Aracılığıyla paylaş


Evrensel kiracı kısıtlamaları

Evrensel kiracı kısıtlamaları, işletim sistemi, tarayıcı veya cihaz form faktörü ne olursa olsun tüm trafiği etiketlemek için Genel Güvenli Erişim kullanarak kiracı kısıtlama v2 işlevini geliştirir. Hem istemci hem de uzak ağ bağlantısı için destek sağlar. Yöneticilerin artık ara sunucu yapılandırmalarını veya karmaşık ağ yapılandırmalarını yönetmesi gerekmez.

Evrensel Kiracı Kısıtlamaları, bu zorlamayı hem kimlik doğrulama düzlemi (Genel Kullanılabilir) hem de veri düzlemi (Önizleme) için Genel Güvenli Erişim tabanlı ilke sinyalleri kullanarak yapar. Kiracı kısıtlamaları v2, kuruluşların Microsoft Graph, SharePoint Online ve Exchange Online gibi Microsoft Entra tümleşik uygulamaları için dış kiracı kimliklerini kullanan kullanıcılar tarafından veri sızdırmasını engellemesini sağlar. Bu teknolojiler, tüm cihazlarda ve ağlarda verilerin evrensel olarak sızmasını önlemek için birlikte çalışır.

v2 kiracı kısıtlamalarının kötü amaçlı kullanıcılara karşı nasıl korumayı gösterdiğini gösteren diyagram.

Aşağıdaki tabloda, önceki diyagramın her noktasında atılan adımlar açıklanmaktadır.

Adımlar Veri Akışı Açıklaması
1 Contoso, tüm dış hesapları ve dış uygulamaları engellemek için kiracılar arası erişim ayarlarında bir **kiracı kısıtlamaları v2 ** ilkesi yapılandırıyor. Contoso, Genel Güvenli Erişim evrensel kiracı kısıtlamalarını kullanarak ilkeyi uygular.
2 Contoso tarafından yönetilen cihazı olan bir kullanıcı, tasdik edilmemiş dış kimlikle Microsoft Entra tümleşik uygulamasına erişmeye çalışır.
3 Kimlik doğrulama düzlemi koruması: Contoso'nun ilkesi, Microsoft Entra Kimliğini kullanarak, onaylanmamış dış hesapların dış kiracılara erişmesini engeller.
4 Veri düzlemi koruması: Kullanıcı contoso ağının dışından edindiği bir kimlik doğrulama yanıt belirtecini kopyalayıp cihaza yapıştırarak bir dış tasdiksiz uygulamaya yeniden erişmeye çalışırsa engellenir. Belirteç uyuşmazlığı yeniden kimlik doğrulamayı tetikler ve erişimi engeller. SharePoint Online için, kaynaklara anonim olarak erişme girişimi engellenir.

Evrensel kiracı kısıtlamaları tarayıcılar, cihazlar ve ağlar arasında aşağıdaki yollarla veri sızdırmayı önlemeye yardımcı olur:

  • Microsoft Entra Id, Microsoft Hesapları ve Microsoft uygulamalarının ilişkili kiracı kısıtlamaları v2 ilkesini aramasına ve zorunlu kılmasına olanak tanır. Bu arama tutarlı ilke uygulamasını etkinleştirir.
  • Oturum açma sırasında kimlik doğrulama düzleminde tüm Microsoft Entra tümleşik üçüncü taraf uygulamalarıyla çalışır.
  • Veri düzlemi koruması için Exchange, SharePoint ve Microsoft Graph ile çalışır (Önizleme)

Önkoşullar

Bilinen sınırlamalar

  • Veri düzlemi koruma özellikleri önizleme aşamasındadır (kimlik doğrulama düzlemi koruması genel kullanıma sunulmuştur)
  • Evrensel Kiracı Kısıtlamaları'nı kullandığınızda ve Kiracı Kısıtlamaları v2 ilkesi tarafından izin verilen bir iş ortağı kiracısını yönetmek için Microsoft Entra yönetim merkezine eriştiğinizde, yetkilendirme hataları alabilirsiniz. Bu sorunu geçici olarak çözmek için Microsoft Entra yönetim merkezi URL'sine (örneğin, https://entra.microsoft.com/?exp.msaljsoptedoutextensions=%7B%7D) sorgu parametresi eklemeniz ?exp.msaljsoptedoutextensions=%7B%7D gerekir.

Kiracı Kısıtlamaları v2 ilkesini yapılandırma

Bir kuruluşun evrensel kiracı kısıtlamalarını kullanabilmesi için önce belirli iş ortakları için hem varsayılan kiracı kısıtlamalarını hem de kiracı kısıtlamalarını yapılandırması gerekir.

Bu ilkeleri yapılandırma hakkında daha fazla bilgi için Kiracı kısıtlamalarını ayarlama v2 makalesine bakın.

Kiracı Kısıtlamaları v2 için etiketlemeyi etkinleştirme

Kiracı kısıtlama v2 ilkelerini oluşturduktan sonra, kiracı kısıtlamaları v2 için etiketleme uygulamak üzere Genel Güvenli Erişim'i kullanabilirsiniz. Hem Genel Güvenli Erişim Yöneticisi hem de Güvenlik Yöneticisi rollerine sahip bir yöneticinin, Genel Güvenli Erişim ile zorlamayı etkinleştirmek için aşağıdaki adımları atması gerekir.

  1. Microsoft Entra yönetim merkezinde Genel Güvenli Erişim Yöneticisi olarak oturum açın.
  2. Genel Güvenli Erişim>Ayarları>Oturum Yönetimi>Evrensel Kiracı Kısıtlamaları'na göz atın.
  3. Entra Id için Kiracı Kısıtlamalarını Etkinleştir (tüm bulut uygulamalarını kapsayan) düğmesini seçin.

Evrensel Kiracı Kısıtlamalarını Deneyin

Bir kullanıcı (veya konuk kullanıcı) ilkelerin yapılandırıldığı kiracıdaki kaynaklara erişmeye çalıştığında kiracı kısıtlamaları uygulanmaz. Kiracı Kısıtlamaları v2 ilkeleri yalnızca farklı bir kiracıdaki bir kimlik oturum açma girişiminde bulunur ve/veya kaynaklara eriştiğinde işlenir. Örneğin, dışında fabrikam.comtüm kuruluşları engellemek için kiracıda contoso.com bir Kiracı Kısıtlamaları v2 ilkesi yapılandırırsanız, ilke şu tabloya göre uygulanır:

User Tür Kiracı TRv2 ilkesi işlensin mi? Kimliği doğrulanmış erişime izin verilsin mi? Anonim erişime izin verilsin mi?
alice@contoso.com Üye contoso.com Hayır (aynı kiracı) Yes Hayır
alice@fabrikam.com Üye fabrikam.com Yes Evet(ilke tarafından izin verilen kiracı) Hayır
bob@northwinds.com Üye northwinds.com Yes Hayır(kiracıya ilke tarafından izin verilmiyor) Hayır
alice@contoso.com Üye contoso.com Hayır (aynı kiracı) Yes Hayır
bob_northwinds.com#EXT#@contoso.com Konuk contoso.com Hayır (konuk kullanıcı) Yes Hayır

Kimlik doğrulama düzlemi korumasını doğrulama

  1. Genel Güvenli Erişim ayarlarında Evrensel Kiracı Kısıtlamaları sinyalinin kapalı olduğundan emin olun.
  2. Kiracı kısıtlamaları v2 ilkesinde izin verlenmeyen sizinkinden farklı bir kiracının kimliğine gitmek https://myapps.microsoft.com/ ve kimlikle oturum açmak için tarayıcınızı kullanın. Bu adımı gerçekleştirmek için özel bir tarayıcı penceresi kullanmanız ve/veya birincil hesabınızın oturumunu kapatmanız gerekebileceğini unutmayın.
    1. Örneğin, kiracınız Contoso ise, Fabrikam kiracısında Fabrikam kullanıcısı olarak oturum açın.
    2. Genel Güvenli Erişim'de Kiracı Kısıtlamaları sinyali devre dışı bırakıldığından Fabrikam kullanıcısının MyApps portalına erişebilmesi gerekir.
  3. Microsoft Entra yönetim merkezinde evrensel kiracı kısıtlamalarını açın -> Genel Güvenli Erişim -> Oturum Yönetimi -> Evrensel Kiracı Kısıtlamaları.
  4. MyApps portalında oturumu kapatın ve tarayıcınızı yeniden başlatın.
  5. Son kullanıcı olarak, Genel Güvenli Erişim istemcisi çalışırken, aynı kimliği kullanarak erişim https://myapps.microsoft.com/ (Fabrikam kiracısında Fabrikam kullanıcısı).
    1. Fabrikam kullanıcısının MyApps'te kimlik doğrulaması şu hata iletisiyle engellenmelidir: Erişim engellendi, Contoso BT departmanı hangi kuruluşlara erişilebileceğini kısıtladı. Erişim kazanmak için Contoso BT departmanına başvurun.

Veri düzlemi korumasını doğrulama

  1. Genel Güvenli Erişim ayarlarında Evrensel Kiracı Kısıtlamaları sinyalinin kapalı olduğundan emin olun.
  2. Kiracı Kısıtlamaları v2 ilkesinde izin verlenmeyen sizinkinden farklı bir kiracıya gitmek https://yourcompany.sharepoint.com/ ve kimlikle oturum açmak için tarayıcınızı kullanın. Bu adımı gerçekleştirmek için özel bir tarayıcı penceresi kullanmanız ve/veya birincil hesabınızın oturumunu kapatmanız gerekebileceğini unutmayın.
    1. Örneğin, kiracınız Contoso ise, Fabrikam kiracısında Fabrikam kullanıcısı olarak oturum açın.
    2. Kiracı Kısıtlamaları v2 sinyali Genel Güvenli Erişim'de devre dışı bırakıldığından Fabrikam kullanıcısının SharePoint'e erişebilmesi gerekir.
  3. İsteğe bağlı olarak, SharePoint Online açıkken aynı tarayıcıda Geliştirici Araçları'nı açın veya klavyede F12 tuşuna basın. Ağ günlüklerini yakalamaya başlayın. Her şey beklendiği gibi çalışırken SharePoint'e gittiğinizde DURUM 200 döndüren HTTP isteklerini görmeniz gerekir.
  4. Devam etmeden önce Günlüğü koru seçeneğinin işaretli olduğundan emin olun.
  5. Günlüklerle birlikte tarayıcı penceresini açık tutun.
  6. Microsoft Entra yönetim merkezinde Evrensel Kiracı Kısıtlamaları -> Genel Güvenli Erişim - Oturum Yönetimi ->> Evrensel Kiracı Kısıtlamaları'nı açın.
  7. Fabrikam kullanıcısı olarak, SharePoint Online'ın açık olduğu tarayıcıda birkaç dakika içinde yeni günlükler görüntülenir. Ayrıca tarayıcı, arka uçta gerçekleşen istek ve yanıtlara göre kendini yenileyebilir. Tarayıcı birkaç dakika sonra otomatik olarak yenilenmezse sayfayı yenileyin.
    1. Fabrikam kullanıcısı şu iletiyle erişiminin engellendiğini görür: Erişim engellendi, Contoso BT departmanı hangi kuruluşlara erişilebileceğini kısıtladı. Erişim kazanmak için Contoso BT departmanına başvurun.
  8. Günlüklerde Durumu'nu 302arayın. Bu satır, trafiğe uygulanan evrensel kiracı kısıtlamalarını gösterir.
    1. Aynı yanıtta, evrensel kiracı kısıtlamalarının uygulandığını tanımlayan aşağıdaki bilgiler için üst bilgileri denetleyin:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

Sonraki adımlar