Aracılığıyla paylaş


Kiracı kısıtlamalarını ayarlama v2

Şunlar için geçerlidir: Beyaz onay işareti simgesi olan yeşil daire. İş gücü kiracılarıGri X simgesine sahip beyaz daire.Dış kiracılar (daha fazla bilgi edinin)

Not

Bu makalede açıklanan bazı özellikler önizleme özellikleridir. Önizlemeler hakkında daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Güvenliği artırmak için, ağlarınızdan veya cihazlarınızdan oturum açmak için dış hesap kullanan kullanıcılarınızın erişebileceklerini sınırlayabilirsiniz. Kiracılar arası erişim ayarlarına dahil edilen kiracı kısıtlama ayarları, dış uygulamalara erişimi denetlemek için bir ilke oluşturmanıza olanak sağlar.

Örneğin, kuruluşunuzdaki bir kullanıcının bilinmeyen bir kiracıda ayrı bir hesap oluşturduğunu veya dış bir kuruluşun kullanıcınıza kendi kuruluşunda oturum açmasına izin veren bir hesap verdiğini varsayalım. Kiracı kısıtlamalarını, kullanıcının ağınızdaki veya cihazlarınızdaki dış hesapla oturum açtığı sırada bazı veya tüm dış uygulamaları kullanmasını engellemek için kullanabilirsiniz.

Aşağıdaki diyagramda, örnek bir kuruluşun kiracı kısıtlamaları v2 kullanarak kullanıcı erişimini engellemek için uyguladığı adımlar gösterilmektedir.

Kiracı kısıtlamalarını gösteren diyagram v2.

Adım Açıklama
1 Contoso, kiracılar arası erişim ayarlarında kiracı kısıtlamalarını yapılandırarak tüm dış hesapları ve dış uygulamaları engeller. Contoso, evrensel kiracı kısıtlamaları v2 veya bir kurumsal vekil sunucu aracılığıyla kiracı kısıtlamaları v2 üst bilgisi ekleyerek zorlama sinyali gönderir. Microsoft Entra ID, istekte üst bilgi mevcut olduğunda kiracı kısıtlamaları v2 ilkesini uygular.
2 Contoso tarafından yönetilen bir cihazın kullanıcısı, bilinmeyen bir kiracıdaki bir hesabı kullanarak dış uygulamada oturum açmaya çalışır. Kiracı kısıtlamaları v2 HTTP üst bilgisi, Contoso'nun kiracı ID'si ve kiracı kısıtlamaları için policy ID'si ile birlikte kimlik doğrulama isteğine eklenir.
3 Kimlik doğrulama düzlemi koruması: Microsoft Entra Id, Contoso'nun kiracı kısıtlamaları v2 ilkesini zorlar ve kimlik doğrulaması sırasında dış hesapların dış kiracılara erişmesini engeller.
4 Veri düzlemi koruması (önizleme): Microsoft Entra Id, Microsoft Forms, SharePoint dosyaları veya Microsoft Teams toplantılarına anonim erişimi engeller. Microsoft Entra ID, ele geçirilmiş bir belirteçle kaynağa yapılan kullanıcı erişimini de engeller.

Kiracı kısıtlamaları v2, şu koruma türlerinin her ikisi için de seçenekler sağlar:

  • Kimlik doğrulama düzlemi koruması, dış kimlik kullanan oturum açmaları engellemek için "kiracı kısıtlamaları v2" politikası kullanmayı ifade eder. Örneğin, saldırganın kötü amaçlı kiracısında oturum açmasını engelleyerek kötü niyetli bir insider'ın dış e-posta üzerinden veri sızdırmasını engelleyebilirsiniz. Kiracı kısıtlamaları v2'de kimlik doğrulama katmanı koruması genel kullanıma sunulmuştur.

  • Veri düzlemi koruması , kimlik doğrulamasını atlayan saldırıları önlemeyi ifade eder. Örneğin, saldırgan bir Teams toplantısına anonim olarak katılarak veya SharePoint dosyalarına anonim olarak erişerek kötü amaçlı bir kiracının uygulamalarına erişim izni vermeye çalışabilir. Ya da saldırgan, kötü amaçlı bir kiracıdaki bir cihazdan erişim belirtecini kopyalayıp kuruluş cihazınıza aktarabilir. Kiracı kısıtlamaları v2'de veri düzlemi koruması, kullanıcıyı kaynağa erişim girişimleri için kimlik doğrulaması yapmaya zorlar. Kimlik doğrulaması başarısız olursa veri düzlemi koruması erişimi engeller.

Kiracı kısıtlamaları v1, şirket proxy'nizde yapılandırılmış bir kiracı izin listesi aracılığıyla kimlik doğrulama katmanı koruması sağlar. Kiracı kısıtlamaları v2, kurumsal ara sunucuyla veya şirket proxy'si olmadan ayrıntılı kimlik doğrulaması ve veri düzlemi koruması seçenekleri sunar. Üst bilgi ekleme için kurumsal bir proxy kullanıyorsanız, seçenekler yalnızca kimlik doğrulama katmanı korumasını sunar.

Kiracı kısıtlamaları v2'ye genel bakış

Kuruluşunuzun kiracılar arası erişim ayarlarında bir kiracı kısıtlamaları v2 ilkesi yapılandırabilirsiniz. İlkeyi oluşturduktan sonra, ilkeyi kuruluşunuzda uygulamanın üç yolu vardır:

  • Evrensel kiracı kısıtlamaları. Bu seçenek, şirket proxy'si olmadan kimlik doğrulama düzlemi koruması sağlar. Evrensel kiracı kısıtlamaları işletim sistemi, tarayıcı veya cihaz form faktörü ne olursa olsun tüm trafiği etiketlemek için Genel Güvenli Erişim'i kullanır. Bu seçenek hem istemci hem de uzak ağ bağlantısı desteği sağlar.
  • Kimlik doğrulama düzlemi. Kuruluşunuzda bir şirket proxy'si dağıtabilir ve proxy'yi, Microsoft Entra Id ve Microsoft hesaplarına yönelik tüm trafikte kiracı kısıtlamaları v2 sinyallerini ayarlayıp yapılandırabilirsiniz .
  • Windows'a bakın. Şirkete ait Windows cihazlarınız için, kiracı kısıtlamalarını doğrudan cihazlara uygulayarak hem kimlik doğrulama düzlemi hem de veri düzlemi korumasını zorunlu kılabilirsiniz. Kiracı kısıtlamaları, veri yolu kapsamının sağlanması ve belirteç sızmalarına karşı koruma sağlamak için kaynak erişimi üzerine uygulanır. Politika uygulaması için şirket proxy'si gerekli değildir. Cihazlar Microsoft Entra ID tarafından yönetilebilir veya etki alanına bağlı ve Grup İlkesi aracılığıyla yönetilebilir.

Not

Bu makalede, Microsoft Entra yönetim merkezini kullanarak kiracı kısıtlamaları v2'nin nasıl yapılandırıldığı açıklanmaktadır. Bu aynı kiracı kısıtlama ilkelerini oluşturmak için Microsoft Graph API'sini kiracılar arası erişim ayarlarında da kullanabilirsiniz.

Desteklenen senaryolar

v2 kiracı kısıtlamalarını belirli kullanıcılar, gruplar, kuruluşlar veya dış uygulamalarla sınırlandırabilirsiniz. Windows işletim sistemi için ağ yığını üzerinde oluşturulan uygulamalar korunur. Aşağıdaki senaryolar desteklenir:

  • Tüm Office uygulamaları (tüm sürümler/yayın kanalları)
  • Evrensel Windows Platformu (UWP) .NET uygulamaları
  • Microsoft Entra Kimliği kullanarak kimlik doğrulanan tüm uygulamalar, tüm Microsoft uygulamaları ve Microsoft Entra Kimliği'ni kimlik doğrulama için kullanan iş ortağı uygulamaları için kimlik doğrulama koruması
  • SharePoint Online, Exchange Online ve Microsoft Graph için veri düzlemi koruması
  • Formlar, SharePoint Online, OneDrive ve Teams için anonim erişim koruması (federasyon denetimleri yapılandırılmış)
  • Microsoft kiracı veya tüketici hesapları için kimlik doğrulaması ve veri düzlemi koruması
  • Genel Güvenli Erişim'de evrensel kiracı kısıtlamalarını kullandığınızda, tüm tarayıcılar ve platformlar
  • Windows Grup İlkesi'ni, Microsoft Edge'i ve Microsoft Edge'deki tüm web sitelerini kullandığınızda
  • Cihaz tabanlı kimlik doğrulaması senaryoları (Microsoft Graph ile tümleştirilmiş özel uygulamalar dahil)

Desteklenmeyen senaryolar

  • Tüketici OneDrive hesaplarına anonim engelleme. Bu sınırlamaya engelleyerek https://onedrive.live.com/ ara sunucu düzeyinde geçici bir çözüm bulabilirsiniz.
  • Kullanıcı, anonim bir bağlantı veya Microsoft dışı Entra hesabı kullanarak Slack gibi bir iş ortağı uygulamasına eriştiğinde.
  • Kullanıcı, Microsoft Entra ID ile verilen bir belirteci ev cihazından iş cihazına kopyalayıp Slack gibi üçüncü taraf uygulamalara erişmek için kullandığında.
  • Microsoft hesapları için kullanıcı başına kiracı kısıtlamaları.

Kiracı kısıtlamalarını karşılaştırma v1 ve v2

Aşağıdaki tablo, her sürümdeki özellikleri karşılaştırır.

Özellik Kiracı kısıtlamaları v1 Kiracı kısıtlamaları v2
Politika uygulama Şirket proxy'si, Microsoft Entra ID'nin denetim düzleminde kiracı kısıtlama politikasını uygular. Seçenekler:

- Genel Güvenli Erişim'deki evrensel kiracı kısıtlamaları, tüm platformlarda kimlik doğrulama düzlemi desteği sağlar.

- Kurumsal vekil sunucu üst bilgi eklemesi sırasında, kurumsal vekil sunucu tüm trafikte kiracı kısıtlamaları v2 sinyallerini ayarlar.

- Windows cihaz yönetimi hem kimlik doğrulama düzlemi hem de veri düzlemi koruması sağlar. Cihazlar, Microsoft trafiğini kullanıcı kısıtlamaları ilkesine yönlendirecek şekilde yapılandırılır. Politika bulutta uygulanır.
Politika uygulama sınırlaması Microsoft Entra trafik izin listesine kiracı hesabı ekleyerek kurumsal proxy'leri yönetebilirsiniz. içindeki Restrict-Access-To-Tenants: <allowed-tenant-list> üst bilgi değerinin karakter sınırı, ekleyebileceğiniz kiracı sayısını sınırlar. Bu özellik, kiracılar arası erişim ilkesindeki bir bulut ilkesi tarafından yönetilir. Kiracı düzeyinde bir varsayılan ilke oluşturulur ve her dış kiracı için bir iş ortağı ilkesi oluşturulur.
Kötü amaçlı kiracı istekleri Microsoft Entra ID, doğrulama alanı koruması sağlamak için kötü amaçlı kiracı kimlik doğrulama isteklerini engeller. Microsoft Entra ID, doğrulama alanı koruması sağlamak için kötü amaçlı kiracı kimlik doğrulama isteklerini engeller.
Granülerlik Bu özellik kiracılarla ve tüm Microsoft hesaplarıyla sınırlıdır. Bu özellik kiracı, kullanıcı, grup ve uygulama ayrıntı düzeyini içerir. (Kullanıcı düzeyinde ayrıntı düzeyi Microsoft hesaplarında desteklenmez.)
Anonim erişim Teams toplantılarına ve dosya paylaşımına anonim erişime izin verilir. Teams toplantılarına anonim erişim engellenir. Anonim olarak paylaşılan kaynaklara (bağlantıya sahip olan herkes) erişim engellenir. Formlara anonim erişim engellendi.
Microsoft hesapları Bu özellik, tüketici hesaplarına erişimi engellemek için bir Restrict-MSA üst bilgi kullanır. Bu özellik, microsoft hesabı kimlik doğrulamasının hem kimlik hem de veri düzlemlerinde denetlenmesini sağlar.

Örneğin, kiracı kısıtlamalarını varsayılan olarak zorunlu kılarsanız, kullanıcıların Microsoft hesaplarıyla aşağıdaki belirli uygulamalara erişmesine izin veren bir ilke oluşturabilirsiniz:
Microsoft Learn (uygulama kimliği 18fbca16-2224-45f6-85b0-f7bf2b39b3f3) veya
Microsoft Kurumsal Beceriler Girişimi (uygulama kimliği 195e7f27-02f9-4045-9a91-cd2fa1c2af2f).
Ara sunucu yönetimi Microsoft Entra trafik izin listesine kiracı hesabı ekleyerek kurumsal proxy'leri yönetebilirsiniz. Kurumsal bir proxy'de kimlik doğrulama katmanı koruması için, proxy'yi tüm trafik üzerinde kiracı kısıtlamaları v2 sinyallerini ayarlayacak şekilde yapılandırın.
Platform desteği Bu özellik tüm platformlarda desteklenir. Yalnızca kimlik doğrulama düzlemi koruması sağlar. Genel Güvenli Erişim'deki evrensel kiracı kısıtlamaları herhangi bir işletim sistemini, tarayıcıyı veya cihaz form faktörünü destekler.

Şirket proxy'sinde kimlik doğrulama düzlemi koruması macOS, Chrome tarayıcısı ve .NET uygulamalarını destekler.

Windows cihaz yönetimi, Windows işletim sistemlerini ve Microsoft Edge'i destekler.
Portal desteği İlkeyi yapılandırmak için Microsoft Entra yönetim merkezinde kullanıcı arabirimi yoktur. Microsoft Entra yönetim merkezinde bulut ilkesini ayarlamak için bir kullanıcı arabirimi bulunur.
Desteklenmeyen uygulamalar Uygulanamaz. Windows'ta (eski adıyla Windows Defender Uygulama Denetimi [WDAC]) veya Windows Güvenlik Duvarı'nda (örneğin, Chrome veya Firefox) İş için Uygulama Denetimi'ni kullanarak Microsoft uç noktalarıyla desteklenmeyen uygulama kullanımını engelleyin. Bu makalenin devamında PowerShell gibi Chrome, Firefox ve .NET uygulamalarını engelleme bölümüne bakın.

Kiracı kısıtlamaları v1 ilkelerini proxy'de v2'ye geçirme

Kiracı kısıtlama ilkelerini v1'den v2'ye geçirmek tek seferlik bir işlemdir. Geçiş sonrasında istemci tarafı değişikliği gerekmez. Sonraki sunucu tarafı ilke değişikliklerini Microsoft Entra yönetim merkezi aracılığıyla yapabilirsiniz.

Bir ara sunucuda v2 kiracı kısıtlamalarını etkinleştirdiğinizde, v2 kiracı kısıtlamalarını yalnızca kimlik doğrulama düzleminde zorunlu kılabilirsiniz. Hem kimlik doğrulaması hem de veri düzlemlerinde v2 kiracı kısıtlamalarını etkinleştirmek için, Windows Grup İlkesi Nesnesi (GPO) kullanarak kiracı kısıtlamaları v2 için istemci tarafı sinyallerini etkinleştirmeniz gerekir.

1. Adım: İzin verilen iş ortağı kiracıları listesini yapılandırma

Kiracı kısıtlamaları v1, kuruluşunuzun yetkilendirdiği dış kiracılara erişen kullanıcıları sağlamak amacıyla, kiracı kimlikleri ve/veya Microsoft oturum açma uç noktaları için bir izin listesi oluşturmanıza olanak tanır. Kiracı kısıtlamaları v1, proxy'ye Restrict-Access-To-Tenants: <allowed-tenant-list> üst bilginin eklenmesiyle izin verilenler listesine ulaştı. Örneğin: Restrict-Access-To-Tenants: "contoso.com, fabrikam.com, northwindtraders.com". Kiracı kısıtlamaları v1 hakkında daha fazla bilgi edinin.

Kiracı kısıtlamaları v2 ile yapılandırma sunucu tarafı bulut ilkesine taşınır. Kiracı kısıtlamaları v1 üst bilgisine gerek yoktur, bu nedenle bu üst bilgiyi kurumsal proxy'nizden kaldırın. Üst bilgideki allowed-tenant-list her kiracı için bir iş ortağı kiracı ilkesi oluşturun. Şu yönergeleri izleyin:

  • Kiracılar kısıtlamaları v2 varsayılan politikasını koruyarak, yabancı kimliklerden gelen tüm dış kiracı erişimini engelleyiniz (örneğin, user@<externaltenant>.com).
  • Bu makalenin devamında yer alan 2. Adım: Belirli iş ortakları için kiracı kısıtlamalarını yapılandırma v2 başlığı altındaki adımları izleyerek, kiracı kısıtlamaları v1 izin verilenler listenizde listelenen her kiracı için bir iş ortağı kiracı ilkesi oluşturun.
  • Yalnızca belirli kullanıcıların belirli uygulamalara erişmesine izin verin. Bu tasarım, erişimi yalnızca gerekli kullanıcılarla sınırlayarak güvenlik duruşunuzu artırır.

2. Adım: Tüketici hesabını veya Microsoft hesabı kiracılarını engelleme

Kullanıcıların tüketici uygulamalarında oturum açmasına izin vermemek için, v1 kiracı kısıtlamaları üst bilgisinin login.live.com sitesini ziyaret eden trafiğe sec-Restrict-Tenant-Access-Policy ve sec-Restrict-Tenant-Access-Policy: restrict-msa gibi eklenmesi gerekir.

Kiracı kısıtlamaları v2 ile yapılandırma sunucu tarafı bulut ilkesine taşınır. Kiracı kısıtlamaları v1 başlığına gerek yoktur. Kurumsal proxy'nizde tenant kısıtlamaları v1 üst bilgisini sec-Restrict-Tenant-Access-Policy: restrict-msa kaldırın.

Microsoft hesabı kiracısı için bir iş ortağı kiracı ilkesi oluşturmak amacıyla, bu makalenin devamında yer alan 2. Adım: Belirli iş ortakları için Kiracı kısıtlamalarını yapılandırma v2 talimatlarını izleyin. Kullanıcı düzeyinde atama Microsoft hesabı kiracıları için kullanılamadığından, ilke Tüm Microsoft hesaplarının kullanıcıları için geçerlidir. Ancak, uygulama düzeyi ayrıntı mevcuttur. Microsoft hesaplarının veya tüketici hesaplarının erişebileceği uygulamaları yalnızca gerekli uygulamalara sınırlamanız gerekir.

Not

Microsoft hesabı kiracısını engellemek, aşağıdakiler dahil olmak üzere kullanıcılar dışındaki kaynaklardan gelen cihaz trafiğini engellemez:

  • Autopilot, Windows Update ve kurumsal veri toplama trafiği.
  • İşletmeler arası (B2B) tüketici hesaplarının kimlik doğrulaması veya geçiş kimlik doğrulaması olarak bilinen, Azure uygulamaları ve Office.com uygulamaları, tüketici kullanıcılarını bir tüketici bağlamında oturum açtırmak için Microsoft Entra ID kullanır.

3. Adım: Şirket proxy'sinde kiracı kısıtlamalarını etkinleştirme v2

Şirket proxy'sini, aşağıdaki şirket proxy ayarını kullanarak kiracı kısıtlamaları v2 üst bilgisini istemci tarafında etiketlemek üzere yapılandırabilirsiniz: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>.

Bu ayarda <DirectoryID> öğesini Microsoft Entra kiracı kimliğinizle değiştirin. <policyGUID> etiketini kiracılar arası erişim ilkenizin nesne kimliğiyle değiştirin.

Kiracı kısıtlamaları ile gelen ve giden bağlantı ayarlarının karşılaştırması

Kiracı kısıtlamaları, kiracılar arası erişim ayarlarınız ile birlikte yapılandırılmış olsa da, gelen ve giden erişim ayarlarından ayrı olarak çalışır. Kiracılar arası erişim ayarları, kullanıcıların kuruluşunuzdaki bir hesapla ne zaman oturum açabileceğinizi denetlemenizi sağlar. Buna karşılık kiracı kısıtlamaları, kullanıcıların dış hesap kullandığı zamanları denetlemenizi sağlar. B2B işbirliği ve B2B doğrudan bağlantıları için gelen ve giden ayarlarınız, kiracı kısıtlama ayarlarınızı etkilemez (ve etkilenmez).

Erişim ayarlarını şu şekilde düşünün:

  • Gelen ayarlar, dış hesapların iç uygulamalarınıza erişimini denetler.
  • Giden ayarları, iç hesapların dış uygulamalara erişimini denetler.
  • Kiracı kısıtlamaları, dış hesapların dış uygulamalara erişimini denetler.

Kiracı kısıtlamaları ve B2B işbirliği karşılaştırması

Kullanıcılarınızın dış kuruluşlara ve uygulamalara erişmesi gerektiğinde, dış hesapları engellemek ve bunun yerine B2B işbirliğini kullanmak için kiracı kısıtlamalarını etkinleştirmenizi öneririz. B2B işbirliği aşağıdakileri yapabilmenizi sağlar:

  • Koşullu Erişim'i kullanın ve B2B işbirliği kullanıcıları için çok faktörlü kimlik doğrulamasını zorlayın.
  • Gelen ve giden erişimi yönetin.
  • B2B işbirliği kullanıcılarının çalışma durumu değiştiğinde veya kimlik bilgileri ihlal edildiğinde oturumları ve kimlik bilgilerini sonlandırın.
  • B2B işbirliği kullanıcıları hakkındaki ayrıntıları görüntülemek için oturum açma günlüklerini kullanın.

Önkoşullar

Kiracı kısıtlamalarını yapılandırmak için şunları yapmanız gerekir:

  • P1 veya P2 Microsoft Entra ID.
  • Kiracı kısıtlamaları v2 ilkesini yapılandırmak için en az Güvenlik Yöneticisi rolüne sahip bir hesap.
  • Windows GPO yapılandırması için, Windows 10 veya Windows 11 çalıştıran ve en son güncelleştirmeleri içeren Windows cihazları.

Kiracı kısıtlamaları v2 için sunucu tarafı bulut ilkesi yapılandırma

1. Adım: Varsayılan kiracı kısıtlamalarını yapılandırma

v2 kiracı kısıtlamaları ayarları, Microsoft Entra yönetim merkezinde, Kiracılar arası erişim ayarları altında bulunur. İlk olarak, tüm kullanıcılara, gruplara, uygulamalara ve kuruluşlara uygulamak istediğiniz varsayılan kiracı kısıtlamalarını yapılandırın. İş ortağına özgü yapılandırmalara ihtiyacınız varsa, bir iş ortağının kuruluşunu ekleyebilir ve varsayılan ayarlarınızdan farklı ayarları özelleştirebilirsiniz.

Varsayılan kiracı kısıtlamalarını yapılandırmak için:

  1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yöneticisi olarak oturum açın.

  2. Entra Id>Dış Kimlikler>Kiracılar arası erişim ayarları'na gidin.

  3. Varsayılan ayarlar sekmesini seçin.

    Varsayılan ayarlar için sekmedeki kiracı kısıtlamaları bölümünü gösteren ekran görüntüsü.

  4. Kiracı kısıtlamaları bölümüne gidin.

  5. Kiracı kısıtlamalarını düzenle varsayılanları bağlantısını seçin.

    Kiracı kısıtlamaları için varsayılan ayarları düzenleme bağlantısını gösteren ekran görüntüsü.

  6. Kiracıda henüz bir varsayılan politika yoksa, Politika Kimliği'nin yanında Politika oluştur bağlantısı görünür. Bu bağlantıyı seçin.

    Politika oluşturma bağlantısını gösteren ekran görüntüsü.

  7. Kiracı kısıtlamaları bölmesi hem Kiracı Kimliği değerinizi hem de kiracı kısıtlamaları için İlke Kimliği değerinizi görüntüler. Bu değerlerin ikisini de kopyalamak için kopyalama simgelerini kullanın. Bunları daha sonra Windows istemcilerini kiracı kısıtlamalarını etkinleştirecek şekilde yapılandırırken kullanacaksınız.

    Kiracı kısıtlamaları için kiracı kimliğini ve ilke kimliğini gösteren ekran görüntüsü.

  8. Dış kullanıcılar ve gruplar sekmesini seçin. Erişim durumu'nun altında aşağıdaki seçeneklerden birini belirleyin:

    • Erişime izin ver: Dış hesaplarla oturum açan tüm kullanıcıların dış uygulamalara erişmesine izin verir (Dış uygulamalar sekmesinde belirtilir).
    • Erişimi engelle: Dış hesaplarla oturum açan tüm kullanıcıların dış uygulamalara erişmesini engeller (Dış uygulamalar sekmesinde belirtilir).

    Dış kullanıcılar ve gruplar için sekmedeki erişim durumu ayarlarını gösteren ekran görüntüsü.

    Not

    Varsayılan ayarlar, tek bir hesaba veya gruba özgü olarak ayarlanamaz, bu nedenle Geçerli Olduğu Yer her zaman Tüm kiracı kullanıcılarınız ve gruplarınız eşittir. Tüm kullanıcılar ve gruplar için erişimi engellerseniz, tüm dış uygulamalara erişimi de engellemeniz gerektiğini unutmayın ( Dış uygulamalar sekmesinde).

  9. Dış uygulamalar sekmesini seçin. Erişim durumu'nun altında aşağıdaki seçeneklerden birini belirleyin:

    • Erişime izin ver: Dış hesaplarla oturum açmış olan tüm kullanıcıların Şunlara uygulanır bölümünde belirtilen uygulamalara erişmesine izin verir.
    • Erişimi engelle: Dış hesaplarla oturum açan tüm kullanıcıların, Şunlar için geçerlidir bölümünde belirtilen uygulamalara erişmesini engeller.

    Dış uygulamalar için sekmedeki erişim durumu seçeneklerini gösteren ekran görüntüsü.

  10. Şunun için geçerlidir bölümünde aşağıdaki seçeneklerden birini belirleyin:

    • Tüm dış uygulamalar: Erişim durumu altında seçtiğiniz eylemi tüm dış uygulamalara uygular. Tüm dış uygulamalara erişimi engellerseniz, tüm kullanıcılarınız ve gruplarınız için erişimi de engellemeniz gerekir ( Dış kullanıcılar ve gruplar sekmesinde).

    • Dış uygulamaları seçme: Access durumu altındaki eylemin uygulanmasını istediğiniz dış uygulamaları seçmenize olanak tanır.

      Uygulamaları seçmek için Microsoft uygulamaları ekle veya Diğer uygulamaları ekle'yi seçin. Ardından uygulama adına veya uygulama kimliğine ( istemci uygulama kimliği veya kaynak uygulama kimliği) göre arama yapın ve uygulamayı seçin. (Yaygın olarak kullanılan Microsoft uygulamaları için kimliklerin listesine bakın.) Daha fazla uygulama eklemek istiyorsanız Ekle düğmesini kullanın. bitirdiğinizde Gönder'i seçin.

    Dış uygulamalar sekmesini gösteren ekran görüntüsü.

  11. Kaydet'i seçin.

2. Adım: Belirli iş ortakları için kiracı kısıtlamalarını yapılandırma v2

Varsayılan olarak erişimi engellemek için kiracı kısıtlamalarını kullandığınızı, ancak kullanıcıların kendi dış hesaplarını kullanarak belirli uygulamalara erişmesine izin vermek istediğinizi varsayalım. Örneğin, kullanıcıların kendi Microsoft hesaplarıyla Microsoft Learn'e erişebilmesini istiyorsunuz. Bu bölümdeki yönergelerde, varsayılan ayarlardan öncelikli olan kuruluşa özgü ayarların nasıl ekleneceği açıklanmaktadır.

  1. Microsoft Entra yönetim merkezinde en az Güvenlik Yöneticisi veya Koşullu Erişim Yöneticisi olarak oturum açın.

  2. Entra Id>Dış Kimlikler>Kiracılar arası erişim ayarları'na gidin.

  3. Kuruluş ayarları'nı seçin.

    Not

    Eklemek istediğiniz kuruluş listeye zaten eklenmişse, eklemeyi atlayabilir ve doğrudan ayarları değiştirmeye gidebilirsiniz.

  4. Kuruluş ekle'yi seçin.

  5. Kuruluş ekle bölmesinde, kuruluşun tam etki alanı adını (veya kiracı kimliğini) girin.

    Örneğin, bir Microsoft hesabı için aşağıdaki kiracı kimliğini arayın:

    9188040d-6c67-4c5b-b112-36a304b66dad
    

    Bir kuruluşun eklenmesini gösteren ekran görüntüsü.

  6. Arama sonuçlarında kuruluşu seçin ve ardından Ekle'yi seçin.

  7. Ayarları değiştirin. Kuruluş ayarları listesinde kuruluşu bulun ve kiracı kısıtlamaları sütununu görmek için yatay olarak kaydırın. Bu noktada, bu kuruluş için tüm kiracı kısıtlama ayarları varsayılan ayarlarınızdan devralınır. Bu kuruluşun ayarlarını değiştirmek için Varsayılandan devralındı bağlantısını seçin.

    Varsayılan ayarlarla eklenen bir kuruluşu gösteren ekran görüntüsü.

  8. Kuruluşun Kiracı kısıtlamaları bölmesi görüntülenir. Kiracı Kimliği ve İlke Kimliği değerlerini kopyalayın. Bunları daha sonra Windows istemcilerini kiracı kısıtlamalarını etkinleştirecek şekilde yapılandırırken kullanacaksınız.

    Kiracı kimliği ve politika kimliğini gösteren ekran görüntüsü.

  9. Ayarları özelleştir'i ve ardından Dış kullanıcılar ve gruplar sekmesini seçin. Erişim durumu'nın altında bir seçenek belirleyin:

    • Erişime izin ver: Dış hesaplarla oturum açanlara uygulanır altında belirtilen kullanıcıların ve grupların dış uygulamalara erişmesine izin verir (Dış uygulamalar sekmesinde belirtilir).
    • Erişimi engelle: Dış hesaplarla oturum açanlara uygulanır altında belirtilen kullanıcıların ve grupların dış uygulamalara erişmesini engeller (Dış uygulamalar sekmesinde belirtilir).

    Bu makaledeki Microsoft hesapları örneği için Erişime izin ver'i seçiyoruz.

    Dış kullanıcılara erişime izin verme seçeneğinin seçilmesini gösteren ekran görüntüsü.

  10. Uygulanacak altında Tüm <kuruluş> kullanıcıları ve grupları seçin.

    Dış kullanıcıları ve grupları seçmeyi gösteren ekran görüntüsü.

    Not

    Kullanıcı ayrıntı düzeyi Microsoft hesaplarında desteklenmez, bu nedenle Kuruluş< kullanıcıları ve grupları seçme > özelliği kullanılamaz. Diğer kuruluşlar için Kuruluş< kullanıcılarını ve gruplarını seç'i >seçip şu adımları gerçekleştirebilirsiniz:

    1. Dış kullanıcı ve grup ekle'yi seçin.
    2. Seç bölmesinde, arama kutusuna kullanıcı adını veya grup adını girin.
    3. Arama sonuçlarında kullanıcıyı veya grubu seçin.
    4. Daha fazla eklemek istiyorsanız Ekle'yi seçin ve bu adımları yineleyin.
    5. Eklemek istediğiniz kullanıcıları ve grupları seçmeyi bitirdiğinizde Gönder'i seçin.
  11. Dış uygulamalar sekmesini seçin. Erişim durumu altında dış uygulamalara erişime izin verilip verilmeyeceğini veya erişimin engellenip engellenmeyeceğini seçin:

    • Erişime izin ver: Kullanıcılarınızın dış hesapları kullanırken şunlara uygulanır altında belirtilen dış uygulamalara erişmesine izin verir.
    • Erişimi engelle: Kullanıcılarınızın dış hesapları kullandığı durumlar için geçerlidir altında belirtilen dış uygulamalara erişmesini engeller.

    Bu makaledeki Microsoft hesapları örneği için Erişime izin ver'i seçiyoruz.

    Erişim durumu seçimlerini gösteren ekran görüntüsü.

  12. Şunun için geçerlidir bölümünde aşağıdaki seçeneklerden birini belirleyin:

    • Tüm dış uygulamalar: Erişim durumu altında seçtiğiniz eylemi tüm dış uygulamalara uygular.
    • Dış uygulamaları seçin: Erişim durumu altında seçtiğiniz eylemi tüm dış uygulamalara uygular.

    Microsoft hesapları örneği için bu makalede Harici uygulamaları seç seçeneğini seçiyoruz.

    Not

    Tüm dış uygulamalara erişimi engellerseniz, tüm kullanıcılarınız ve gruplarınız için erişimi de engellemeniz gerekir ( Dış kullanıcılar ve gruplar sekmesinde).

    Dış uygulamalara kısıtlama uygulamak için seçeneklerin seçilmesini gösteren ekran görüntüsü.

  13. Dış uygulamaları seç'i seçtiyseniz aşağıdaki adımları uygulayın:

    1. Microsoft uygulamaları ekle veya Diğer uygulamaları ekle'yi seçin. Bu makaledeki Microsoft Learn örneği için Diğer uygulamaları ekle'yi seçiyoruz.
    2. Arama kutusuna uygulama adını veya uygulama kimliğini ( istemci uygulama kimliği veya kaynak uygulama kimliği) girin. (Yaygın olarak kullanılan Microsoft uygulamaları için kimliklerin listesine bakın.) Bu makaledeki Microsoft Learn örneği için uygulama kimliğini 18fbca16-2224-45f6-85b0-f7bf2b39b3f3gireriz.
    3. Arama sonuçlarında uygulamayı seçin ve ardından Ekle'yi seçin.
    4. Eklemek istediğiniz her uygulama için önceki adımları yineleyin.
    5. Uygulamaları seçmeyi bitirdiğinizde Gönder'i seçin.

    Uygulama seçmeyi gösteren ekran görüntüsü.

  14. Seçtiğiniz uygulamalar Dış uygulamalar sekmesinde listelenir. Kaydet'i seçin.

    Seçili uygulamayı ve Kaydet düğmesini gösteren ekran görüntüsü.

Not

Microsoft hesabı kiracısını engellemek aşağıdakileri engellemez:

  • Kullanıcılardan gelmeyen cihaz trafiği. Autopilot, Windows Update ve kurumsal veri toplama trafiği örnek olarak verilebilir.
  • Tüketici hesaplarının B2B kimlik doğrulaması.
  • Birçok Azure uygulaması ve Office.com tarafından kullanılan geçiş kimlik doğrulaması, tüketici bağlamında uygulamaların tüketici kullanıcılarını oturum açmak için Microsoft Entra ID kullanmasını sağlar.

İstemci tarafında v2 kiracı kısıtlamalarını yapılandırma

İstemciler için kiracı kısıtlamaları v2'yi zorunlu kılmaya yönelik üç seçenek vardır:

1. Seçenek: Microsoft Entra Global Güvenli Erişim kapsamında evrensel kiracı kısıtlamalarını v2 kullanma

Microsoft Entra Global Secure Access'in bir parçası olarak v2 evrensel kiracı kısıtlamaları, tüm cihazlar ve platformlar için kimlik doğrulama düzlemi koruması sağlar.

2. Seçenek: Kurumsal ara sunucunuzda kiracı kısıtlamaları v2 ayarlama

Şirket ağınızdaki tüm cihazlarda ve uygulamalarda oturum açmaların kısıtlandığından emin olmak için, şirket proxy'nizi kiracı kısıtlamaları v2'yi zorlayacak şekilde yapılandırın. Şirket ara sunucunuzda kiracı kısıtlamalarını yapılandırmak veri düzlemi koruması sağlamasa da, kimlik doğrulama düzlemi koruması sağlar.

Önemli

Kiracı kısıtlamalarını daha önce ayarladıysanız, login.live.com'a göndermeyi restrict-msa durdurmanız gerekir. Aksi takdirde, yeni ayarlar Microsoft hesabının oturum açma hizmetinde mevcut yönergelerinizle çakışacaktır.

  1. Kiracı kısıtlamaları v2 üst bilgisini aşağıdaki gibi yapılandırın:

    Üstbilgi Adı Başlık değeri Örnek değer
    sec-Restrict-Tenant-Access-Policy <TenantId>:<policyGuid> aaaabbbb-0000-cccc-1111-dddd2222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5
    • Microsoft Entra kiracı kimliğiniz TenantID 'dir. Microsoft Entra yönetim merkezinde oturum açıp Entra Id>Genel Bakış>Özellikleri'ne göz atarak bu değeri bulun.
    • policyGUID , kiracılar arası erişim ilkenizin nesne kimliğidir. Bu değeri, /crosstenantaccesspolicy/default’yi çağırarak ve döndürülen id alanını kullanarak bulun.
  2. Şirket proxy'nizde kiracı kısıtlamaları v2 başlığını aşağıdaki Microsoft oturum açma alan adlarına gönderin.

    • login.live.com
    • login.microsoft.com
    • login.microsoftonline.com
    • login.windows.net

    Bu başlık, ağınızdaki tüm oturum açmalarda kiracı kısıtlamaları v2 politikanızı uygular. Bu üst bilgi Teams toplantılarına, SharePoint dosyalarına veya kimlik doğrulaması gerektirmeyen diğer kaynaklara anonim erişimi engellemez.

Önemli

Proxy'deki v1 ve v2 kiracı kısıtlamaları, login.microsoftonline.com gibi oturum açma URL'lerine yönelik isteklerin şifresinin çözülmesini gerektirir. Microsoft, kiracı kısıtlamaları için üst bilgi ekleme amacıyla bu oturum açma etki alanlarının trafiğini şifre çözme işlemine destek verir. Bu şifre çözme, Microsoft 365 ile üçüncü taraf ağ cihazlarını veya çözümlerini kullanma bölümündeki ilkeler için geçerli bir özel durumdur.

Kesme ve inceleme desteği olmayan kiracı kısıtlamaları v2

Windows dışı platformlarda, kiracı kısıtlamaları v2 parametrelerini ara sunucu aracılığıyla üst bilgiye eklemek için trafiği kesebilir ve inceleyebilirsiniz. Ancak bazı platformlar kesinti ve denetimi desteklemediğinden, v2 kiracı kısıtlamaları çalışmaz. Bu platformlar için, Microsoft Entra ID'nin aşağıdaki özellikleri koruma sağlayabilir:

Bu alternatifler koruma sağlasa da, bazı senaryoları yalnızca kiracı kısıtlamaları aracılığıyla ele alabilirsiniz. Örnek olarak, adanmış uygulama yerine web üzerinden Microsoft 365 hizmetlerine erişmek için tarayıcı kullanımı verilebilir.

3. Seçenek: Windows tarafından yönetilen cihazlarda kiracı kısıtlamalarını etkinleştirme (önizleme)

Kiracı kısıtlamaları v2 ilkesi oluşturduktan sonra, kiracı kimliğinizi ve ilke kimliğinizi cihazın Kiracı kısıtlamaları yapılandırmasına ekleyerek her Windows 10 veya Windows 11 cihazında ilkeyi zorunlu kılabilirsiniz.

Bir Windows cihazında kiracı kısıtlamalarını etkinleştirdiğinizde, politika uygulanması için kurumsal proxy'lere ihtiyaç yoktur. Kiracı kısıtlamalarını uygulamak için cihazların Microsoft Entra ID yönetimi altında olması gerekmez v2. Grup İlkesi ile yönetilen ve etki alanına dahil olan cihazlar da desteklenir.

Not

Windows'ta kiracı kısıtlamaları v2, bazı senaryolarda kimlik doğrulamasının ve veri düzlemlerinin korunmasına yardımcı olan kısmi bir çözümdür. Yönetilen Windows cihazlarında çalışır. .NET yığınını, Chrome'unu veya Firefox'ı korumaz.

Kiracı kısıtlamalarını dağıtmak için Grup İlkesi'ni kullanma

Kiracı kısıtlamaları yapılandırmasını Windows cihazlarına dağıtmak için Grup İlkesi'ni kullanabilirsiniz. Şu kaynaklara bakın:

İlkeyi cihazda test etme

Bir cihazda kiracı kısıtlamaları v2 ilkesini test etmek için aşağıdaki adımları izleyin.

Not

Cihazın en son güncelleştirmelerle Windows 10 veya Windows 11 çalıştırıyor olması gerekir.

  1. Windows bilgisayarında Windows logo tuşunu seçin, gpedit yazın ve ardından Grup ilkesini düzenle (Denetim masası) öğesini seçin.

  2. Bilgisayar Yapılandırması>Yönetim Şablonları>Windows Bileşenleri>Kiracı Kısıtlamaları kısmına gidin.

  3. Sağ bölmede Bulut İlkesi Ayrıntıları'na sağ tıklayın ve Düzenle'yi seçin.

  4. Daha önce kaydettiğiniz Kiracı Kimliği ve İlke Kimliği değerlerini alın ( 1. Adım: Varsayılan kiracı kısıtlamalarını yapılandırma altında 7. adımda) ve bunları aşağıdaki alanlara girin. Diğer tüm alanları boş bırakın.

    • Microsoft Entra Dizin Kimliği: Microsoft Entra yönetim merkezinde oturum açıp Entra IdGenel Bakış>Özellikleri'ne göz atarak daha önce kaydettiğiniz > Kimliği değerini girin.

    • İlke GUID'si: Kiracılar arası erişim ilkenizin kimliği. Bu, daha önce kaydettiğiniz Politika ID değeridir.

      Windows için Bulut İlkesi Ayrıntıları'nın ekran görüntüsü.

  5. Tamam'ı seçin.

Kiracı kısıtlamalarını görüntüleme v2 etkinlikleri

Olay Görüntüleyicisi'nde kiracı kısıtlamalarıyla ilgili olayları görüntüleyin:

  1. Olay Görüntüleyicisi'da Uygulama ve Hizmet Günlükleri'ne gidin.
  2. Microsoft>Windows>TenantRestrictions>Operasyonel bölümüne gidin ve olayları arayın.

PowerShell gibi Chrome, Firefox ve .NET uygulamalarını engelleme

Uygulamaları engellemek için, Windows'ta İş için Uygulama Denetimi'ni (eski adıyla Windows Defender Uygulama Denetimi [WDAC]) ayarlamanız ve bir Windows Güvenlik Duvarı ayarını etkinleştirmeniz gerekir.

Microsoft kaynaklarına erişimi denetlemek için İş İçin Uygulama Denetimi'ni ayarlama

İş İçin Uygulama Denetimi, windows'ta yerleşik olarak bulunan ve kullanıcınızın cihazlarında hangi uygulamaların çalışabileceğini denetlemenize olanak tanıyan bir ilke altyapısıdır. v2 kiracı kısıtlamaları için, iş için Uygulama Denetimi'ni kullanarak işlenmemiş uygulamaların (kiracı kısıtlamaları v2 koruması sağlamayan uygulamalar) Microsoft kaynaklarına erişmesini engellemeniz gerekir. Bu gereksinim, Microsoft Entra tarafından korunan verilere yalnızca güvenli yollarla erişilebileceğini bilerek tercih ettiğiniz tarayıcıları ve uygulamaları kullanmaya devam etmenizi sağlar.

Aydınlatılmamış uygulamalar Windows ağ yığınını kullanmaz, bu nedenle Windows'a eklenen kiracı kısıtlamaları v2 özelliklerinden yararlanamaz. Microsoft Entra için login.live.com'a veya kiracı kısıtlamaları v2 koruması gerektiğini belirten Microsoft kaynaklarına sinyal gönderemiyorlar. Bu nedenle, veri düzlemi koruması sağlamak için ışıksız uygulamalara güvenemezsiniz.

İş İçin Uygulama Denetimi'ni, işlenmemiş uygulamalara karşı korumaya yardımcı olmak için iki şekilde kullanabilirsiniz:

  • Aydınlatmasız uygulamaların kullanımını tamamen önleyin (yani PowerShell veya Chrome'un çalışmasını tamamen engelleyin). Hangi uygulamaların çalışabileceğini denetleyen standart bir İş İçin Uygulama Denetimi ilkesi kullanabilirsiniz.
  • Aydınlatmasız uygulamaların kullanılmasına izin verin, ancak microsoft kaynaklarına erişmelerini engelleyin. Bu yöntem için, uygulama kimliği etiketleme ilkesi (AppIdTaggingPolicy adlı özel bir İş için Uygulama Denetimi ilkesi kullanırsınız.

Her iki seçenek için de önce bir İş İçin Uygulama Denetimi ilkesi oluşturmanız gerekir. Ardından, isteğe bağlı olarak bunu bir uygulama kimliği etiketleme ilkesine dönüştürün. Son olarak, bir test makinesinde test ettikten sonra cihazlarınıza uygulayın.

Daha fazla bilgi için bkz. Uygulama Denetimi AppId etiketleme ilkelerinizi oluşturma.

Not

Aşağıdaki adımlar, ilkeyi oluşturmak için gereken en son PowerShell cmdlet'lerine erişmek için up-totarihe sahip bir Windows cihazı gerektirir.

1. Adım: İlke oluşturmak için Uygulama Denetim İlkesi Sihirbazı'nı kullanma

  1. Uygulama Denetim İlkesi Sihirbazı'nı yükleyin.

  2. İlke oluştur'u seçin ve ilke biçiminizi seçin. Varsayılan değer Birden çok ilke, temel ilkedir.

  3. Temel şablonunuzu seçin (önerilen: Varsayılan Windows veya Microsoft'a İzin Ver). Ayrıntılı adımlar için bkz . Şablon temel ilkeleri.

  4. İlkeyi uygulama kimliği etiketleme ilkesine dönüştürdüğünüzde, sihirbaz ilke kurallarının ayarlandığını varsayar. Bunları burada ayarlayabilirsiniz, ancak gerekli değildir. Bu ilke kuralları Gelişmiş Önyükleme Seçenekleri Menüsü, Betik Zorlamayı Devre Dışı Bırak, Mağaza Uygulamalarını Zorla, Denetim Modu ve Kullanıcı Modu Kod Bütünlüğü'nü içerir.

  5. İlke XML'nizin kaydetme konumunu seçin ve ilkenizi oluşturun.

2. Adım: İlkeyi uygulama kimliği etiketleme ilkesine dönüştürme

İlkenizi sihirbazda oluşturduktan veya PowerShell kullanarak kendi ilkenizi oluşturduktan sonra, .xml çıkışını uygulama kimliği etiketleme ilkesine dönüştürün. Etiketleme ilkesi, Microsoft kaynaklarına erişim izni vermek istediğiniz uygulamaları işaretler. GUID çıkışı, yeni politika kimliğinizdir.

   Set-CIPolicyIdInfo -ResetPolicyID .\policy.xml -AppIdTaggingPolicy -AppIdTaggingKey "M365ResourceAccessEnforced" -AppIdTaggingValue "True" 

3. Adım: Test için ilkeyi derleme ve dağıtma

İlkeyi düzenleyip uygulama kimliği etiketleme ilkesine dönüştürdükten sonra, dosya adıyla eşleşen ilke kimliğiyle derleyin:

   ConvertFrom-CIPolicy .\policy.xml ".\{PolicyID}.cip"

Ardından ilkeyi sizin CiPolicies\Active dizininize dağıtın.

   copy ".\{Policy ID}.cip" c:\windows\system32\codeintegrity\CiPolicies\Active\ 

RefreshPolicy.exeçağırarak sisteminizdeki ilkeleri yenileyin.

Windows Güvenlik Duvarı ayarını etkinleştirme

Korumasız uygulamaların Chrome, Firefox ve PowerShell gibi .NET uygulamaları aracılığıyla Microsoft kaynaklarına erişmesini engellemek için Windows Güvenlik Duvarı özelliğini kullanabilirsiniz. Bu uygulamalar, kiracı kısıtlamaları v2 ilkesine uygun olarak engellenebilir veya izin verilir.

Örneğin, v2 kiracı kısıtlamaları için Müşteri Tanımlama Programı (CIP) ilkenize PowerShell eklerseniz ve kiracı kısıtlamaları v2 ilkenizin uç nokta listesinde graph.microsoft.com varsa, PowerShell güvenlik duvarı etkinken bu ilkeye erişebilmelidir.

  1. Windows bilgisayarında Windows logo tuşunu seçin, gpedit yazın ve ardından Grup ilkesini düzenle (Denetim masası) öğesini seçin.

  2. Bilgisayar Yapılandırması>Yönetim Şablonları>Windows Bileşenleri>Kiracı Kısıtlamaları kısmına gidin.

  3. Sağ bölmede Bulut İlkesi Ayrıntıları'na sağ tıklayın ve Düzenle'yi seçin.

  4. Microsoft uç noktalarının güvenlik duvarı korumasını etkinleştir onay kutusunu ve ardından Tamam'ı seçin.

    Güvenlik duvarı ilkesini etkinleştirme seçeneğini gösteren ekran görüntüsü.

  5. komutunu çalıştırarak gpudatecihazınızda Grup İlkesini yenileyin:

       gupdate /force
    
  6. Cihazı yeniden başlatın.

V2 kiracı kısıtlamalarının erişimi engellediğini test edin

Güvenlik duvarını ve İş İçin Uygulama Denetimi ayarını etkinleştirdikten sonra Chrome tarayıcısı kullanarak oturum açmayı deneyin ve office.com erişin. Oturum açma işlemi aşağıdaki iletiyle başarısız olmalıdır.

İnternet erişiminin engellendiğini belirten iletinin ekran görüntüsü.

Kiracı kısıtlamaları ve veri alanı desteği (önizleme)

Aşağıdaki kaynaklar, kiracı kısıtlamaları v2'yi uygulamaktadır. Bu kaynaklar, hatalı bir aktörün kaynağa doğrudan sızmış bir belirteçle veya anonim olarak eriştiği belirteç sızma senaryolarını ele alır.

  • Takımlar
  • OneDrive uygulaması gibi SharePoint Online
  • Outlook uygulaması gibi Exchange Online
  • Office.com ve Office uygulamaları

Kiracı kısıtlamaları ve Microsoft Forms (önizleme)

v2 kiracı kısıtlamaları uygulandığında, Microsoft Forms'dan dışarıdan barındırılan formlara tüm anonim veya kimliği doğrulanmamış kimlik erişimini otomatik olarak engeller.

Kiracı kısıtlamaları ve Microsoft Teams (önizleme)

Teams varsayılan olarak açık federasyona sahiptir. Dış kiracının barındırdığı bir toplantıya kimsenin katılmasını engellemez. Teams toplantılarına erişim üzerinde daha fazla denetim elde etmek için, belirli kiracılara izin vermek veya bunları engellemek için Teams'deki federasyon denetimlerini kullanabilirsiniz. Teams toplantılarına anonim erişimi engellemek için kiracı kısıtlamaları v2 ile birlikte bu federasyon denetimlerini de kullanabilirsiniz.

Teams için kiracı kısıtlamalarını zorunlu kılmak için, Microsoft Entra kiracılar arası erişim ayarlarınızda v2 kiracı kısıtlamalarını yapılandırmanız gerekir. Ayrıca Teams yönetici portalında federasyon denetimleri ayarlamanız ve Teams'i yeniden başlatmanız gerekir. Şirket proxy'sinde uygulanan v2 kiracı kısıtlamaları Teams toplantılarına, SharePoint dosyalarına ve kimlik doğrulaması gerektirmeyen diğer kaynaklara anonim erişimi engellemez.

Teams için kiracı kısıtlamalarını kullanmayı düşünüyorsanız kimlikle ilgili aşağıdaki noktaları göz önünde bulundurun:

  • Teams şu anda kullanıcıların şirket tarafından sağlanan veya ev tarafından sağlanan kimliklerini kullanarak şirket dışında barındırılan tüm toplantılara katılmasına izin veriyor. Şirket tarafından sağlanan veya evden sağlanan kimliklere sahip kullanıcıların harici olarak barındırılan Teams toplantılarına katılabilmesini kontrol etmek için kiracılar arası dışa yönelik erişim ayarlarını kullanabilirsiniz.
  • Kiracı kısıtlamaları, kullanıcıların Teams toplantılarına katılmak için dışarıdan verilen bir kimlik kullanmasını engeller.

Not

Microsoft Teams uygulamasının SharePoint Online ve Exchange Online uygulamalarına bağımlılığı vardır. Microsoft Teams hizmetlerinde, SharePoint Online'da veya Exchange Online'da ilkeyi ayrı ayrı ayarlamak yerine Office 365 uygulamasında kiracı kısıtlamaları v2 ilkesini ayarlamanızı öneririz. Office 365'in parçası olan uygulamalardan birine (SharePoint Online, Exchange Online vb.) izin verirseniz veya bunları engellerseniz, bu durum Microsoft Teams gibi uygulamaları da etkiler. Benzer şekilde, Microsoft Teams uygulamasına izin verilirse veya engellenirse, Teams uygulamasında SharePoint Online ve Exchange Online etkilenir.

Sade anonim toplantıya katılım

Kiracı kısıtlamaları v2, şirket dışında barındırılan Teams toplantılarına kimliği doğrulanmamış ve dışarıdan verilen tüm kimlik erişimini otomatik olarak engeller.

Örneğin Contoso'da Fabrikam kiracısını engellemek için Teams federasyon denetimlerini kullandığını varsayalım. Contoso cihazı olan biri Contoso Teams toplantısına katılmak için Fabrikam hesabı kullanıyorsa, toplantıya anonim kullanıcı olarak katılmasına izin verilir. Contoso kiracı kısıtlamaları v2'yi de etkinleştirirse, Teams anonim erişimi engeller ve kullanıcı toplantıya katılamaz.

Dışarıdan verilen bir kimlik aracılığıyla toplantıya katılma

Dış kimlikleri olan belirli kullanıcıların veya grupların, şirket dışında barındırılan belirli Teams toplantılarına katılmasına izin vermek için kiracı kısıtlamaları v2 ilkesini yapılandırabilirsiniz. Bu yapılandırmayla kullanıcılar, dışarıdan verilen kimlikleriyle Teams'de oturum açabilir ve belirtilen kiracının şirket dışında barındırılan Teams toplantılarına katılabilir.

Kimlik doğrulaması kimliği Kimliği doğrulanmış oturum Sonuç
Kiracı üyesi kullanıcı

Örnek: Kullanıcı, giriş kimliğini üye kullanıcı olarak kullanır (örneğin user@<mytenant>.com).
Kimliği doğrulandı Kiracı kısıtlamaları v2, Teams toplantısına erişime izin verir. Kiracı kısıtlamaları v2 kiracı üyesi kullanıcılara uygulanmaz. Kiracılar arası erişim için gelen/giden ilkesi geçerlidir.
Anonim

Örnek: Kullanıcı, Teams toplantısına erişmek için InPrivate tarayıcı penceresinde kimliği doğrulanmamış bir oturum kullanmaya çalışır.
Kimliği doğrulanmamış Kiracı kısıtlamaları v2, Teams toplantısına erişimi engeller.
Dışarıdan verilen kimlik

Örnek: Bir kullanıcı kendi ev kimliği dışında herhangi bir kimlik kullanır (örneğin user@<externaltenant>.com).
Dış kaynaklı kimlik olarak doğrulandı Kiracı kısıtlamaları v2 ilkesi Teams toplantısına erişime izin verir veya erişimi engeller. İlke izin veriyorsa kullanıcı toplantıya katılabilir. Aksi takdirde erişim engellenir.

Kiracı kısıtlamaları v2 ve SharePoint Online (önizleme)

SharePoint Online, hem kimlik doğrulama düzleminde hem de veri düzleminde kiracı kısıtlamaları v2'yi destekler.

Kimliği doğrulanmış oturumlar

Bir kiracıda v2 kiracı kısıtlamaları etkinleştirildiğinde, kimlik doğrulaması sırasında yetkisiz erişim engellenir. Bir kullanıcı kimliği doğrulanmış bir oturum olmadan bir SharePoint Online kaynağına doğrudan erişiyorsa, oturum açması istenir. Kiracı kısıtlamaları v2 ilkesi erişime izin veriyorsa, kullanıcı kaynağa erişebilir. Aksi takdirde erişim engellenir.

Anonim erişim (önizleme)

Kullanıcı, ev kiracısını veya şirket kimliğini kullanarak anonim bir dosyaya erişmeye çalışırsa, dosyaya erişebilir. Ancak kullanıcı, dışarıdan verilen herhangi bir kimlik kullanarak anonim dosyaya erişmeye çalışırsa erişim engellenir.

Örneğin, kullanıcının A Kiracısı için kiracı kısıtlamaları v2 ile yapılandırılmış bir yönetilen cihaz kullandığını varsayalım. Kullanıcı Bir Kiracı A kaynağı için oluşturulan anonim erişim bağlantısını seçerse kaynağa anonim olarak erişebilmelidir. Ancak kullanıcı, B Kiracısı'nda SharePoint Online için oluşturulan anonim bir erişim bağlantısını seçerse, oturum açması istenir. Dışarıdan verilen bir kimlik aracılığıyla kaynaklara anonim erişim her zaman engellenir.

Kiracı kısıtlamaları v2 ve OneDrive (önizleme)

Kimliği doğrulanmış oturumlar

Bir kiracıda v2 kiracı kısıtlamaları etkinleştirildiğinde, kimlik doğrulaması sırasında yetkisiz erişim engellenir. Bir kullanıcı kimliği doğrulanmış oturum olmadan bir OneDrive kaynağına doğrudan erişiyorsa, oturum açması istenir. Kiracı kısıtlamaları v2 ilkesi erişime izin veriyorsa, kullanıcı kaynağa erişebilir. Aksi takdirde erişim engellenir.

Anonim erişim (önizleme)

SharePoint gibi OneDrive da hem kimlik doğrulama düzleminde hem de veri düzleminde kiracı kısıtlamaları v2'yi destekler. OneDrive'a anonim erişimin engellenmesi de desteklenir. Örneğin, kiracı kısıtlamaları v2 ilkesinin uygulanması OneDrive uç noktasında (microsoft-my.sharepoint.com) çalışır.

Kapsam içinde değil

Tüketici hesapları için OneDrive (onedrive.live.com aracılığıyla) kiracı kısıtlamalarını desteklemez v2. Bazı URL'ler (onedrive.live.com gibi) yakınsanmamıştır ve eski teknoloji yığınını kullanır. Kullanıcı bu URL'ler aracılığıyla OneDrive tüketici kiracısına eriştiğinde ilke uygulanmaz. Geçici bir çözüm olarak ara sunucu düzeyinde engelleyebilirsiniz https://onedrive.live.com/ .

Kiracı kısıtlamaları v2 ve hizmet ilkeleri

Kiracı kısıtlamaları v2, hizmet sorumlusundan erişimi engeller. aşağıdakini kullanarak istemci sinyallerini etkinleştirebilirsiniz:

  • Güvenlik duvarı veya şirket ara sunucusu. Hizmet sorumlusunu kullanarak oturum açın:

        $client_id = "00001111-aaaa-2222-bbbb-3333cccc4444"
        $clientSecret = Get-Credential -Username $client_id
        Connect-MgGraph -TenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee" -ClientSecretCredential $clientSecret
    

    Oturum açma işlemi şu şekilde başarısız olur:

    Connect-MgGraph : ClientSecretCredential authentication failed: AADSTS5000211: A tenant restrictions policy added to this request by a device or network administrator does not allow access to 'tenant'.

  • Bir Windows GPO Şunları denetlemeniz gerekir: Microsoft uç noktalarının güvenlik duvarı korumasını etkinleştir ve İşletme için Uygulama Denetimini etkinleştir. Bu makalenin başlarındaki PowerShell gibi Chrome, Firefox ve .NET uygulamalarını engelleme bölümüne bakın.

Apple cihazları için Microsoft Enterprise SSO eklentisiyle kiracı kısıtlamaları

Apple cihazları için Microsoft Enterprise SSO eklentisi, Apple'ın Kurumsal SSO özelliğini destekleyen tüm uygulamalarda macOS, iOS ve iPadOS üzerinde Microsoft Entra hesapları için çoklu oturum açma (SSO) sağlar. Apple cihazları için Microsoft Enterprise SSO eklentisini kullanmak için belirli URL'leri ağ proxy'lerinin, kesme noktalarının ve diğer kurumsal sistemlerin dışında tutmanız gerekir.

Kuruluşunuz 2022'den sonra yayımlanan Apple işletim sistemi sürümlerini kullanıyorsa Microsoft oturum açma URL'lerini TLS incelemesinin dışında tutmanız gerekmez. Kiracı kısıtlamaları özelliğini kullanıyorsanız Microsoft oturum açma URL'leri üzerinde TLS incelemesi yapabilir ve istek üzerine gerekli üst bilgileri ekleyebilirsiniz. Daha fazla bilgi için bkz. Apple cihazları için Microsoft Enterprise SSO eklentisi.

SSO yapılandırmasının TLS incelemesi nedeniyle bozulmadığından emin olmak için macOS cihazında ağ yapılandırmasını doğrulayabilirsiniz .

Oturum açma günlükleri

Microsoft Entra oturum açma günlükleri, kiracı kısıtlamaları v2 ilkesinin uygulandığı oturum açma işlemleriyle ilgili ayrıntıları görüntülemenize olanak sağlar. B2B kullanıcısı işbirliği yapmak için bir kaynak kiracısında oturum açtığında, hem ev kiracısında hem de kaynak kiracısında oturum açma günlüğü oluşturulur. Bu günlükler, hem ev kiracısı hem de kaynak kiracı için kullanılan uygulama, e-posta adresleri, kiracı adı ve kiracı kimliği gibi bilgileri içerir. Aşağıdaki örnekte başarılı bir oturum açma gösterilmektedir.

Başarılı bir oturum açma işleminin etkinlik ayrıntılarını gösteren ekran görüntüsü.

Oturum açma başarısız olursa, etkinlik ayrıntıları hatanın nedeni hakkında bilgi verir.

Başarısız oturum açma işlemine ilişkin etkinlik ayrıntılarını gösteren ekran görüntüsü.

Denetim günlükleri

Denetim günlükleri, konuk kullanıcıların başlattığı etkinlikler de dahil olmak üzere sistem ve kullanıcı etkinliklerinin kayıtlarını sağlar. İzleme altında kiracının denetim günlüklerini görüntüleyebilir veya kullanıcının profiline giderek belirli bir kullanıcının denetim günlüklerini görüntüleyebilirsiniz.

Denetim günlükleri sayfasını gösteren ekran görüntüsü.

Olay hakkında daha fazla bilgi edinmek için günlükteki olayı seçin.

Denetim günlüğü ayrıntılarını gösteren ekran görüntüsü.

Ayrıca bu günlükleri Microsoft Entra Id'den dışarı aktarabilir ve özelleştirilmiş raporlar almak için tercih ettiğiniz raporlama aracını kullanabilirsiniz.

Microsoft Grafiği

İlke bilgilerini almak için Microsoft Graph'ı kullanın.

HTTP isteği

  • Varsayılan ilkeyi alın:

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
    
  • Sistem varsayılan ayarına sıfırla:

    POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
    
  • İş ortağı yapılandırmalarını al

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
    
  • Belirli bir partner konfigürasyonunu alın:

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
    
  • Belirli bir iş ortağını güncelleştirme:

    PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
    

İstek gövdesi

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

Bilinen sınırlamalar

V2 kiracı kısıtlamaları tüm bulutlarda desteklenir. Ancak v2 kiracı kısıtlamaları bulutlar arası isteklerle uygulanmaz.

Kiracı kısıtlamaları v2, şirket ara sunucusu aracılığıyla istemci sinyalleri içeren macOS Platform SSO özelliğiyle çalışmaz. v2 ve Platform SSO kiracı kısıtlamalarını kullanan müşterilerin Genel Güvenli Erişim istemcisi sinyalleriyle evrensel kiracı kısıtlamaları v2'yi kullanması gerekir. Bu, bir aracı ağ çözümü üst bilgiler eklerken Platform SSO'nun kiracı kısıtlamalarıyla uyumlu olmadığı bir Apple sınırlamasıdır. Bu tür bir çözüme örnek olarak, Apple sistem kök sertifikaları dışında bir sertifika güven zinciri kullanan bir ara sunucu örnektir.