共用方式為

通用租用戶限制

  • 發行項

通用租用戶限制可使用全球安全存取來標記所有流量 (無論作業系統、瀏覽器或裝置板型規格為何),以增強租用戶限制 v2 的功能。 其允許支援用戶端和遠端網路連線能力。 系統管理員不再需要管理 Proxy 伺服器設定或複雜的網路設定。

通用租用戶限制會針對驗證平面 (已正式推出) 和資料平面 (預覽) 使用以全球安全存取為基礎的原則訊號來進行此強制執行。 租用戶限制 v2 可讓企業防止使用者針對 Microsoft Entra 整合式應用程式 (例如 Microsoft Graph、SharePoint Online 和 Exchange Online) 使用外部租用戶身分識別進行資料外流。 這些技術會共同運作,以統一防止所有裝置和網路上的資料外流。

此圖顯示租用戶限制 v2 如何防範惡意使用者。

下表說明上圖中每個時間點所採取的步驟。

步驟 描述:
1 Contoso 會在其跨租用戶存取設定中設定「租用戶限制 v2」原則,以封鎖所有外部帳戶和外部應用程式。 Contoso 會使用全球安全存取通用租用戶限制來強制執行原則。
2 一個具有 Contoso 受控裝置的使用者嘗試使用未經批准的外部身分識別來存取 Microsoft Entra 整合的應用程式。
3 驗證平面保護:使用 Microsoft Entra ID,Contoso 的原則會封鎖未批准的外部帳戶存取外部租用戶。
4 資料平面保護:如果該使用者透過複製其在 Contoso 網路外部取得的驗證回應權杖並將其貼至裝置,以再次嘗試存取外部未經批准的應用程式,系統便會將他封鎖。 權杖若不符,會觸發重新驗證並封鎖存取。 針對 SharePoint Online,任何匿名存取資源的嘗試都會遭到封鎖。

通用租用戶限制可透過下列方式協助防止跨瀏覽器、裝置和網路的資料外流:

  • 其可讓 Microsoft Entra ID、Microsoft 帳戶和 Microsoft 應用程式查閱並強制執行相關聯的租用戶限制 v2 原則。 此查閱可啟用一致的原則應用。
  • 能在登入期間於驗證平面上搭配所有 Microsoft Entra 整合的第三方應用程式運作。
  • 與 Exchange、SharePoint 和 Microsoft Graph 搭配運作來獲得資料平面保護 (預覽)

必要條件

已知的限制

  • 資料平面保護功能處於預覽狀態 (驗證平面保護已正式推出)
  • 如果您已啟用通用租用戶限制,而且您正在存取其中一個允許列出租用戶的 Microsoft Entra 系統管理中心,您可能會看到「拒絕存取」錯誤。 將下列功能旗標新增至 Microsoft Entra 系統管理中心:
    • ?feature.msaljs=true&exp.msaljsexp=true
    • 例如,您任職於 Contoso,並已將 Fabrikam 列入合作夥伴租用戶的允許清單。 您可能會看到 Fabrikam 租用戶的 Microsoft Entra 系統管理中心的錯誤訊息。
      • 如果您收到下列 URL 的「拒絕存取」錯誤訊息:https://entra.microsoft.com/ 請新增如下的功能旗標:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

設定租用戶限制 v2 原則

組織必須先設定預設租用戶限制和適用於特定合作夥伴的租用戶限制,才能使用通用租用戶限制。

如需設定這些原則的詳細資訊,請參閱設定租用戶限制 v2 一文。

啟用租用戶限制 v2 的標記

建立租用戶限制 v2 原則之後,您就可以利用全球安全存取來套用租用戶限制 v2 的標記。 具有全球安全存取系統管理員 (部分機器翻譯) 和安全性系統管理員 (部分機器翻譯) 角色的系統管理員必須採取下列步驟,才能使用全球安全存取來強制執行。

  1. 全球安全存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [全球安全存取]>[設定]>[工作階段管理]>[通用租用戶限制]
  3. 選取 [啟用 Entra ID 的租用戶限制 (涵蓋所有雲端應用程式)] 的切換開關。

試用通用租用戶限制

當使用者 (或來賓使用者) 嘗試存取已設定原則之租用戶中的資源時,系統不會強制執行租用戶限制。 只有當來自不同租用戶的身分識別嘗試登入和/或存取資源時,系統才會處理租用戶限制 v2 原則。 例如,如果您在租用戶 contoso.com 中設定租用戶限制 v2 原則來封鎖除 fabrikam.com 以外的所有組織,該原則將會根據下表來套用:

User 類型 租用戶 處理 TRv2 原則? 允許驗證存取? 允許匿名存取?
alice@contoso.com member contoso.com 否 (相同租用戶) No
alice@fabrikam.com member fabrikam.com Yes 是 (原則允許該租用戶) No
bob@northwinds.com member northwinds.com Yes 否 (原則不允許該租用戶) No
alice@contoso.com member contoso.com 否 (相同租用戶) No
bob_northwinds.com#EXT#@contoso.com 客體 contoso.com 否 (來賓使用者) No

進行驗證平面保護的驗證

  1. 確定全球安全存取設定中已關閉通用租用戶限制訊號。
  2. 使用瀏覽器瀏覽至 https://myapps.microsoft.com/,並使用與您的租用戶不同、不在租用戶限制 v2 原則允許清單中之租用戶的身分識別進行登入。 請注意,您可能需要使用私人瀏覽器視窗和/或登出主要帳戶才能執行此步驟。
    1. 例如,如果您的租用戶是 Contoso,請以 Fabrikam 租用戶中的 Fabrikam 使用者身分來登入。
    2. Fabrikam 使用者應該能夠存取 MyApps 入口網站,因為全球安全存取中已停用租用戶限制訊號。
  3. 在 Microsoft Entra 系統管理中心 - 全域安全存取 -> 工作階段管理 ->> 通用租使用者限制中開啟通用租使用者限制。
  4. 從 MyApps 入口網站登出,然後重新啟動瀏覽器。
  5. 以終端使用者身分,在全球安全存取用戶端執行時,使用相同的身分識別 (Fabrikam 租用戶中的 Fabrikam 使用者) 存取 https://myapps.microsoft.com/
    1. Fabrikam 使用者應該會遭到封鎖而無法向 MyApps 進行驗證,並且會出現以下錯誤訊息:已封鎖存取,Contoso IT 部門已限制可以存取的組織。請連絡 Contoso IT 部門以取得存取權。

驗證資料平面保護

  1. 確定全球安全存取設定中已關閉通用租用戶限制訊號。
  2. 使用瀏覽器瀏覽至 https://yourcompany.sharepoint.com/,並使用與您的租用戶不同、不在租用戶限制 v2 原則允許清單中之租用戶的身分識別進行登入。 請注意,您可能需要使用私人瀏覽器視窗和/或登出主要帳戶才能執行此步驟。
    1. 例如,如果您的租用戶是 Contoso,請以 Fabrikam 租用戶中的 Fabrikam 使用者身分來登入。
    2. Fabrikam 使用者應該能夠存取 SharePoint,因為全球安全存取中已停用租用戶限制 v2 訊號。
  3. (選用) 在開啟 SharePoint Online 的相同瀏覽器中,開啟 [開發人員工具],或在鍵盤上按 F12。 開始擷取網路記錄。 當一切項目的運作符合預期時,您應該會在瀏覽 SharePoint 時看到 HTTP 要求傳回狀態 200
  4. 在繼續之前,請確定已選取 [保留記錄] 選項。
  5. 保持包含記錄的瀏覽器視窗開啟。
  6. 在 Microsoft Entra 系統管理中心 - 全域安全存取 - 工作階段管理 ->>> 通用租使用者限制中開啟通用租使用者限制。
  7. 以 Fabrikam 使用者的身分,在開啟 SharePoint Online 的瀏覽器中,幾分鐘內會出現新的記錄。 此外,瀏覽器可能會根據後端發生的要求和回應來重新整理瀏覽器。 如果瀏覽器未在幾分鐘後自動重新整理,請重新整理該頁面。
    1. Fabrikam 使用者看到其存取現在會遭到封鎖,並且會出現訊息:已封鎖存取,Contoso IT 部門已限制可以存取的組織。請連絡 Contoso IT 部門以取得存取權。
  8. 在記錄中,尋找 302 的 [狀態]。 此資料列顯示套用至流量的通用租用戶限制。
    1. 在相同的回應中,檢查標頭中是否有下列資訊,以識別已套用的通用租用戶限制:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

下一步