Konfigurera klientbegränsningar v2

Gäller för: Personalklienter Externa klienter (läs mer)

Anteckning

Vissa funktioner som beskrivs i den här artikeln är förhandsversionsfunktioner. Mer information om förhandsversioner finns i Kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure.

För att förbättra säkerheten kan du begränsa vad användarna kan komma åt när de använder ett externt konto för att logga in från dina nätverk eller enheter. Med inställningarna för klientbegränsningar , som ingår i inställningar för åtkomst mellan klientorganisationer, kan du skapa en princip för att styra åtkomsten till externa appar.

Anta till exempel att en användare i din organisation har skapat ett separat konto i en okänd klientorganisation, eller att en extern organisation gav användaren ett konto som gör att de kan logga in i organisationen. Du kan använda klientbegränsningar för att förhindra att användaren använder vissa eller alla externa appar när de är inloggade med det externa kontot i nätverket eller enheterna.

Följande diagram visar de steg som en exempelorganisation vidtar för att förhindra användaråtkomst med hjälp av klientbegränsningar v2.

Steg	beskrivning
1	Contoso konfigurerar klientbegränsningar i sina inställningar för åtkomst mellan hyresgäster för att blockera alla externa konton och externa appar. Contoso lägger till tillämpningssignaler med v2-huvudet för klientbegränsningar via antingen universella klientbegränsningar v2 eller en företagsproxy. Microsoft Entra ID tillämpar principen för hyresgästbegränsningar v2 när huvudet är med i begäran.
2	Användaren av en Contoso-hanterad enhet försöker logga in på en extern app med hjälp av ett konto från en okänd klientorganisation. HTTP-huvudet för klientbegränsningar v2, med Contosos klient-ID och princip-ID för klientbegränsningar, läggs till i autentiseringsbegäran.
3	Skydd för autentiseringsplanet: Microsoft Entra ID tillämpar Contosos princip för klientbegränsningar v2 och blockerar externa konton från att komma åt externa klienter under autentiseringen.
4	Dataskydd (förhandsversion): Microsoft Entra-ID blockerar all anonym åtkomst till Microsoft Forms-, SharePoint-filer- eller Microsoft Teams-möten. Microsoft Entra-ID blockerar även användaråtkomst till resursen med en infiltrerad token.

Hyresgästbegränsningar v2 erbjuder alternativ för båda dessa typer av skydd:

• Skydd av autentiseringsplan innebär användning av en klientbegränsningsprincip v2 för att blockera inloggningsförsök som använder externa identiteter. Du kan till exempel förhindra att en obehörig insider läcker data via extern e-post genom att hindra angriparen från att logga in på sin skadliga klientorganisation. Autentiseringsskydd i hyresgästbegränsningar v2 är nu tillgänglig för alla.

• Dataskydd syftar på att förhindra attacker som kringgår autentisering. En angripare kan till exempel försöka tillåta åtkomst till en skadlig klients appar genom att anonymt ansluta till ett Teams-möte eller anonymt komma åt SharePoint-filer. Eller så kan angriparen kopiera en åtkomsttoken från en enhet i en skadlig klientorganisation och importera den till organisationens enhet. Skydd av dataplanen i klientbegränsningar v2 tvingar användaren att autentisera vid försök att komma åt en resurs. Dataskydd blockerar åtkomst om autentiseringen misslyckas.

Klientbegränsningar v1 ger skydd för autentiseringsplanet via en tillåtna klientlista som konfigurerats på företagets proxy. Hyresgästrestriktioner v2 ger dig alternativ för detaljerad autentisering och skydd av dataplan, med eller utan företagsproxy. Om du använder en företagsproxy för rubrikinmatning omfattar alternativen endast skydd på autentiseringsplanet.

Översikt över hyresgästbegränsningar v2

I organisationens inställningar för åtkomst mellan klientorganisationer kan du konfigurera en princip för klientbegränsningar v2. När du har skapat principen finns det tre sätt att tillämpa principen i din organisation:

• Universella hyresgästrestriktioner. Det här alternativet ger skydd för autentiseringsplanet utan företagsproxy. Universella användarbegränsningar använder Global Secure Access för att tagga all trafik oavsett operativsystem, webbläsare eller enhetstyp. Det här alternativet tillåter stöd för både klient- och fjärrnätverksanslutning.
• Autentiseringsplan. Du kan distribuera en företagsproxy i din organisation och konfigurera proxyn för att ange klientbegränsningar v2-signaler för all trafik till Microsoft Entra-ID och Microsoft-konton.
• Fönster. För dina företagsägda Windows-enheter kan du framtvinga både autentiseringsplan och dataskydd genom att tillämpa klientbegränsningar direkt på enheter. Klientbegränsningar tillämpas på resursåtkomst för att tillhandahålla täckning av datavägar och skydd mot tokeninfiltration. En företagsproxy krävs inte för principframtvingande. Enheter kan hanteras med Microsoft Entra-ID eller vara domänanslutna och hanterade via grupprincip.

Anteckning

I den här artikeln beskrivs hur du konfigurerar klientbegränsningar v2 med hjälp av administrationscentret för Microsoft Entra. Du kan också använda Microsoft Graph API för åtkomstinställningar för flera klientorganisationer för att skapa samma principer för klientrestriktioner.

Stödda scenarier

Du kan begränsa klientbegränsningar v2 till specifika användare, grupper, organisationer eller externa appar. Appar som bygger på nätverksstacken för Windows-operativsystemet skyddas. Följande scenarier stöds:

• Alla Office-appar (alla versioner/lanseringskanaler)
• Universal Windows Platform (UWP) .NET-applikationer
• Skydd av autentiseringsplanet för alla program som autentiserar med Microsoft Entra-ID, inklusive alla Microsoft-program och alla partnerprogram som använder Microsoft Entra-ID för autentisering
• Dataplanskydd för SharePoint Online, Exchange Online och Microsoft Graph
• Anonymt åtkomstskydd för Formulär, SharePoint Online, OneDrive och Teams (med federationskontroller konfigurerade)
• Autentisering och dataskydd för Microsoft-klient- eller konsumentkonton
• När du använder universella klientbegränsningar i Global säker åtkomst, alla webbläsare och plattformar
• När du använder Windows-grupppolicy, Microsoft Edge och alla webbplatser i Microsoft Edge
• Scenarier med enhetsbaserad autentisering (inklusive anpassade program som är integrerade med Microsoft Graph)

Scenarier som inte stöds

• Anonym blockering till onedrive-konsumentkonton. Du kan kringgå den här begränsningen på proxynivå genom att blockera https://onedrive.live.com/.
• När en användare kommer åt en partnerapp, till exempel Slack, med hjälp av en anonym länk eller ett icke-Microsoft Entra-konto.
• När en användare kopierar en Microsoft Entra-ID-utfärdad token från en hemdator till en arbetsdator och använder den för att komma åt en tredjepartsapp som Slack.
• Klientbegränsningar per användare för Microsoft-konton.

Jämför tenantbegränsningar v1 och v2

I följande tabell jämförs funktionerna i varje version.

Egenskap	Klientbegränsningar v1	Klientbegränsningar v2
Policyefterlevnad	Företagsproxyn tillämpar principen för klientbegränsningar på Microsoft Entra ID-kontrollplanet.	Alternativ: – Universella klientbegränsningar i Global säker åtkomst ger stöd för autentiseringsplanet på alla plattformar. – Vid inmatning av företagsproxyhuvud anger företagsproxyn klientbegränsningar v2-signaler för all trafik. – Hantering av Windows-enheter ger både autentiseringsplan och dataskydd. Enheter har konfigurerats för att rikta Microsoft-trafik till principen för begränsningar av hyresgäster. Principen tillämpas i molnet.
Begränsning av policytillämpning	Du kan hantera företagets proxyservrar genom att lägga till klienter i Microsoft Entra-trafiklistan. Teckengränsen för rubrikvärdet i Restrict-Access-To-Tenants: <allowed-tenant-list> begränsar antalet klienter som du kan lägga till.	Den här funktionen hanteras av en molnprincip i principen för åtkomst mellan klientorganisationer. En standardprincip skapas på klientorganisationsnivå och en partnerprincip skapas för varje extern klientorganisation.
Begäranden från skadliga användare	Microsoft Entra ID blockerar skadliga autentiseringsförfrågningar från klientorganisationer för att tillhandahålla autentiseringssäkerhet.	Microsoft Entra ID blockerar skadliga autentiseringsförfrågningar från klientorganisationer för att tillhandahålla autentiseringssäkerhet.
Granularitet	Den här funktionen är begränsad till klientorganisationer och alla Microsoft-konton.	Den här funktionen omfattar detaljnivåer för klientorganisation, användare, grupper och program. (Kornighet på användarnivå stöds inte med Microsoft-konton.)
Anonym åtkomst	Anonym åtkomst till Teams-möten och fildelning tillåts.	Anonym åtkomst till Teams-möten blockeras. Åtkomst till anonymt delade resurser (alla med länken) blockeras. Anonym åtkomst till formulär blockeras.
Microsoft-konton	Den här funktionen använder en Restrict-MSA rubrik för att blockera åtkomst till konsumentkonton.	Den här funktionen ger kontroll över Microsoft-kontoautentisering på både identitets- och dataplan. Om du till exempel tillämpar klientbegränsningar som standard kan du skapa en princip som tillåter användare att komma åt följande specifika appar med sina Microsoft-konton: Microsoft Learn (app-ID 18fbca16-2224-45f6-85b0-f7bf2b39b3f3) eller Microsoft Enterprise Skills Initiative (app-ID 195e7f27-02f9-4045-9a91-cd2fa1c2af2f).
Proxyhantering	Du kan hantera företagets proxyservrar genom att lägga till klienter i Microsoft Entra-trafiklistan.	För att skydda autentiseringsplanet på en företagsproxy konfigurerar du proxyn att sätta v2 signaler för klientbegränsningar på all trafik.
Plattformsstöd	Den här funktionen stöds på alla plattformar. Det ger endast skydd för autentiseringsplanet.	Universella klientbegränsningar i Global Säker åtkomst stöder alla formfaktorer för operativsystem, webbläsare eller enheter. Skydd av autentiseringsplanet på en företagsproxy stöder macOS, Chrome-webbläsare och .NET-program. Windows-enhetshantering stöder Windows-operativsystem och Microsoft Edge.
Portalstöd	Det finns inget användargränssnitt i administrationscentret för Microsoft Entra för att konfigurera principen.	Ett användargränssnitt finns i administrationscentret för Microsoft Entra för att konfigurera molnprincipen.
Appar som inte stöds	Ej tillämpbart.	Blockera appanvändning som inte stöds med Microsoft-slutpunkter med appkontroll för företag i Windows (tidigare Windows Defender-programkontroll [WDAC]) eller Windows-brandväggen (till exempel för Chrome eller Firefox). Se Blockera Chrome-, Firefox- och .NET-program som PowerShell senare i den här artikeln.

Migrera klientbegränsningar v1-principer till v2 på proxyn

Att migrera principer för klientbegränsningar från v1 till v2 är en engångsåtgärd. Efter migreringen krävs inga ändringar på klientsidan. Du kan göra eventuella efterföljande principändringar på serversidan via administrationscentret för Microsoft Entra.

När du aktiverar klientbegränsningar v2 på en proxyserver kan du endast tillämpa klientbegränsningar v2 på autentiseringsplanet. Om du vill aktivera klientbegränsningar v2 på både autentiserings- och dataplan bör du aktivera signaler på klientsidan för klientbegränsningar v2 med hjälp av ett Grupprincipobjekt (GPO).

Steg 1: Konfigurera en lista över tillåtna partnerhyresgäster

Med klientbegränsningar v1 kan du skapa en lista över klient-ID:er och/eller Microsoft-inloggningsslutpunkter för att säkerställa att användarna får åtkomst till externa klientorganisationer som din organisation godkänner. Klientbegränsningar v1 uppnådde tillåtliste genom att lägga till Restrict-Access-To-Tenants: <allowed-tenant-list> huvud på proxyservern. Till exempel: Restrict-Access-To-Tenants: "contoso.com, fabrikam.com, northwindtraders.com". Läs mer om klientbegränsningar v1.

Med klientbegränsningar v2 flyttas konfigurationen till molnprincipen på serversidan. Det finns inget behov av hyresgästbegränsningar v1-överskriften, så ta bort den här överskriften från företagsproxyn. Skapa en partnerhyresgästprincip för varje hyresgäst i allowed-tenant-list rubriken. Följ dessa riktlinjer:

• Behåll standardprincipen för klientbegränsningar v2 som blockerar all extern klientåtkomst från externa identiteter (till exempel user@<externaltenant>.com).
• Skapa en partnerklientprincip för varje klientorganisation som anges i listan över klientbegränsningar v1 genom att följa stegen i Steg 2: Konfigurera klientbegränsningar v2 för specifika partner senare i den här artikeln.
• Tillåt endast specifika användare att komma åt specifika program. Den här designen ökar din säkerhetsstatus genom att begränsa åtkomsten till endast nödvändiga användare.

Steg 2: Blockera klientorganisationer för konsumentkonton eller Microsoft-konton

För att inte tillåta användare att logga in på konsumentprogram behöver hyresgästbegränsningar v1 huvudet infogas i trafiken som går till login.live.com, till exempel sec-Restrict-Tenant-Access-Policy.

Med klientbegränsningar v2 flyttas konfigurationen till molnprincipen på serversidan. Det finns inget behov av hyresgästbegränsningar v1-huvud. På företagsproxyn tar du bort tenantbegränsning v1-huvudet sec-Restrict-Tenant-Access-Policy: restrict-msa.

Skapa en partnerklientprincip för Microsoft-kontoklientorganisationen genom att följa steg 2: Konfigurera klientbegränsningar v2 för specifika partner senare i den här artikeln. Eftersom tilldelning på användarnivå inte är tillgänglig för Microsoft-kontoklienter, gäller policyn för alla användare av Microsoft-konton. Detaljnivå på programnivå är dock tillgänglig. Du bör begränsa de program som Microsoft-konton eller konsumentkonton endast kan komma åt till nödvändiga program.

Anteckning

Blockering av Microsoft-kontosystemet blockerar inte enhetstrafik från andra källor än den som kommer från användare, inklusive:

• Trafik för Autopilot, Windows Update och organisationsdatainsamling.
• B2B-autentisering för konsumentkonton, eller passthrough-autentisering, där Azure-appar och Office.com-appar använder Microsoft Entra-ID för att autentisera konsumentanvändare i en konsumentkontext.

Steg 3: Aktivera klientbegränsningar v2 på företagsproxyn

Du kan konfigurera företagsproxyn för att möjliggöra klientsidig taggning av rubriken för hyresgästbegränsningar v2 genom att använda följande inställning för företagsproxy: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>.

I den inställningen ersätter du <DirectoryID> med ditt Klient-ID för Microsoft Entra. Ersätt <policyGUID> med objekt-ID:t för din åtkomstprincip för klienter.

Hyresgästbegränsningar jämfört med inställningar för inkommande och utgående trafik

Även om klientbegränsningar konfigureras tillsammans med inställningarna för åtkomst mellan klientorganisationer, fungerar de separat från inställningarna för inkommande och utgående åtkomst. Åtkomstinställningar mellan klientorganisationer ger dig kontroll när användare loggar in med ett konto från din organisation. Klientbegränsningar ger dig däremot kontroll när användare använder ett externt konto. Dina inställningar för inkommande och utgående trafik för B2B-samarbete och B2B-direktanslutningar påverkar inte (och påverkas inte av) inställningarna för klientbegränsningar.

Tänk på åtkomstinställningarna på det här sättet:

• Inkommande inställningar styr extern kontoåtkomst till dina interna appar.
• Utgående inställningar styr intern kontoåtkomst till externa appar.
• Hyresgästrestriktioner kontrollerar extern kontoåtkomst till externa appar.

Klientbegränsningar jämfört med B2B-samarbete

När dina användare behöver åtkomst till externa organisationer och appar rekommenderar vi att du aktiverar klientbegränsningar för att blockera externa konton och använda B2B-samarbete i stället. B2B-samarbete ger dig möjlighet att:

• Använd villkorsstyrd åtkomst och framtvinga multifaktorautentisering för B2B-samarbetsanvändare.
• Hantera inkommande och utgående åtkomst.
• Avsluta sessioner och autentiseringsuppgifter när en B2B-samarbetsanvändares anställningsstatus ändras eller deras autentiseringsuppgifter överträds.
• Använd inloggningsloggar för att visa information om B2B-samarbetsanvändare.

Förutsättningar

För att konfigurera klientbegränsningar behöver du:

• Microsoft Entra ID P1 eller P2.
• Ett konto med en roll som minst säkerhetsadministratör för att konfigurera en princip för klientbegränsningar v2.
• För Windows GPO-konfiguration, Windows-enheter som kör Windows 10 eller Windows 11 med de senaste uppdateringarna.

Konfigurera en molnprincip på serversidan för klientbegränsningar v2

Steg 1: Konfigurera standardbegränsningar för hyresgästorganisationen

Inställningar för klientbegränsningar v2 finns i administrationscentret för Microsoft Entra under Inställningar för åtkomst mellan klientorganisationer. Konfigurera först de standardbegränsningar för klientorganisationen som du vill tillämpa på alla användare, grupper, appar och organisationer. Om du behöver partnerspecifika konfigurationer kan du lägga till en partners organisation och anpassa eventuella inställningar som skiljer sig från standardinställningarna.

Så här konfigurerar du standardbegränsningar för klientorganisationen:

1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

2. Bläddra till Inställningar för åtkomst till entra-ID>för externa identiteter>mellan klientorganisationer.

3. Välj fliken Standardinställningar .

   

4. Bläddra till avsnittet Klientbegränsningar .

5. Välj länken Redigera standardinställningar för klientbegränsningar.

   

6. Om det inte finns någon standardprincip än i klientorganisationen visas länken Skapa princip bredvid Princip-ID. Välj den här länken.

   

7. Fönstret Klientbegränsningar visar både ditt klient-ID-värde och ditt princip-ID-värde för klientbegränsningar. Använd kopieringsikonerna för att kopiera båda dessa värden. Du använder dem senare när du konfigurerar Windows-klienter för att aktivera klientbegränsningar.

   

8. Välj fliken Externa användare och grupper . Under Åtkomststatus väljer du något av följande alternativ:

   • Tillåt åtkomst: Tillåter att alla användare som är inloggade med externa konton får åtkomst till externa appar (anges på fliken Externa program ).
   • Blockera åtkomst: Blockerar alla användare som är inloggade med externa konton från att komma åt externa appar (anges på fliken Externa program ).

   

   Anteckning

   Standardinställningar kan inte begränsas till enskilda konton eller grupper, så Gäller alltid föralla <dina klientanvändare> och grupper. Tänk på att om du blockerar åtkomst för alla användare och grupper måste du också blockera åtkomsten till alla externa program (på fliken Externa program ).

9. Välj fliken Externa program . Under Åtkomststatus väljer du något av följande alternativ:

   • Tillåt åtkomst: Tillåter att alla användare som är inloggade med externa konton får åtkomst till de appar som anges i avsnittet Gäller för .
   • Blockera åtkomst: Blockerar alla användare som är inloggade med externa konton från att komma åt de appar som anges i avsnittet Gäller för .

   

10. Under Gäller för väljer du något av följande alternativ:

    • Alla externa program: Tillämpar den åtgärd som du valde under Åtkomststatus för alla externa program. Om du blockerar åtkomsten till alla externa program måste du också blockera åtkomsten för alla dina användare och grupper (på fliken Externa användare och grupper ).

    • Välj externa program: Låter dig välja de externa program som du vill att åtgärden under Åtkomststatus ska tillämpas på.

      Om du vill välja program väljer du Lägg till Microsoft-program eller Lägg till andra program. Sök sedan efter programnamnet eller program-ID :t (antingen klientappens ID eller resursappens ID) och välj appen. (Se en lista över ID:er för vanliga Microsoft-program.) Om du vill lägga till fler appar använder du knappen Lägg till . När du är klar väljer du Skicka.

    

11. Välj Spara.

Steg 2: Konfigurera klientbegränsningar v2 för specifika partner

Anta att du använder klientbegränsningar för att blockera åtkomst som standard, men du vill tillåta användare att komma åt vissa program med hjälp av sina egna externa konton. Du vill till exempel att användarna ska kunna komma åt Microsoft Learn med sina egna Microsoft-konton. Anvisningarna i det här avsnittet beskriver hur du lägger till organisationsspecifika inställningar som har företräde framför standardinställningarna.

1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör eller administratör för villkorsstyrd åtkomst.

2. Bläddra till Inställningar för åtkomst till entra-ID>för externa identiteter>mellan klientorganisationer.

3. Välj Organisationsinställningar.

   Anteckning

   Om den organisation som du vill lägga till redan har lagts till i listan kan du hoppa över att lägga till den och gå direkt till att ändra inställningarna.

4. Välj Lägg till organisation.

5. I fönstret Lägg till organisation anger du det fullständiga domännamnet (eller klientorganisations-ID:t) för organisationen.

   Sök till exempel efter följande klientorganisations-ID för ett Microsoft-konto:

   9188040d-6c67-4c5b-b112-36a304b66dad
   

   

6. Välj organisationen i sökresultaten och välj sedan Lägg till.

7. Ändra inställningarna. Leta upp organisationen i listan Organisationsinställningar och rulla sedan vågrätt för att se kolumnen Klientbegränsningar . Nu ärvs alla inställningar för klientbegränsningar för den här organisationen från standardinställningarna. Om du vill ändra inställningarna för den här organisationen väljer du länken Ärvd från standardlänken .

   

8. Fönstret Klientbegränsningar för organisationen visas. Kopiera värdena för klientorganisations-ID och policy-ID. Du använder dem senare när du konfigurerar Windows-klienter för att aktivera klientbegränsningar.

   

9. Välj Anpassa inställningar och välj sedan fliken Externa användare och grupper . Under Åtkomststatus väljer du ett alternativ:

   • Tillåt åtkomst: Tillåter användare och grupper som anges under Gäller för som är inloggade med externa konton att få åtkomst till externa appar (anges på fliken Externa program ).
   • Blockera åtkomst: Blockerar användare och grupper som anges under Gäller för som är inloggade med externa konton från att komma åt externa appar (anges på fliken Externa program ).

   I exemplet med Microsoft-konton i den här artikeln väljer vi Tillåt åtkomst.

   

10. Under Gäller för väljer du Alla <organisationsanvändare> och grupper.

    

    Anteckning

    Användarkornighet stöds inte med Microsoft-konton, så funktionen Välj <organisationsanvändare> och grupper är inte tillgänglig. För andra organisationer kan du välja Välj <organisationsanvändare> och grupper och sedan utföra följande steg:

    1. Välj Lägg till externa användare och grupper.
    2. I fönstret Välj anger du användarnamnet eller gruppnamnet i sökrutan.
    3. Välj användaren eller gruppen i sökresultatet.
    4. Om du vill lägga till fler väljer du Lägg till och upprepar de här stegen.
    5. När du är klar med att välja de användare och grupper som du vill lägga till väljer du Skicka.

11. Välj fliken Externa program . Under Åtkomststatus väljer du om du vill tillåta eller blockera åtkomst till externa program:

    • Tillåt åtkomst: Tillåter att användarna får åtkomst till de externa program som anges under Gäller för när användarna använder externa konton.
    • Blockera åtkomst: Blockerar dina användare från att komma åt de externa program som anges under Gäller för när användarna använder externa konton.

    I exemplet med Microsoft-konton i den här artikeln väljer vi Tillåt åtkomst.

    

12. Under Gäller för väljer du något av följande alternativ:

    • Alla externa program: Tillämpar den åtgärd som du valde under Åtkomststatus för alla externa program.
    • Välj externa program: Tillämpar den åtgärd som du valde under Åtkomststatus för alla externa program.

    I exemplet Med Microsoft-konton i den här artikeln väljer vi Välj externa program.

    Anteckning

    Om du blockerar åtkomsten till alla externa program måste du också blockera åtkomsten för alla dina användare och grupper (på fliken Externa användare och grupper ).

    

13. Om du väljer Välj externa program utför du följande steg:

    1. Välj Lägg till Microsoft-program eller Lägg till andra program. I Microsoft Learn-exemplet i den här artikeln väljer vi Lägg till andra program.
    2. I sökrutan anger du programnamnet eller program-ID:t (antingen klientappens ID eller resursappens ID). (Se en lista över ID:er för vanliga Microsoft-program.) I Microsoft Learn-exemplet i den här artikeln anger vi program-ID: t 18fbca16-2224-45f6-85b0-f7bf2b39b3f3.
    3. Välj programmet i sökresultaten och välj sedan Lägg till.
    4. Upprepa föregående steg för varje program som du vill lägga till.
    5. När du är klar med att välja program väljer du Skicka.

    

14. De program som du har valt visas på fliken Externa program . Välj Spara.

    

Anteckning

Blockering av Microsoft-kontotenanten blockerar inte:

• Enhetstrafik som inte kommer från användare. Exempel är trafik för Autopilot, Windows Update och organisationsdatainsamling.
• B2B-autentisering av konsumentkonton.
• Direktautentisering, som används av många Azure-appar och Office.com, där appar använder Microsoft Entra-ID för att logga in konsumentanvändare i en konsumentkontext.

Konfigurera klientbegränsningar v2 på klientsidan

Det finns tre alternativ för att tillämpa hyresebegränsningar version 2 för klienter.

• Använda universella klientbegränsningar v2 som en del av Microsoft Entra Global Secure Access
• Konfigurera klientbegränsningar v2 för din företagsproxy
• Aktivera klientbegränsningar på Windows-hanterade enheter (förhandsversion)

Alternativ 1: Använd universella klientbegränsningar v2 som en del av Microsoft Entra Global Secure Access

Universella klientbegränsningar v2 som en del av Microsoft Entra Global Secure Access ger skydd för autentiseringsplanet för alla enheter och plattformar.

Alternativ 2: Konfigurera klientbegränsningar v2 för företagets proxy

För att säkerställa att inloggningar är begränsade på alla enheter och appar i företagets nätverk konfigurerar du företagets proxy för att framtvinga klientbegränsningar v2. Även om konfiguration av klientbegränsningar för din företagsproxy inte ger dataskydd, ger det skydd för autentiseringsplanet.

Viktigt!

Om du tidigare har konfigurerat klientbegränsningar måste du sluta skicka restrict-msa till login.live.com. Annars står de nya inställningarna i konflikt med dina befintliga instruktioner för Microsoft-kontots inloggningstjänst.

1. Konfigurera v2-huvudet för klientbegränsningar enligt följande:

   Huvudnamn	Rubrikvärde	Exempelvärde
   sec-Restrict-Tenant-Access-Policy	<TenantId>:<policyGuid>	aaaabbbb-0000-cccc-1111-dddd2222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5

   • TenantID är ditt Klient-ID för Microsoft Entra. Hitta det här värdet genom att logga in på administrationscentret för Microsoft Entra och bläddra tillÖversiktsegenskaper> för Entra-ID>.
   • policyGUID är objekt-ID:t för din åtkomstpolicy mellan hyresgäster. Hitta det här värdet genom att anropa /crosstenantaccesspolicy/default och använda det returnerade id fältet.

2. Skicka v2-huvudet för klientbegränsningar i företagets proxy till följande Microsoft-inloggningsdomäner:

   • login.live.com
   • login.microsoft.com
   • login.microsoftonline.com
   • login.windows.net

   Denna rubrik tillämpar klientbegränsningsprincipen v2 på alla inloggningar i nätverket. Det här huvudet blockerar inte anonym åtkomst till Teams-möten, SharePoint-filer eller andra resurser som inte kräver autentisering.

Viktigt!

Klientbegränsningar v1 och v2 på proxyn kräver dekryptering av begäranden för inloggnings-URL:er, till exempel login.microsoftonline.com. Microsoft stöder dekryptering av trafik för de inloggningsdomänerna i syfte att infoga rubrik för hyresgästbegränsningar. Den här dekrypteringen är ett giltigt undantag från principerna i Använd nätverksenheter från tredje part eller lösningar med Microsoft 365.

Klientbegränsningar v2 utan stöd för avbrott och inspektion

För icke-Windows-plattformar kan du använda en proxy för att avbryta och inspektera trafik och lägga till v2-parametrarna för klientbegränsningar i headern. Vissa plattformar stöder dock inte avbrott och inspektion, så klientbegränsningar v2 fungerar inte. För dessa plattformar kan följande funktioner i Microsoft Entra ID ge skydd:

• Villkorsstyrd åtkomst: Tillåt endast användning av hanterade eller kompatibla enheter
• Villkorlig åtkomst: Hantera åtkomst för gästanvändare eller externa användare
• B2B-samarbete: Begränsa utgående regler genom åtkomst mellan klientorganisationer för de klientorganisationer som anges i parametern Begränsa-Åtkomst-Till-Klientorganisationer
• B2B-samarbete: Begränsa inbjudningar till B2B-användare till samma domäner som anges i parametern Restrict-Access-To-Tenants
• Programhantering: Begränsa hur användarna godkänner program
• Intune: Tillämpa en appprincip via Intune för att begränsa användningen av hanterade appar till endast UPN för det konto som registrerade enheten (under Tillåt endast konfigurerade organisationskonton i appar)

Även om dessa alternativ ger skydd kan du endast täcka vissa scenarier via klientbegränsningar. Exempel är användningen av en webbläsare för att få åtkomst till Microsoft 365-tjänster via webben i stället för den dedikerade appen.

Alternativ 3: Aktivera klientbegränsningar för Windows-hanterade enheter (förhandsversion)

När du har skapat en princip för klientbegränsningar v2 kan du tillämpa principen på varje Windows 10- eller Windows 11-enhet genom att lägga till ditt klient-ID och princip-ID i enhetens konfiguration av klientbegränsningar .

När du aktiverar klientbegränsningar på en Windows-enhet behövs inte företagsproxier för efterlevnad av principer. Enheter behöver inte vara hanterade av Microsoft Entra ID för att verkställa hyresgästbegränsningar v2. Domänanslutna enheter som hanteras med grupprincip stöds också.

Anteckning

Klientbegränsningar v2 i Windows är en partiell lösning som hjälper till att skydda autentiserings- och dataplan för vissa scenarier. Det fungerar på hanterade Windows-enheter. Den skyddar inte .NET-stacken, Chrome eller Firefox.

Använd grupppolicy för att implementera klientbegränsningar

Du kan använda grupprincip för att distribuera konfigurationen av klientbegränsningar till Windows-enheter. Se följande resurser:

• Administrativa mallar för Windows 10 November 2021 Update (21H2)
• Referenskalkylblad för gruppolicyinställningar för Windows 10 November 2021 Update (21H2)

Testa principen på en enhet

Följ dessa steg om du vill testa principen för klientbegränsningar v2 på en enhet.

Anteckning

Enheten måste köra Windows 10 eller Windows 11 med de senaste uppdateringarna.

1. På Windows-datorn väljer du Windows-logotypnyckeln, anger gpedit och väljer sedan Redigera grupprincip (Kontrollpanelen).

2. Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Klientbegränsningar.

3. Högerklicka på Detaljer för molnpolicy på höger sida och välj sedan Redigera.

4. Hämta Klient-ID och Policy-ID som du registrerade tidigare (i steg 7 i Steg 1: Konfigurera standardbegränsningar för klientorganisationen) och skriv in dem i följande fält. Lämna alla andra fält tomma.

   • Microsoft Entra-katalog-ID: Ange det klient-ID-värde som du registrerade tidigare genom att logga in på administrationscentret för Microsoft Entra och bläddra till Entra ID>Översikt>Egenskaper.

   • Princip-GUID: ID för din åtkomstprincip mellan hyresgäster. Det är Policy-ID-värdet som du registrerade tidigare.

     

5. Välj OK.

Visa hyresgästbegränsningar v2-händelser

Visa händelser som rör klientbegränsningar i Händelsevisaren.

1. Öppna Program- och tjänstloggar i Händelseloggen.
2. Gå till Microsoft>Windows>TenantRestrictions>Operational och leta efter händelser.

Blockera Chrome-, Firefox- och .NET-program som PowerShell

Om du vill blockera program måste du konfigurera App Control for Business i Windows (tidigare Windows Defender Application Control [WDAC]) och aktivera en Windows-brandväggsinställning.

Konfigurera App Control för företag för att styra åtkomsten till Microsoft-resurser

App Control for Business är en principmotor inbyggd i Windows som gör att du kan styra vilka program som kan köras på användarens enheter. För klientbegränsningar v2 måste du använda App Control för företag för att blockera oupplysta appar (appar som inte tillhandahåller klientbegränsningar v2-skydd) från att komma åt Microsoft-resurser. Med det här kravet kan du fortsätta att använda valfria webbläsare och appar, samtidigt som du vet att data som skyddas av Microsoft Entra endast kan nås på ett säkert sätt.

Oupplysta appar använder inte Windows-nätverksstacken, så de drar inte nytta av klientbegränsningarna v2-funktioner som lagts till i Windows. De kan inte skicka signalen till login.live.com för Microsoft Entra eller till Microsoft-resurser som anger att klientbegränsningar v2-skydd krävs. Därför kan du inte förlita dig på o upplysta appar för att tillhandahålla dataskydd.

Du kan använda App Control för företag på två sätt för att skydda mot oskyddade appar:

• Förhindra användningen av oauktoriserade appar helt (dvs. blockera PowerShell eller Chrome helt från att användas). Du kan använda en standardprincip för appkontroll för företag som styr vilka appar som kan köras.
• Tillåt användning av o upplysta appar, men blockera dem från att komma åt Microsoft-resurser. För den här metoden använder du en särskild appkontroll för företag-princip som kallas en app-ID-taggningsprincip (AppIdTaggingPolicy).

För båda alternativen måste du först skapa en appkontrollspolicy för företag. Du kan sedan välja att konvertera den till en app-ID-taggningpolicy. Tillämpa den slutligen på dina enheter när du har testat den på en testdator.

Mer information finns i Skapa App Control AppId-taggningsprinciper.

Anteckning

Följande steg kräver en up-to-date Windows-enhet för åtkomst till de senaste PowerShell-cmdletarna som behövs för att skapa principen.

Steg 1: Använd guiden Appkontrollprincip för att skapa en princip

1. Installera Appkontrollprincipguiden.

2. Välj Skapa en princip och välj ditt principformat. Standardvärdet är Multipel princip, basprincip.

3. Välj basmallen (rekommenderas: Standardfönster eller Tillåt Microsoft). Detaljerade steg finns i Mallbasprinciper.

4. När du konverterar principen till en app-ID-taggningsprincip förutsätter guiden att principregler har angetts. Du kan ange dem här, men det krävs inte. Dessa principregler inkluderar menyn Avancerade startalternativ, Inaktivera skriptframtvingande, Framtvinga store-program, granskningsläge och kodintegritet i användarläge.

5. Välj platsen där du vill spara din policy-XML och skapa din policy.

Steg 2: Konvertera principen till en app-ID-taggningsprincip

När du har skapat principen i guiden eller skapat en egen med hjälp av PowerShell konverterar du .xml utdata till en app-ID-taggningsprincip. Taggningsprincipen markerar de appar som du vill tillåta åtkomst till Microsoft-resurser för. GUID-resultatet är ditt nya policy-ID.

   Set-CIPolicyIdInfo -ResetPolicyID .\policy.xml -AppIdTaggingPolicy -AppIdTaggingKey "M365ResourceAccessEnforced" -AppIdTaggingValue "True" 

Steg 3: Kompilera och distribuera principen för testning

När du har redigerat principen och konverterat den till en app-ID-taggningsprincip kompilerar du den med det princip-ID som matchar filnamnet:

   ConvertFrom-CIPolicy .\policy.xml ".\{PolicyID}.cip"

Distribuera sedan principen till din CiPolicies\Active katalog:

   copy ".\{Policy ID}.cip" c:\windows\system32\codeintegrity\CiPolicies\Active\ 

Uppdatera principerna i systemet genom att anropa RefreshPolicy.exe.

Aktivera windows-brandväggsinställningen

Du kan använda Windows-brandväggsfunktionen för att blockera oskyddade appar från att komma åt Microsoft-resurser via Chrome, Firefox och .NET-program som PowerShell. Dessa program skulle blockeras eller tillåtas i enlighet med principen klientbegränsningar v2.

Om du till exempel lägger till PowerShell i din CIP-princip (Customer Identification Program) för klientbegränsningar v2, och du har graph.microsoft.com i klientbegränsningarna v2-principens slutpunktslista, bör PowerShell kunna komma åt den med brandväggen aktiverad.

1. På Windows-datorn väljer du Windows-logotypnyckeln, anger gpedit och väljer sedan Redigera grupprincip (Kontrollpanelen).

2. Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Klientbegränsningar.

3. Högerklicka på Detaljer för molnpolicy på höger sida och välj sedan Redigera.

4. Markera kryssrutan Aktivera brandväggsskydd för Microsoft-slutpunkter och välj sedan OK.

   

5. Uppdatera grupppolicy på enheten genom att köra gpudate:

      gupdate /force
   

6. Starta om enheten.

Testa att klientbegränsningar v2 blockerar åtkomst

När du har aktiverat brandväggen och inställningen App Control for Business kan du prova att logga in med hjälp av en Chrome-webbläsare och komma åt office.com. Inloggningen ska misslyckas med följande meddelande.

Hyresgästbegränsningar och stöd för dataplan (förhandsversion)

Följande resurser tillämpar klientbegränsningar v2. Dessa resurser hanterar scenarier med tokeninfiltration där en dålig aktör kommer åt resursen direkt med en infiltrerad token eller anonymt.

• Grupper
• SharePoint Online, som en OneDrive-app
• Exchange Online, som en Outlook-app
• Office.com och Office-appar

Klientbegränsningar och Microsoft Forms (förhandsversion)

När klientbegränsningar v2 tillämpas blockerar den automatiskt all anonym eller oautentiserad identitetsåtkomst till externt värdbaserade formulär från Microsoft Forms.

Klientbegränsningar och Microsoft Teams (förhandsversion)

Teams har som standard öppen federation. Det blockerar inte någon från att ansluta till ett möte som en extern klientorganisation är värd för. Om du vill ha större kontroll över åtkomsten till Teams-möten kan du använda federationskontroller i Teams för att tillåta eller blockera specifika klienter. Du kan också använda dessa federationskontroller tillsammans med klientbegränsningar v2 för att blockera anonym åtkomst till Teams-möten.

Om du vill tillämpa klientbegränsningar för Teams måste du konfigurera klientbegränsningar v2 i inställningarna för åtkomst mellan klientorganisationer i Microsoft Entra. Du måste också konfigurera federationskontroller i Teams administratörsportal och starta om Teams. Klientbegränsningar v2 som implementeras på företagsproxyn blockerar inte anonym åtkomst till Teams-möten, SharePoint-filer och andra resurser som inte kräver autentisering.

Tänk på följande om identitet när du överväger att använda hyresgästbegränsningar för Teams:

• Teams tillåter för närvarande användare att ansluta till ett externt värdbaserat möte med hjälp av sin företagsspecifika eller hembaserade identitet. Du kan använda inställningar för utgående åtkomst mellan klientorganisationer för att styra vilka användare med en företagsbaserad eller hembaserad identitet som kan ansluta till externt värdbaserade Teams-möten.
• Klientbegränsningar hindrar användare från att använda en externt utfärdad identitet för att ansluta till Teams-möten.

Anteckning

Microsoft Teams-appen är beroende av SharePoint Online- och Exchange Online-appar. Vi rekommenderar att du anger principen för klientbegränsningar v2 i Office 365-appen i stället för att ange principen för Microsoft Teams-tjänster, SharePoint Online eller Exchange Online separat. Om du tillåter eller blockerar ett av de program (SharePoint Online, Exchange Online och så vidare) som ingår i Office 365 påverkar det även appar som Microsoft Teams. På samma sätt påverkas SharePoint Online och Exchange Online i Teams-appen om Microsoft Teams-appen tillåts eller blockeras.

Anonymt mötesdeltagande

Klientbegränsningar v2 blockerar automatiskt all oautentiserad och externt utfärdad identitetsåtkomst till externt värdbaserade Teams-möten.

Anta till exempel att Contoso använder Teams federationskontroller för att blockera Fabrikam-klientorganisationen. Om någon med en Contoso-enhet använder ett Fabrikam-konto för att ansluta till ett Contoso Teams-möte får de komma in i mötet som anonym användare. Om Contoso också aktiverar klientbegränsningar v2 blockerar Teams anonym åtkomst och användaren kan inte ansluta till mötet.

Anslutning till möte genom en externt utfärdad identitet

Du kan konfigurera principen för klientbegränsningar v2 så att specifika användare eller grupper med externt utfärdade identiteter kan ansluta till specifika externt värdbaserade Teams-möten. Med den här konfigurationen kan användare logga in på Teams med sina externt utfärdade identiteter och ansluta till den angivna klientens externt värdbaserade Teams-möten.

Autentiseringsidentitet	Autentiserad session	Resultat
Hyresgästmedlemanvändare Exempel: En användare använder sin hemidentitet som medlemsanvändare (till exempel user@<mytenant>.com).	Autentiserad	Hyresgästbegränsningar v2 ger åtkomst till Teams-möten. Klientbegränsningar v2 tillämpas inte på klientmedlemsanvändare. Principen för inkommande/utgående trafik för åtkomst mellan klientorganisationer gäller.
Anonym Exempel: En användare försöker använda en oautentiserad session i ett InPrivate-webbläsarfönster för att få åtkomst till ett Teams-möte.	Inte autentiserad	Klientbegränsningar v2 blockerar åtkomsten till Teams-mötet.
Externt utfärdad identitet Exempel: En användare använder någon annan identitet än sin hemidentitet (till exempel user@<externaltenant>.com).	Autentiserad med en externt utfärdad identitet	Principen för klientbegränsningar v2 tillåter eller blockerar åtkomst till Teams-mötet. Användaren kan ansluta till mötet om principen tillåter det. Annars blockeras åtkomsten.

Klientbegränsningar v2 och SharePoint Online (förhandsversion)

SharePoint Online stöder klientbegränsningar v2 på både autentiseringsplanet och dataplanet.

Autentiserade sessioner

När klientbegränsningar v2 är aktiverat för en klientorganisation blockeras obehörig åtkomst under autentiseringen. Om en användare kommer åt en SharePoint Online-resurs direkt utan en autentiserad session uppmanas de att logga in. Om principen klientbegränsningar v2 tillåter åtkomst kan användaren komma åt resursen. Annars blockeras åtkomsten.

Anonym åtkomst (förhandsversion)

Om en användare försöker komma åt en anonym fil med hjälp av sin hemklient eller företagsidentitet kan användaren komma åt filen. Men om användaren försöker komma åt den anonyma filen med hjälp av någon externt utfärdad identitet blockeras åtkomsten.

Anta till exempel att en användare använder en hanterad enhet som konfigurerats med klientbegränsningar v2 för klientorganisation A. Om användaren väljer en anonym åtkomstlänk som genererats för en klientorganisation A-resurs bör de kunna komma åt resursen anonymt. Men om användaren väljer en anonym åtkomstlänk som genererats för SharePoint Online i klient B uppmanas de att logga in. Anonym åtkomst till resurser via en externt utfärdad identitet blockeras alltid.

Klientbegränsningar v2 och OneDrive (förhandsversion)

Autentiserade sessioner

När klientbegränsningar v2 är aktiverat för en klientorganisation blockeras obehörig åtkomst under autentiseringen. Om en användare kommer åt en OneDrive-resurs direkt utan en autentiserad session uppmanas de att logga in. Om principen klientbegränsningar v2 tillåter åtkomst kan användaren komma åt resursen. Annars blockeras åtkomsten.

Anonym åtkomst (förhandsversion)

Precis som SharePoint stöder OneDrive klientbegränsningar v2 på både autentiseringsplanet och dataplanet. Blockering av anonym åtkomst till OneDrive stöds också. Till exempel fungerar tillämpningen av principen för klientbegränsningar v2 på OneDrive-slutpunkten (microsoft-my.sharepoint.com).

Inte i omfånget

OneDrive för konsumentkonton (via onedrive.live.com) stöder inte klientbegränsningar v2. Vissa URL:er (till exempel onedrive.live.com) är icke-konsoliderade och använder den äldre teknologiska stacken. När en användare kommer åt OneDrive-konsumentklientorganisationen via dessa URL:er tillämpas inte principen. Som en lösning kan du blockera https://onedrive.live.com/ på proxynivå.

Klientbegränsningar v2 och tjänstens huvudnamn

Klientbegränsningar v2 blockerar åtkomst från en tjänstens huvudprincip. Du kan aktivera klientsignalering med hjälp av:

• En brandvägg eller företagsproxy. Logga in med tjänstens huvudnamn:

      $client_id = "00001111-aaaa-2222-bbbb-3333cccc4444"
      $clientSecret = Get-Credential -Username $client_id
      Connect-MgGraph -TenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee" -ClientSecretCredential $clientSecret
  

  Inloggningen misslyckas med:

  Connect-MgGraph : ClientSecretCredential authentication failed: AADSTS5000211: A tenant restrictions policy added to this request by a device or network administrator does not allow access to 'tenant'.

• Ett Windows GPO. Du måste kontrollera Aktivera brandväggsskydd för Microsoft-slutpunkter och App Control for Business-aktivering. Se Blockera Chrome-, Firefox- och .NET-program som PowerShell tidigare i den här artikeln.

Hyresgästrestriktioner med Microsoft Enterprise SSO-tillägg för Apple-enheter

Microsoft Enterprise SSO-plugin-programmet för Apple-enheter tillhandahåller enkel inloggning (SSO) för Microsoft Entra-konton på macOS, iOS och iPadOS i alla program som stöder Apples Enterprise SSO-funktion. Om du vill använda Microsoft Enterprise SSO-plugin-programmet för Apple-enheter måste du undanta vissa URL:er från nätverksproxyservrar, avlyssning och andra företagssystem.

Om din organisation använder Apple OS-versioner som släpptes efter 2022 behöver du inte utesluta Microsofts inloggnings-URL:er från TLS-inspektion. Om du använder funktionen för klientbegränsningar kan du göra TLS-inspektion på Microsofts inloggnings-URL:er och lägga till nödvändiga rubriker i begäran. Mer information finns i Microsoft Enterprise SSO-plugin-programmet för Apple-enheter.

Du kan verifiera nätverkskonfigurationen på en macOS-enhet för att se till att SSO-konfigurationen inte har brutits på grund av TLS-inspektion.

Inloggningsloggar

Med inloggningsloggar från Microsoft Entra kan du visa detaljer om inloggningar med en begränsningsprincip för hyresgäster v2 aktiverad. När en B2B-användare loggar in på en resursklientorganisation för att samarbeta genereras en inloggningslogg i både hemklientorganisationen och resursklientorganisationen. Dessa loggar innehåller information som programmet som används, e-postadresser, klientnamn och klient-ID för både hemklientorganisationen och resursklientorganisationen. I följande exempel visas en lyckad inloggning.

Om inloggningen misslyckas ger aktivitetsinformationen information om orsaken till felet.

Granskningsloggar

Granskningsloggar innehåller poster över system- och användaraktiviteter, inklusive aktiviteter som gästanvändare initierade. Du kan visa granskningsloggar för klientorganisationen under Övervakning, eller så kan du visa granskningsloggar för en viss användare genom att gå till användarens profil.

Om du vill ha mer information om händelsen väljer du händelsen i loggen.

Du kan också exportera dessa loggar från Microsoft Entra-ID och använda det rapporteringsverktyg du väljer för att hämta anpassade rapporter.

Microsoft Graph

Använd Microsoft Graph för att hämta principinformation.

HTTP-begäran

• Hämta standardpolicyn:

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  

• Återställ till systemets standardinställning:

  POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
  

• Hämta partnerkonfigurationer:

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
  

• Hämta en specifik partnerkonfiguration:

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

• Uppdatera en specifik partner:

  PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

Begärandetext

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

Kända begränsningar

Klientbegränsningar v2 stöds i alla moln. Klientbegränsningar v2 tillämpas dock inte med begäranden mellan moln.

Hyresgästbegränsningar v2 fungerar inte med funktionen macOS Platform SSO när klientsignalering sker via företagsproxy. Kunder som använder klientbegränsningar v2 och plattforms-SSO bör använda universella klientbegränsningar v2 med global säker åtkomst-klientsignalering. Det här är en begränsning från Apple där plattforms-SSO inte är kompatibel med klientbegränsningar när en mellanliggande nätverkslösning infogar rubriker. Ett exempel på en sådan lösning är en proxy som använder en certifikatförtroendekedja utanför Apples systemrotcertifikat.

Relaterat innehåll

• Konfigurera inställningarna för B2B-externt samarbete i Microsoft Entra External ID