Поделиться через


Ограничения универсального клиента

Ограничения универсального клиента повышают функциональность ограничения клиента версии 2 с помощью глобального безопасного доступа для тегов всего трафика независимо от операционной системы, браузера или форм-фактора устройства. Она обеспечивает поддержку подключения как клиента, так и удаленного сетевого подключения. Администраторы больше не должны управлять конфигурациями прокси-сервера или сложными сетевыми конфигурациями.

Ограничения универсального клиента применяются с помощью политики на основе глобального безопасного доступа, сигналив для плоскости проверки подлинности (общедоступная версия) и плоскости данных (предварительная версия). Ограничения клиентов версии 2 позволяют предприятиям предотвращать утечку данных пользователями с помощью удостоверений внешнего клиента для интегрированных приложений Microsoft Entra, таких как Microsoft Graph, SharePoint Online и Exchange Online. Эти технологии работают вместе, чтобы предотвратить кражу данных на всех устройствах и сетях.

Схема, показывающая, как ограничения клиента версии 2 защищают от вредоносных пользователей.

В следующей таблице описаны шаги, выполненные на каждой точке предыдущей схемы.

Этап Описание:
1 Компания Contoso настраивает политику **ограничения клиента версии 2 ** в параметрах доступа между клиентами для блокировки всех внешних учетных записей и внешних приложений. Компания Contoso применяет политику с помощью ограничений универсального клиента Global Secure Access.
2 Пользователь с управляемым contoso устройством пытается получить доступ к интегрированному приложению Microsoft Entra с неуправляемым внешним удостоверением.
3 Защита уровня проверки подлинности. Использование идентификатора Microsoft Entra политика Contoso блокирует неуправляемые внешние учетные записи от доступа к внешним клиентам.
4 Защита плоскости данных: если пользователь снова пытается получить доступ к внешнему несанкционированному приложению, скопировав маркер ответа проверки подлинности, полученный за пределами сети Contoso и вставив его на устройство, они блокируются. Несоответствие маркера активирует повторную проверку подлинности и блокирует доступ. Для SharePoint Online любая попытка анонимного доступа к ресурсам будет заблокирована.

Ограничения универсального клиента помогают предотвратить кражу данных в браузерах, устройствах и сетях следующим образом:

  • Он позволяет приложениям Microsoft Entra ID, учетных записей Майкрософт и приложений Майкрософт искать и применять связанные ограничения клиента версии 2. Эта подстановка позволяет согласованному приложению политики.
  • Работает со всеми интегрированными сторонними приложениями Microsoft Entra на плоскости проверки подлинности во время входа.
  • Работает с Exchange, SharePoint и Microsoft Graph для защиты плоскости данных (предварительная версия)

Необходимые компоненты

Известные ограничения

  • Возможности защиты плоскости данных доступны в предварительной версии (общедоступная защита уровня проверки подлинности)
  • Если вы включили ограничения универсального клиента и обращаетесь к Центру администрирования Microsoft Entra для одного из разрешенных клиентов, может появилась ошибка "Доступ запрещен". Добавьте следующий флаг компонента в Центр администрирования Microsoft Entra:
    • ?feature.msaljs=true&exp.msaljsexp=true
    • Например, вы работаете в Компании Contoso и разрешаете использовать Fabrikam в качестве клиента партнера. Вы можете увидеть сообщение об ошибке для центра администрирования Microsoft Entra клиента Fabrikam.
      • Если вы получили сообщение об ошибке "отказано в доступе" для этого URL-адреса: https://entra.microsoft.com/ добавьте флаг компонента следующим образом: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Настройка политики ограничений клиента версии 2

Прежде чем организация сможет использовать универсальные ограничения клиента, они должны настроить как ограничения клиента по умолчанию, так и ограничения клиента для любых конкретных партнеров.

Дополнительные сведения о настройке этих политик см. в статье "Настройка ограничений клиента версии 2".

Включение тегов для ограничений клиента версии 2

После создания политик ограничения клиента версии 2 можно использовать глобальный безопасный доступ для применения тегов для ограничений клиента версии 2. Администратор с ролью глобального администратора безопасного доступа и администратора безопасности должен выполнить следующие действия, чтобы обеспечить принудительное применение с помощью глобального безопасного доступа.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
  2. Перейдите к ограничениям универсального клиента глобального управления>параметрами> безопасного доступа.>
  3. Выберите переключатель для включения ограничений клиента для идентификатора записи (охватывающего все облачные приложения).

Попробуйте использовать ограничения универсального клиента

Ограничения клиента не применяются, когда пользователь (или гостевой пользователь) пытается получить доступ к ресурсам в клиенте, где настроены политики. Политики ограничений клиента версии 2 обрабатываются только в том случае, если удостоверение из другого клиента пытается войти и /или получить доступ к ресурсам. Например, если вы настроите политику ограничений клиента версии 2 в клиенте contoso.com , чтобы заблокировать все организации, кроме fabrikam.comэтого, политика будет применяться в соответствии с этой таблицей:

User Тип Клиент Политика TRv2 обработана? Разрешен доступ с проверкой подлинности? Разрешен анонимный доступ?
alice@contoso.com Элемент contoso.com No(тот же клиент) Да Нет
alice@fabrikam.com Элемент fabrikam.com Да Да(клиент, разрешенный политикой) No
bob@northwinds.com Элемент northwinds.com Да Нет(клиент не разрешен политикой) No
alice@contoso.com Элемент contoso.com No(тот же клиент) Да Нет
bob_northwinds.com#EXT#@contoso.com Гость contoso.com No(гостевой пользователь) Да Нет

Проверка защиты уровня проверки подлинности

  1. Убедитесь, что в параметрах глобального безопасного доступа отключен сигнал об ограничениях универсального клиента.
  2. Используйте браузер для перехода https://myapps.microsoft.com/ и входа с удостоверением из клиента, отличного от вашего, который не указан в политике ограничений клиента версии 2. Обратите внимание, что для выполнения этого шага может потребоваться использовать частное окно браузера и (или) выйти из основной учетной записи.
    1. Например, если клиент — Contoso, войдите в качестве пользователя Fabrikam в клиенте Fabrikam.
    2. Пользователь Fabrikam должен иметь доступ к порталу MyApps, так как уведомления об ограничениях клиента отключены в глобальном безопасном доступе.
  3. Включите ограничения универсального клиента в Центре администрирования Microsoft Entra — глобальный безопасный доступ —>> управление сеансами —> ограничения универсального клиента.
  4. Выйдите на портале MyApps и перезапустите браузер.
  5. В качестве конечного пользователя с запущенным клиентом Глобального безопасного доступа доступ к https://myapps.microsoft.com/ ней используется то же удостоверение (пользователь Fabrikam в клиенте Fabrikam).
    1. Пользователь Fabrikam должен быть заблокирован от проверки подлинности в MyApps с сообщением об ошибке: Доступ заблокирован, ИТ-отдел Contoso ограничен доступом к организациям. Чтобы получить доступ, обратитесь в ИТ-отдел Contoso.

Проверка защиты плоскости данных

  1. Убедитесь, что сигнал об ограничениях универсального клиента отключен в параметрах глобального безопасного доступа.
  2. Используйте браузер для перехода https://yourcompany.sharepoint.com/ и входа с удостоверением клиента, отличного от вашего клиента, который не указан в политике ограничений клиента версии 2. Обратите внимание, что для выполнения этого шага может потребоваться использовать частное окно браузера и (или) выйти из основной учетной записи.
    1. Например, если клиент — Contoso, войдите в качестве пользователя Fabrikam в клиенте Fabrikam.
    2. Пользователь Fabrikam должен иметь доступ к SharePoint, так как ограничения клиента версии 2 отключается в глобальном безопасном доступе.
  3. При необходимости в том же браузере с SharePoint Online откройте, откройте средства разработчика или нажмите клавишу F12 на клавиатуре. Начните записывать сетевые журналы. Http-запросы должны отображаться при 200 переходе к SharePoint, когда все работает должным образом.
  4. Убедитесь, что параметр "Сохранить журнал" установлен перед продолжением.
  5. Откройте окно браузера с помощью журналов.
  6. Включите ограничения универсального клиента в Центре администрирования Microsoft Entra — глобальный безопасный доступ —>> управление сеансами —> ограничения универсального клиента.
  7. Как пользователь Fabrikam, в браузере с SharePoint Online откройте в течение нескольких минут новые журналы. Кроме того, браузер может обновиться на основе запроса и ответа, происходящих в внутренней части. Если браузер не обновляется автоматически через пару минут, обновите страницу.
    1. Пользователь Fabrikam видит, что доступ теперь заблокирован с сообщением: доступ заблокирован, ИТ-отдел Contoso ограничен доступом к организациям. Чтобы получить доступ, обратитесь в ИТ-отдел Contoso.
  8. В журналах найдите состояние 302. В этой строке показаны ограничения универсального клиента, применяемые к трафику.
    1. В том же ответе проверьте заголовки для следующих сведений, определяющих, что были применены ограничения универсального клиента:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

Следующие шаги