Planera en klientbegränsningar v1-migrering till klientbegränsningar v2
Gäller för:
Arbetskraftshyresgäster 
Externa hyresgäster (läs mer)
Administratörer använder klientbegränsningar v1 för att styra användaråtkomsten till externa klienter i nätverket. Klientbegränsningar v2 med åtkomstinställningar mellan klientorganisationer lägger dock till begränsningar på klientnivå och mer kornighet, till exempel kontroller för enskilda användare, grupper och program. Klientbegränsningar v2 flyttar principhantering från nätverksproxyservrar till en molnbaserad portal. Organisationer når inte längre ett maximalt antal målklienter på grund av storleksbegränsningar för proxyhuvuden.
Migrering från klientbegränsningar v1 till klientbegränsningar v2 är en engångsprocess utan några andra licenskrav. När du planerar migreringen kan du inkludera intressenter från nätverks- och identitetsteam.
Förutsättningar
Se till att följande krav uppfylls.
- Administratörsåtkomst till proxyservrar som infogar rubriker för klientbegränsningar v1
- Proxyservrar kan använda lokala eller molnbaserade tjänster
- Microsoft Entra ID P1- eller P2-licenser
- Migreringsmöjlighet: Scenarier med klientbegränsningar v2 som inte stöds
Roller som krävs
Det här avsnittet har de minst privilegierade roller som krävs för distributionen. Använd rollen Säkerhetsadministratör eller en anpassad roll med minst följande behörigheter.
Microsoft.directory/crossTenantAccessPolicy/
- Standard/läs
- Partner/standard/läs
- Standard/standard/läs
- Grundläggande/uppdatering
- Standard/hyresgästbegränsningar/uppdatering
- Partnerrestriktioner/uppdatering
- Partner/skapa
- Partner/b2bCollaboration/update
- Standard/b2bCollaboration/update
Skapa och ange en ny policy för hyresgästbegränsningar
Hämta den aktuella huvudsträngen som proxyservrarna matar in. Utvärdera den aktuella policyn och ta bort oönskade klient-ID:er eller granska och justera tillåtna destinationer. Efter utvärderingen skapar du en lista över externa klient-ID:er och/eller externa domäner.
Konfigurera åtkomstinställningar för flera klientorganisationer och klientbegränsningar v2-principer för migreringen. Utgående inställningar för åtkomst mellan klientorganisationer definierar klientorganisationer som interna identiteter har åtkomst till. I inställningarna för åtkomst mellan klientorganisationer definierar klientbegränsningar v2 vilka klientorganisationer externa identiteter kan få åtkomst till när de befinner sig i ditt hanterade nätverk.
Tekniska överväganden
När du konfigurerar utgående inställningar för åtkomst mellan hyresgäster träder principen i kraft inom en timme och utvärderas utöver v1-principen för hyresgästbegränsningar. Åtkomstinställningar för flera klientorganisationer och klientbegränsningar v1 utvärderas och den mest restriktiva tillämpas. Eftersom den här åtgärden kan påverka användare kan du spegla principen för klientbegränsningar v1 så mycket som möjligt i de nya principerna för att undvika att användarna påverkas negativt. Policyn för klientbegränsningar v2 som du konfigurerar i åtkomstinställningar mellan klienter träder i kraft när du har uppdaterat dina proxyservrar med den nya rubriken.
Anteckning
I följande avsnitt finns migrering och konfigurationshantering för vanliga scenarier. Använd den här vägledningen för att skapa den princip som organisationen behöver.
Tillåt endast intern identitetsåtkomst till specifika externa klienter
Tillåt att interna identiteter, till exempel anställda, får åtkomst till specifika externa klienter i ditt hanterade nätverk. Blockera åtkomst för interna identiteter till klientorganisationer som inte finns på tillåtelselistan. Blockera externa identiteter, till exempel entreprenörer och leverantörer, från att komma åt alla externa hyresgäster.
Om du vill tillåta alla användare och grupper och tillåta alla program konfigurerar du utgående åtkomst för B2B-samarbete för varje tillagd organisation.
Om du vill blockera alla användare och grupper och alla program för B2B-samarbete konfigurerar du standardinställningarna för utgående åtkomst mellan klientorganisationer. Den här åtgärden gäller endast för klienter som inte har lagts till i steg 1.
I Standardbegränsningar för klientorganisation ska du skapa principens ID (om det inte har skapats) och konfigurera principen för att blockera alla användare, grupper och externa program. Den här åtgärden gäller endast för klienter som inte har lagts till i steg 1.
Tillåt att interna och externa identiteter får åtkomst till specifika externa klientorganisationer
Tillåt att interna identiteter som anställda och externa identiteter, till exempel entreprenörer och leverantörer, får åtkomst till specifika externa klienter i ditt hanterade nätverk. Blockera åtkomst till icke-tillåtna klientorganisationer för alla identiteter.
För varje tillagd organisation för att aktivera interna identiteter konfigurerar du Utgående åtkomst för B2B-samarbete så att alla användare, grupper och program tillåts.
För varje tillagd organisation för att aktivera externa identiteter konfigurerar du organisationens klientbegränsningar så att alla användare, grupper och program tillåts.
Om du vill blockera alla användare, grupper och program för B2B-samarbete konfigurerar du standardinställningarna för utgående åtkomst mellan klientorganisationer. Den här åtgärden gäller endast för klienter som inte har lagts till i steg 1.
I Standardinställningar för klientorganisation skapar du princip-ID :t (om det inte har skapats) och konfigurerar principen för att blockera alla användare, grupper och externa program. Den här åtgärden gäller endast för klienter som inte har lagts till i steg 1.
Kommentar
Lägg till en organisation med följande klientorganisations-ID: 9188040d-6c67-4c5b-b112-36a304b66dad om du vill rikta in dig på microsoft-konton (MSA) för konsumenter.
Tips
Policyn för hyresgästbegränsningar v2 är skapad men inte i bruk.
Aktivera klientbegränsningar v2
Skapa en ny rubrik med hjälp av ditt klient-ID och policy-ID-värden. Uppdatera dina nätverksproxyservrar för att infoga ett nytt huvudvärde.
Kommentar
När du uppdaterar en nätverksproxy för att mata in det nya huvudet sec-Restrict-Tenant-Access-Policy tar du bort de två klientbegränsningarna v1-huvudena: Restrict-Access-To-Tenants och Restrict-Access-Context.
Tips
Uppdatera nätverksproxyservrarna i en stegvis distribution. Spara de aktuella hyresgästbegränsningarna för v1-rubriker och värden.
Viktigt!
Skapa en återställningsplan som hjälper dig att hantera potentiella problem.
Använd något av följande mönster för att migrera proxykonfigurationen. Kontrollera att proxyn stöder det mönster du väljer.
- Uppgradera en proxy i taget med klientbegränsningarnas v2-huvud – Användare som går ut via den här proxyn får det uppdaterade huvudet och den nya principen gäller. Övervaka för problem. Om inga problem uppstår uppdaterar du nästa proxy och fortsätter tills du uppdaterar alla proxyservrar.
- Uppdatera rubrikinmatning baserat på användare – Vissa proxyservrar kräver autentiserade användare och kan välja vilken rubrik som ska matas in baserat på användare och grupper. Distribuera v2-huvudet för nya klientbegränsningar till en testgrupp med användare. Övervaka för problem. Om inga problem uppstår lägger du till fler användare i faser tills 100 % av trafiken är inkluderad.
- Uppdatera tjänsten för att tillämpa de nya klientbegränsningarna v2-huvudet på en gång – Det här alternativet rekommenderas inte.
När du distribuerar de nya huvuduppdateringarna testar och verifierar du att användarna upplever de förväntade beteendena.
Skärm
När klientbegränsningar v2 och inställningarna för utgående åtkomst mellan klientorganisationer distribueras, bör du övervaka dina inloggningsloggar och/eller använda aktivitetsarbetsboken för mellan klientorganisationer för att verifiera att användarna inte har åtkomst till obehöriga klientorganisationer. De här verktygen hjälper dig att identifiera vem som har åtkomst till vilka externa program. Du kan konfigurera utgående inställningar för åtkomst mellan klientorganisationer och klientbegränsningar för att begränsa utgående åtkomst baserat på gruppmedlemskap och/eller specifika program.