適用於: 
公司租戶 
外部租戶 (深入瞭解)
注意
本文所述的某些功能是預覽功能。 如需預覽的詳細資訊,請參閱 azure 預覽版Microsoft補充使用規定。
若要增強安全性,您可以限制使用者在使用外部帳戶從網路或裝置登入時,可以存取的內容。 租使用者限制設定隨附於跨租使用者存取設定中,可讓您建立原則來控制外部應用程式的存取。
例如,假設組織中的使用者在未知租使用者中建立了個別帳戶,或外部組織為使用者提供一個帳戶,讓他們登入其組織。 當使用者在您的網路或裝置上使用外部帳戶登入時,您可以使用租用戶限制來防止他們使用部分或所有外部應用程式。
下圖顯示範例組織使用租使用者限制 v2 防止使用者存取的步驟。
| 步驟 | 描述 |
|---|---|
| 1 | Contoso 在其跨租使用者存取設定中設定租使用者限制,以封鎖所有外部帳戶和外部應用程式。 Contoso 會藉由 通用租使用者限制 v2 或 公司代理伺服器,在租使用者限制 v2 標頭中加入執行限制的訊號。 Microsoft Entra ID 會在要求中包含標頭時,強制執行租使用者限制 v2 政策。 |
| 2 | Contoso 受控裝置的用戶會嘗試使用來自未知租用戶的帳戶登入外部應用程式。 租使用者限制 v2 HTTP 標頭會新增至驗證要求,其中包含 Contoso 的租用戶標識碼和租使用者限制的原則標識符。 |
| 3 | 驗證平面保護: Microsoft Entra ID 會強制執行 Contoso 的租使用者限制 v2 原則,並封鎖外部帳戶在驗證期間存取外部租使用者。 |
| 4 | 數據平面保護(預覽): Microsoft Entra ID 會封鎖任何匿名存取 Microsoft Forms、SharePoint 檔案或 Microsoft Teams 會議。 Microsoft Entra ID 也會封鎖使用者對資源具有滲透令牌的存取權。 |
租使用者限制 v2 提供這兩種保護類型的選項:
驗證層面保護 是指使用租用戶限制 v2 原則來封鎖使用外部身分識別的登入。 例如,您可以藉由防止攻擊者登入其惡意租用戶,來避免惡意內部人員透過外部電子郵件洩漏資料。 租使用者限制 v2 中的驗證層保護已普遍可用。
數據平面保護 是指防止略過驗證的攻擊。 例如,攻擊者可能會透過匿名加入 Teams 會議或匿名存取 SharePoint 檔案,嘗試允許存取惡意租用戶的應用程式。 或者攻擊者可能會從惡意租用戶中的裝置複製存取權杖,並將其匯入至您的組織裝置。 在租使用者限制 v2 中,資料平面保護措施會要求使用者在訪問資源時進行身份驗證。 如果驗證失敗,數據平面保護會封鎖存取。
租使用者限制 v1 透過在您的公司代理伺服器上設定的租用戶允許清單,提供驗證層保護。 租使用者限制 v2 可讓您選擇使用或不使用公司 Proxy 進行細微的驗證和數據平面保護。 如果您使用企業代理伺服器進行標頭插入,選項僅限於驗證層面的保護。
承租人限制 v2 的概觀
在組織的 跨租使用者存取設定中,您可以設定租使用者限制 v2 原則。 建立原則之後,有三種方式可在組織中套用原則:
- 通用租戶限制。 此選項提供不依賴公司代理的驗證層保護。 通用租戶限制 會使用全域安全存取來標記所有流量,不論作業系統、瀏覽器或裝置形式。 此選項允許支援用戶端和遠端網路連線。
- 驗證平面。 您可以在組織中部署企業代理伺服器,並將代理伺服器設定為對所有流向 Microsoft Entra ID 和 Microsoft 帳戶的流量設置租戶限制 v2 信號。
- Windows。 針對公司擁有的 Windows 裝置,您可以直接在裝置上強制執行租用戶限制,以保障身份驗證層和資料層的安全。 租戶限制會在存取資源時強制執行,以提供數據路徑覆蓋並保護免受令牌侵入。 強制執行政策不需要公司代理。 裝置可以由 Microsoft Entra ID 管理,也可以加入網域並透過組策略進行管理。
注意
本文說明如何使用 Microsoft Entra 系統管理中心來設定租使用者限制 v2。 您也可以使用 Microsoft Graph API 進行跨租使用者存取設定 ,來建立這些相同的租使用者限制原則。
支援的案例
您可以將租使用者限制 v2 的範圍設定為特定使用者、群組、組織或外部應用程式。 在 Windows 作業系統的網路堆疊上開發的應用程式受保護。 以下是支援的案例:
- 所有 Office 應用程式 (所有版本/發行通道)
- 通用 Windows 平臺 (UWP) .NET 應用程式
- 驗證層面保護所有使用 Microsoft Entra ID 進行驗證的應用程式,包括所有 Microsoft 應用程式和任何使用 Microsoft Entra ID 進行驗證的合作夥伴應用程式。
- SharePoint Online、Exchange Online 和 Microsoft Graph 的數據平面保護
- Forms、SharePoint Online、OneDrive 和 Teams 的匿名存取保護(已設定同盟控件)
- Microsoft租戶或消費者帳戶的驗證和資料平面保護
- 當您在 Global Secure Access 服務中使用通用租戶限制時,所有瀏覽器和平臺
- 當您使用 Windows 組策略時,Microsoft Edge 和 Microsoft Edge 中的所有網站
- 裝置型驗證的案例(包括與 Microsoft Graph 整合的自訂應用程式)
不支援的場景
- 匿名封鎖取用者 OneDrive 帳戶。 您可以封鎖
https://onedrive.live.com/來解決 Proxy 層級的這項限制。 - 當使用者使用匿名連結或非Microsoft Entra 帳戶存取合作夥伴應用程式時,例如 Slack。
- 當使用者將 Microsoft Entra ID 核發的權杖從住家機器複製到工作機器時,並用其來存取 Slack 之類的第三方應用程式時。
- Microsoft 帳戶的使用者租戶限制。
比較承租戶限制 v1 和 v2
下表比較每個版本的功能。
| 特徵 / 功能 | 租客限制 v1 | 租戶限制 v2 |
|---|---|---|
| 政策執行 | 企業代理會在 Microsoft Entra ID 控制平面上強制執行租戶限制政策。 | 選項: - 全域安全存取中的通用租戶限制在所有平臺上提供驗證模組支援。 - 在企業代理伺服器的標頭插入中,企業代理伺服器會在所有流量上設定租戶限制 v2 訊號。 - Windows 裝置管理同時提供驗證平面和數據平面保護。 裝置設定為將Microsoft流量指向租使用者限制原則。 原則會在雲端中強制執行。 |
| 政策執行限制 | 您可以將租使用者新增至 Microsoft Entra 流量允許清單來管理公司 Proxy。 標頭值的 Restrict-Access-To-Tenants: <allowed-tenant-list> 字元限制會限制您可以新增的租用戶數目。 |
此功能是由跨租使用者存取原則中的雲端原則所管理。 默認原則會在租用戶層級建立,而且會為每個外部租使用者建立合作夥伴原則。 |
| 惡意租戶請求 | Microsoft Entra ID 會封鎖惡意的租戶驗證請求,以提供驗證層面的保護。 | Microsoft Entra ID 會封鎖惡意的租戶驗證請求,以提供驗證層面的保護。 |
| 粒度 | 此功能僅限於租使用者和所有Microsoft帳戶。 | 此功能包括租戶、使用者、群組和應用程式粒度。 (Microsoft帳戶不支援用戶層級的數據粒度。 |
| 匿名存取 | 允許匿名存取 Teams 會議和檔案共用。 | Teams 會議的匿名存取會遭到封鎖。 匿名共享資源的存取權(具有連結的任何人)遭到封鎖。 已封鎖對 Forms 的匿名存取。 |
| Microsoft帳戶 | 此功能會使用 Restrict-MSA 標頭來封鎖取用者帳戶的存取。 |
此功能允許控制 Microsoft 帳戶在身分識別層面和數據層面的驗證。 例如,如果您默認強制執行租使用者限制,您可以建立原則,讓使用者使用其Microsoft帳戶存取下列特定應用程式: Microsoft Learn (應用程式識別符 18fbca16-2224-45f6-85b0-f7bf2b39b3f3) 或 Microsoft 企業技能計劃 (應用程式識別碼 195e7f27-02f9-4045-9a91-cd2fa1c2af2f)。 |
| Proxy 管理 | 您可以將租使用者新增至 Microsoft Entra 流量允許清單來管理公司 Proxy。 | 為了保護公司 Proxy 的驗證層面,請將 Proxy 設定為在所有流量上設置租戶限制 v2 訊號。 |
| 平台支援 | 所有平臺上都支援這項功能。 它只提供身份驗證層面的防護。 | 全球安全存取中的通用租戶限制支援任何作業系統、瀏覽器或裝置類型。 企業代理伺服器上的身份驗證平面保護支援 macOS、Chrome 瀏覽器和 .NET 應用程式。 Windows 裝置管理支援 Windows 作業系統和 Microsoft Edge。 |
| 入口網站支援 | Microsoft Entra 系統管理中心沒有使用者介面可設定原則。 | Microsoft Entra 系統管理中心提供使用者介面,以設定雲端原則。 |
| 不支援的應用程式 | 不適用。 | 在 Windows 中使用商務用應用程控(先前稱為 Windows Defender 應用程控 [WDAC]) 或 Windows 防火牆(例如 Chrome 或 Firefox),來封鎖不支援的應用程式搭配Microsoft端點使用。 請參閱本文稍後的封鎖 Chrome、Firefox 和 .NET 應用程式,例如 PowerShell。 |
將租用戶限制 v1 政策從代理伺服器遷移至 v2
將租使用者限制原則從 v1 移轉至 v2 是一次性作業。 移轉之後,不需要任何客戶端變更。 您可以透過 Microsoft Entra 系統管理中心進行任何後續伺服器端原則變更。
當您在 Proxy 上啟用租使用者限制 v2 時,只能在驗證平面上強制執行租使用者限制 v2。 若要在驗證和數據平面上啟用租使用者限制 v2,您應該使用 Windows 組策略物件 (GPO) 啟用租使用者限制 v2 的用戶端訊號。
步驟 1:設定允許的合作夥伴租用戶清單
租使用者限制 v1 可讓您建立租使用者標識碼和/或Microsoft登入端點的允許清單,以確保使用者存取組織授權的外部租使用者。 租使用者限制 v1 藉由在 Proxy 上新增 Restrict-Access-To-Tenants: <allowed-tenant-list> 標頭來達成允許清單。 例如: Restrict-Access-To-Tenants: "contoso.com, fabrikam.com, northwindtraders.com" 。
深入瞭解租戶限制規定 v1。
使用租戶限制 v2 時,設定會移至伺服器端的雲端政策。 不需要租戶限制 v1 標頭,因此請從您的公司代理伺服器中移除此標頭。 針對標頭中的每個 allowed-tenant-list 租戶,建立合作夥伴租戶策略。 請遵循下列指導方針:
- 保留承租戶限制 v2 預設政策,以封鎖來自外部身分識別的所有外部承租戶存取權(例如
user@<externaltenant>.com)。 - 為租戶限制 v1 允許清單中所列的每個租戶建立合作夥伴租戶原則,請遵循本文稍後的步驟 第 2 步:設定特定合作夥伴的租戶限制 v2 。
- 只允許特定使用者存取特定應用程式。 此設計會限制僅必要使用者具有存取權,藉此提高您的安全性態勢。
步驟 2:封鎖消費者帳戶或 Microsoft 帳戶租用者
若要不允許使用者登入消費者應用程式,需要在造訪 login.live.com 的流量中注入 sec-Restrict-Tenant-Access-Policy 標頭,例如 sec-Restrict-Tenant-Access-Policy: restrict-msa,以符合租使用者限制 v1。
使用租戶限制 v2 時,設定會移至伺服器端的雲端政策。 不需要租戶限制 v1 標題。 在您的公司 Proxy 上,移除租戶 v1 標頭 sec-Restrict-Tenant-Access-Policy: restrict-msa的限制。
依照本文稍後的步驟 2:為特定合作夥伴設定租用戶限制 v2,為 Microsoft 帳戶租使用者建立合作夥伴租使用者原則。 由於用戶層級指派不適用於Microsoft帳戶租使用者,因此原則會套用至Microsoft帳戶的所有使用者。 不過,應用層級的數據粒度可供使用。 您應該限制Microsoft帳戶或消費者帳戶可以存取的應用程式僅限於必要的應用程式。
注意
封鎖 Microsoft 帳戶租戶不會封鎖來自使用者以外來源的設備流量,包括:
- Autopilot、Windows Update 和組織資料收集的流量。
- 消費者帳戶的企業對企業(B2B)驗證,或稱為直通驗證,其中 Azure 應用程式和 Office.com 應用程式使用 Microsoft Entra 識別碼,在消費者環境中登入消費者。
步驟 3:在公司代理伺服器上啟用租戶限制 v2
您可以使用下列公司 Proxy 設定,將公司 Proxy 設定為啟用租使用者限制 v2 標頭的用戶端標記: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>。
在該設定中,將 <DirectoryID> 取代為您的 Microsoft Entra 租戶 ID。 將 <policyGUID> 替換為跨租戶存取原則的物件標識碼。
租戶限制與進入和外出設定
雖然租用戶限制會與您的跨租用戶存取設定一起設定,但會與輸入和輸出存取設定分開運作。 跨租用戶存取設定可讓您控制使用者何時使用組織的帳戶登入。 相較之下,租用戶限制可讓您控制使用者何時使用外部帳戶。 B2B 共同作業和 B2B 直接連線的輸入和輸出設定不會影響租使用者限制設定(且不受影響)。
以這種方式思考存取設定:
- 入站設定可控制外部帳戶對您內部應用程式的存取。
- 輸出設定可控制「內部」帳戶對「外部」應用程式的存取。
- 租用戶限制可控制外部帳戶對外部應用程式的存取。
租戶限制與B2B合作
當使用者需要外部組織和應用程式的存取權時,建議您啟用租使用者限制來封鎖外部帳戶,並改用 B2B 共同作業。 B2B 共同作業可讓您:
- 使用條件式存取,並強制 B2B 共同作業使用者採用多重要素驗證。
- 管理進出存取權。
- 當 B2B 合作用戶的雇用狀態改變或其憑證遭到洩露時,終止連線會話和憑證。
- 使用登入記錄來檢視 B2B 共同作業用戶的詳細數據。
必要條件
若要設定租用戶限制,您需要:
- Microsoft Entra ID P1 或 P2。
- 具有至少安全性系統管理員角色的帳戶,可設定租戶限制 v2 原則。
- 針對 Windows GPO 設定,執行 Windows 10 或 Windows 11 且具有最新更新的 Windows 裝置。
設定租使用者限制 v2 的伺服器端雲端政策
步驟 1:設定預設租使用者限制
租使用者限制 v2 的設定位於 Microsoft Entra 系統管理中心的 [跨租使用者存取設定]。 首先,設定您想要套用至所有使用者、群組、應用程式和組織的預設租使用者限制。 如果您需要合作夥伴特定的設定,您可以新增合作夥伴的組織,並自定義與預設值不同的任何設定。
若要設定預設租使用者限制:
以至少「安全性管理員」的身分登入「Microsoft Entra 系統管理中心」。
瀏覽至 Entra ID>外部身分>跨租戶存取設定。
選取 [預設設定] 索引標籤。
![顯示預設設定索引標籤上 [租使用者限制] 區段的螢幕快照。](media/tenant-restrictions-v2/tenant-restrictions-default-section.png)
捲動至 [租用戶限制] 區段。
選取 [編輯租用戶限制預設值] 連結。
如果租使用者中還沒有任何默認原則, [建立原則 ] 鏈接會出現在 [ 原則標識符] 旁。 選取此連結。
租戶限制 窗格會顯示您的 租戶 ID 值和租戶限制的 策略 ID 值。 使用複製圖示來複製這兩個值。 您稍後會在設定 Windows 用戶端以啟用租使用者限制時使用它們。
選取 [ 外部使用者和群組] 索引標籤 。在 [存取狀態] 下,選擇下列其中一個選項:
- 允許存取:允許所有使用外部帳戶登入的使用者存取外部應用程式(在 [ 外部應用程式 ] 索引標籤上指定)。
- 封鎖存取:封鎖所有使用外部帳戶登入的使用者存取外部應用程式(在 [ 外部應用程式 ] 索引卷標上指定)。
注意
預設設定無法套用至個別帳戶或群組,因此
套用對象 永遠是所有 您的租用戶 使用者和群組 。 請注意,如果您封鎖所有使用者和群組的存取,則也需要封鎖對所有外部應用程式 (在 [應用程式] 索引標籤上) 的存取。 選取 [ 外部應用程式] 索引 標籤。在 [存取狀態] 下,選擇下列其中一個選項:
- 允許存取:允許使用外部帳戶登入的所有使用者存取 [ 套用至 ] 區段中指定的應用程式。
- 封鎖存取:封鎖所有使用外部帳戶登入的使用者,無法存取 [ 套用至 ] 區段中指定的應用程式。
在 [套用至] 底下,選取下列其中一個選項:
所有外部應用程式:將您在 [存取狀態 ] 底下選擇的動作套用至所有外部應用程式。 如果您封鎖存取所有外部應用程式,您也必須封鎖所有使用者和群組的存取權(在 [外部使用者和群組 ] 索引標籤上)。
選取外部應用程式:可讓您在 [ 存取狀態 ] 底下選擇要套用動作的外部應用程式。
若要選取應用程式,請選擇 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。 然後依應用程式名稱或應用程式識別碼搜尋( 用戶端應用程式 識別碼或 資源應用程式識別碼),然後選取應用程式。 (請參閱常用Microsoft應用程式的標識符清單。如果您想要新增更多應用程式,請使用 [ 新增 ] 按鈕。 當您完成時,請選取 [ 提交]。
選取 [ 儲存]。
步驟 2:為特定合作夥伴設定租用戶限制 v2
假設您使用租使用者限制來封鎖預設的存取,但您想要允許使用者使用自己的外部帳戶來存取特定應用程式。 例如,您希望使用者能夠以自己的 Microsoft 帳戶存取 Microsoft Learn 教學平台。 本節中的指示會說明如何新增優先於預設設定的組織專屬設定。
以至少安全性系統管理員或條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 Entra ID>外部身分>跨租戶存取設定。
選取 [組織設定]。
注意
如果您想要新增的組織已新增至清單,您可以略過新增它,並直接移至修改設定。
選取 [新增組織]。
在 新增組織 窗格中,輸入組織的完整網域名稱(或租用戶 ID)。
例如,搜尋 Microsoft 帳戶的下列租戶 ID:
9188040d-6c67-4c5b-b112-36a304b66dad
在搜尋結果中選取組織,然後選取 [新增]。
修改設定。 在 [ 組織設定 ] 列表中尋找組織,然後水平捲動以查看 [租使用者限制 ] 數據行。 至此,此組織的所有租用戶限制設定都是繼承自您的預設設定。 若要變更此組織的設定,請選取 [ 繼承自預設 ] 連結。
組織的租戶限制窗格出現。 複製 租用戶標識碼 和 策略標識碼的值。 您稍後會在設定 Windows 用戶端以啟用租使用者限制時使用它們。
選取 [自訂設定],然後選取 [外部使用者和群組] 索引標籤。在 [存取狀態] 底下,選擇選項:
- 允許存取:允許在 [ 套用至 使用外部帳戶登入的使用者] 底下指定的使用者和群組存取外部應用程式(在 [ 外部應用程式 ] 索引卷標上指定。
- 封鎖存取:封鎖 [ 套用至 使用外部帳戶登入的使用者和群組] 來存取外部應用程式(在 [ 外部應用程式 ] 索引卷標上指定)。
針對本文中的Microsoft帳戶範例,我們選取 [ 允許存取]。
在 「套用至」 底下,選擇 「所有 <組織>的使用者和群組」。
注意
Microsoft帳戶不支援使用者粒度,因此無法使用 [選取 <組織> 使用者和群組 ] 功能。 針對其他組織,您可以選擇 [選取 <組織> 使用者和群組],然後執行下列步驟:
- 選取 [新增外部使用者和群組]。
- 在 [ 選取 ] 窗格中,於搜尋方塊中輸入使用者名稱或組名。
- 在搜尋結果中選取使用者或群組。
- 如果您想要新增更多內容,請選取 [新增] 並重複這些步驟。
- 當您完成選取您要新增的使用者和群組時,請選取 [ 提交]。
選取 [ 外部應用程式] 索引 標籤。在 [存取狀態] 下,選擇是否允許或封鎖外部應用程式的存取:
- 允許存取:讓使用者在使用外部帳戶時,存取 [ 適用於 ] 底下指定的外部應用程式。
- 封鎖存取:當使用者使用外部帳戶時,封鎖他們存取套用至下指定的外部應用程式。
針對本文中的Microsoft帳戶範例,我們選取 [ 允許存取]。
在 [套用至] 底下,選取下列其中一個選項:
- 所有外部應用程式:將您在 [存取狀態 ] 底下選擇的動作套用至所有外部應用程式。
- 選取外部應用程式:將您在 [存取狀態 ] 底下選擇的動作套用至所有外部應用程式。
針對本文中的Microsoft帳戶範例,我們選擇 [ 選取外部應用程式]。
注意
如果您封鎖存取所有外部應用程式,您也必須封鎖所有使用者和群組的存取權(在 [外部使用者和群組 ] 索引標籤上)。
如果您選擇 [選取外部應用程式],請執行下列步驟:
- 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。 針對本文中的 Microsoft Learn 範例,我們選擇 [ 新增其他應用程式]。
- 在搜尋方塊中,輸入應用程式名稱或應用程式識別碼( 用戶端應用程式標識碼 或 資源應用程式識別元)。 (請參閱常用Microsoft應用程式的標識符清單。針對本文中的 Microsoft Learn 範例,我們輸入應用程式識別碼
18fbca16-2224-45f6-85b0-f7bf2b39b3f3。 - 在搜尋結果中選取應用程式,然後選取 [新增]。
- 針對您要新增的每個應用程式重複上述步驟。
- 當您完成選取應用程式時,請選取 [ 提交]。
您選取的應用程式會列在 [ 外部應用程式] 索引 標籤上。選取 [ 儲存]。
![顯示選取應用程式和 [儲存] 按鈕的螢幕快照。](media/tenant-restrictions-v2/add-app-save.png)
注意
封鎖Microsoft帳戶租使用者不會封鎖:
- 不來自用戶的裝置流量。 範例包括 Autopilot、Windows Update 和組織數據收集的流量。
- B2B 驗證消費者帳戶。
- 許多 Azure 應用程式和 Office.com 所使用的通過式驗證,其中應用程式會使用 Microsoft Entra ID,在消費者情境中登入消費者用戶。
在客戶端設定租使用者限制 v2
針對客戶端強制執行租戶限制 v2 有三個選項:
- 使用通用租使用者限制 v2 作為 Microsoft Entra Global Secure Access 的一部分
- 在您的公司代理伺服器上設定租使用者限制版本 2
- 在 Windows 管理的裝置上啟用租使用者限制 (預覽)
選項 1:使用通用租使用者限制 v2 作為 Microsoft Entra Global Secure Access 的一部分
通用租戶限制 v2 作為 Microsoft Entra Global Secure Access 的一部分,為所有裝置和平臺提供驗證層保護。
選項 2:在您的公司 Proxy 上設定租用戶限制 v2
若要確保公司網路中的所有裝置和應用程式都限制登入,請將公司 Proxy 設定為強制執行租使用者限制 v2。 雖然在企業代理伺服器上設定租用戶限制無法提供資料層保護,但確實能提供驗證層的保護。
重要
如果您先前已設定租使用者限制,您必須停止傳送 restrict-msa 至 login.live.com。 否則,新的設定會與您的Microsoft帳戶登入服務的現有指示發生衝突。
設定租戶限制 v2 標頭,如下所示:
標頭名稱 標頭值 範例值 sec-Restrict-Tenant-Access-Policy<TenantId>:<policyGuid>aaaabbbb-0000-cccc-1111-dddd2222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5-
TenantID是您的 Microsoft Entra 租用戶識別碼。 登入 Microsoft Entra 系統管理中心 並流覽至 Entra ID>概觀>屬性,以尋找此值。 -
policyGUID是跨租用戶存取原則的物件識別碼。 呼叫/crosstenantaccesspolicy/default並使用傳id回的欄位來尋找此值。
-
在您公司的代理伺服器上,將租用戶限制 v2 標頭傳送至下列 Microsoft 登入網域:
- login.live.com
- login.microsoft.com
- login.microsoftonline.com
- login.windows.net
此標頭會在您網路上的所有登入上強制執行租用戶限制 v2 原則。 此標頭不會封鎖匿名存取 Teams 會議、SharePoint 檔案或其他不需要驗證的資源。
重要
Proxy 上的租戶限制 v1 和 v2 需要解密要求才能存取登入 URL,例如 login.microsoftonline.com。 Microsoft 支援對那些登入網域進行流量解密,目的是插入標頭以施加租戶限制。 此解密是《使用第三方網路裝置或解決方案搭配 Microsoft 365》政策的合法例外。
租戶限制 v2 不支援中斷監控
針對非 Windows 平台,您可以中斷並檢查流量,以透過 Proxy 將租用戶限制 v2 參數新增至標頭。 不過,某些平臺不支援中斷和檢查,因此租戶限制 v2 無法運作。 針對這些平台,Microsoft Entra ID 的下列功能可以提供保護:
- 條件式存取:只允許使用受管理或相容的裝置
- 條件式存取:管理來賓或外部使用者的存取
- B2B 共同作業:透過跨租戶存取限制規則,來限制參數 Restrict-Access-To-Tenants 中列出的同一租戶之間的輸出規則
- B2B 共同作業:限制對 B2B 使用者的邀請至 Restrict-Access-To-Tenants 參數中列出的相同網域
- 應用程式管理:限制使用者同意應用程式的方式
- Intune:透過 Intune 套用應用程式政策,將受控應用程式的使用限制為只允許註冊裝置帳戶的 UPN(在應用程式中只允許已設定的組織帳戶下)
雖然這些替代方案提供保護,但您只能透過租使用者限制來涵蓋特定案例。 範例包括使用瀏覽器透過 Web 存取 Microsoft 365 服務,而不是專用應用程式。
選項 3:在 Windows 管理的裝置上啟用租使用者限制 (預覽)
建立租使用者限制 v2 原則之後,您可以將租使用者標識碼和原則標識符新增至裝置的 租使用者限制 設定,在每個 Windows 10 或 Windows 11 裝置上強制執行原則。
當您在 Windows 裝置上啟用租使用者限制時,不需要公司 Proxy 才能強制執行原則。 裝置不需要由 Microsoft Entra ID 進行管理即可強制執行租用戶限制 v2。 也支援使用組策略管理的已加入網域的裝置。
注意
在 Windows 上,租戶限制 v2 是一種部分解決方案,幫助在某些情境中保護驗證和數據平面。 它適用於受管理的 Windows 裝置。 它不會保護 .NET 堆棧、Chrome 或 Firefox。
使用組策略部署租戶限制
您可以使用群組原則將租用戶限制設定部署到 Windows 裝置。 請參閱下列資源:
在裝置上測試原則
若要在裝置上測試租用戶限制 v2 原則,請遵循下列步驟。
注意
裝置必須執行具有最新更新的 Windows 10 或 Windows 11。
在 Windows 電腦上,選取 Windows 標誌鍵,輸入 gpedit,然後選取 [編輯組策略] [控制面板]。
移至至 [電腦設定]>[系統管理範本]>[Windows 元件]>[租用戶限制]。
以滑鼠右鍵按下右窗格中的 [雲端原則詳細數據 ],然後選取 [ 編輯]。
擷取您稍早記錄的 租使用者標識碼 和 原則 標識碼值(在步驟 1:設定預設租使用者限制下的步驟 7 中),並在下列欄位中輸入它們。 讓所有其他欄位保持空白。
Microsoft Entra 目錄 ID:登入 Microsoft Entra 系統管理中心並導覽至 Entra ID>>,以輸入您稍早記錄的租戶 ID值。
Policy GUID:跨租使用者存取原則的標識碼。 這是您稍早記錄的政策 ID 值。
選取 [確定]。
檢視 v2 租用戶限制事件
在事件查看器中檢視與租使用者限制相關的事件:
- 開啟 [事件檢視器] 中的 [應用程式及服務記錄檔]。
- 移至 Microsoft>Windows>TenantRestrictions>Operational 並尋找事件。
封鎖 Chrome、Firefox 和 .NET 應用程式,例如 PowerShell
若要封鎖應用程式,您必須在 Windows 中設定商務用 App Control (先前稱為 Windows Defender 應用程控 [WDAC]),並啟用 Windows 防火牆設定。
設定商務用 App Control 來控制對Microsoft資源的存取
商務用 App Control 是 Windows 內建的原則引擎,可讓您控制哪些應用程式可以在使用者的裝置上執行。 針對租戶限制 v2,您必須使用商務應用程式控制來封鎖 未啟用租戶限制的應用程式(未提供租戶限制 v2 保護的應用程式)存取 Microsoft 資源。 這項需求可讓您繼續使用您選擇的瀏覽器和應用程式,同時知道Microsoft Entra 保護的數據只能透過安全的方式存取。
未充分使用 Windows 網路堆疊的應用程式,因此它們無法享受 Windows 中新增的租戶限制 v2 功能所帶來的優勢。 它們無法傳送訊號到 Microsoft Entra 的 login.live.com,或無法連線到 Microsoft 資源,表示需要租使用者限制 v2 保護。 因此,您無法依賴未覺察的應用程式來提供數據平面保護。
您可以以兩種方式使用商務應用程式控制,以協助防範未經認可的應用程式:
- 徹底阻止使用未經完善的應用程式(也就是完全封鎖 PowerShell 或 Chrome 的運行)。 您可以使用標準商務用應用程控原則來控制哪些應用程式可以執行。
- 允許使用未驗證的應用程式,但封鎖它們存取 Microsoft 資源。 針對此方法,您會使用稱為 應用程式標識碼標記原則 (
AppIdTaggingPolicy) 的特殊商務應用程控原則。
針對這兩個選項,您必須先建立商務用應用程控原則。 然後,選擇性地將它變更為應用程式 ID 標記策略。 最後,在測試機器上測試之後,將其套用至您的裝置。
如需詳細資訊,請參閱 建立App Control AppId 標記原則。
注意
下列步驟需要一個符合 up-to版本標準的 Windows 裝置,才能存取建立原則所需的最新 PowerShell cmdlet。
步驟 1:使用應用程控原則精靈建立原則
安裝 應用程控原則精靈。
選取 [建立原則 ],然後選擇您的原則格式。 默認值為 [多重原則]、[基底原則]。
選擇您的基底範本(建議: 預設 Windows 或 [允許Microsoft]。 如需詳細步驟,請參閱 範本基底原則。
當您將原則轉換成應用程式標識碼標記原則時,精靈會假設已設定原則規則。 您可以在這裡設定它們,但並非必要。 這些原則規則包括 進階開機選項功能表、 停用腳本強制執行、 強制執行存放區應用程式、 稽核模式和 使用者模式程式代碼完整性。
選擇原則 XML 的儲存位置,並建立您的原則。
步驟 2:將原則轉換成應用程式標識碼標記原則
在你使用精靈建立原則或透過 PowerShell 自行建立原則之後,請將 .xml 的輸出轉換為應用程式 ID 標記策略。 標記原則會標示您想要允許存取Microsoft資源的應用程式。 GUID 輸出是新的原則識別碼。
Set-CIPolicyIdInfo -ResetPolicyID .\policy.xml -AppIdTaggingPolicy -AppIdTaggingKey "M365ResourceAccessEnforced" -AppIdTaggingValue "True"
步驟 3:編譯及部署用於測試的原則
編輯政策後將其轉換為應用程式 ID 標記政策,然後使用與檔名相符的政策 ID 進行編譯:
ConvertFrom-CIPolicy .\policy.xml ".\{PolicyID}.cip"
然後將原則部署至您的 CiPolicies\Active 目錄:
copy ".\{Policy ID}.cip" c:\windows\system32\codeintegrity\CiPolicies\Active\
呼叫 RefreshPolicy.exe,以重新整理系統上的原則。
啟用 Windows 防火牆設定
您可以使用 Windows 防火牆功能,防止未受保護的應用程式透過 Chrome、Firefox 和 .NET 應用程式 (例如 PowerShell) 存取 Microsoft 資源。 系統會根據租使用者限制 v2 原則封鎖或允許這些應用程式。
例如,如果您將 PowerShell 新增至租使用者限制 v2 的客戶識別計畫(CIP) 原則,且在租使用者限制 v2 原則的端點清單中包含 graph.microsoft.com,則 PowerShell 應能在啟用防火牆的情況下存取該網站。
在 Windows 電腦上,選取 Windows 標誌鍵,輸入 gpedit,然後選取 [編輯組策略] [控制面板]。
移至至 [電腦設定]>[系統管理範本]>[Windows 元件]>[租用戶限制]。
以滑鼠右鍵按下右窗格中的 [雲端原則詳細數據 ],然後選取 [ 編輯]。
選取 [啟用 Microsoft 端點的防火牆保護] 核取方塊,然後選取 [確定]。
在您的裝置上執行
gpudate以更新組策略。gupdate /force重新開機裝置。
測試租戶限制 v2 封鎖存取
啟用防火牆和商務用應用程控設定之後,請嘗試使用 Chrome 瀏覽器登入並存取 office.com。 登入應該會失敗,並出現下列訊息。
租戶限制和資料平面支援 (預覽)
下列資源會強制執行租使用者限制 v2。 在這些情境下,不法分子可能會使用滲透令牌或匿名方式直接存取資源。
- 團隊
- SharePoint Online,例如 OneDrive 應用程式
- Exchange Online,如同 Outlook 應用程式一般
- Office.com 和 Office 應用程式
租用戶限制與 Microsoft 表單(預覽)
強制執行租使用者限制 v2 時,會自動封鎖所有匿名或未經驗證身分識別存取 Microsoft Forms 託管於外部的表單。
租戶限制和 Microsoft Teams (預覽版)
根據預設,Teams 具有開啟的同盟。 它不會封鎖任何人加入外部租使用者所主持的會議。 若要更充分掌控 Teams 會議的存取權,您可以使用 Teams 中的 同盟控件 來允許或封鎖特定租使用者。 您也可以使用這些同盟控件以及租使用者限制 v2 來封鎖對 Teams 會議的匿名存取。
若要強制執行 Teams 的租用戶限制,您必須在 Microsoft Entra 跨租用戶存取設定中設定租用戶限制 v2。 您也需要在 Teams 系統管理入口網站中設定同盟控件,然後重新啟動 Teams。 在企業代理上實施的租戶限制 v2 不會封鎖對 Teams 會議、SharePoint 檔案及其他不需要驗證之資源的匿名存取。
如果您考慮使用 Teams 的租使用者限制,請記住下列關於身分識別的要點:
- Teams 目前可讓使用者使用公司或家庭提供的身分識別,加入 任何 外部主持的會議。 您可以使用對外跨租戶存取設定來控制哪些具有公司提供或家庭提供身分識別的使用者可以加入外部託管的 Teams 會議。
- 租用戶限制可防止使用者使用外部發出的身分識別來加入 Teams 會議。
注意
Microsoft Teams 應用程式相依於 SharePoint Online 和 Exchange Online 應用程式。 建議您在 Office 365 應用程式上設定租使用者限制 v2 原則,而不是分別在 Microsoft Teams 服務、SharePoint Online 或 Exchange Online 上設定原則。 如果您允許或封鎖屬於 Office 365 一部分的其中一個應用程式(SharePoint Online、Exchange Online 等等),它也會影響像是 Microsoft Teams 等應用程式。 同樣地,如果允許或封鎖Microsoft Teams 應用程式,Teams 應用程式內的 SharePoint Online 和 Exchange Online 將會受到影響。
加入純匿名會議
租戶限制 v2 會自動封鎖所有未經驗證且外部核發的存取權,以限制存取外部託管的 Teams 會議。
例如,假設 Contoso 使用 Teams 同盟控件來封鎖 Fabrikam 租使用者。 如果具有 Contoso 裝置的人員使用 Fabrikam 帳戶加入 Contoso Teams 會議,將會允許他們以匿名使用者身分進入會議。 如果 Contoso 也啟用租使用者限制 v2,Teams 會封鎖匿名存取,且使用者無法加入會議。
透過外部發行的身分識別加入會議
您可以設定租用戶限制 v2 原則,以允許具有外部核發身分識別的特定使用者或群組加入外部主持的特定 Teams 會議。 透過此設定,使用者可以使用外部發行的身分識別登入 Teams,並加入指定租用戶的外部舉辦的 Teams 會議。
| 驗證身分識別 | 已認證的會話 | 結果 |
|---|---|---|
| 租戶成員用戶 範例:使用者使用其家庭身分識別作為成員使用者(例如 user@<mytenant>.com)。 |
已驗證 | 租戶限制 v2 允許進入 Teams 會議。 租戶限制 v2 不會套用至租戶成員使用者。 針對跨租戶存取的輸入/輸出政策適用。 |
| Anonymous 範例:用戶嘗試在 InPrivate 瀏覽器視窗中使用未經身份驗證的工作階段來存取 Teams 會議。 |
未驗證 | 租戶限制版本 2 會拒絕對 Teams 會議的存取。 |
| 外部發行的身分識別 範例:使用者使用其家庭身分識別以外的任何身分識別(例如 user@<externaltenant>.com)。 |
以外部核發的身分識別進行驗證 | 租戶限制 v2 政策允許或封鎖對 Teams 會議的存取權。 如果原則允許會議,使用者可以加入會議。 否則,會封鎖存取。 |
租戶限制 v2 和 SharePoint Online (預覽)
SharePoint Online 支援在驗證平面和資料平面上使用租戶限制第 2 版。
驗證的會話
在租用戶上啟用租使用者限制 v2 時,在驗證期間會封鎖未經授權的存取。 如果使用者在沒有已驗證會話的情況下直接存取 SharePoint Online 資源,系統會提示他們登入。 如果承租人限制 v2 政策允許存取,使用者可以存取資源。 否則,會封鎖存取。
匿名存取 (預覽版)
如果用戶嘗試使用其主租使用者或公司身分識別來存取匿名檔案,用戶可以存取檔案。 但是,如果用戶嘗試使用任何外部發出的身分識別來存取匿名檔案,則會封鎖存取。
例如,假設使用者使用針對租使用者 A 設定租使用者限制 v2 的受控裝置。如果用戶選取租使用者 A 資源產生的匿名存取連結,他們應該能夠匿名存取資源。 但是,如果使用者在租使用者 B 中選取 SharePoint Online 產生的匿名存取連結,系統會提示他們登入。 透過外部發行的身分識別進行匿名存取資源的行為一律封鎖。
租戶限制 v2 和 OneDrive (預覽)
驗證的會話
在租用戶上啟用租使用者限制 v2 時,在驗證期間會封鎖未經授權的存取。 如果使用者在沒有經過驗證的會話的情況下直接存取 OneDrive 資源,系統會提示他們登入。 如果承租人限制 v2 政策允許存取,使用者可以存取資源。 否則,會封鎖存取。
匿名存取 (預覽版)
如同 SharePoint,OneDrive 支援在驗證層面和資料層面上使用租用戶限制 v2。 也支援封鎖 OneDrive 的匿名存取。 例如,強制執行租使用者限制 v2 原則適用於 OneDrive 端點 (microsoft-my.sharepoint.com)。
不在範圍中
適用於個人帳戶的 OneDrive(透過 onedrive.live.com)不支援租用戶限制 v2。 某些 URL(例如 onedrive.live.com)尚未整合,仍然使用傳統框架。 當使用者透過這些 URL 存取 OneDrive 個人版租用戶時,不會強制執行政策。 因應措施是,您可以在 Proxy 層級上封鎖 https://onedrive.live.com/。
租戶限制 v2 和服務主體
租戶限制 v2 會封鎖來自服務主體的存取。 您可以使用以下方法啟用客戶端信令:
防火牆或公司代理伺服器。 使用服務主體登入:
$client_id = "00001111-aaaa-2222-bbbb-3333cccc4444" $clientSecret = Get-Credential -Username $client_id Connect-MgGraph -TenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee" -ClientSecretCredential $clientSecret登入失敗,並出現下列狀況:
Connect-MgGraph : ClientSecretCredential authentication failed: AADSTS5000211: A tenant restrictions policy added to this request by a device or network administrator does not allow access to 'tenant'.Windows GPO。 您必須檢查 啟用Microsoft端點的防火牆保護 和商務用應用程式控制啟用。 請參閱本文前面有關 封鎖 Chrome、Firefox 和 .NET 應用程式(例如 PowerShell) 的部分。
適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式的租使用者限制
適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式針對 macOS、iOS 和 iPadOS 上Microsoft Entra 帳戶提供單一登錄(SSO),橫跨支援 Apple Enterprise SSO 功能的所有應用程式。 若要針對 Apple 裝置使用 Microsoft Enterprise SSO 外掛程式,您需要從網路 Proxy、攔截和其他企業系統排除特定 URL。
如果您的組織使用 2022 年後發行的 Apple OS 版本,則不需要從 TLS 檢查中排除Microsoft登入 URL。 如果您使用租用戶限制功能,可以在 Microsoft 登入 URL 上執行 TLS 檢查,並在請求中新增必要的標頭。 如需詳細資訊,請參閱 Microsoft Apple 裝置的企業 SSO 外掛程式。
您可以 驗證macOS裝置上的網路 設定,以確保 SSO 設定不會因為 TLS 檢查而中斷。
登入記錄
Microsoft Entra 登入記錄可讓您檢視使用租用戶限制 v2 原則時的登入詳細資料。 當 B2B 使用者登入資源租使用者以共同作業時,會在主租使用者和資源租用戶中產生登入記錄。 這些記錄包括主租用戶和資源租用戶的資訊,例如所使用應用程式、電子郵件地址、租用戶名稱和租用戶識別碼。 下列範例顯示成功的登入。
如果登入失敗,活動詳細數據會提供失敗原因的相關信息。
稽核記錄
稽核記錄提供系統和用戶活動的記錄,包括來賓使用者起始的活動。 您可以在 [監視] 下檢視租使用者的稽核記錄,也可以移至使用者的配置檔來檢視特定使用者的稽核記錄。
若要取得事件的詳細數據,請選取記錄檔中的事件。
您也可以從 Microsoft Entra ID 匯出這些記錄,並使用您慣用的報告工具取得自訂報告。
Microsoft Graph
使用 Microsoft Graph 來取得原則資訊。
HTTP 要求
取得預設原則:
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default重設為系統預設值:
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault取得合作夥伴設定:
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners取得特定的合作夥伴設定:
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad更新特定合作夥伴:
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
請求主體
"tenantRestrictions": {
"usersAndGroups": {
"accessType": "allowed",
"targets": [
{
"target": "AllUsers",
"targetType": "user"
}
]
},
"applications": {
"accessType": "allowed",
"targets": [
{
"target": "AllApplications",
"targetType": "application"
}
]
}
}
已知的限制
所有雲端都支援租使用者限制 v2。 不過,跨雲端請求不會強制執行租戶限制 v2。
租用者限制 v2 與 macOS 平台 SSO 功能不兼容,通過企業代理進行客戶端訊號傳輸時會發生問題。 使用租使用者限制 v2 和 Platform SSO 的客戶應使用通用租使用者限制 v2 搭配 Global Secure Access 用戶端訊號。 這是 Apple 的限制,當中間網路解決方案插入標頭時,Platform SSO 無法與租使用者限制相容。 這類解決方案的範例是一個代理伺服器,其使用 Apple 系統根證書以外的憑證信任鏈結。