Ограничения универсального клиента
Ограничения универсального клиента повышают функциональность ограничения клиента версии 2 с помощью глобального безопасного доступа для тегов всего трафика независимо от операционной системы, браузера или форм-фактора устройства. Она обеспечивает поддержку подключения как клиента, так и удаленного сетевого подключения. Администраторы больше не должны управлять конфигурациями прокси-сервера или сложными сетевыми конфигурациями.
Ограничения универсального клиента применяются с помощью политики на основе глобального безопасного доступа, сигналив для плоскости проверки подлинности (общедоступная версия) и плоскости данных (предварительная версия). Ограничения клиентов версии 2 позволяют предприятиям предотвращать утечку данных пользователями с помощью удостоверений внешнего клиента для интегрированных приложений Microsoft Entra, таких как Microsoft Graph, SharePoint Online и Exchange Online. Эти технологии работают вместе, чтобы предотвратить кражу данных на всех устройствах и сетях.
В следующей таблице описаны шаги, выполненные на каждой точке предыдущей схемы.
Этап | Описание: |
---|---|
1 | Компания Contoso настраивает политику **ограничения клиента версии 2 ** в параметрах доступа между клиентами для блокировки всех внешних учетных записей и внешних приложений. Компания Contoso применяет политику с помощью ограничений универсального клиента Global Secure Access. |
2 | Пользователь с управляемым contoso устройством пытается получить доступ к интегрированному приложению Microsoft Entra с неуправляемым внешним удостоверением. |
3 | Защита уровня проверки подлинности. Использование идентификатора Microsoft Entra политика Contoso блокирует неуправляемые внешние учетные записи от доступа к внешним клиентам. |
4 | Защита плоскости данных: если пользователь снова пытается получить доступ к внешнему несанкционированному приложению, скопировав маркер ответа проверки подлинности, полученный за пределами сети Contoso и вставив его на устройство, они блокируются. Несоответствие маркера активирует повторную проверку подлинности и блокирует доступ. Для SharePoint Online любая попытка анонимного доступа к ресурсам будет заблокирована. |
Ограничения универсального клиента помогают предотвратить кражу данных в браузерах, устройствах и сетях следующим образом:
- Он позволяет приложениям Microsoft Entra ID, учетных записей Майкрософт и приложений Майкрософт искать и применять связанные ограничения клиента версии 2. Эта подстановка позволяет согласованному приложению политики.
- Работает со всеми интегрированными сторонними приложениями Microsoft Entra на плоскости проверки подлинности во время входа.
- Работает с Exchange, SharePoint и Microsoft Graph для защиты плоскости данных (предварительная версия)
Необходимые компоненты
- Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
- Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
- Администратор условного доступа для создания и взаимодействия с политиками условного доступа.
- Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
Известные ограничения
- Возможности защиты плоскости данных доступны в предварительной версии (общедоступная защита уровня проверки подлинности)
- Если вы включили ограничения универсального клиента и обращаетесь к Центру администрирования Microsoft Entra для одного из разрешенных клиентов, может появилась ошибка "Доступ запрещен". Добавьте следующий флаг компонента в Центр администрирования Microsoft Entra:
?feature.msaljs=true&exp.msaljsexp=true
- Например, вы работаете в Компании Contoso и разрешаете использовать Fabrikam в качестве клиента партнера. Вы можете увидеть сообщение об ошибке для центра администрирования Microsoft Entra клиента Fabrikam.
- Если вы получили сообщение об ошибке "отказано в доступе" для этого URL-адреса:
https://entra.microsoft.com/
добавьте флаг компонента следующим образом:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- Если вы получили сообщение об ошибке "отказано в доступе" для этого URL-адреса:
Настройка политики ограничений клиента версии 2
Прежде чем организация сможет использовать универсальные ограничения клиента, они должны настроить как ограничения клиента по умолчанию, так и ограничения клиента для любых конкретных партнеров.
Дополнительные сведения о настройке этих политик см. в статье "Настройка ограничений клиента версии 2".
Включение тегов для ограничений клиента версии 2
После создания политик ограничения клиента версии 2 можно использовать глобальный безопасный доступ для применения тегов для ограничений клиента версии 2. Администратор с ролью глобального администратора безопасного доступа и администратора безопасности должен выполнить следующие действия, чтобы обеспечить принудительное применение с помощью глобального безопасного доступа.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к ограничениям универсального клиента глобального управления>параметрами> безопасного доступа.>
- Выберите переключатель для включения ограничений клиента для идентификатора записи (охватывающего все облачные приложения).
Попробуйте использовать ограничения универсального клиента
Ограничения клиента не применяются, когда пользователь (или гостевой пользователь) пытается получить доступ к ресурсам в клиенте, где настроены политики. Политики ограничений клиента версии 2 обрабатываются только в том случае, если удостоверение из другого клиента пытается войти и /или получить доступ к ресурсам. Например, если вы настроите политику ограничений клиента версии 2 в клиенте contoso.com
, чтобы заблокировать все организации, кроме fabrikam.com
этого, политика будет применяться в соответствии с этой таблицей:
User | Тип | Клиент | Политика TRv2 обработана? | Разрешен доступ с проверкой подлинности? | Разрешен анонимный доступ? |
---|---|---|---|---|---|
alice@contoso.com |
Элемент | contoso.com | No(тот же клиент) | Да | Нет |
alice@fabrikam.com |
Элемент | fabrikam.com | Да | Да(клиент, разрешенный политикой) | No |
bob@northwinds.com |
Элемент | northwinds.com | Да | Нет(клиент не разрешен политикой) | No |
alice@contoso.com |
Элемент | contoso.com | No(тот же клиент) | Да | Нет |
bob_northwinds.com#EXT#@contoso.com |
Гость | contoso.com | No(гостевой пользователь) | Да | Нет |
Проверка защиты уровня проверки подлинности
- Убедитесь, что в параметрах глобального безопасного доступа отключен сигнал об ограничениях универсального клиента.
- Используйте браузер для перехода
https://myapps.microsoft.com/
и входа с удостоверением из клиента, отличного от вашего, который не указан в политике ограничений клиента версии 2. Обратите внимание, что для выполнения этого шага может потребоваться использовать частное окно браузера и (или) выйти из основной учетной записи.- Например, если клиент — Contoso, войдите в качестве пользователя Fabrikam в клиенте Fabrikam.
- Пользователь Fabrikam должен иметь доступ к порталу MyApps, так как уведомления об ограничениях клиента отключены в глобальном безопасном доступе.
- Включите ограничения универсального клиента в Центре администрирования Microsoft Entra — глобальный безопасный доступ —>> управление сеансами —> ограничения универсального клиента.
- Выйдите на портале MyApps и перезапустите браузер.
- В качестве конечного пользователя с запущенным клиентом Глобального безопасного доступа доступ к
https://myapps.microsoft.com/
ней используется то же удостоверение (пользователь Fabrikam в клиенте Fabrikam).- Пользователь Fabrikam должен быть заблокирован от проверки подлинности в MyApps с сообщением об ошибке: Доступ заблокирован, ИТ-отдел Contoso ограничен доступом к организациям. Чтобы получить доступ, обратитесь в ИТ-отдел Contoso.
Проверка защиты плоскости данных
- Убедитесь, что сигнал об ограничениях универсального клиента отключен в параметрах глобального безопасного доступа.
- Используйте браузер для перехода
https://yourcompany.sharepoint.com/
и входа с удостоверением клиента, отличного от вашего клиента, который не указан в политике ограничений клиента версии 2. Обратите внимание, что для выполнения этого шага может потребоваться использовать частное окно браузера и (или) выйти из основной учетной записи.- Например, если клиент — Contoso, войдите в качестве пользователя Fabrikam в клиенте Fabrikam.
- Пользователь Fabrikam должен иметь доступ к SharePoint, так как ограничения клиента версии 2 отключается в глобальном безопасном доступе.
- При необходимости в том же браузере с SharePoint Online откройте, откройте средства разработчика или нажмите клавишу F12 на клавиатуре. Начните записывать сетевые журналы. Http-запросы должны отображаться при
200
переходе к SharePoint, когда все работает должным образом. - Убедитесь, что параметр "Сохранить журнал" установлен перед продолжением.
- Откройте окно браузера с помощью журналов.
- Включите ограничения универсального клиента в Центре администрирования Microsoft Entra — глобальный безопасный доступ —>> управление сеансами —> ограничения универсального клиента.
- Как пользователь Fabrikam, в браузере с SharePoint Online откройте в течение нескольких минут новые журналы. Кроме того, браузер может обновиться на основе запроса и ответа, происходящих в внутренней части. Если браузер не обновляется автоматически через пару минут, обновите страницу.
- Пользователь Fabrikam видит, что доступ теперь заблокирован с сообщением: доступ заблокирован, ИТ-отдел Contoso ограничен доступом к организациям. Чтобы получить доступ, обратитесь в ИТ-отдел Contoso.
- В журналах найдите состояние
302
. В этой строке показаны ограничения универсального клиента, применяемые к трафику.- В том же ответе проверьте заголовки для следующих сведений, определяющих, что были применены ограничения универсального клиента:
Restrict-Access-Confirm: 1
x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- В том же ответе проверьте заголовки для следующих сведений, определяющих, что были применены ограничения универсального клиента: