользователь Fabrikam должен быть заблокирован от проверки подлинности в MyApps со следующим сообщением об ошибке:
- Доступ заблокирован, ИТ-отдел Contoso ограничен доступом к организациям. Чтобы получить доступ, обратитесь в ИТ-отдел Contoso.
- Пользователь Fabrikam должен быть заблокирован от проверки подлинности в MyApps со следующим сообщением об ошибке:
Проверка защиты плоскости данных
- Убедитесь, что сигнал об ограничениях универсального клиента отключен в глобальных параметрах глобального безопасного доступа.
- Используйте браузер для перехода
https://yourcompany.sharepoint.com/
и входа с удостоверением из клиента, отличного от вашего, который не указан в политике ограничений клиента версии 2. Обратите внимание, что для выполнения этого шага может потребоваться использовать частное окно браузера и (или) выйти из основной учетной записи.- Например, если клиент — Contoso, войдите в качестве пользователя Fabrikam в клиенте Fabrikam.
- Пользователь Fabrikam должен иметь доступ к SharePoint, так как сигналы об ограничениях клиента отключены в глобальном безопасном доступе.
- При необходимости в том же браузере с SharePoint Online откройте, откройте средства разработчика или нажмите клавишу F12 на клавиатуре. Начните записывать сетевые журналы. Http-запросы должны возвращать состояние 200 при переходе к SharePoint, когда все работает должным образом.
- Убедитесь, что параметр "Сохранить журнал" установлен перед продолжением.
- Откройте окно браузера с помощью журналов.
- Включение ограничений универсального клиента на портале Записей, глобальном безопасном доступе, управлении сеансами и ограничениях универсального клиента
- Как пользователь Fabrikam, в браузере с SharePoint Online откройте в течение нескольких минут новые журналы. Кроме того, браузер может обновиться на основе запроса и ответа, происходящих в внутренней части. Если браузер не обновляется автоматически через пару минут, обновите страницу.
- Пользователь Fabrikam видит, что доступ теперь заблокирован:
- Доступ заблокирован, ИТ-отдел Contoso ограничен доступом к организациям. Чтобы получить доступ, обратитесь в ИТ-отдел Contoso.
- Пользователь Fabrikam видит, что доступ теперь заблокирован:
- В журналах найдите состояние 302. В этой строке показаны ограничения универсального клиента, применяемые к трафику.
- В том же ответе проверьте заголовки для следующих сведений, определяющих, что были применены ограничения универсального клиента:
Restrict-Access-Confirm: 1
x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- В том же ответе проверьте заголовки для следующих сведений, определяющих, что были применены ограничения универсального клиента:
Следующие шаги
Следующим шагом для начала работы с Интернет-доступ Microsoft Entra является включение расширенного сигнала глобального безопасного доступа.
Дополнительные сведения о политиках условного доступа для глобального безопасного доступа см. в следующих статьях:
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по