通用租使用者限制
通用租使用者限制會使用全域安全存取 (預覽) 增強租使用者限制 v2 的功能,以標記所有流量,無論操作系統、瀏覽器或裝置尺寸為何。 它允許支援用戶端和遠端網路連線。 管理員 istrators 不再需要管理 Proxy 伺服器組態或複雜的網路設定。
通用租使用者限制會使用驗證和數據平面的全域安全存取原則訊號來進行這項強制執行。 租使用者限制 v2 可讓企業防止使用者使用 Microsoft Entra 整合式應用程式的外部租使用者身分識別來防止數據外洩,例如 Microsoft Graph、SharePoint Online 和 Exchange Online。 這些技術會共同運作,以防止所有裝置和網路普遍外泄數據。
下表說明上圖中每個時間點所採取的步驟。
步驟 | 描述: |
---|---|
1 | Contoso 在其跨租使用者存取設定中設定租使用者限制 v2 原則,以封鎖所有外部帳戶和外部應用程式。 Contoso 會使用全域安全存取通用租使用者限制來強制執行原則。 |
2 | 具有 Contoso 受控裝置的用戶會嘗試存取具有未經批准外部身分識別的 Microsoft Entra 整合應用程式。 |
3 | 驗證平面保護: 使用 Microsoft Entra ID,Contoso 的原則會封鎖未經批准的外部帳戶存取外部租使用者。 |
4 | 數據平面保護: 如果使用者再次嘗試存取外部未經批准的應用程式,方法是複製他們在 Contoso 網路外部取得的驗證回應令牌,並將其貼入裝置,就會遭到封鎖。 令牌不符會觸發重新驗證並封鎖存取。 針對 SharePoint Online,任何匿名存取資源的嘗試,以及針對 Microsoft Teams,任何匿名加入呼叫的嘗試都會遭到封鎖。 |
通用租使用者限制可透過下列方式協助防止跨瀏覽器、裝置和網路的數據外洩:
- 它可讓 Microsoft Entra ID、Microsoft 帳戶和 Microsoft 365 應用程式查閱並強制執行相關聯的租使用者限制 v2 原則。 此查閱可啟用一致的原則應用程式。
- 在登入期間,請與驗證平面上所有 Microsoft Entra 整合的第三方應用程式合作。
- 使用 Exchange、SharePoint 和 Microsoft Graph 來保護數據平面。
必要條件
- 與互動的 管理員 istrators全域安全存取預覽功能必須有下列一或多個角色指派,視其執行的工作而定。
- 全域安全存取 管理員 管理全域安全存取預覽功能的角色角色。
- 條件式存取 管理員 istrator,用來建立條件式存取原則並與其互動。
- 預覽需要 Microsoft Entra ID P1 授權。 如有需要,您可以 購買授權或取得試用版授權。
已知的限制
- 如果您已啟用通用租使用者限制,而且您正在存取其中一個允許列出的租使用者的 Microsoft Entra 系統管理中心,您可能會看到「拒絕存取」錯誤。 將下列功能旗標新增至 Microsoft Entra 系統管理中心:
?feature.msaljs=true&exp.msaljsexp=true
- 例如,您任職於 Contoso,並允許將 Fabrikam 列為合作夥伴租使用者。 您可能會看到 Fabrikam 租使用者的 Microsoft Entra 系統管理中心的錯誤訊息。
- 如果您收到此 URL 的「拒絕存取」錯誤訊息:
https://entra.microsoft.com/
請新增功能旗標,如下所示:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- 如果您收到此 URL 的「拒絕存取」錯誤訊息:
Outlook 會針對某些通訊使用 QUIC 通訊協定。 我們目前不支援 QUIC 通訊協定。 組織可以使用防火牆原則來封鎖 QUIC,並回復到非 QUIC 通訊協定。 下列 PowerShell 命令會建立防火牆規則來封鎖此通訊協定。
@New-NetFirewallRule -DisplayName "Block QUIC for Exchange Online" -Direction Outbound -Action Block -Protocol UDP -RemoteAddress 13.107.6.152/31,13.107.18.10/31,13.107.128.0/22,23.103.160.0/20,40.96.0.0/13,40.104.0.0/15,52.96.0.0/14,131.253.33.215/32,132.245.0.0/16,150.171.32.0/22,204.79.197.215/32,6.6.0.0/16 -RemotePort 443
設定租使用者限制 v2 原則
組織必須先設定任何特定合作夥伴的預設租使用者限制和租使用者限制,才能使用通用租使用者限制。
如需設定這些原則的詳細資訊,請參閱設定租使用者限制 V2(預覽)一文。
啟用租使用者限制 v2 的標記
建立租使用者限制 v2 原則之後,您就可以利用全域安全存取來套用租使用者限制 v2 的標記。 具有 Global Secure Access 管理員 istrator 和安全性 管理員 istrator 角色的系統管理員必須採取下列步驟,才能使用全域安全存取來強制執行。
- 以全域安全存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至全域安全存取>全域 設定> Session 管理>租使用者限制。
- 選取 [啟用標記] 的切換,以在您的網路上強制執行租用戶限制。
- 選取 [儲存]。
嘗試搭配 SharePoint Online 使用通用租使用者限制。
在下列範例中,此功能與 Exchange Online 和 Microsoft Graph 的運作方式相同,我們會說明如何在您自己的環境中查看它的運作情形。
試著驗證路徑:
- 通用租使用者限制在全域安全存取全域設定中關閉。
- 移至 SharePoint Online,
https://yourcompanyname.sharepoint.com/
其中包含租使用者限制 v2 原則中不允許列出的外部身分識別。- 例如,Fabrikam 租使用者中的 Fabrikam 使用者。
- Fabrikam 用戶應該能夠存取 SharePoint Online。
- 開啟通用租使用者限制。
- 身為終端使用者,在全域安全存取用戶端執行時,請移至 SharePoint Online,其外部身分識別尚未明確列出。
- 例如,Fabrikam 租使用者中的 Fabrikam 使用者。
- Fabrikam 使用者應該遭到封鎖,無法存取 SharePoint Online,並顯示下列錯誤訊息:
- 存取遭到封鎖,Contoso IT 部門已限制哪些組織可以存取。 請連絡 Contoso IT 部門以取得存取權。
嘗試數據路徑
- 通用租使用者限制在全域安全存取全域設定中關閉。
- 移至 SharePoint Online,
https://yourcompanyname.sharepoint.com/
其中包含租使用者限制 v2 原則中不允許列出的外部身分識別。- 例如,Fabrikam 租使用者中的 Fabrikam 使用者。
- Fabrikam 用戶應該能夠存取 SharePoint Online。
- 在開啟 SharePoint Online 的相同瀏覽器中,移至 [開發人員工具],或在鍵盤上按 F12。 開始擷取網路記錄。 當一切如預期般運作時,您應該會看到 Status 200。
- 請確定已核取 [ 保留記錄 檔] 選項,再繼續進行。
- 使用記錄保持瀏覽器窗口開啟。
- 開啟通用租使用者限制。
- 當 Fabrikam 使用者於瀏覽器中開啟 SharePoint Online 時,會在幾分鐘內出現新的記錄。 此外,瀏覽器可能會根據後端發生的要求和回應來重新整理本身。 如果瀏覽器在幾分鐘後不會自動重新整理,請在開啟 SharePoint Online 的瀏覽器上叫用重新整理。
- Fabrikam 使用者看到其存取現在遭到封鎖,指出:
- 存取遭到封鎖,Contoso IT 部門已限制哪些組織可以存取。 請連絡 Contoso IT 部門以取得存取權。
- Fabrikam 使用者看到其存取現在遭到封鎖,指出:
- 在記錄中,尋找狀態為 302。 此數據列顯示套用至流量的通用租使用者限制。
- 在相同的回應中,檢查標頭中是否有下列資訊,以識別已套用通用租使用者限制:
Restrict-Access-Confirm: 1
x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- 在相同的回應中,檢查標頭中是否有下列資訊,以識別已套用通用租使用者限制:
使用規定
您使用 Microsoft Entra 私人存取 和 Microsoft Entra 網際網路存取 預覽體驗和功能,會受您取得服務之合約的預覽在線服務條款及條件所控管。 預覽可能會受限於降低或不同的安全性、合規性和隱私權承諾,如 在線服務和Microsoft 產品和服務數據保護增補條款(“DPA”)以及預覽版所提供的任何其他通知中所述。
下一步
開始使用 Microsoft Entra 網際網路存取的下一個步驟是啟用增強的全域安全存取訊號。
如需全域安全存取的條件式存取原則的詳細資訊(預覽),請參閱下列文章: