Omezení pro všechny nájemce
Univerzální omezení nájemců vylepšují funkčnost omezení tenanta v2 pomocí Globálního bezpečného přístupu pro označení veškerého provozu bez ohledu na operační systém, prohlížeč nebo tvar zařízení. Umožňuje podporu připojení klienta i vzdálené sítě. Správci už nemusí spravovat konfigurace proxy serveru ani složité konfigurace sítě a mohou použít TRv2 na libovolné platformě pomocí klienta globálního zabezpečeného přístupu nebo prostřednictvím funkce Vzdálené sítě.
Pokud je tato možnost povolená, globální zabezpečený přístup přidá informace o zásadách omezení tenanta v2 do síťového provozu roviny ověřování, který zahrnuje provoz Microsoft Entra ID a Microsoft Graph. V důsledku toho musí uživatelé používající zařízení a sítě ve vaší organizaci používat jenom autorizované externí tenanty, což pomáhá zabránit exfiltraci dat pro jakoukoli aplikaci integrovanou s jednotným přihlašováním s vaším tenantem Microsoft Entra ID.
Následující tabulka vysvětluje kroky prováděné v každém bodě předchozího diagramu.
| Krok | Popis |
|---|---|
| 1 | Společnost Contoso nakonfiguruje zásadu **omezení tenanta v2 ** v nastavení přístupu mezi tenanty tak, aby blokovala všechny externí účty a externí aplikace. Společnost Contoso vynucuje zásadu pomocí univerzálních omezení globálního zabezpečeného přístupu. |
| 2 | Uživatel se zařízením spravovaným společností Contoso se pokusí o přístup k integrované aplikaci Microsoft Entra s neschválené externí identitou. |
| 3 | Ochrana úrovně ověřování: Pomocí ID Microsoft Entra zásady společnosti Contoso blokují neoprávněné externí účty v přístupu k externím tenantům. Pokud se navíc token Microsoft Graphu získá pomocí jiného zařízení a během jeho životnosti se zavede do vašeho prostředí, nebude možné tento token znovu použít ze zařízení pomocí klienta globálního zabezpečeného přístupu nebo prostřednictvím vzdálených sítí. |
| 4 | ochrana roviny dat : Pokud se token Microsoft Graphu získá pomocí jiného zařízení a je přenesen do vašeho prostředí během své životnosti, nebude možné tento token přehrát ze zařízení pomocí klienta globálního zabezpečeného přístupu ani prostřednictvím vzdálených sítí. |
Omezení univerzálního tenanta pomáhají zabránit exfiltraci dat mezi prohlížeči, zařízeními a sítěmi následujícími způsoby:
- Umožňuje Microsoft Entra ID, Účty Microsoft a aplikace Microsoftu vyhledávat a prosazovat zásadu omezení tenanta v2. Toto vyhledávání umožňuje konzistentní aplikaci zásad.
- Pracuje se všemi aplikacemi třetích stran integrovanými s Microsoft Entra v rovině autentizace během přihlašování.
- Chrání Microsoft Graph.
Kontrolní body pro prosazování omezení pro univerzální nájemníky
Rovina ověřování (Entra ID)
Prosazení vrstvy autentizace probíhá v době autentizace účtu Entra ID nebo účtu Microsoft. Když je uživatel připojený ke klientovi globálního zabezpečeného přístupu nebo prostřednictvím vzdáleného připojení k síti, zkontroluje se zásada omezení tenanta v2 a určí, jestli má být povoleno ověřování. Pokud se uživatel přihlašuje k tenantovi organizace, zásady omezení tenanta se nepoužijí. Pokud se uživatel přihlašuje k jinému tenantu, jsou zásady vynuceny. Každá aplikace, která je integrována s Entra ID nebo používá účet Microsoft k ověřování, podporuje univerzální omezení tenanta na úrovni ověřování.
Datová rovina (Microsoft Graph)
Prosazování datové roviny se v současné době podporuje pro Microsoft Graph. Ochrana datové úrovně zajišťuje, že importované ověřovací artefakty (například přístupový token získaný na jiném zařízení), které obcházejí vynucení úrovně ověřování definované ve vaší zásadě Omezení tenanta v2, nemohou být přehrány ze zařízení vaší organizace za účelem exfiltrování dat.
Požadavky
- Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu , musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí.
- Role globálního správce zabezpečeného přístupu pro správu funkcí globálního zabezpečeného přístupu.
- Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
- profil provozu Microsoftu musí být povolen a FQDN/IP adresy služeb, které budou mít univerzální omezení tenant, musí být nastaveny do režimu Tunel.
- klienti globálního zabezpečeného přístupu jsou nasazeni nebo připojení ke vzdálené síti je nakonfigurované.
Konfigurujte zásady omezení tenanta v2
Než může organizace používat univerzální omezení nájemců, musí nakonfigurovat jak výchozí omezení nájemců, tak i omezení nájemců pro konkrétní partnery.
Další informace o konfiguraci těchto zásad najdete v článku Nastavení omezení tenanta v2.
Povolit signalizaci pro globální zabezpečený přístup k tenantským omezením
Po vytvoření zásad omezení tenanta v2 můžete použít Global Secure Access k implementaci značek pro omezení tenanta v2. Správce s rolí globálního správce zabezpečeného přístupu i správce zabezpečení musí provést následující kroky, aby bylo možné vynucovat globální zabezpečený přístup.
- Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
- Přejděte do Globální zajištěný přístup>Nastavení>Správa relací>Univerzální omezení nájemců.
- Pokud chcete povolit omezení tenanta pro ID Entra (pokrývající všechny cloudové aplikace), vyberte přepínač.
Vyzkoušet univerzální omezení tenanta
Omezení tenanta se nevynucují, když se uživatel (nebo uživatel typu host) pokusí získat přístup k prostředkům v tenantovi, kde jsou zásady nakonfigurované. Zásady omezení tenanta v2 se zpracovávají jenom v případech, kdy se identita z jiného tenanta pokusí přihlásit nebo získat přístup k prostředkům. Pokud například nakonfigurujete zásadu Omezení tenanta v2 v tenantovi contoso.com tak, aby blokovala všechny organizace s výjimkou fabrikam.com, budou se tyto zásady vztahovat podle této tabulky:
| Uživatel | Typ | nájemník | Byly zásady TRv2 zpracovány? | Ověřený přístup je povolený? | Anonymní přístup je povolený? |
|---|---|---|---|---|---|
alice@contoso.com |
Člen | contoso.com | Ne (ten samý tenant) | Yes | Ne |
alice@fabrikam.com |
Člen | fabrikam.com | Yes | Ano (nájemce povolený zásadami) | Ne |
bob@northwinds.com |
Člen | northwinds.com | Yes | Ne(nájemce není povolen podle zásad) | Ne |
alice@contoso.com |
Člen | contoso.com | Ne (stejný tenant) | Yes | Ne |
bob_northwinds.com#EXT#@contoso.com |
Host | contoso.com | Ne (hostující uživatel) | Yes | Ne |
Ověřit ochranu autentizační roviny
- Ujistěte se, že je signalizace univerzálních omezení tenantů vypnutá v nastavení Globálního zabezpečeného přístupu.
- Pomocí prohlížeče přejděte na
https://myapps.microsoft.com/a přihlaste se s identitou z jiného tenanta, která není uvedena v seznamu povolených v rámci zásad omezení tenanta verze 2. Nezapomeňte, že k provedení tohoto kroku možná budete muset použít okno privátního prohlížeče nebo se odhlásit z primárního účtu.- Pokud je vaším tenantem například Contoso, přihlaste se jako uživatel Fabrikam v tenantovi Fabrikam.
- Uživatel Fabrikam by měl mít přístup k portálu MyApps, protože v globálním zabezpečeném přístupu je zakázaná signalizace omezení tenanta.
- Zapněte omezení univerzálního tenanta v Centru pro správu Microsoft Entra –> Globální zabezpečený přístup –> Správa relací –> Omezení univerzálního tenanta.
- Odhlaste se z portálu MyApps a restartujte prohlížeč.
- Jako koncový uživatel se spuštěným klientem Global Secure Access přistupte k
https://myapps.microsoft.com/pomocí stejné identity (uživatel Fabrikam v tenantovi Fabrikam).- Uživateli Fabrikam by mělo být zablokováno ověřování v Aplikaci MyApps s chybovou zprávou: Access je zablokovaný, oddělení IT společnosti Contoso omezilo přístup k organizacím. Pokud chcete získat přístup, obraťte se na ODDĚLENÍ IT společnosti Contoso.
Ověření ochrany roviny dat
- Ujistěte se, že je signalizace omezení univerzálního tenanta ve globálním nastavení zabezpečeného přístupu vypnuta.
- V prohlížeči přejděte do Graph Exploreru (
https://aka.ms/ge) a přihlaste se pomocí identity z jiného tenanta, než je ten váš, která není na seznamu povolených podle zásad omezení tenanta verze 2. Nezapomeňte, že k provedení tohoto kroku možná budete muset použít okno privátního prohlížeče nebo se odhlásit z primárního účtu.- Pokud je vaším tenantem například Contoso, přihlaste se jako uživatel Fabrikam v tenantovi Fabrikam.
- Uživatel Fabrikam by měl mít přístup k SharePointu, protože je v Global Secure Access deaktivována signalizace omezení pro tenant v2.
- Volitelně můžete ve stejném prohlížeči otevřít Graph Explorer, otevřít Vývojářské nástroje nebo stisknout klávesu F12 na klávesnici. Začněte zachytávat síťové protokoly. Při procházení SharePointu byste měli vidět požadavky HTTP, které vrací stav
200, když všechno funguje podle očekávání. - Než budete pokračovat, ujistěte se, že je zaškrtnuté políčko Zachovat protokol .
- Nechte okno prohlížeče otevřené s protokoly.
- Zapněte omezení univerzálního tenanta v Centru pro správu Microsoft Entra –> Globální zabezpečený přístup –> Správa relací –> Omezení univerzálního tenanta.
- Jako uživatel Fabrikam se během několika minut zobrazí nové protokoly v prohlížeči s otevřeným Graph Explorerem. Prohlížeč se také může aktualizovat na základě požadavku a odpovědí probíhajících v back-endu. Pokud se prohlížeč po několika minutách automaticky neaktualizuje, aktualizujte stránku.
- Uživatel Fabrikam uvidí, že je teď jeho přístup zablokovaný zprávou: Přístup je zablokovaný, oddělení IT společnosti Contoso omezilo, ke kterým organizacím je možné přistupovat. Pokud chcete získat přístup, obraťte se na ODDĚLENÍ IT společnosti Contoso.
- V protokolech vyhledejte stav s hodnotou
302. Tento řádek zobrazuje uplatnění univerzálních omezení nájemníka na provoz.- V téže odpovědi zkontrolujte v hlavičkách následujících položek, zda byla použita omezení univerzálního tenanta:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficient_claims"
- V téže odpovědi zkontrolujte v hlavičkách následujících položek, zda byla použita omezení univerzálního tenanta:
Známá omezení
- Pokud jste povolili Univerzální omezení tenanta a máte přístup do centra pro správu Microsoft Entra pro tenanta na seznamu povolených, může se zobrazit zpráva "Přístup byl odepřen." Chcete-li tuto chybu opravit, přidejte do Centra pro správu Microsoft Entra následující příznak funkce:
?feature.msaljs=true&exp.msaljsexp=true- Pracujete například pro Contoso. Fabrikam, partnerský nájemce, je na seznamu povolených. Může se zobrazit chybová zpráva pro administrační centrum Microsoft Entra tenanta Fabrikam.
- Pokud se pro adresu URL
https://entra.microsoft.com/zobrazila chybová zpráva o odepření přístupu, přidejte příznak funkce následujícím způsobem:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- Pokud se pro adresu URL
Tato funkce má jedno nebo více známých omezení. Podrobnější informace o známých problémech a omezeních této funkce najdete v tématu Známá omezení globálního zabezpečení přístupu.