Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Evrensel kiracı kısıtlamaları, v2 kiracı kısıtlamalarının işlevselliğini geliştirir. İşletim sistemi, tarayıcı veya cihaz form faktörü ne olursa olsun tüm trafiği etiketlemek için Genel Güvenli Erişim'i kullanır. Bunlar hem istemci hem de uzak ağ bağlantısı için destek sağlar.
Yöneticilerin artık ara sunucu yapılandırmalarını veya karmaşık ağ yapılandırmalarını yönetmesi gerekmez. Genel Güvenli Erişim istemcisini veya uzak ağları kullanarak herhangi bir platformda v2 kiracı kısıtlamalarını uygulayabilirler.
Evrensel kiracı kısıtlamalarını etkinleştirdiğinizde, Genel Güvenli Erişim kimlik doğrulama düzleminin ağ trafiğine kiracı kısıtlamaları v2 için ilke bilgileri ekler. Bu trafik Microsoft Entra Id ve Microsoft Graph'tandır. Sonuç olarak, kuruluşunuzdaki cihazları ve ağları kullanan kullanıcıların yalnızca yetkili dış kiracıları kullanması gerekir. Bu kısıtlama, çoklu oturum açma (SSO) aracılığıyla Microsoft Entra ID kiracınızla tümleştirilmiş tüm uygulamalar için veri sızdırmayı önlemeye yardımcı olur.
Aşağıdaki diyagramda, örnek bir kuruluşun kiracı kısıtlamaları v2 kullanarak kötü amaçlı kullanıcılara karşı korunmaya yardımcı olmak için izlediği adımlar gösterilmektedir.
| Adımlar | Açıklama |
|---|---|
| 1 | Contoso, tüm dış hesapları ve dış uygulamaları engellemek için kiracılar arası erişim ayarlarında bir kiracı kısıtlamaları v2 ilkesi yapılandırmaktadır. Contoso, Genel Güvenli Erişim ve evrensel kiracı kısıtlamalarını kullanarak ilkeyi uygular. |
| 2 | Contoso tarafından yönetilen cihazı olan bir kullanıcı, tasdik edilmemiş bir dış kimlikle Microsoft Entra ile tümleşik bir uygulamaya erişmeye çalışır. |
| 3 | Kimlik doğrulama düzlemi koruması: Microsoft Entra Id ile Contoso'nun ilkesi, tasdik edilmemiş dış hesapların dış kiracılara erişmesini engeller. Ayrıca, bir Microsoft Graph belirteci başka bir cihaz aracılığıyla alınır ve yaşam süresi içinde ortama getirilirse, bu belirteç Genel Güvenli Erişim istemcisi olan cihazlardan veya uzak ağlar aracılığıyla yeniden yürütülemez. |
| 4 | Veri düzlemi koruması: Microsoft Graph belirteci başka bir cihaz aracılığıyla alınır ve yaşam süresi içinde ortama getirilirse, bu belirteç Genel Güvenli Erişim istemcisi olan cihazlardan veya uzak ağlar aracılığıyla yeniden yürütülemez. |
Evrensel kiracı kısıtlamaları tarayıcılar, cihazlar ve ağlar arasında aşağıdaki yollarla veri sızdırmayı önlemeye yardımcı olur:
- Microsoft Entra Id, Microsoft hesapları ve Microsoft uygulamalarının ilişkili kiracı kısıtlamaları v2 ilkesini aramasını ve zorunlu kılmasını sağlar. Bu arama tutarlı ilke uygulamasını etkinleştirir.
- Oturum açma sırasında kimlik doğrulama düzleminde Microsoft Entra ile tümleşik tüm üçüncü taraf uygulamalarıyla birlikte çalışır.
- Microsoft Graph'ın korunmasına yardımcı olur.
Evrensel kiracı kısıtlamalarının uygulanma noktaları
Kimlik doğrulama düzlemi (Microsoft Entra ID)
Kimlik doğrulama katmanı zorlaması, Microsoft Entra ID veya Microsoft hesabı kimlik doğrulaması sırasında gerçekleşir.
Kullanıcı Genel Güvenli Erişim istemcisine veya uzak ağ bağlantısı aracılığıyla bağlandığında, kimlik doğrulamasına izin verilip verilmediğini belirlemek için kiracı kısıtlamaları v2 ilkesi denetlenmektedir. Kullanıcı kuruluşun kiracısında oturum açıyorsa, kiracı kısıtlamaları v2 ilkesi uygulanmaz. Kullanıcı farklı bir kiracı hesabında oturum açıyorsa, ilke uygulanır.
Microsoft Entra Id ile tümleştirilmiş veya kimlik doğrulaması için Microsoft hesabı kullanan tüm uygulamalar, kimlik doğrulama düzleminde evrensel kiracı kısıtlamalarını destekler.
Veri düzlemi (Microsoft Graph)
Veri düzlemi katmanı zorlaması halen Microsoft Graph için desteklenmektedir. Veri düzlemi güvenliği, içeri aktarılan kimlik doğrulama yapıtlarının, kuruluşunuzun cihazları üzerinden verileri dışarı aktarmak amacıyla yeniden kullanılmasını engeller. Bu tür bir özellik örneği, başka bir cihazda elde edilen ve kiracı kısıtlamaları v2 politikası dahilindeki kimlik doğrulama düzlemi kurallarını atlayan bir erişim belirtecidir.
Önkoşullar
- Genel Güvenli Erişim özellikleriyle etkileşim kuran yöneticilerin bu özellikleri yönetmek için Genel Güvenli Erişim Yöneticisi rolüne sahip olması gerekir.
- Genel Güvenli Erişim için lisans gerekir. Ayrıntılar için bkz . Lisanslamaya genel bakış. Henüz bir lisansınız yoksa lisans satın alabilir veya deneme lisansı alabilirsiniz.
- Bir Microsoft trafik profilini etkinleştirmeniz gerekir. Evrensel kiracı kısıtlamalarına sahip olacak hizmetlerin tam etki alanı adları (FQDN'ler) ve IP adresleri tünel moduna ayarlanmalıdır.
- Genel Güvenli Erişim istemcilerini dağıtmanız veya uzak ağ bağlantısını yapılandırmanız gerekir.
Kiracı kısıtlamaları v2 ilkesini yapılandırma
Evrensel kiracı kısıtlamalarını kullanabilmeniz için önce belirli iş ortakları için hem varsayılan kiracı kısıtlamalarını hem de kiracı kısıtlamalarını yapılandırmanız gerekir.
Bu ilkeleri yapılandırma hakkında daha fazla bilgi için bkz. Kiracı kısıtlamalarını ayarlama v2.
Kiracı kısıtlamaları için Genel Güvenli Erişim sinyalini etkinleştirme
Kiracı kısıtlama v2 ilkelerini oluşturduktan sonra, v2 kiracı kısıtlamaları için etiketleme uygulamak için Genel Güvenli Erişim'i kullanabilirsiniz. Hem Genel Güvenli Erişim Yöneticisi hem de Güvenlik Yöneticisi rollerine sahip bir yöneticinin, Genel Güvenli Erişim ile zorlamayı etkinleştirmek için aşağıdaki adımları atması gerekir:
Microsoft Entra yönetim merkezinde Genel Güvenli Erişim Yöneticisi olarak oturum açın.
Global Güvenli Erişim>Ayarlar>Oturum Yönetimi>Evrensel Kiracı Kısıtlamaları bölümüne göz atın.
Entra ID (tüm bulut uygulamalarını kapsayan) için Kiracı Kısıtlamalarını Etkinleştir anahtarını açın.
Evrensel kiracı kısıtlamalarını deneyin
Bir kullanıcı (veya konuk kullanıcı) ilkelerin yapılandırıldığı kiracıdaki kaynaklara erişmeye çalıştığında kiracı kısıtlamaları uygulanmaz. Kiracı kısıtlamaları v2 politikaları, yalnızca farklı bir kiracıdaki bir kimlik oturum açmayı denediğinde veya kaynaklara eriştiğinde işlenir.
Örneğin, fabrikam.com dışındaki tüm kuruluşları engellemek için kiracı contoso.com kiracı kısıtlamaları v2 ilkesi yapılandırırsanız, ilke şu tabloya göre uygulanır:
| Kullanıcı | Tür | Kiracı | Kiracı kısıtlamaları v2 ilkesi işlendi mi? | Kimliği doğrulanmış erişime izin verilsin mi? | Anonim erişime izin verilsin mi? |
|---|---|---|---|---|---|
alice@contoso.com |
Üye | contoso.com | Hayır (aynı kiracı) | Evet | Hayır |
alice@fabrikam.com |
Üye | fabrikam.com | Evet | Evet (politikayla izin verilen kiracı) | Hayır |
bob@northwindtraders.com |
Üye | northwindtraders.com | Evet | Hayır (kiracıya politika gereği izin verilmiyor) | Hayır |
alice@contoso.com |
Üye | contoso.com | Hayır (aynı kiracı) | Evet | Hayır |
bob_northwindtraders.com#EXT#@contoso.com |
Konuk | contoso.com | Hayır (konuk kullanıcı) | Evet | Hayır |
Kimlik doğrulama düzlemi korumasını doğrulayın
Genel Güvenli Erişim ayarlarında evrensel kiracı kısıtlamaları için sinyallerin kapalı olduğundan emin olun.
Tarayıcıda Uygulamalarım portalına gidin. Kiracı kısıtlamaları v2 ilkesinde sizinkilerden farklı olan ve izin verilenler listesinde olmayan bir kiracının kimliğiyle oturum açın. Bu adımı gerçekleştirmek için özel bir tarayıcı penceresi kullanmanız ve/veya birincil hesabınızın oturumunu kapatmanız gerekebilir.
Örneğin, kiracınız Contoso ise, Fabrikam kiracısında Fabrikam kullanıcısı olarak oturum açın. Genel Güvenli Erişim'de evrensel kiracı kısıtlamalarına yönelik sinyaller kapalı olduğundan Fabrikam kullanıcısının Uygulamalarım portalına erişebilmesi gerekir.
Microsoft Entra yönetim merkezinde evrensel kiracı kısıtlamalarını açın. Genel Güvenli Erişim>Oturumu Yönetimi>Evrensel Kiracı Kısıtlamaları'na gidin ve Ardından Entra Id için Kiracı Kısıtlamalarını Etkinleştir (tüm bulut uygulamalarını kapsar) düğmesini açın.
Uygulamalarım portalında oturumu kapatın ve tarayıcınızı yeniden başlatın.
Genel Güvenli Erişim istemcisi çalışırken, aynı kimliği (önceki örnekte Fabrikam kiracısında Fabrikam kullanıcısı) kullanarak Uygulamalarım portalına gidin.
Uygulamalarım portalında kimlik doğrulamanız engellenmelidir. Şuna benzer bir hata iletisi görüntülenmelidir: "Erişim engellendi. Contoso BT departmanı hangi kuruluşlara erişilebileceğini kısıtladı. Erişim kazanmak için Contoso BT departmanına başvurun."
Veri düzlemi korumasını doğrulama
Genel Güvenli Erişim ayarlarında evrensel kiracı kısıtlamalarındaki sinyallerin kapalı olduğundan emin olun.
Tarayıcıda Grafik Gezgini'ne gidin. Kiracı kısıtlamaları v2 ilkesinde sizinkilerden farklı olan ve izin verilenler listesinde olmayan bir kiracının kimliğiyle oturum açın. Bu adımı gerçekleştirmek için özel bir tarayıcı penceresi kullanmanız ve/veya birincil hesabınızın oturumunu kapatmanız gerekebilir.
Örneğin, kiracınız Contoso ise, Fabrikam kiracısında Fabrikam kullanıcısı olarak oturum açın. Kiracı kısıtlamaları v2'deki sinyaller Genel Güvenli Erişim'de kapalı olduğundan Fabrikam kullanıcısının Graf Gezgini'ne erişebilmesi gerekir.
İsteğe bağlı olarak, Graph Explorer açıkken aynı tarayıcıda, klavyede F12'yi seçerek Geliştirici Araçları'nı açın. Ağ günlüklerini kaydetmeye başlayın.
Her şey beklendiği gibi çalışırken Graf Gezgini ile etkileşim kurarken HTTP isteklerinin durum
200döndürdiğini görmeniz gerekir. Örneğin, kiracınızdaki kullanıcıları almak için birGETistek gönderin.Günlüğü sakla seçeneğinin seçili olduğundan emin olun.
Tarayıcı penceresini günlüklerle açık tutun.
Microsoft Entra yönetim merkezinde evrensel kiracı kısıtlamalarını açın. Genel Güvenli Erişim>Oturumu Yönetimi>Evrensel Kiracı Kısıtlamaları'na gidin ve Ardından Entra Id için Kiracı Kısıtlamalarını Etkinleştir (tüm bulut uygulamalarını kapsar) düğmesini açın.
Diğer kullanıcı olarak (önceki örnekte Fabrikam kullanıcısı) oturum açmış durumdayken, tarayıcıda Graph Explorer açıkken yeni günlükler görüntülenir. İşlem birkaç dakika sürebilir. Ayrıca tarayıcı, arka uçta gerçekleşen istek ve yanıtlara göre kendini yenileyebilir. Tarayıcı birkaç dakika sonra kendini yenilemezse sayfayı yenileyin.
Erişiminiz şu iletiyle engellendi: "Erişim engellendi. Contoso BT departmanı hangi kuruluşlara erişilebileceğini kısıtladı. Erişim kazanmak için Contoso BT departmanına başvurun."
Günlüklerde
Statusiçin302değeri arayın. Bu satır, trafiğe uygulanan evrensel kiracı kısıtlamalarını gösterir.Aynı Yanıtta, evrensel kiracı kısıtlamalarının uygulandığını doğrulamak için aşağıdaki bilgiler için başlıkları denetleyin:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requires";error_category="insufficient_claims"
Bilinen sınırlamalar
Evrensel kiracı kısıtlamalarını etkinleştirdiyseniz ve kiracı kısıtlamaları v2 izin verilenler listesinde bir kiracı için Microsoft Entra yönetim merkezine erişirseniz, "Erişim reddedildi" hatası alabilirsiniz. Bu hatayı düzeltmek için Microsoft Entra yönetim merkezine aşağıdaki özellik bayrağını ekleyin: ?feature.msaljs=true&exp.msaljsexp=true.
Örneğin, Contoso için çalıştığınızı varsayalım. iş ortağı kiracı olan Fabrikam, izin listesinde. Fabrikam kiracısının Microsoft Entra yönetim merkezi için hata iletisi alabilirsiniz.
URL https://entra.microsoft.com/için "Erişim reddedildi" hata iletisini aldıysanız, özellik bayrağını şu şekilde ekleyin: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home.
Bilinen sorunlar ve sınırlamalar hakkında ayrıntılı bilgi için bkz. Genel Güvenli Erişim için bilinen sınırlamalar.