設定租使用者限制 v2
注意
本文所述的某些功能是預覽功能。 如需有關預覽版的詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
若要增強安全性,您可以限制使用者在使用外部帳戶從網路或裝置登入時可以存取的內容。 租使用者限制設定隨附於跨租使用者存取設定,可讓您建立原則來控制外部應用程式的存取。
例如,假設您組織中的使用者已在未知租使用者中建立個別帳戶,或外部組織已為您的用戶帳戶提供一個帳戶,讓他們登入其組織。 您可以使用租使用者限制來防止使用者在網路或裝置上使用外部帳戶登入時,使用部分或所有外部應用程式。
| 步驟 | 描述 |
|---|---|
| 1 | Contoso 會 在其跨租使用者存取設定中設定租使用者限制 ,以封鎖所有外部帳戶和外部應用程式。 Contoso 會使用 Contoso 的租使用者識別碼和租使用者限制原則標識碼來更新本機計算機設定,以在每個 Windows 裝置上強制執行原則。 |
| 2 | 具有 Contoso 受控 Windows 裝置的用戶嘗試使用來自未知租使用者的帳戶登入外部應用程式。 Windows 裝置會將 HTTP 標頭新增至驗證要求。 標頭包含 Contoso 的租用戶標識碼和租使用者限制原則標識碼。 |
| 3 | 驗證平面保護: Microsoft Entra ID 會使用驗證要求中的標頭來查閱 Microsoft Entra 雲端中的租使用者限制原則。 因為 Contoso 的原則會封鎖外部帳戶存取外部租使用者,因此要求會在驗證層級遭到封鎖。 |
| 4 | 數據平面保護(預覽): 用戶嘗試藉由複製他們在 Contoso 網路外部取得的驗證回應令牌,並將其貼到 Windows 裝置,來嘗試存取外部應用程式。 不過,Microsoft Entra ID 會將令牌中的宣告與 Windows 裝置所新增的 HTTP 標頭進行比較。 因為它們不相符,所以 Microsoft Entra ID 會封鎖會話,讓用戶無法存取應用程式。 |
租使用者限制 v2 提供驗證平面保護和數據平面保護的選項。
驗證平面保護 是指使用租使用者限制 v2 原則來封鎖使用外部身分識別的登入。 例如,您可以藉由防止攻擊者登入其惡意租使用者,防止惡意內部人員透過外部電子郵件外泄數據。 租使用者限制 v2 驗證平面保護已正式推出。
數據平面保護 是指防止略過驗證的攻擊。 例如,攻擊者可能會嘗試使用 Teams 匿名會議加入或 SharePoint 匿名檔案存取來允許存取惡意租用戶應用程式。 或者攻擊者可能會從惡意租使用者中的裝置複製存取令牌,並將其匯入至您的組織裝置。 租使用者限制 v2 數據平面保護會強制用戶在嘗試存取資源時進行驗證,並在驗證失敗時封鎖存取。
雖然 租使用者限制 v1 透過公司 Proxy 上設定的租使用者allowlist提供驗證平面保護,但租使用者限制 v2 可讓您選擇使用或不使用公司 Proxy 進行細微的驗證和數據平面保護。 如果您使用公司 Proxy 進行標頭插入,選項只包含驗證平面保護。
租使用者限制 v2 概觀
在組織的跨租使用者存取設定中,您可以設定租使用者限制 v2 原則。 建立原則之後,有三種方式可在組織中套用原則。
- 通用租使用者限制 v2。 此選項同時提供沒有公司 Proxy 的驗證平面和數據平面保護。 通用租使用者限制 會使用全域安全存取(預覽版)來標記所有流量,無論操作系統、瀏覽器或裝置尺寸為何。 它允許支援用戶端和遠端網路連線。
- 驗證平面租使用者限制 v2。 您可以在組織中部署公司 Proxy,並將 Proxy 設定為在所有流量上設定租使用者限制 v2 訊 號給 Microsoft Entra ID 和 Microsoft 帳戶 (MSA)。
- Windows 租使用者限制 v2。 針對公司擁有的 Windows 裝置,您可以直接在裝置上強制執行租使用者限制,以強制執行驗證平面和數據平面保護。 租使用者限制會在資源存取時強制執行,以提供數據路徑涵蓋範圍和保護,以防止令牌滲透。 原則強制執行不需要公司 Proxy。 裝置可以是透過組策略管理的 Microsoft Entra ID 受控或已加入網域的裝置。
注意
本文說明如何使用 Microsoft Entra 系統管理中心設定租使用者限制 v2。 您也可以使用 Microsoft Graph 跨租使用者存取 API 來建立這些相同的租使用者限制原則。
支援的案例
租使用者限制 v2 的範圍可限定於特定使用者、群組、組織或外部應用程式。 在 Windows 作業系統網路堆疊上建置的應用程式會受到保護。 以下是支援的案例:
- 所有 Office 應用程式(所有版本/發行通道)。
- 通用 Windows 平台 (UWP) .NET 應用程式。
- 驗證平面保護所有使用 Microsoft Entra ID 進行驗證的應用程式,包括所有 Microsoft 第一方應用程式和任何使用 Microsoft Entra ID 進行驗證的第三方應用程式。
- SharePoint Online 和 Exchange Online 的數據平面保護。
- SharePoint Online、商務用 OneDrive 和 Teams 的匿名存取保護(已設定同盟控件)。
- Microsoft 租使用者或取用者帳戶的驗證和數據平面保護。
- 在全域安全存取中使用通用租使用者限制時,所有瀏覽器和平臺。
- 使用 Windows 組策略時,Microsoft Edge 和 Microsoft Edge 中的所有網站。
不支援的情節
- 匿名封鎖取用者 OneDrive 帳戶。 客戶可以藉由封鎖 https://onedrive.live.com/來解決 Proxy 層級問題。
- 當使用者使用匿名連結或非 Azure AD 帳戶存取第三方應用程式時,例如 Slack。
- 當使用者將 Microsoft Entra ID 簽發的令牌從主計算機複製到工作電腦,並用它來存取 Slack 之類的第三方應用程式時。
- Microsoft 帳戶的每個使用者租使用者限制。
比較租使用者限制 v1 和 v2
下表比較每個版本中的功能。
| 租使用者限制 v1 | 租使用者限制 v2 | |
|---|---|---|
| 原則強制執行 | 公司 Proxy 會在 Microsoft Entra ID 控制平面中強制執行租使用者限制原則。 | 選項: - 全域安全存取中的通用租使用者限制(預覽),其使用原則訊號標記所有流量,在所有平臺上都提供驗證和數據平面支援。 - 僅驗證平面保護,其中公司 Proxy 會在所有流量上設定租使用者限制 v2 訊號。 - Windows 裝置管理,其中裝置設定為將 Microsoft 流量指向租使用者限制原則,並在雲端中強制執行原則。 |
| 原則強制執行限制 | 將租使用者新增至 Microsoft Entra 流量允許清單,以管理公司 Proxy。 Restrict-Access-To-Tenants 中標頭值的字元限制: <allowed-tenant-list> 限制可新增的租用戶數目。 |
由跨租使用者存取原則中的雲端原則管理。 系統會為每個外部租使用者建立合作夥伴原則。 目前,所有外部租用戶的設定都包含在一個具有 25KB 大小限制的原則中。 |
| 惡意租使用者要求 | Microsoft Entra ID 會封鎖惡意租用戶驗證要求,以提供驗證平面保護。 | Microsoft Entra ID 會封鎖惡意租用戶驗證要求,以提供驗證平面保護。 |
| 粒度 | 僅限於租使用者和所有 Microsoft 帳戶。 | 租使用者、使用者、群組和應用程式粒度。 (Microsoft 帳戶不支援用戶層級的數據粒度。 |
| 匿名存取 | 允許匿名存取Teams會議和檔案共用。 | Teams 會議的匿名存取遭到封鎖。 匿名共享資源的存取權(「具有連結的任何人」)遭到封鎖。 |
| Microsoft 帳戶 | 使用 Restrict-MSA 標頭來封鎖取用者帳戶的存取。 | 允許控制身分識別和數據平面上的 Microsoft 帳戶 (MSA 和 Live ID) 驗證。 例如,如果您默認強制執行租使用者限制,您可以建立 Microsoft 帳戶特定的原則,讓使用者使用其 Microsoft 帳戶存取特定應用程式,例如: Microsoft Learn (應用程式識別符 18fbca16-2224-45f6-85b0-f7bf2b39b3f3),或 Microsoft Enterprise Skills Initiative (應用程式識別符 195e7f27-02f9-4045-9a91-cd2fa1c2af2f)。 |
| Proxy 管理 | 將租使用者新增至 Microsoft Entra 流量允許清單,以管理公司 Proxy。 | 針對公司 Proxy 驗證平面保護,請將 Proxy 設定為在所有流量上設定租使用者限制 v2 訊號。 |
| 平台支援 | 在所有平臺上都支援。 僅提供驗證平面保護。 | 全域安全存取中的通用租使用者限制(預覽版)支援任何操作系統、瀏覽器或裝置尺寸。 公司 Proxy 驗證平面保護支援 macOS、Chrome 瀏覽器和 .NET 應用程式。 Windows 裝置管理支援 Windows 作業系統和 Microsoft Edge。 |
| 入口網站支援 | Microsoft Entra 系統管理中心沒有用來設定原則的使用者介面。 | Microsoft Entra 系統管理中心提供用來設定雲端原則的使用者介面。 |
| 不支援的應用程式 | N/A | 使用 Windows Defender 應用程控 (WDAC) 或 Windows 防火牆來封鎖不支援的應用程式與 Microsoft 端點搭配使用(例如 Chrome、Firefox 等等)。 請參閱 封鎖 Chrome、Firefox 和 .NET 應用程式,例如 PowerShell。 |
將租使用者限制 v1 原則移轉至 Proxy 上的 v2
將租使用者限制原則從 v1 移轉至 v2 是一次性作業。 移轉之後,不需要任何客戶端變更。 您可以透過 Microsoft Entra 系統管理中心進行任何後續伺服器端原則變更。
在 Proxy 上啟用 TRv2 時,您只能在驗證平面上強制執行 TRv2。 若要在驗證和數據平面上啟用 TRv2,您應該使用 通用 TRv2 啟用 TRv2 用戶端訊號
步驟 1: 設定允許的合作夥伴租用戶清單
TRv1: 租使用者限制 v1 (TRv1) 可讓您建立租使用者標識碼和/或 Microsoft 登入端點的允許清單,以確保使用者存取貴組織授權的外部租使用者。 TRv1 藉由在 Proxy 上新增 Restrict-Access-To-Tenants: <allowed-tenant-list> 標頭來達成此目的。 例如:'Restrict-Access-To-Tenants:“contoso.com,fabrikam.com,dogfood.com”。 深入瞭解 租使用者限制 v1。
TRv2: 使用租使用者限制 v2 (TRv2),設定會移至伺服器端雲端原則,而不需要 TRv1 標頭。
- 在您的公司 Proxy 上,您應該移除租使用者限制 v1 標頭 。
Restrict-Access-To-Tenants: <allowed-tenant-list> - 針對allowed-tenant-list中的每個租使用者,請遵循步驟 2:設定特定合作夥伴的租使用者限制 v2 中的步驟 ,建立合作夥伴租用戶原則。 請務必遵循下列指導方針:
注意
- 保留使用外部身分識別封鎖所有外部租使用者存取權的租使用者限制 v2 預設原則(例如 ,
user@externaltenant.com。 - 遵循步驟 2:為特定合作夥伴設定租使用者限制 v2 中的步驟 ,為 v1 allowlist 中列出的每個租使用者建立合作夥伴租用戶原則。
- 只允許特定使用者存取特定應用程式。 此設計只會限制對必要使用者的存取,以提高您的安全性狀態。
步驟 2: 封鎖取用者帳戶或 Microsoft 帳戶租使用者
TRv1: 不允許使用者登入取用者應用程式。 Trv1 需要將 sec-Restrict-Tenant-Access-Policy 標頭插入瀏覽 login.live.com 的流量,例如 sec-Restrict-Tenant-Access-Policy:restrict-msa'
TRv2: 使用 TRv2 時,設定會移至伺服器端雲端原則,而且不需要 TRv1 標頭。
- 在您的公司 Proxy 上,您應該移除租使用者限制 v1 標頭 sec-Restrict-Tenant-Access-Policy: restrict-msa'。
- 遵循 步驟 2:為特定合作夥伴設定租使用者限制 v2,以建立 Microsoft 帳戶租用戶的合作夥伴租用戶原則。 由於用戶層級指派不適用於 MSA 租使用者,因此原則會套用至所有 MSA 使用者。 不過,應用層級的數據粒度可供使用,而且您應該限制 MSA 或取用者帳戶只能存取必要應用程式的應用程式。
注意
封鎖 MSA 租使用者不會封鎖裝置的用戶減少流量,包括:
- Autopilot、Windows Update 和組織遙測的流量。
- B2B 取用者帳戶的驗證或「傳遞」驗證,其中 Azure 應用程式和 Office.com 應用程式會使用 Microsoft Entra ID 在取用者內容中登入取用者使用者。
步驟 3: 在公司 Proxy 上啟用租使用者限制 v2
TRv2: 您可以使用下列公司 Proxy 設定來啟用租使用者限制 V2 標頭的用戶端標記: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>
其中 <DirectoryID> 是您的 Microsoft Entra 租使用者識別碼,而 <policyGUID> 是跨租使用者存取原則的對象識別碼。
租使用者限制與輸入和輸出設定
雖然租使用者限制是與您的跨租使用者存取設定一起設定,但它們會與輸入和輸出存取設定分開運作。 跨租使用者存取設定可讓您控制使用者何時使用組織的帳戶登入。 相較之下,租使用者限制可讓您控制使用者何時使用外部帳戶。 B2B 共同作業和 B2B 直接連線的輸入和輸出設定不會影響租使用者限制設定(且不受影響)。
以這種方式思考不同的跨租使用者存取設定:
- 輸入設定可控制 外部 帳戶對您 內部 應用程式的存取。
- 輸出設定可控制外部應用程式的內部帳戶存取。
- 租使用者限制可控制外部應用程式的外部帳戶存取。
租使用者限制與 B2B 共同作業
當使用者需要外部組織和應用程式的存取權時,建議您啟用租使用者限制來封鎖外部帳戶,並改用 B2B 共同作業。 B2B 共同作業可讓您:
- 使用條件式存取,並強制 B2B 共同作業使用者的多重要素驗證。
- 管理輸入和輸出存取。
- 當 B2B 共同作業使用者的雇用狀態變更或其認證遭到入侵時,終止會話和認證。
- 使用登入記錄來檢視 B2B 共同作業用戶的詳細數據。
必要條件
若要設定租使用者限制,您需要:
- Microsoft Entra ID P1 或 P2
- 具有全域 管理員 istrator 或 Security 管理員 istrator 角色的帳戶
- 執行 Windows 10、Windows 11 且具有最新更新的 Windows 裝置
設定伺服器端租使用者限制 v2 雲端原則
步驟 1:設定預設租使用者限制 v2
租使用者限制 v2 的 設定 位於 Microsoft Entra 系統管理中心底下跨租使用者存取設定。 首先,設定您想要套用至所有使用者、群組、應用程式和組織的預設租使用者限制。 然後,如果您需要合作夥伴特定的設定,您可以新增合作夥伴的組織,並自定義與預設值不同的任何設定。
設定預設租使用者限制
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別外部身分>識別跨租使用者存取設定],然後選取 [跨租使用者存取設定]。
選取 [預設設定] 索引標籤。
![顯示 [預設設定] 索引標籤上 [租使用者限制] 區段的螢幕快照。](media/tenant-restrictions-v2/tenant-restrictions-default-section.png)
捲動至 [ 租使用者限制] 區 段。
選取 [ 編輯租使用者 限制預設值] 連結。
![顯示 [預設設定] 編輯按鈕的螢幕快照。](media/tenant-restrictions-v2/tenant-restrictions-default-section-edit.png)
如果租使用者中還沒有任何默認原則,則會出現在 [原則標識符 ] 旁的 [建立原則 ] 連結。 選取此連結。
![顯示 [建立原則] 鏈接的螢幕快照。](media/tenant-restrictions-v2/create-tenant-restrictions-policy.png)
[ 租使用者限制] 頁面會顯示您的 租使用者標識碼 和租使用者限制 原則標識碼。 使用複製圖示來複製這兩個值。 您稍後會在設定 Windows 用戶端以啟用租使用者限制時使用它們。
選取 [外部使用者和群組] 索引標籤。在 [存取狀態] 底下,選擇下列其中一項:
- 允許存取:允許所有使用外部帳戶登入的使用者存取外部應用程式(在 [ 外部應用程式 ] 索引標籤上指定)。
- 封鎖存取:封鎖所有使用外部帳戶登入的使用者存取外部應用程式(在 [ 外部應用程式 ] 索引卷標上指定)。
注意
默認設定不能限定為個別帳戶或群組,因此 [套用] 一 律等於 [所有 <租用戶> 使用者和群組]。 請注意,如果您封鎖所有使用者和群組的存取,您也必須封鎖所有外部應用程式的存取權(在 [外部應用程式 ] 索引標籤上)。
選取 [外部應用程式] 索引標籤。在 [存取狀態] 底下,選擇下列其中一項:
- 允許存取:允許使用外部帳戶登入的所有使用者存取 [ 套用至 ] 區段中指定的應用程式。
- 封鎖存取:封鎖所有使用外部帳戶登入的使用者,無法存取 [ 套用至 ] 區段中指定的應用程式。
![顯示 [外部應用程式] 索引標籤上存取狀態的螢幕快照。](media/tenant-restrictions-v2/tenant-restrictions-default-applications.png)
在 [套用至] 底下,選取下列其中一項:
- 所有外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。 如果您封鎖存取所有外部應用程式,您也必須封鎖所有使用者和群組的存取權(在 [使用者和群組 ] 索引標籤上)。
- 選取外部應用程式:可讓您選擇要在 [存取狀態] 下套用動作的外部應用程式。 若要選取應用程式,請選擇 [ 新增 Microsoft 應用程式 ] 或 [新增其他應用程式]。 然後依應用程式名稱或應用程式識別碼搜尋(用戶端應用程式識別碼或資源應用程式識別碼),然後選取應用程式。 (請參閱常用 Microsoft 應用程式的識別符清單。如果您想要新增更多應用程式,請使用 [ 新增 ] 按鈕。 完成時,請選取 [ 提交]。
![顯示選取 [外部應用程式] 索引標籤的螢幕快照。](media/tenant-restrictions-v2/tenant-restrictions-default-applications-applies-to.png)
選取 [儲存]。
步驟 2:為特定合作夥伴設定租使用者限制 v2
假設您預設使用租使用者限制來封鎖存取,但您想要允許使用者使用自己的外部帳戶存取特定應用程式。 例如,假設您希望用戶能夠使用自己的 Microsoft 帳戶存取 Microsoft Learn。 本節中的指示說明如何新增優先於預設設定的組織特定設定。
範例:設定租使用者限制 v2 以允許 Microsoft 帳戶
以至少安全性 管理員 istrator 或條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別外部身分>識別跨租使用者存取設定]。
選取 [ 組織設定]。
注意
如果您想要新增的組織已經新增至清單,您可以略過新增它,並直接移至修改設定。
選取 [新增組織]。
在 [新增組織] 窗格中,輸入組織的完整網域名稱 (或租用戶識別碼)。
範例:搜尋下列 Microsoft 帳戶租用戶識別碼:
9188040d-6c67-4c5b-b112-36a304b66dad
在搜尋結果中選取組織,然後選取 [ 新增]。
修改設定:在 [組織設定 ] 列表中尋找組織,然後水平捲動以查看 [租使用者限制 ] 數據行。 此時,此組織的所有租使用者限制設定都會繼承自您的預設設定。 若要變更此組織的設定,請選取 [租使用者限制] 數據行底下的 [繼承自預設] 連結。
組織的 [租使用者限制] 頁面隨即出現。 複製租用戶 標識碼 和 原則標識碼的值。 您稍後會在設定 Windows 用戶端以啟用租使用者限制時使用它們。
選取 [自定義設定],然後選取 [外部使用者和群組] 索引標籤。在 [存取狀態] 底下,選擇選項:
- 允許存取:允許在 [套用至使用外部帳戶登入的使用者] 底下指定的使用者和群組存取外部應用程式(在 [外部應用程式] 索引卷標上指定。
- 封鎖存取:封鎖 [ 套用至 使用外部帳戶登入的使用者和群組] 來存取外部應用程式(在 [外部應用程式 ] 索引卷標上指定)。
注意
針對 Microsoft 帳戶範例,我們選取 [ 允許存取]。
在 [套用至] 下,選擇 [所有<組織>使用者和群組]。
注意
Microsoft 帳戶不支援使用者粒度,因此 無法使用 [選取 <組織> 使用者和群組 ] 功能。 針對其他組織,您可以選擇 [ 選取 <組織> 使用者和群組],然後針對您想要新增的每個使用者或群組執行下列步驟:
- 選取 [ 新增外部使用者和群組]。
- 在 [ 選取 ] 窗格中,於搜尋方塊中輸入使用者名稱或組名。
- 選取搜尋結果中的使用者或群組。
- 如果您想要新增更多內容,請選取 [新增 ] 並重複這些步驟。 當您完成選取要新增的使用者和群組時,請選取 [ 提交]。
選取 [外部應用程式] 索引標籤。在 [存取狀態] 下,選擇是否允許或封鎖外部應用程式的存取。
- 允許存取:使用外部帳戶時,允許使用者存取 [套用] 底下指定的外部應用程式。
- 封鎖存取:使用外部帳戶時,封鎖 [套用至] 底下指定的外部應用程式,讓用戶無法存取。
注意
針對 Microsoft 帳戶範例,我們選取 [ 允許存取]。
![顯示 [存取狀態] 選取項目的螢幕快照。](media/tenant-restrictions-v2/tenant-restrictions-edit-applications-access-status.png)
在 [套用至] 底下,選取下列其中一項:
- 所有外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。
- 選取外部應用程式:將您在 [存取狀態] 底下的動作套用至所有外部應用程式。
注意
- 針對 Microsoft 帳戶範例,我們選擇 [ 選取外部應用程式]。
- 如果您封鎖存取所有外部應用程式,您也必須封鎖所有使用者和群組的存取權(在 [使用者和群組 ] 索引標籤上)。
![顯示選取 [套用至選取專案] 的螢幕快照。](media/tenant-restrictions-v2/tenant-restrictions-edit-applications-applies-to.png)
如果您選擇 [ 選取外部應用程式],請針對您想要新增的每個應用程式執行下列動作:
- 選取 [新增 Microsoft 應用程式 ] 或 [新增其他應用程式]。 針對 Microsoft Learn 範例,我們選擇 [ 新增其他應用程式]。
- 在搜尋方塊中,輸入應用程式名稱或應用程式識別碼( 用戶端應用程式標識碼 或 資源應用程式識別元)。 (請參閱常用 Microsoft 應用程式的識別符清單。針對 Microsoft Learn 範例,我們輸入應用程式識別碼
18fbca16-2224-45f6-85b0-f7bf2b39b3f3。 - 選取搜尋結果中的應用程式,然後選取 [ 新增]。
- 針對您想要新增的每個應用程式重複。
- 當您完成選取應用程式時,請選取 [ 提交]。
您選取的應用程式會列在 [ 外部應用程式] 索引 標籤上。選取 [ 儲存]。
注意
封鎖 MSA 租使用者不會封鎖:
- 裝置的使用者較少流量。 這包括 Autopilot、Windows Update 和組織遙測的流量。
- 取用者帳戶的 B2B 驗證。
- 許多 Azure 應用程式和 Office.com 所使用的「傳遞」驗證,其中應用程式會使用 Microsoft Entra 識別碼在取用者內容中登入取用者使用者。
設定用戶端租使用者限制 v2
針對客戶端強制執行租使用者限制 v2 有三個選項:
- 選項 1:通用租使用者限制 v2 作為 Microsoft Entra Global Secure Access 的一部分 (預覽)
- 選項 2:在您的公司 Proxy 上設定租使用者限制 v2
- 選項 3:在 Windows 受控裝置上啟用租使用者限制 (預覽)
選項 1:通用租使用者限制 v2 作為 Microsoft Entra Global Secure Access 的一部分 (預覽)
建議使用通用租使用者限制 v2 作為 Microsoft Entra Global Secure Access 的一部分,因為它為所有裝置和平臺提供驗證和數據平面保護。 此選項提供更多保護,以防止複雜的嘗試略過驗證。 例如,攻擊者可能會嘗試允許匿名存取惡意租用戶的應用程式,例如 Teams 中的匿名會議加入。 或者,攻擊者可能會嘗試將存取令牌從惡意租使用者中的裝置解除,匯入到您的組織裝置。 通用租使用者限制 v2 會藉由在驗證平面上傳送租使用者限制 v2 訊號來防止這些攻擊(Microsoft Entra ID 和 Microsoft 帳戶)和數據平面(Microsoft 雲端應用程式)。
選項 2:在您的公司 Proxy 上設定租使用者限制 v2
租使用者限制 v2 原則無法在非 Windows 10、Windows 11 或 Windows Server 2022 裝置上直接強制執行,例如 Mac 計算機、行動裝置、不支援的 Windows 應用程式和 Chrome 瀏覽器。 若要確保公司網路中的所有裝置和應用程式都限制登入,請將公司 Proxy 設定為強制執行租使用者限制 v2。 雖然在公司 Proxy 上設定租使用者限制不提供數據平面保護,但它確實提供驗證平面保護。
重要
如果您先前已設定租使用者限制,則必須停止傳送 restrict-msa 至 login.live.com。 否則,新的設定將會與 MSA 登入服務的現有指示衝突。
設定租使用者限制 v2 標頭,如下所示:
標頭名稱 標題值 sec-Restrict-Tenant-Access-Policy<TenantId>:<policyGuid>TenantID是您的 Microsoft Entra 租使用者標識碼。 以系統管理員身分登入 Microsoft Entra 系統管理中心並流覽至 [身分>識別概觀],然後選取[概觀] 索引卷標,以尋找此值。policyGUID是跨租使用者存取原則的物件標識符。 呼叫/crosstenantaccesspolicy/default並使用傳回的 「id」 字段來尋找此值。
在您的公司 Proxy 上,將租使用者限制 v2 標頭傳送至下列 Microsoft 登入網域:
- login.live.com
- login.microsoft.com
- login.microsoftonline.com
- login.windows.net
此標頭會在您網路上的所有登入上強制執行租使用者限制 v2 原則。 此標頭不會封鎖對 Teams 會議、SharePoint 檔案或其他不需要驗證之資源的匿名存取。
租使用者限制 v2 不支援中斷並檢查
針對非 Windows 平臺,您可以中斷並檢查流量,以透過 Proxy 將租使用者限制 v2 參數新增至標頭。 不過,某些平臺不支援中斷和檢查,因此租使用者限制 v2 無法運作。 針對這些平臺,Microsoft Entra ID 的下列功能可以提供保護:
- 條件式存取:只允許使用受管理的/相容裝置
- 條件式存取:管理來賓/外部使用者的存取
- B2B 共同作業:針對參數 「Restrict-Access-To-Tenants」 中列出的相同租使用者,依跨租使用者存取限制輸出規則
- B2B 共同作業:將 B2B 用戶的邀請限制為「限制存取-對租用戶」參數中列出的相同網域
- 應用程式管理:限制使用者同意應用程式的方式
- Intune:透過 Intune 套用應用程式原則,以將受管理的應用程式使用限制為僅限已註冊裝置 之帳戶的 UPN(在 應用程式中只允許設定的組織帳戶下)
雖然這些替代方案提供保護,但某些案例只能透過租使用者限制來涵蓋,例如使用瀏覽器透過 Web 存取 Microsoft 365 服務,而不是專用應用程式。
選項 3:在 Windows 受控裝置上啟用租使用者限制 (預覽)
建立租使用者限制 v2 原則之後,您可以在每個 Windows 10、Windows 11 和 Windows Server 2022 裝置上強制執行原則,方法是將租使用者標識符和原則標識符新增至裝置的 租使用者限制 設定。 在 Windows 裝置上啟用租使用者限制時,不需要公司 Proxy 才能強制執行原則。 裝置不需要受 Microsoft Entra ID 管理,即可強制執行租使用者限制 v2;也支援使用組策略管理的已加入網域的裝置。
注意
Windows 上的租使用者限制 V2 是部分解決方案,可保護某些案例的驗證和數據平面。 它適用於受管理的 Windows 裝置,且不會保護 .NET 堆棧、Chrome 或 Firefox。 Windows 解決方案會提供暫時解決方案,直到 Microsoft Entra Global Secure Access 中通用租使用者限制正式推出為止(預覽版)。
適用於 Windows 10 2021 年 11 月更新 (21H2) 和組策略設定的 管理員 範本 (.admx)
您可以使用組策略將租使用者限制設定部署到 Windows 裝置。 請參閱下列資源:
在裝置上測試原則
若要在裝置上測試租使用者限制 v2 原則,請遵循下列步驟。
注意
- 裝置必須執行具有最新更新的 Windows 10 或 Windows 11。
在 Windows 電腦上,按 Windows 鍵,輸入 gpedit,然後選取 [編輯組策略] [控制面板]。
移至 [計算機設定> 管理員 原則範本>Windows 元件>租使用者限制]。
以滑鼠右鍵按下 右窗格中的 [雲端原則詳細數據 ],然後選取 [ 編輯]。
擷取您稍早記錄的 [租使用者標識符] 和[原則標識符] (在 [設定預設租使用者限制] 下的步驟 7 中輸入這些標識碼,並在下列字段中輸入這些標識符(將所有其他字段保留空白):
- Microsoft Entra Directory ID:輸入 您稍早記錄的租用戶標識碼 。 以系統管理員身分登入 Microsoft Entra 系統管理中心,並流覽至 [身分>識別概觀],然後選取 [概觀] 索引卷標。
- 原則 GUID:跨租使用者存取原則的標識碼。 這是您稍早記錄的原則 標識碼 。 您也可以使用 Graph Explorer 命令來尋找此識別碼 https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/default。
選取 [確定]。
封鎖 Chrome、Firefox 和 .NET 應用程式,例如 PowerShell
您可以使用 Windows 防火牆功能,封鎖未受保護的應用程式透過 Chrome、Firefox 和 .NET 應用程式存取 Microsoft 資源,例如 PowerShell。 根據租使用者限制 v2 原則封鎖/允許的應用程式。
例如,如果客戶將PowerShell新增至其租使用者限制 v2 CIP原則,並在其租使用者限制 v2 原則端點清單中具有 graph.microsoft.com,則PowerShell應該能夠存取已啟用防火牆的防火牆。
在 Windows 電腦上,按 Windows 鍵,輸入 gpedit,然後選取 [編輯組策略] [控制面板]。
移至 [計算機設定> 管理員 範本>Windows 元件>租使用者限制]。
以滑鼠右鍵按下 右窗格中的 [雲端原則詳細數據 ],然後選取 [ 編輯]。
選取 [ 啟用 Microsoft 端點 的防火牆保護] 複選框,然後選取 [ 確定]。
啟用防火牆設定之後,請嘗試使用 Chrome 瀏覽器登入。 登入應該會失敗,並顯示下列訊息:
檢視租使用者限制 v2 事件
在 事件檢視器 中檢視與租使用者限制相關的事件。
- 在 事件檢視器 中,開啟 [應用程式和服務記錄]。
- 流覽至 Microsoft>Windows>TenantRestrictions Operational 並>尋找事件。
租使用者限制和數據平面支援 (預覽)
Trv2 是由下列資源強制執行,其會解決令牌滲透案例,其中不良動作專案會直接使用滲透令牌或不小心存取資源。
- Teams
- SharePoint Online,例如 OneDrive 應用程式
- Exchange Online,例如 Outlook 應用程式
- Office.com / Office Apps
租使用者限制和 Microsoft Teams (預覽)
Teams 預設有開放式同盟,這表示我們不會封鎖任何加入外部租使用者主持的會議的人。 若要更充分掌控 Teams 會議的存取權,您可以使用 Teams 中的同盟控件 來允許或封鎖特定租使用者,以及租使用者限制 v2 來封鎖對 Teams 會議的匿名存取。 若要強制執行 Teams 的租使用者限制,您必須在 Microsoft Entra 跨租使用者存取設定中設定租使用者限制 v2。 您也需要在 Teams 管理員 入口網站中設定同盟控件,然後重新啟動 Teams。 在公司 Proxy 上實作的租使用者限制不會封鎖對不需要驗證的 Teams 會議、SharePoint 檔案和其他資源的匿名存取。
- Teams 目前可讓使用者使用其公司/首頁提供的身分識別加入 任何 外部託管的會議。 您可以使用輸出跨租使用者存取設定來控制具有公司/家庭提供身分識別的使用者,以加入外部託管的 Teams 會議。
- 租使用者限制可防止使用者使用外部發出的身分識別來加入Teams會議。
注意
Microsoft Teams 應用程式相依於 SharePoint Online 和 Exchange Online 應用程式。 我們建議在 Office 365 應用程式上設定 TRv2 原則,而不是個別設定 Microsoft Teams 服務或 SharePoint Online 或 Exchange Online。 如果您允許/封鎖屬於 Office 365 的其中一個應用程式(SPO 或 EXO 等),它也會影響 Microsoft Teams 之類的應用程式。 同樣地,如果允許/封鎖 Microsoft Teams 應用程式,則 Teams 應用程式中的 SPO 和 EXO 將會受到影響。
純匿名會議加入
租使用者限制 v2 會自動封鎖所有未經驗證且外部核發的身分識別存取權,以存取外部託管的 Teams 會議。 例如,假設 Contoso 使用 Teams 同盟控件來封鎖 Fabrikam 租使用者。 如果具有 Contoso 裝置的人員使用 Fabrikam 帳戶加入 Contoso Teams 會議,則允許他們以匿名使用者身分進入會議。 現在,如果 Contoso 也啟用租使用者限制 v2,Teams 會封鎖匿名存取,而且使用者無法加入會議。
使用外部發行的身分識別加入會議
您可以設定租使用者限制 v2 原則,以允許具有外部發行身分識別的特定使用者或群組加入特定外部託管的 Teams 會議。 透過此設定,使用者可以使用其外部發出的身分識別登入Teams,並加入指定的租使用者外部託管Teams會議。
| 驗證身分識別 | 已驗證的工作階段 | 結果 |
|---|---|---|
| 租使用者成員使用者 (已驗證的工作階段) 範例:使用者使用其家庭身分識別作為成員使用者(例如 , user@mytenant.com) |
已驗證 | 租使用者限制 v2 允許存取 Teams 會議。 TRv2 永遠不會套用至租用戶成員使用者。 套用跨租使用者存取輸入/輸出原則。 |
| 匿名 (沒有已驗證的工作階段 ) 範例:用戶嘗試使用未經驗證的會話,例如在 InPrivate 瀏覽器視窗中存取 Teams 會議。 |
未通過驗證 | 租使用者限制 v2 會封鎖Teams會議的存取。 |
| 外部發行的身分識別 (已驗證的工作階段) 範例:使用者使用其家庭身分識別以外的任何身分識別(例如) user@externaltenant.com |
以外部發出的身分識別進行驗證 | 允許或封鎖每個租使用者限制 v2 原則的Teams會議存取權。 如果原則允許,使用者可以加入會議。 否則會封鎖存取。 |
租使用者限制 v2 和 SharePoint Online
SharePoint Online 支持驗證平面和數據平面上的租使用者限制 v2。
已驗證的工作階段
在租用戶上啟用租使用者限制 v2 時,在驗證期間會封鎖未經授權的存取。 如果使用者在沒有已驗證的會話的情況下直接存取 SharePoint Online 資源,系統會提示他們登入。 如果租使用者限制 v2 原則允許存取,使用者可以存取資源;否則,會封鎖存取。
匿名存取 (預覽)
如果用戶嘗試使用其主租使用者/公司身分識別來存取匿名檔案,他們就能夠存取檔案。 但是,如果用戶嘗試使用任何外部發出的身分識別來存取匿名檔案,則會封鎖存取。
例如,假設使用者使用針對租使用者 A 設定租使用者限制 v2 的受控裝置。如果他們選取租使用者 A 資源所產生的匿名存取連結,他們應該能夠匿名存取資源。 但是,如果他們選取針對租使用者 B SharePoint Online 產生的匿名存取連結,系統會提示他們登入。 使用外部發行身分識別的資源匿名存取一律會遭到封鎖。
租使用者限制 v2 和 OneDrive
已驗證的工作階段
在租用戶上啟用租使用者限制 v2 時,在驗證期間會封鎖未經授權的存取。 如果使用者在沒有已驗證的會話的情況下直接存取 商務用 OneDrive,系統會提示他們登入。 如果租使用者限制 v2 原則允許存取,使用者可以存取資源;否則,會封鎖存取。
匿名存取 (預覽)
如同 SharePoint,商務用 OneDrive 支持驗證平面和數據平面上的租使用者限制 v2。 也支持封鎖對商務用 OneDrive 的匿名存取。 例如,租使用者限制 v2 原則強制執行適用於 商務用 OneDrive 端點 (microsoft-my.sharepoint.com)。
不在範圍內
適用於取用者帳戶的 OneDrive(透過 onedrive.live.com)不支援租使用者限制 v2。 某些 URL(例如 onedrive.live.com)未連線,並使用我們的舊版堆疊。 當使用者透過這些 URL 存取 OneDrive 取用者租使用者時,不會強制執行原則。 因應措施是,您可以在 Proxy 層級封鎖 https://onedrive.live.com/ 。
登入記錄
Microsoft Entra 登入記錄可讓您檢視使用租使用者限制 v2 原則登入的詳細數據。 當 B2B 使用者登入要共同作業的資源租使用者時,會在主租使用者和資源租用戶中產生登入記錄。 這些記錄包括使用的應用程式、電子郵件位址、租使用者名稱和租使用者識別碼,以及主租用戶和資源租用戶的資訊。 下列範例顯示成功的登入:
如果登入失敗,活動詳細數據會提供失敗原因的相關信息:
稽核記錄
稽 核記錄 會提供系統和用戶活動的記錄,包括來賓使用者所起始的活動。 您可以在 [監視] 底下檢視租使用者的稽核記錄,或流覽至使用者配置檔來檢視特定使用者的稽核記錄。
![顯示 [稽核記錄] 頁面的螢幕快照。](media/tenant-restrictions-v2/audit-logs.png)
選取記錄中的事件以取得事件的詳細資料,例如:
您也可以從 Microsoft Entra ID 匯出這些記錄,並使用您選擇的報告工具來取得自訂報表。
Microsoft Graph
使用 Microsoft Graph 取得原則資訊:
HTTP 要求
取得預設原則
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default重設為系統預設值
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault取得合作夥伴設定
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners取得特定的合作夥伴設定
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad更新特定合作夥伴
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
要求本文
"tenantRestrictions": {
"usersAndGroups": {
"accessType": "allowed",
"targets": [
{
"target": "AllUsers",
"targetType": "user"
}
]
},
"applications": {
"accessType": "allowed",
"targets": [
{
"target": "AllApplications",
"targetType": "application"
}
]
}
}
下一步
請參閱 使用非 Azure AD 身分識別、社交身分識別和非 IT 受控外部帳戶設定 B2B 共同作業設定外部共同 作業設定。