共用方式為


隔離未經批准的租使用者

這很重要

只有在檢閱 Microsoft Cloud Footprint 常見問題,以探索貴組織的租戶清單之後,才參閱這篇文章。 本文概述系統管理員可以運用在主要租用戶內的特定現有 Microsoft Entra 功能,以隔離可疑未經批准的租用戶在其探索到的租用戶清單中。

隔離租用戶意味著什麼?

隔離涉及使用現有的 Microsoft Entra 功能來隔離可疑的未批准租使用者。 這可立即降低因您無法管理控制的這類租用戶存在於您的環境中而造成的安全風險。 藉由隔離,您會在租使用者與其之間引入摩擦,以作為尖叫測試。 這種摩擦促使涉嫌租戶的管理者聯絡您以尋求協助,讓您有機會確認與這些租戶的關係是否合法,並且/或重新掌控對他們的控制權。 如果沒有人可以連絡您,您可以無限期地將租使用者留在隔離狀態。

何時應該隔離租使用者?

您是公司「Contoso」的 IT 系統管理員,其主要租戶為「Contoso.com」。若要保護中央 Contoso 租戶中的數據,您必須確保具有特殊許可權存取權的使用者和應用程式位於能妥善保護這些資源的租戶中。 同樣地,您想要確保對您的租戶有權限的外部租戶受到關注並遵循安全實務。 若要保護 Contoso,您需要尋找與您的主要租戶具有進入或離開關係的所有租戶。 遵循 Microsoft Cloud Footprint 常見問題 (FAQ)之後,您已識別出一些潛在租戶,這些租戶可能屬於或不屬於貴公司。 我們將這些租戶稱為 ContosoTest.com 和 ContosoDemo.com 作為情境設定用途。 因為您不知道這些租使用者的全域系統管理員是誰,所以您擔心這些租使用者可能是員工管理,且不符合組織的安全策略。 如果環境保持非受控狀態,這會對您的環境造成重大安全性風險。 由於您無法直接控制 ContosoTest.com 和 ContosoDemo.com,因此您只能修改 Contoso.com 租用戶的設定。 您想將它們隔離,以將因暴露在這些租戶中的潛在漏洞而造成的風險降到最低。 不過,您所做的任何變更都必須容易回復,以確保在過程中不會意外影響任何關鍵系統。 在隔離之後,您在租用者與疑似租用者之間引起足夠的摩擦,以促使租用者的系統管理員聯繫您的技術支援中心。

此圖顯示在環境中發現的未授權租戶。

ContosoTest.com 租戶的系統管理員聯絡您。 此時,您判斷這個租戶是由員工建立的,並認為您應該被新增為租戶內的系統管理員,以重新取得控制權。 您不再隔離 ContosoTest.com 租戶。 不過,ContosoDemo.com 租用戶的系統管理員不會連絡您,因此您會讓租使用者保持隔離狀態。

顯示未經批准租戶隔離概況的圖表

如何使用 Microsoft Entra 的功能來隔離可疑的租使用者?

使用跨租戶存取設定中的外部識別碼來封鎖使用者登入

需要授權:Entra ID P1

針對可疑租用戶的動作

Microsoft Entra 組織可以使用具有外部標識符的跨租使用者存取權,來限定其他外部 Entra 組織的哪些使用者可以存取您的資源,以及貴組織的哪些使用者可以存取其他外部 Entra 組織。 這些原則可讓您限制與可疑租使用者的輸入或輸出登入嘗試,而不會中斷與其他租使用者的共同作業。 系統管理員可以新增組織並設定自定義設定,以封鎖可疑租用戶的輸入和輸出使用者登入

預設安全:

系統管理員可以 設定預設設定 ,以封鎖來自可疑租使用者外部使用者的所有輸入登入嘗試。 同樣地,您可以封鎖您租戶使用者的所有外部登入進入可疑租戶。 然後,您可以新增組織並設定自訂設定,以允許使用者只登入指定租用戶的輸入和輸出 這些設定可讓您默認保護您的租使用者,且只允許與信任租用戶進行 B2B 共同作業。

如需管理跨租使用者存取設定的詳細資訊,請參閱:

使用全域安全存取和通用租使用者限制來封鎖使用者登入

需要授權:Entra ID P1

針對可疑租用戶的動作
租戶限制 v2 (TRv2)和全域安全存取(GSA)可有效防止在所有受控裝置和網路上的未經授權或可疑租戶進行驗證。 身為系統管理員,您可以建立原則,使用自定義 TRv2 設定來封鎖使用者登入及存取特定可疑租戶。 接著,您可以使用 通用租使用者限制 v2 作為 GSA 的一部分來套用這些已建立的原則,以提供驗證平面和數據平面保護,而不會中斷其他現有租用戶的驗證。

預設安全:

身為系統管理員,您可以 設定預設限制 ,然後 允許使用者登入並存取特定組織,Microsoft Entra ID 會在使用 通用租使用者限制 v2 作為 GSA 的一部分套用原則后,防止所有其他租用戶的驗證。 啟用 TRv2 於稽核模式並使用 GSA 套用 TRv2 原則,會顯示所有活動,包括嘗試存取外部承租戶的行為。

如需使用 TRv2 和 GSA 的詳細資訊,請參閱:

撤銷多租戶應用程式和服務主體的許可權

需要授權:Entra ID P1

針對可疑租用戶的動作

Microsoft Entra 可讓客戶限制第三方多租戶應用程式的傳入應用程式存取,其中註冊應用程式的租戶會被視為可疑的租戶。 若要限制存取,系統管理員必須找到正確的服務主體,其對應至可疑租用戶中註冊的應用程式。 服務主體物件上的 appOwnerOrganizationId 屬性會列出註冊應用程式的 tenantId。 擷取這些服務主體只能透過 MSGraph API 以程式設計方式完成:

MSGraph:要求標頭:{ ConsistencyLevel:eventual }


GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$filter=appOwnerOrganizationId eq {tenantId}

尋找正確的服務主體之後,您可以 檢閱並撤銷授與應用程式的許可權 ,或刪除 服務主體 。 刪除服務主體是一個在 30 天內可復原的動作

如需多租戶應用程式和服務主體的詳細資訊,請參閱 Microsoft Entra ID 中的應用程式和服務主體。

取消在可疑租戶中建立的訂閱服務

需要授權:無,所有付費客戶都可以使用Microsoft計費帳戶

針對可疑租用戶的動作

當您根據計費帳戶關係探索租戶,但無法辨識訂閱服務是在哪個租戶中提供時,請使用下列資源。 取消的 Azure 和Microsoft 365 個訂用帳戶可以在寬限期期間重新啟用(取消後的 30 到 90 天),再永久刪除。 如有需要,請連絡 支持人員 以取得取消和刪除訂用帳戶的協助。