Konfigurera klientbegränsningar v2

Gäller för:Personalklientorganisationer Externa klienter (läs mer)

Kommentar

Vissa funktioner som beskrivs i den här artikeln är förhandsversionsfunktioner. Mer information om förhandsversioner finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

För att förbättra säkerheten kan du begränsa vad användarna kan komma åt när de använder ett externt konto för att logga in från dina nätverk eller enheter. Med inställningarna för klientbegränsningar , som ingår i inställningar för åtkomst mellan klientorganisationer, kan du skapa en princip för att styra åtkomsten till externa appar.

Anta till exempel att en användare i din organisation har skapat ett separat konto i en okänd klientorganisation, eller att en extern organisation har gett användaren ett konto som gör att de kan logga in i organisationen. Du kan använda klientbegränsningar för att förhindra att användaren använder vissa eller alla externa appar när de är inloggade med det externa kontot i nätverket eller enheterna.

Steg	beskrivning
1	Contoso konfigurerar klientbegränsningar i inställningarna för åtkomst mellan klientorganisationer för att blockera alla externa konton och externa appar. Contoso lägger till TRv2-tvingande signaler med TRv2-huvudet antingen via Universal TRv2 eller en företagsproxy och Microsoft Entra ID tillämpar TRv2-principen när huvudet finns på begäran.
2	En användare som använder en Contoso-hanterad enhet försöker logga in på en extern app med ett konto från en okänd klientorganisation. TRv2 HTTP-huvudet med Contosos klient-ID och princip-ID för klientbegränsningar läggs till i autentiseringsbegäran.
3	Skydd mot autentiseringsplan: Microsoft Entra-ID tillämpar Contosos TRv2-princip och blockerar externa konton från att komma åt externa klienter under autentiseringen enligt Contoso TRv2-principen.
4	Dataskydd (förhandsversion): Microsoft Entra-ID blockerar all anonym åtkomst till SharePoint-fil eller anonym teams möteskoppling samt blockerar användaråtkomst till resursen med en infiltrerad token.

Klientbegränsningar v2 innehåller alternativ för både autentiseringsplanskydd och dataskydd.

• Skydd på autentiseringsplan syftar på att använda en princip för klientbegränsningar v2 för att blockera inloggningar med hjälp av externa identiteter. Du kan till exempel förhindra att en obehörig insider läcker data via extern e-post genom att hindra angriparen från att logga in på sin skadliga klientorganisation. Klientbegränsningar v2-autentiseringsplanskydd är allmänt tillgängligt.

• Dataskydd syftar på att förhindra attacker som kringgår autentisering. En angripare kan till exempel försöka tillåta åtkomst till skadliga klientappar med hjälp av anonym mötesanslutning i Teams eller sharepoint-anonym filåtkomst. Eller så kan angriparen kopiera en åtkomsttoken från en enhet i en skadlig klientorganisation och importera den till organisationens enhet. Klientbegränsningar v2-dataskydd tvingar användaren att autentisera när de försöker komma åt en resurs och blockerar åtkomst om autentiseringen misslyckas.

Klientbegränsningar v1 ger skydd för autentiseringsplanet via en lista över tillåtna klientorganisationer som konfigurerats på företagets proxy, men klientbegränsningar v2 ger dig alternativ för detaljerad autentisering och dataskydd, med eller utan en företagsproxy. Om du använder en företagsproxy för rubrikinmatning omfattar alternativen endast skydd på autentiseringsplanet.

Översikt över klientbegränsningar v2

I organisationens inställningar för åtkomst mellan klientorganisationer kan du konfigurera en princip för klientbegränsningar v2. När du har skapat principen finns det tre sätt att tillämpa principen i din organisation.

• Universella klientbegränsningar v2. Det här alternativet ger både autentiseringsplan och dataskydd utan företagsproxy. Universella klientbegränsningar använder global säker åtkomst (förhandsversion) för att tagga all trafik oavsett operativsystem, webbläsare eller enhetsformulärfaktor. Det ger stöd för både klient- och fjärrnätverksanslutning.
• Klientbegränsningar för autentiseringsplan v2. Du kan distribuera en företagsproxy i din organisation och konfigurera proxyn för att ange klientbegränsningar v2-signaler för all trafik till Microsoft Entra-ID och Microsoft-konton (MSA).
• Begränsningar för Windows-klientorganisation v2. För dina företagsägda Windows-enheter kan du framtvinga både autentiseringsplan och dataskydd genom att tillämpa klientbegränsningar direkt på enheter. Klientbegränsningar tillämpas vid resursåtkomst, vilket ger datasökvägstäckning och skydd mot tokeninfiltration. En företagsproxy krävs inte för principframtvingande. Enheter kan vara Hanterade Eller domänanslutna Microsoft Entra-ID-enheter som hanteras via grupprincip.

Kommentar

I den här artikeln beskrivs hur du konfigurerar klientbegränsningar v2 med hjälp av administrationscentret för Microsoft Entra. Du kan också använda Microsoft Graph-API:et för åtkomst mellan klientorganisationer för att skapa samma principer för klientbegränsningar.

Stödda scenarier

Klientbegränsningar v2 kan begränsas till specifika användare, grupper, organisationer eller externa appar. Appar som bygger på Windows-operativsystemets nätverksstack skyddas. Följande scenarier stöds:

• Alla Office-appen (alla versioner/versionskanaler).
• Universell Windows-plattform .NET-program (UWP).
• Auth-planskydd för alla program som autentiserar med Microsoft Entra-ID, inklusive alla Microsoft-program från första part och program från tredje part som använder Microsoft Entra-ID för autentisering.
• Dataskydd för SharePoint Online och Exchange Online.
• Anonymt åtkomstskydd för SharePoint Online, OneDrive och Teams (med federationskontroller konfigurerade).
• Autentisering och dataskydd för Microsoft-klient- eller konsumentkonton.
• När du använder begränsningar för universell klientorganisation i Global säker åtkomst (förhandsversion), alla webbläsare och plattformar.
• När du använder Windows-grupprincip, Microsoft Edge och alla webbplatser i Microsoft Edge.

Scenarier som inte stöds

• Anonym blockering till onedrive-konsumentkonto. Kunder kan kringgå på proxynivå genom att blockera https://onedrive.live.com/.
• När en användare kommer åt en app från tredje part, till exempel Slack, med hjälp av en anonym länk eller ett icke-Azure AD-konto.
• När en användare kopierar en Microsoft Entra-ID-utfärdad token från en hemdator till en arbetsdator och använder den för att komma åt en tredjepartsapp som Slack.
• Klientbegränsningar per användare för Microsoft-konton.

Jämför klientbegränsningar v1 och v2

I följande tabell jämförs funktionerna i varje version.

	Klientbegränsningar v1	Klientbegränsningar v2
Principframtvingande	Företagsproxyn tillämpar principen för klientbegränsning i Microsoft Entra ID-kontrollplanet.	Alternativ: – Universella klientbegränsningar i Global säker åtkomst (förhandsversion), som använder principsignalering för att tagga all trafik, vilket ger stöd för både autentisering och dataplan på alla plattformar. – Skydd endast för autentiseringsplan, där företagsproxyn anger klientbegränsningar v2-signaler för all trafik. – Hantering av Windows-enheter, där enheter är konfigurerade för att peka Microsoft-trafik till klientbegränsningsprincipen och principen tillämpas i molnet.
Begränsning av principframtvingande	Hantera företagsproxy genom att lägga till klienter i Microsoft Entra-trafiklistan. Teckengränsen för huvudvärdet i Begränsa åtkomst till klientorganisationer: <allowed-tenant-list> begränsar antalet klienter som kan läggas till.	Hanteras av en molnprincip i åtkomstprincipen mellan klientorganisationer. En partnerprincip skapas för varje extern klientorganisation. För närvarande finns konfigurationen för alla externa klienter i en princip med en storleksgräns på 25 KB.
Begäranden om skadlig klientorganisation	Microsoft Entra-ID blockerar begäranden om autentisering av skadliga klientorganisationer för att tillhandahålla skydd för autentiseringsplanet.	Microsoft Entra-ID blockerar begäranden om autentisering av skadliga klientorganisationer för att tillhandahålla skydd för autentiseringsplanet.
Granularitet	Begränsad till klientorganisation och alla Microsoft-konton.	Klientorganisation, användare, grupp och programkornighet. (Kornighet på användarnivå stöds inte med Microsoft-konton.)
Anonym åtkomst	Anonym åtkomst till Teams-möten och fildelning tillåts.	Anonym åtkomst till Teams-möten blockeras. Åtkomst till anonymt delade resurser ("Alla med länken") blockeras.
Microsoft-konton	Använder en Restrict-MSA-rubrik för att blockera åtkomst till konsumentkonton.	Tillåter kontroll över autentisering med Microsoft-konton (MSA och live-ID) på både identitets- och dataplan. Om du till exempel tillämpar klientbegränsningar som standard kan du skapa en Microsoft-kontospecifik princip som tillåter användare att komma åt specifika appar med sina Microsoft-konton, till exempel: Microsoft Learn (app-ID 18fbca16-2224-45f6-85b0-f7bf2b39b3f3) eller Microsoft Enterprise Skills Initiative (app-ID 195e7f27-02f9-4045-9a91-cd2fa1c2af2f).
Proxyhantering	Hantera företagsproxy genom att lägga till klienter i Microsoft Entra-trafiklistan.	För skydd av företagsproxyautentiseringsplan konfigurerar du proxyn för att ange klientbegränsningar v2-signaler för all trafik.
Plattformsstöd	Stöds på alla plattformar. Tillhandahåller endast skydd för autentiseringsplanet.	Universella klientbegränsningar i Global Säker åtkomst (förhandsversion) stöder alla operativsystem, webbläsare eller enhetsformulärfaktorer. Företagsproxyautentiseringsplanskydd stöder macOS-, Chrome-webbläsare och .NET-program. Windows-enhetshantering stöder Windows-operativsystem och Microsoft Edge.
Portalstöd	Det finns inget användargränssnitt i administrationscentret för Microsoft Entra för att konfigurera principen.	Användargränssnittet är tillgängligt i administrationscentret för Microsoft Entra för att konfigurera molnprincipen.
Appar som inte stöds	Ej tillämpligt	Blockera appanvändning som inte stöds med Microsoft-slutpunkter med hjälp av Windows Defender Application Control (WDAC) eller Windows-brandväggen (till exempel för Chrome, Firefox och så vidare). Se Blockera Chrome-, Firefox- och .NET-program som PowerShell.

Migrera klientbegränsningar v1-principer till v2 på proxyn

Att migrera klientbegränsningsprinciper från v1 till v2 är en engångsåtgärd. Efter migreringen krävs inga ändringar på klientsidan. Du kan göra eventuella efterföljande principändringar på serversidan via administrationscentret för Microsoft Entra.

När du aktiverar TRv2 på proxy kan du endast framtvinga TRv2 på autentiseringsplanet. Om du vill aktivera TRv2 på både autentiserings- och dataplanet bör du aktivera TRv2-signaler på klientsidan med universal-TRv2

Steg 1: Konfigurera tillåten lista över partnerklientorganisationer

TRv1: Med klientbegränsningar v1 (TRv1) kan du skapa en lista över tillåtna klient-ID:er och/eller Microsoft-inloggningsslutpunkter för att säkerställa att användarna får åtkomst till externa klientorganisationer som din organisation auktoriserar. TRv1 uppnådde det genom att lägga till Restrict-Access-To-Tenants: <allowed-tenant-list> huvudet på proxyn. Till exempel: "Restrict-Access-To-Tenants: " contoso.com, fabrikam.com, dogfood.com". Läs mer om klientbegränsningar v1.

TRv2: Med klientbegränsningar v2 (TRv2) flyttas konfigurationen till molnprincipen på serversidan och det finns inget behov av TRv1-huvudet.

• På din företagsproxy bör du ta bort klientbegränsningar v1-huvudet, Restrict-Access-To-Tenants: <allowed-tenant-list>.
• För varje klientorganisation i listan över tillåtna innehavare skapar du en partnerklientprincip genom att följa stegen i Steg 2: Konfigurera klientbegränsningar v2 för specifika partner. Följ dessa riktlinjer:

Kommentar

• Behåll standardprincipen för klientbegränsningar v2 som blockerar all extern klientåtkomst med hjälp av externa identiteter (till exempel user@externaltenant.com).
• Skapa en partnerklientprincip för varje klientorganisation som anges i listan över tillåtna v1-klienter genom att följa stegen i Steg 2: Konfigurera klientbegränsningar v2 för specifika partner.
• Tillåt endast specifika användare att komma åt specifika program. Den här designen ökar din säkerhetsstatus genom att begränsa åtkomsten till endast nödvändiga användare.

Steg 2: Blockera konsumentkonto eller Microsoft-kontoklientorganisation

TRv1: Så här tillåter du inte att användare loggar in på konsumentprogram. Trv1 behöver huvudet sec-Restrict-Tenant-Access-Policy för att matas in i trafik som besöker login.live.com som sec-Restrict-Tenant-Access-Policy: restrict-msa"

TRv2: Med TRv2 flyttas konfigurationen till molnprincipen på serversidan och det finns inget behov av TRv1-huvudet.

• På din företagsproxy bör du ta bort klientbegränsningar v1-huvudet sec-Restrict-Tenant-Access-Policy: restrict-msa".
• Skapa en partnerklientprincip för Klientorganisationen för Microsoft-konton genom att följa steg 2: Konfigurera klientbegränsningar v2 för specifika partner. Eftersom tilldelning på användarnivå inte är tillgänglig för MSA-klienter gäller principen för alla MSA-användare. Kornighet på programnivå är dock tillgängligt, och du bör begränsa de program som MSA eller konsumentkonton kan komma åt till endast de program som är nödvändiga.

Kommentar

Om du blockerar MSA-klientorganisationen blockeras inte användarlös trafik för enheter, inklusive:

• Trafik för Autopilot, Windows Update och organisationstelemetri.
• B2B-autentisering av konsumentkonton eller "genomströmningsautentisering", där Azure-appar och Office.com-appar använder Microsoft Entra-ID för att logga in konsumentanvändare i en konsumentkontext.

Steg 3: Aktivera klientbegränsningar v2 på företagsproxyn

TRv2: Du kan konfigurera företagsproxyn för att aktivera taggning på klientsidan av V2-huvudet för klientbegränsningar med hjälp av följande företagsproxyinställning: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>

där <DirectoryID> är ditt Klient-ID för Microsoft Entra och <policyGUID> är objekt-ID för din åtkomstprincip för flera klientorganisationer.

Klientbegränsningar jämfört med inställningar för inkommande och utgående trafik

Även om klientbegränsningar konfigureras tillsammans med inställningarna för åtkomst mellan klientorganisationer, fungerar de separat från inställningarna för inkommande och utgående åtkomst. Åtkomstinställningar mellan klientorganisationer ger dig kontroll när användare loggar in med ett konto från din organisation. Klientbegränsningar ger dig däremot kontroll när användare använder ett externt konto. Dina inställningar för inkommande och utgående trafik för B2B-samarbete och B2B-direktanslutning påverkar inte (och påverkas inte av) inställningarna för klientbegränsningar.

Tänk på de olika inställningarna för åtkomst mellan klientorganisationer på det här sättet:

• Inkommande inställningar styr extern kontoåtkomst till dina interna appar.
• Utgående inställningar styr intern kontoåtkomst till externa appar.
• Klientbegränsningar styr åtkomsten till externa konton till externa appar.

Klientbegränsningar jämfört med B2B-samarbete

När användarna behöver åtkomst till externa organisationer och appar rekommenderar vi att du aktiverar klientbegränsningar för att blockera externa konton och använda B2B-samarbete i stället. B2B-samarbete ger dig möjlighet att:

• Använd villkorsstyrd åtkomst och framtvinga multifaktorautentisering för B2B-samarbetsanvändare.
• Hantera inkommande och utgående åtkomst.
• Avsluta sessioner och autentiseringsuppgifter när en B2B-samarbetsanvändares anställningsstatus ändras eller deras autentiseringsuppgifter överträds.
• Använd inloggningsloggar för att visa information om B2B-samarbetsanvändaren.

Förutsättningar

För att konfigurera klientbegränsningar behöver du:

• Microsoft Entra ID P1 eller P2
• Konto med en roll som minst säkerhetsadministratör
• Windows-enheter som kör Windows 10, Windows 11 med de senaste uppdateringarna

Konfigurera klientbegränsningar på serversidan v2-molnprincip

Steg 1: Konfigurera standardbegränsningar för klientorganisationen v2

Inställningar för klientbegränsningar v2 finns i administrationscentret för Microsoft Entra under Åtkomstinställningar mellan klientorganisationer. Konfigurera först de standardbegränsningar för klientorganisationen som du vill tillämpa på alla användare, grupper, appar och organisationer. Om du sedan behöver partnerspecifika konfigurationer kan du lägga till en partners organisation och anpassa eventuella inställningar som skiljer sig från dina standardinställningar.

Så här konfigurerar du standardbegränsningar för klientorganisationen

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

2. Bläddra till Inställningar för identitetsåtkomst>för externa identiteter>mellan klientorganisationer och välj sedan Åtkomstinställningar för flera klientorganisationer.

3. Välj fliken Standardinställningar .

   

4. Bläddra till avsnittet Klientbegränsningar .

5. Välj länken Redigera klientbegränsningar för standardinställningar.

   

6. Om det inte finns någon standardprincip än i klientorganisationen visas länken Skapa princip bredvid länken Princip-ID. Välj den här länken.

   

7. Sidan Klientbegränsningar visar både ditt klientorganisations-ID och ditt princip-ID för klientbegränsningar. Använd kopieringsikonerna för att kopiera båda dessa värden. Du använder dem senare när du konfigurerar Windows-klienter för att aktivera klientbegränsningar.

   

8. Välj fliken Externa användare och grupper . Under Åtkomststatus väljer du något av följande:

   • Tillåt åtkomst: Tillåter att alla användare som är inloggade med externa konton får åtkomst till externa appar (anges på fliken Externa program ).
   • Blockera åtkomst: Blockerar alla användare som är inloggade med externa konton från att komma åt externa appar (anges på fliken Externa program ).

   

   Kommentar

   Standardinställningar kan inte begränsas till enskilda konton eller grupper, så Gäller alltid för alla <dina klientanvändare> och grupper. Tänk på att om du blockerar åtkomst för alla användare och grupper måste du också blockera åtkomsten till alla externa program (på fliken Externa program ).

9. Välj fliken Externa program . Under Åtkomststatus väljer du något av följande:

   • Tillåt åtkomst: Tillåter att alla användare som är inloggade med externa konton får åtkomst till de appar som anges i avsnittet Gäller för .
   • Blockera åtkomst: Blockerar alla användare som är inloggade med externa konton från att komma åt de appar som anges i avsnittet Gäller för .

   

10. Under Gäller för väljer du något av följande:

    • Alla externa program: Tillämpar den åtgärd som du valde under Åtkomststatus för alla externa program. Om du blockerar åtkomst till alla externa program måste du också blockera åtkomst för alla dina användare och grupper (på fliken Användare och grupper ).
    • Välj externa program: Låter dig välja de externa program som du vill att åtgärden ska tillämpas på under Åtkomststatus . Om du vill välja program väljer du Lägg till Microsoft-program eller Lägg till andra program. Sök sedan efter programnamnet eller program-ID :t (antingen klientappens ID eller resursappens ID) och välj appen. (Se en lista över ID:er för vanliga Microsoft-program.) Om du vill lägga till fler appar använder du knappen Lägg till . När du är klar väljer du Skicka.

    

11. Välj Spara.

Steg 2: Konfigurera klientbegränsningar v2 för specifika partner

Anta att du använder klientbegränsningar för att blockera åtkomst som standard, men du vill tillåta användare att komma åt vissa program med sina egna externa konton. Anta till exempel att du vill att användare ska kunna komma åt Microsoft Learn med sina egna Microsoft-konton. Anvisningarna i det här avsnittet beskriver hur du lägger till organisationsspecifika inställningar som har företräde framför standardinställningarna.

Exempel: Konfigurera klientbegränsningar v2 för att tillåta Microsoft-konton

1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratöreller administratör för villkorsstyrd åtkomst.

2. Bläddra till Inställningar för identitetsåtkomst>för externa identiteter>mellan klientorganisationer.

3. Välj Organisationsinställningar.

   Kommentar

   Om den organisation som du vill lägga till redan har lagts till i listan kan du hoppa över att lägga till den och gå direkt till att ändra inställningarna.

4. Välj Lägg till organisation.

5. I fönstret Lägg till organisation skriver du det fullständiga domännamnet (eller klientorganisations-ID:t) för organisationen.

   Exempel: Sök efter följande klient-ID för Microsoft-konton:

   9188040d-6c67-4c5b-b112-36a304b66dad
   

   

6. Välj organisationen i sökresultaten och välj sedan Lägg till.

7. Ändra inställningarna: Hitta organisationen i listan Organisationsinställningar och rulla sedan vågrätt för att se kolumnen Klientbegränsningar . Nu ärvs alla inställningar för klientbegränsningar för den här organisationen från standardinställningarna. Om du vill ändra inställningarna för den här organisationen väljer du länken Ärvd från standard under kolumnen Klientbegränsningar .

   

8. Sidan Klientbegränsningar för organisationen visas. Kopiera värdena för klientorganisations-ID och princip-ID. Du använder dem senare när du konfigurerar Windows-klienter för att aktivera klientbegränsningar.

   

9. Välj Anpassa inställningar och välj sedan fliken Externa användare och grupper . Under Åtkomststatus väljer du ett alternativ:

   • Tillåt åtkomst: Tillåter användare och grupper som anges under Gäller för som är inloggade med externa konton att få åtkomst till externa appar (anges på fliken Externa program ).
   • Blockera åtkomst: Blockerar användare och grupper som anges under Gäller för som är inloggade med externa konton från att komma åt externa appar (anges på fliken Externa program ).

   Kommentar

   I vårt Microsoft-kontoexempel väljer vi Tillåt åtkomst.

   

10. Under Gäller för väljer du Alla <organisationsanvändare> och grupper.

    Kommentar

    Användarkornighet stöds inte med Microsoft-konton, så funktionen Välj <organisationsanvändare> och grupper är inte tillgänglig. För andra organisationer kan du välja Välj <organisationsanvändare> och grupper och sedan utföra dessa steg för varje användare eller grupp som du vill lägga till:

    • Välj Lägg till externa användare och grupper.
    • I fönstret Välj skriver du användarnamnet eller gruppnamnet i sökrutan.
    • Välj användaren eller gruppen i sökresultatet.
    • Om du vill lägga till fler väljer du Lägg till och upprepar de här stegen. När du är klar med att välja de användare och grupper som du vill lägga till väljer du Skicka.

    

11. Välj fliken Externa program . Under Åtkomststatus väljer du om du vill tillåta eller blockera åtkomst till externa program.

    • Tillåt åtkomst: Tillåter att externa program som anges under Gäller för att kommas åt av dina användare när de använder externa konton.
    • Blockera åtkomst: Blockerar de externa program som anges under Gäller för från att kommas åt av dina användare när du använder externa konton.

    Kommentar

    I vårt Microsoft-kontoexempel väljer vi Tillåt åtkomst.

    

12. Under Gäller för väljer du något av följande:

    • Alla externa program: Tillämpar den åtgärd som du valde under Åtkomststatus för alla externa program.
    • Välj externa program: Tillämpar den åtgärd som du valde under Åtkomststatus för alla externa program.

    Kommentar

    • I vårt Microsoft-kontoexempel väljer vi Välj externa program.
    • Om du blockerar åtkomst till alla externa program måste du också blockera åtkomst för alla dina användare och grupper (på fliken Användare och grupper ).

    

13. Om du väljer Välj externa program gör du följande för varje program som du vill lägga till:

    • Välj Lägg till Microsoft-program eller Lägg till andra program. I vårt Microsoft Learn-exempel väljer vi Lägg till andra program.
    • I sökrutan skriver du programnamnet eller program-ID:t (antingen klientappens ID eller resursappens ID). (Se en lista över ID:er för vanliga Microsoft-program.) I vårt Microsoft Learn-exempel anger vi program-ID: t 18fbca16-2224-45f6-85b0-f7bf2b39b3f3.
    • Välj programmet i sökresultaten och välj sedan Lägg till.
    • Upprepa för varje program som du vill lägga till.
    • När du är klar med att välja program väljer du Skicka.

    

14. De program som du har valt visas på fliken Externa program . Välj Spara.

    

Kommentar

Om du blockerar MSA-klientorganisationen blockeras inte:

• Användarlös trafik för enheter. Detta omfattar trafik för Autopilot, Windows Update och organisationstelemetri.
• B2B-autentisering av konsumentkonton.
• "Direktautentisering", som används av många Azure-appar och Office.com, där appar använder Microsoft Entra-ID för att logga in konsumentanvändare i en konsumentkontext.

Konfigurera klientbegränsningar på klientsidan v2

Det finns tre alternativ för att framtvinga klientbegränsningar v2 för klienter:

• Alternativ 1: Universella klientbegränsningar v2 som en del av Microsoft Entra Global Secure Access (förhandsversion)
• Alternativ 2: Konfigurera klientbegränsningar v2 för företagets proxy
• Alternativ 3: Aktivera klientbegränsningar för Windows-hanterade enheter (förhandsversion)

Alternativ 1: Universella klientbegränsningar v2 som en del av Microsoft Entra Global Secure Access (förhandsversion)

Universella klientbegränsningar v2 som en del av Microsoft Entra Global Secure Access rekommenderas eftersom det ger autentisering och dataskydd för alla enheter och plattformar. Det här alternativet ger mer skydd mot avancerade försök att kringgå autentisering. Angripare kan till exempel försöka tillåta anonym åtkomst till en skadlig klientorganisations appar, till exempel anonym mötesanslutning i Teams. Eller så kan angripare försöka importera en åtkomsttoken som lyfts från en enhet i den skadliga klientorganisationen till din organisations enhet. Universella klientbegränsningar v2 förhindrar dessa attacker genom att skicka klientbegränsningar v2-signaler på autentiseringsplanet (Microsoft Entra-ID och Microsoft-konto) och dataplanet (Microsoft-molnprogram).

Alternativ 2: Konfigurera klientbegränsningar v2 för företagets proxy

För att säkerställa att inloggningar är begränsade på alla enheter och appar i företagets nätverk konfigurerar du företagets proxy för att framtvinga klientbegränsningar v2. Även om konfiguration av klientbegränsningar för din företagsproxy inte ger dataskydd, ger det skydd för autentiseringsplanet.

Viktigt!

Om du tidigare har konfigurerat klientbegränsningar måste du sluta skicka restrict-msa till login.live.com. Annars hamnar de nya inställningarna i konflikt med dina befintliga instruktioner till MSA-inloggningstjänsten.

1. Konfigurera v2-huvudet för klientbegränsningar enligt följande:

   Huvudnamn	Rubrikvärde
   sec-Restrict-Tenant-Access-Policy	<TenantId>:<policyGuid>

   • TenantID är ditt Klient-ID för Microsoft Entra. Hitta det här värdet genom att logga in på administrationscentret för Microsoft Entra som administratör och bläddra till Identitetsöversikt> och välja fliken Översikt.
   • policyGUID är objekt-ID:t för din åtkomstprincip mellan klientorganisationer. Hitta det här värdet genom att anropa /crosstenantaccesspolicy/default och använda fältet "id" som returneras.

2. På din företagsproxy skickar du v2-huvudet för klientbegränsningar till följande Microsoft-inloggningsdomäner:

   • login.live.com
   • login.microsoft.com
   • login.microsoftonline.com
   • login.windows.net

   Det här huvudet tillämpar principen för klientbegränsningar v2 för alla inloggningar i nätverket. Det här huvudet blockerar inte anonym åtkomst till Teams-möten, SharePoint-filer eller andra resurser som inte kräver autentisering.

Klientbegränsningar v2 utan stöd för avbrott och inspektion

För icke-Windows-plattformar kan du bryta och inspektera trafik för att lägga till parametrarna för klientbegränsningar v2 i huvudet via proxy. Vissa plattformar stöder dock inte avbrott och inspektion, så klientbegränsningar v2 fungerar inte. För dessa plattformar kan följande funktioner i Microsoft Entra ID ge skydd:

• Villkorlig åtkomst: Tillåt endast användning av hanterade/kompatibla enheter
• Villkorlig åtkomst: Hantera åtkomst för gäst-/externa användare
• B2B-samarbete: Begränsa utgående regler efter åtkomst mellan klientorganisationer för samma klientorganisationer som anges i parametern "Begränsa åtkomst till klientorganisationer"
• B2B-samarbete: Begränsa inbjudningar till B2B-användare till samma domäner som anges i parametern "Begränsa åtkomst till klienter"
• Programhantering: Begränsa hur användarna godkänner program
• Intune: Använd appprincip via Intune för att begränsa användningen av hanterade appar till endast UPN för det konto som registrerade enheten (under Tillåt endast konfigurerade organisationskonton i appar)

Även om dessa alternativ ger skydd kan vissa scenarier endast omfattas av klientbegränsningar, till exempel användning av en webbläsare för att få åtkomst till Microsoft 365-tjänster via webben i stället för den dedikerade appen.

Alternativ 3: Aktivera klientbegränsningar för Windows-hanterade enheter (förhandsversion)

När du har skapat en princip för klientbegränsningar v2 kan du tillämpa principen på varje Windows 10-, Windows 11- och Windows Server 2022-enhet genom att lägga till ditt klient-ID och princip-ID:t i enhetens konfiguration av klientbegränsningar . När klientorganisationsbegränsningar är aktiverade på en Windows-enhet krävs inte företagsproxy för principframtvingande. Enheter behöver inte vara Microsoft Entra-ID som hanteras för att framtvinga klientbegränsningar v2. domänanslutna enheter som hanteras med grupprincip stöds också.

Kommentar

Klientbegränsningar V2 i Windows är en partiell lösning som skyddar autentiserings- och dataplan för vissa scenarier. Den fungerar på hanterade Windows-enheter och skyddar inte .NET-stack, Chrome eller Firefox. Windows-lösningen tillhandahåller en tillfällig lösning tills den allmänna tillgängligheten för universella klientbegränsningar i Microsoft Entra Global Secure Access (förhandsversion).

Administrativa mallar (.admx) för Windows 10 November 2021 Update (21H2) och grupprincipinställningar

Du kan använda grupprincip för att distribuera konfigurationen av klientbegränsningar till Windows-enheter. Se följande resurser:

• Administrativa mallar för Windows 10
• Grupprincip Inställningar referenskalkyr för Windows 10

Testa principerna på en enhet

Följ dessa steg om du vill testa principen för klientbegränsningar v2 på en enhet.

Kommentar

• Enheten måste köra Windows 10 eller Windows 11 med de senaste uppdateringarna.

1. På Windows-datorn trycker du på Windows-tangenten, skriver gpedit och väljer sedan Redigera grupprincip (kontrollpanelen).

2. Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Klientbegränsningar.

3. Högerklicka på Molnprincipinformation i den högra rutan och välj sedan Redigera.

4. Hämta klientorganisations-ID och princip-ID som du registrerade tidigare (i steg 7 under Konfigurera standardbegränsningar för klientorganisationen) och ange dem i följande fält (lämna alla andra fält tomma):

   • Microsoft Entra-katalog-ID: Ange det klientorganisations-ID som du registrerade tidigare. genom att logga in på administrationscentret för Microsoft Entra som administratör och bläddra till Identitetsöversikt> och välja fliken Översikt.
   • Princip-GUID: ID:t för din åtkomstprincip mellan klientorganisationer. Det är det princip-ID som du registrerade tidigare. Du kan också hitta det här ID:t med hjälp av Graph Explorer-kommandot https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/default.

   

5. Välj OK.

Blockera Chrome-, Firefox- och .NET-program som PowerShell

Du kan använda Windows-brandväggsfunktionen för att blockera oskyddade appar från att komma åt Microsoft-resurser via Chrome, Firefox och .NET-program som PowerShell. De program som skulle blockeras/tillåtas enligt principen klientbegränsningar v2.

Om en kund till exempel lägger till PowerShell i sina klientbegränsningar v2 CIP-princip och har graph.microsoft.com i listan över klientbegränsningar v2-principslutpunkt bör PowerShell kunna komma åt den med brandväggen aktiverad.

1. På Windows-datorn trycker du på Windows-tangenten, skriver gpedit och väljer sedan Redigera grupprincip (kontrollpanelen).

2. Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Klientbegränsningar.

3. Högerklicka på Molnprincipinformation i den högra rutan och välj sedan Redigera.

4. Markera kryssrutan Aktivera brandväggsskydd för Microsoft-slutpunkter och välj sedan OK.

När du har aktiverat brandväggsinställningen kan du prova att logga in med en Chrome-webbläsare. Inloggningen bör misslyckas med följande meddelande:

Visa klientbegränsningar v2-händelser

Visa händelser relaterade till klientbegränsningar i Loggboken.

1. Öppna program- och tjänstloggar i Loggboken.
2. Navigera till Microsoft>Windows>TenantRestrictions>Operational och leta efter händelser.

Klientbegränsningar och stöd för dataplan (förhandsversion)

Trv2 framtvingas av följande resurser som hanterar scenarier med tokeninfiltration där en dålig aktör kommer åt resursen direkt med en infiltrerad token eller anonymt.

• Teams
• SharePoint Online som OneDrive-app
• Exchange Online som Outlook-app
• Office.com/Office-appar

Klientbegränsningar och Microsoft Teams (förhandsversion)

Teams har som standard öppen federation, vilket innebär att vi inte blockerar någon som ansluter till ett möte som hanteras av en extern klientorganisation. Om du vill ha större kontroll över åtkomsten till Teams-möten kan du använda federationskontroller i Teams för att tillåta eller blockera specifika klienter, tillsammans med klientbegränsningar v2 för att blockera anonym åtkomst till Teams-möten. Om du vill tillämpa klientbegränsningar för Teams måste du konfigurera klientbegränsningar v2 i inställningarna för åtkomst mellan klientorganisationer i Microsoft Entra. Du måste också konfigurera federationskontroller i Teams administratörsportal och starta om Teams. Klientbegränsningar som implementeras på företagsproxyn blockerar inte anonym åtkomst till Teams-möten, SharePoint-filer och andra resurser som inte kräver autentisering.

• Teams tillåter för närvarande användare att ansluta till ett externt värdbaserat möte med hjälp av sin företags-/hem-identitet. Du kan använda inställningar för utgående åtkomst mellan klientorganisationer för att styra användare med företags-/hembaserad identitet för att ansluta till externt värdbaserade Teams-möten.
• Klientbegränsningar hindrar användare från att använda en externt utfärdad identitet för att ansluta till Teams-möten.

Kommentar

Microsoft Teams-appen är beroende av SharePoint Online- och Exchange Online-appar. Vi rekommenderar att du ställer in TRv2-principen i Office 365-appen i stället för Microsoft Teams Services eller SharePoint Online eller Exchange Online separat. Om du tillåter/blockerar ett av de program (SPO eller EXO och så vidare) som ingår i Office 365 påverkar det även appar som Microsoft Teams. På samma sätt påverkas SPO och EXO med i Teams-appen om Microsoft Teams-appen tillåts/blockeras.

Ren anonym möteskoppling

Klientbegränsningar v2 blockerar automatiskt all oautentiserad och externt utfärdad identitetsåtkomst till externt värdbaserade Teams-möten. Anta till exempel att Contoso använder Teams Federation Controls för att blockera Fabrikam-klientorganisationen. Om någon med en Contoso-enhet använder ett Fabrikam-konto för att ansluta till ett Contoso Teams-möte får de komma in i mötet som anonym användare. Om Contoso även aktiverar klientbegränsningar v2 blockerar Teams anonym åtkomst och användaren kan inte ansluta till mötet.

Möteskoppling med hjälp av en externt utfärdad identitet

Du kan konfigurera principen för klientbegränsningar v2 så att specifika användare eller grupper med externt utfärdade identiteter kan ansluta till specifika externt värdbaserade Teams-möten. Med den här konfigurationen kan användare logga in på Teams med sina externt utfärdade identiteter och ansluta till den angivna klientens externt värdbaserade Teams-möten.

Autentiseringsidentitet	Autentiserad session	Result
Användare av klientmedlem (autentiserad session) Exempel: En användare använder sin hemidentitet som medlemsanvändare (till exempel user@mytenant.com)	Autentiserad	Klientbegränsningar v2 ger åtkomst till Teams-mötet. TRv2 tillämpas aldrig på klientmedlemsanvändare. Principen för inkommande/utgående åtkomst mellan klientorganisationer gäller.
Anonym (ingen autentiserad session) Exempel: En användare försöker använda en oautentiserad session, till exempel i ett InPrivate-webbläsarfönster, för att få åtkomst till ett Teams-möte.	Inte autentiserad	Klientbegränsningar v2 blockerar åtkomsten till Teams-mötet.
Externt utfärdad identitet (autentiserad session) Exempel: En användare använder någon annan identitet än sin hemidentitet (till exempel user@externaltenant.com)	Autentiserad som en externt utfärdad identitet	Tillåt eller blockera åtkomst till Teams-mötet per klientorganisationsbegränsningar v2-princip. Om det tillåts av principen kan användaren ansluta till mötet. Annars blockeras åtkomsten.

Klientbegränsningar v2 och SharePoint Online

SharePoint Online stöder klientbegränsningar v2 på både autentiseringsplanet och dataplanet.

Autentiserade sessioner

När klientbegränsningar v2 är aktiverade för en klientorganisation blockeras obehörig åtkomst under autentiseringen. Om en användare kommer åt en SharePoint Online-resurs direkt utan en autentiserad session uppmanas de att logga in. Om principen klientbegränsningar v2 tillåter åtkomst kan användaren komma åt resursen. annars blockeras åtkomsten.

Anonym åtkomst (förhandsversion)

Om en användare försöker komma åt en anonym fil med hjälp av sin hemklient/företagsidentitet kan de komma åt filen. Men om användaren försöker komma åt den anonyma filen med någon externt utfärdad identitet blockeras åtkomsten.

Anta till exempel att en användare använder en hanterad enhet som konfigurerats med klientbegränsningar v2 för klientorganisation A. Om de väljer en anonym åtkomstlänk som genererats för en klientorganisation A-resurs bör de kunna komma åt resursen anonymt. Men om de väljer en anonym åtkomstlänk som genererats för klientorganisation B SharePoint Online uppmanas de att logga in. Anonym åtkomst till resurser med hjälp av en externt utfärdad identitet blockeras alltid.

Klientbegränsningar v2 och OneDrive

Autentiserade sessioner

När klientbegränsningar v2 är aktiverade för en klientorganisation blockeras obehörig åtkomst under autentiseringen. Om en användare kommer åt en OneDrive direkt utan en autentiserad session uppmanas de att logga in. Om principen klientbegränsningar v2 tillåter åtkomst kan användaren komma åt resursen. annars blockeras åtkomsten.

Anonym åtkomst (förhandsversion)

Precis som SharePoint stöder OneDrive klientbegränsningar v2 på både autentiseringsplanet och dataplanet. Blockering av anonym åtkomst till OneDrive stöds också. Klientbegränsningar v2-principtillämpning fungerar till exempel på OneDrive-slutpunkten (microsoft-my.sharepoint.com).

Inte i omfånget

OneDrive för konsumentkonton (via onedrive.live.com) stöder inte klientbegränsningar v2. Vissa URL:er (till exempel onedrive.live.com) är obekymrade och använder vår äldre stack. När en användare kommer åt OneDrive-konsumentklientorganisationen via dessa URL:er tillämpas inte principen. Som en lösning kan du blockera https://onedrive.live.com/ på proxynivå.

Inloggningsloggar

Med Microsoft Entra-inloggningsloggar kan du visa information om inloggningar med en princip för klientbegränsningar v2 på plats. När en B2B-användare loggar in på en resursklient för att samarbeta genereras en inloggningslogg i både hemklientorganisationen och resursklientorganisationen. Dessa loggar innehåller information som programmet som används, e-postadresser, klientnamn och klient-ID för både hemklientorganisationen och resursklientorganisationen. I följande exempel visas en lyckad inloggning:

Om inloggningen misslyckas ger aktivitetsinformationen information om orsaken till felet:

Granskningsloggar

Granskningsloggarna innehåller poster över system- och användaraktiviteter, inklusive aktiviteter som initierats av gästanvändare. Du kan visa granskningsloggar för klientorganisationen under Övervakning eller visa granskningsloggar för en viss användare genom att navigera till användarens profil.

Välj en händelse i loggen för att få mer information om händelsen, till exempel:

Du kan också exportera dessa loggar från Microsoft Entra-ID och använda det rapporteringsverktyg du väljer för att hämta anpassade rapporter.

Microsoft Graph

Använd Microsoft Graph för att hämta principinformation:

HTTP-begäran

• Hämta standardprincipen

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  

• Återställ till systemstandard

  POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
  

• Hämta partnerkonfiguration

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
  

• Hämta en specifik partnerkonfiguration

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

• Uppdatera en specifik partner

  PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

Begärandetext

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

Nästa steg

Se Konfigurera inställningar för externt samarbete för B2B-samarbete med icke-Azure AD-identiteter, sociala identiteter och icke-IT-hanterade externa konton.