通用租户限制
通用租户限制使用全局安全访问(预览版)来标记所有流量,适用于所有操作系统、浏览器、设备外形规格,从而增强租户限制 v2 的功能。 它支持客户端和远程网络连接。 管理员再无需管理代理服务器配置或复杂网络配置。
通用租户限制使用基于全局安全访问的策略信号,对身份验证和数据平面执行此强制操作。 借助租户限制 v2,企业能够防止用户使用 Microsoft Entra 集成应用程序(例如 Microsoft Graph、SharePoint Online 和 Exchange Online)的外部租户标识而造成数据外泄。 这些技术配合使用,防止跨越所有设备和网络的全局数据外泄。
下表说明了在上图中每个点执行的步骤。
| 步骤 | 说明 |
|---|---|
| 1 | Contoso 在其跨租户访问设置中配置租户限制 v2,以阻止所有外部帐户和外部应用。 Contoso 使用全局安全访问通用租户限制来强制实施策略。 |
| 2 | 具有 Contoso 托管设备的用户尝试使用未批准的外部标识来访问 Microsoft Entra 集成应用。 |
| 3 | 身份验证平面保护:如果使用 Microsoft Entra ID,Contoso 的策略会阻止未经批准的外部帐户访问外部租户。 |
| 4 | 数据平面保护:如果用户再次尝试通过复制在 Contoso 网络外部获得的身份验证响应令牌并将其粘贴到设备上,来访问外部的未经批准应用,则他们会被阻止。 令牌不匹配会触发重新身份验证并阻止访问。 对于 SharePoint Online,将会阻止任何匿名访问资源的尝试,对于 Microsoft Teams,则将阻止任何匿名加入呼叫的尝试。 |
通用租户限制有助于通过以下方式防止跨浏览器、设备和网络的数据外泄:
- 借助它,Microsoft Entra ID、Microsoft 帐户和 Microsoft 365 应用程序能够查找并强制实施关联的租户限制 v2 策略。 此查找实现了一致的策略应用。
- 在登录过程中,在身份验证平面上,与所有 Microsoft Entra 集成的第三方应用配合使用。
- 与 Exchange、SharePoint 和 Microsoft Graph 配合使用,提供数据平面保护。
先决条件
- 与全局安全访问预览功能交互的管理员必须具有以下一个或多个角色分配,具体取决于他们正在执行的任务。
- 预览版需要 Microsoft Entra ID P1 许可证。 如果需要,可以购买许可证或获取试用许可证。
已知限制
- 如果你已启用通用租户限制,并且正在访问允许列表中的某个租户的 Microsoft Entra 管理中心,则可能会看到“拒绝访问”错误。 将以下功能标志添加到 Microsoft Entra 管理中心:
?feature.msaljs=true&exp.msaljsexp=true- 例如,你为 Contoso 工作,并且将 Fabrikam 作为合作伙伴租户加入允许列表。 你可能会看到 Fabrikam 租户的 Microsoft Entra 管理中心的错误消息。
- 如果收到 URL
https://entra.microsoft.com/的“拒绝访问”错误消息,请添加功能标志,如下所示:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- 如果收到 URL
Outlook 使用 QUIC 协议进行某些通信。 我们目前还不支持 QUIC 协议。 组织可以使用防火墙策略来阻止 QUIC,并且回退到非 QUIC 协议。 以下 PowerShell 命令可创建防火墙规则来阻止此协议。
@New-NetFirewallRule -DisplayName "Block QUIC for Exchange Online" -Direction Outbound -Action Block -Protocol UDP -RemoteAddress 13.107.6.152/31,13.107.18.10/31,13.107.128.0/22,23.103.160.0/20,40.96.0.0/13,40.104.0.0/15,52.96.0.0/14,131.253.33.215/32,132.245.0.0/16,150.171.32.0/22,204.79.197.215/32,6.6.0.0/16 -RemotePort 443
配置租户限制 v2 策略
在组织能够使用通用租户限制之前,他们必须为任何特定合作伙伴配置默认租户限制和租户限制。
有关配置这些策略的详细信息,请参阅文章设置租户限制 V2(预览版)。
为租户限制 v2 启用标记
创建租户限制 v2 策略之后,可以使用全局安全访问为租户限制 v2 应用标记。 具有全局安全访问管理员和安全管理员角色的管理员必须执行以下步骤,才能启用全局安全访问的强制实施。
- 以全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览至全局安全访问>“全局设置”>“会话管理”>“租户限制”。
- 选择切换到“启用标记以在网络上强制实施租户限制”。
- 选择“保存”。
使用 SharePoint Online 尝试通用租户限制。
在以下示例中,此功能的工作方式与 Exchange Online 和 Microsoft Graph 相同,我们介绍了如何在你自己的环境中操作。
尝试身份验证路径:
- 在全局安全访问的全局设置中关闭了通用租户限制。
- 使用在租户限制 v2 策略中不允许列出的外部标识,转至 SharePoint Online
https://yourcompanyname.sharepoint.com/。- 例如 Fabrikam 租户中的 Fabrikam 用户。
- Fabrikam 用户应能够访问 SharePoint Online。
- 打开通用租户限制。
- 作为最终用户,在全局安全访问客户端运行的情况下,使用尚未显式允许列出的外部标识,转至 SharePoint Online。
- 例如 Fabrikam 租户中的 Fabrikam 用户。
- 应阻止 Fabrikam 用户访问 SharePoint Online,并显示一条错误消息:
- 访问被阻止,Contoso IT 部门已限制可以访问的组织。 请联系 Contoso IT 部门,以获取访问权限。
尝试数据路径
- 在全局安全访问的全局设置中关闭了通用租户限制。
- 使用在租户限制 v2 策略中不允许列出的外部标识,转至 SharePoint Online
https://yourcompanyname.sharepoint.com/。- 例如 Fabrikam 租户中的 Fabrikam 用户。
- Fabrikam 用户应能够访问 SharePoint Online。
- 在同一浏览器中,在 SharePoint Online 打开的情况下,转至开发人员工具,或在键盘上按 F12。 开始捕获网络日志。 当一切按预期工作时,应该会看到状态 200 消息。
- 在继续操作之前,请确保选中了保留日志选项。
- 让浏览器窗口保持打开状态,在其中显示日志。
- 打开通用租户限制。
- 作为 Fabrikam 用户,在 SharePoint Online 打开的情况下,新日志会在几分钟内在浏览器中显示。 此外,浏览器可能自行刷新,取决于在后端发生的请求和响应。 在 SharePoint Online 打开的情况下,如果在几分钟后,浏览器没有自动刷新,请在浏览器中单击“刷新”。
- Fabrikam 用户看到他们的访问被阻止,并且显示:
- 访问被阻止,Contoso IT 部门已限制可以访问的组织。 请联系 Contoso IT 部门,以获取访问权限。
- Fabrikam 用户看到他们的访问被阻止,并且显示:
- 在日志中,查找状态 302。 此行显示应用于流量的通用租户限制。
- 在同一响应中,检查标头,查找标识已应用的通用租户限制的以下信息:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- 在同一响应中,检查标头,查找标识已应用的通用租户限制的以下信息:
使用条款
使用 Microsoft Entra Private Access 和 Microsoft Entra Internet Access 预览版体验和功能时,需受到所享受的服务相应的预览版联机服务条款和条件协议的约束。 预览版可能减少或遵循不同的安全性、合规性和隐私承诺,详见联机服务的通用许可条款和 Microsoft 产品和服务数据保护附录(“DPA”),以及随预览版一起提供的任何其他通知。
后续步骤
开始使用 Microsoft Entra 互联网访问的下一步是启用增强的全局安全访问日志信号。
有关全局安全访问(预览版)的条件访问策略的详细信息,请参阅以下文章: