Einrichten von Mandanteneinschränkungen v2
Gilt für: Mitarbeitermandanten externe Mandanten (weitereInformationen)
Hinweis
Bestimmte in diesem Artikel beschriebene Features sind Previewfunktionen. Weitere Informationen zu Vorschauversionen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.
Um die Sicherheit zu erhöhen, können Sie einschränken, worauf Ihre Benutzer zugreifen können, wenn sie ein externes Konto für die Anmeldung über Ihre Netzwerke oder Geräte verwenden. Mit den Einstellungen für Mandanteneinschränkungen, die in mandantenübergreifenden Zugriffseinstellungen enthalten sind, können Sie eine Richtlinie erstellen, um den Zugriff auf externe Apps zu steuern.
Angenommen, ein Benutzer in Ihrer Organisation hat ein separates Konto in einem unbekannten Mandanten erstellt, oder eine externe Organisation hat Ihrem Benutzer ein Konto zugewiesen, mit dem er sich bei seiner Organisation anmelden kann. Sie können Mandanteneinschränkungen verwenden, um zu verhindern, dass der Benutzer einige oder alle externen Apps verwendet, während er mit dem externen Konto in Ihrem Netzwerk oder Auf Ihren Geräten angemeldet ist.
Schritte | Beschreibung |
---|---|
1 | Contoso konfiguriert Mandanteneinschränkungen in seinen mandantenübergreifenden Zugriffseinstellungen, um alle externen Konten und externen Apps zu blockieren. Contoso fügt TRv2-Erzwingungssignal mit TRv2-Header entweder über universelle TRv2 oder einen Unternehmensproxy hinzu, und Microsoft Entra ID erzwingt die TRv2-Richtlinie, wenn der Header auf der Anforderung vorhanden ist. |
2 | Ein Benutzer, der ein von Contoso verwaltetes Gerät verwendet, versucht, sich mit einem Konto von einem unbekannten Mandanten bei einer externen App anzumelden. Der TRv2-HTTP-Header mit der Mandanten-ID von Contoso und der Richtlinien-ID für Mandanteneinschränkungen wird der Authentifizierungsanforderung hinzugefügt. |
3 | Schutz auf Authentifizierungsebene: Die Microsoft Entra-ID erzwingt die TRv2-Richtlinie von Contoso und blockiert den Zugriff externer Konten auf externe Mandanten während der Authentifizierung gemäß der Contoso TRv2-Richtlinie. |
4 | Datenschutz (Vorschau): Die Microsoft Entra-ID blockiert den anonymen Zugriff auf SharePoint-Dateien oder anonyme Teams-Besprechungen sowie den Benutzerzugriff auf die Ressource mit einem infiltrierten Token. |
Mandanteneinschränkungen v2 bieten Optionen für den Schutz der Authentifizierungsebene und für den Schutz der Datenebene.
Der Schutz der Authentifizierungsebene bezieht sich auf die Verwendung einer Mandanteneinschränkungen v2-Richtlinie, um Anmeldungen mit externen Identitäten zu blockieren. So können Sie beispielsweise verhindern, dass ein böswilliger Insider Daten über externe E-Mails weitergibt, indem Sie den Angreifer daran hindern, sich bei seinem böswilligen Mandanten anzumelden. Der Authentifizierungsebenenschutz von Mandanteneinschränkungen v2 ist allgemein verfügbar.
Datenebenenschutz bezieht sich auf die Verhinderung von Angriffen, die die Authentifizierung umgehen. Beispielsweise kann ein Angreifer versuchen, den Zugriff auf schädliche Mandanten-Apps zuzulassen, indem er den anonymen Besprechungsbeitritt in Teams oder den anonymen Dateizugriff in SharePoint verwendet. Oder der Angreifer kopiert ein Zugriffstoken von einem Gerät in einem böswilligen Mandanten und importiert es in Ihr Organisationsgerät. Der Datenebenenschutz von Mandanteneinschränkungen v2 zwingt den Benutzer, sich beim Zugriff auf eine Ressource zu authentifizieren, und blockiert den Zugriff, wenn die Authentifizierung fehlschlägt.
Während Mandanteneinschränkungen v1 den Schutz der Authentifizierungsebene über eine Mandanten-Positivliste bietet, die für Ihren Unternehmensproxy konfiguriert ist, bietet Mandanteneinschränkungen v2 Optionen für die granulare Authentifizierung und den Schutz der Datenebene mit oder ohne Unternehmensproxy. Wenn Sie einen Unternehmensproxy für die Header Injection verwenden, umfassen Optionen nur den Schutz auf Authentifizierungsebene.
Übersicht über Mandanteneinschränkungen v2
In den mandantenübergreifenden Zugriffseinstellungen Ihrer Organisation können Sie eine Mandanteneinschränkungen v2-Richtlinie konfigurieren. Nachdem Sie die Richtlinie erstellt haben, gibt es drei Möglichkeiten, die Richtlinie in Ihrer Organisation anzuwenden.
- Universelle Mandanteneinschränkungen v2. Diese Option bietet sowohl Schutz für die Authentifizierungsebene als auch für die Datenebene ohne Unternehmensproxy. Universelle Mandanteneinschränkungen verwenden den globalen sicheren Zugriff, um den gesamten Datenverkehr unabhängig vom Betriebssystem, Browser oder Geräteformfaktor zu kennzeichnen. Dies ermöglicht eine Unterstützung für Client- und Remotenetzwerkkonnektivität.
- Mandanteneinschränkungen v2 auf Authentifizierungsebene. Sie können einen Unternehmensproxy in Ihrer Organisation bereitstellen und den Proxy so konfigurieren, dass Mandanteneinschränkungen v2-Signale für den gesamten Datenverkehr an Microsoft Entra ID und Microsoft-Konten (MSA) festgelegt werden.
- Windows-Mandanteneinschränkungen v2. Für Ihre unternehmenseigenen Windows-Geräte können Sie sowohl den Schutz der Authentifizierungsebene als auch den der Datenebene erzwingen, indem Sie Mandanteneinschränkungen direkt auf Geräten erzwingen. Mandanteneinschränkungen werden beim Ressourcenzugriff erzwungen und bieten Datenpfadabdeckung und Schutz vor Tokeninfiltration. Ein Unternehmensproxy ist für die Richtlinienerzwingung nicht erforderlich. Geräte können in Microsoft Entra ID verwaltete oder in die Domäne eingebundene Geräte sein, die über Gruppenrichtlinie verwaltet werden.
Hinweis
In diesem Artikel wird die Konfiguration von Mandanteneinschränkungen v2 über das Microsoft Entra Admin Center beschrieben. Sie können auch die mandantenübergreifende Zugriffs-API von Microsoft Graph verwenden, um dieselben Richtlinien für Mandanteneinschränkungen zu erstellen.
Unterstützte Szenarios
Mandanteneinschränkungen v2 können auf bestimmte Benutzer, Gruppen, Organisationen oder externe Apps beschränkt werden. Apps, die auf dem Netzwerkstapel des Windows-Betriebssystems basieren, sind geschützt. Die folgenden Szenarien werden unterstützt:
- Alle Office-Apps (alle Versionen/Releasekanäle).
- Universelle Windows-Plattform .NET-Anwendungen (UWP).
- Schutz der Authentifizierungsebene für alle Anwendungen, die sich bei Microsoft Entra ID authentifizieren, einschließlich aller Anwendungen von Erstanbietern von Microsoft und Anwendungen von Drittanbietern, die Microsoft Entra ID für die Authentifizierung verwenden.
- Schutz der Datenebene für SharePoint Online und Exchange Online.
- Anonymer Zugriffsschutz für SharePoint Online, OneDrive und Teams (mit konfigurierten Verbundsteuerelementen).
- Authentifizierung und Schutz der Datenebene für Microsoft-Mandanten- oder Consumerkonten.
- Bei Verwendung der universellen Mandanteneinschränkungen in Globaler sicherer Zugriff, alle Browser und Plattformen.
- Bei Verwendung von Windows Gruppenrichtlinie, Microsoft Edge und alle Websites in Microsoft Edge.
Nicht unterstützte Szenarien
- Anonyme Blockierung für das OneDrive-Konto des Consumers. Kunden können auf Proxyebene umgehen, indem sie https://onedrive.live.com/ blockieren.
- Wenn ein Benutzer über einen anonymen Link oder ein Nicht-Azure AD-Konto auf eine Drittanbieter-App wie Slack zugreift.
- Wenn ein Benutzer ein von Microsoft Entra ID ausgestelltes Token von einem Heimcomputer auf einen Arbeitscomputer kopiert und es für den Zugriff auf eine Drittanbieter-App wie Slack verwendet.
- Benutzerspezifische Mandanteneinschränkungen für Microsoft-Konten.
Vergleichen der Mandanteneinschränkungen v1 und v2
In der folgenden Tabelle werden die in den einzelnen Versionen enthaltenen Features miteinander verglichen.
Mandanteneinschränkungen v1 | Mandanteneinschränkungen v2 | |
---|---|---|
Richtlinienerzwingung | Der Unternehmensproxy erzwingt die Richtlinie zur Mandanteneinschränkung auf der Microsoft Entra ID-Steuerungsebene. | Optionen: - Universelle Mandanteneinschränkungen in globaler sicherer Zugriff, bei der Richtliniensignalisierung verwendet wird, um den gesamten Datenverkehr zu kennzeichnen, wodurch sowohl Authentifizierungs- als auch Datenebenenunterstützung auf allen Plattformen bereitgestellt werden. - Nur-Authentifizierungsebenenschutz, bei dem der Unternehmensproxy Mandanteneinschränkungen v2-Signale für den gesamten Datenverkehr festlegt. - Windows-Geräteverwaltung, bei der Geräte so konfiguriert werden, dass der Microsoft-Datenverkehr auf die Mandanteneinschränkungen-Richtlinie verweist, und die Richtlinie in der Cloud durchgesetzt wird. |
Einschränkungen der Richtlinienerzwingung | Verwalten Sie Unternehmensproxys, indem Sie Mandanten zur Zulassungsliste für Microsoft Entra ID-Datenverkehr hinzufügen. Die Zeichenbeschränkung des Headerwerts in Restrict-Access-To-Mandanten: <allowed-tenant-list> beschränkt die Anzahl der Mandanten, die hinzugefügt werden können. |
Verwaltet von einer Cloudrichtlinie in der mandantenübergreifenden Zugriffsrichtlinie. Eine Standardrichtlinie auf Mandantenebene und eine Partnerrichtlinie wird für jeden externen Mandanten erstellt. |
Böswillige Mandantenanforderungen | Microsoft Entra ID blockiert böswillige Mandantenauthentifizierungsanforderungen, um Schutz auf Authentifizierungsebene bereitzustellen. | Microsoft Entra ID blockiert böswillige Mandantenauthentifizierungsanforderungen, um Schutz auf Authentifizierungsebene bereitzustellen. |
Granularität | Beschränkt auf Mandanten- und alle Microsoft-Konten. | Granularität von Mandanten, Benutzern, Gruppen und Anwendungen. (Granularität auf Benutzerebene wird bei Microsoft-Konten nicht unterstützt.) |
Anonymer Zugriff | Anonymer Zugriff auf Teams-Besprechungen und Dateifreigabe ist zulässig. | Der anonyme Zugriff auf Teams-Besprechungen wird blockiert. Der Zugriff auf anonym freigegebene Ressourcen („Jeder mit dem Link“) wird blockiert. |
Microsoft-Konten | Verwendet einen Restrict-MSA-Header, um den Zugriff auf Consumerkonten zu blockieren. | Ermöglicht die Steuerung der Microsoft-Kontoauthentifizierung (MSA und Live ID) auf Identitäts- und Datenebene. Wenn Sie beispielsweise Mandanteneinschränkungen standardmäßig erzwingen, können Sie eine Richtlinie für Microsoft-Konten erstellen, die es Benutzern ermöglicht, mit ihren Microsoft-Konten auf bestimmte Apps zuzugreifen, z. B.: Microsoft Learn (App-ID 18fbca16-2224-45f6-85b0-f7bf2b39b3f3 ) oder Microsoft Enterprise Skills Initiative (App-ID 195e7f27-02f9-4045-9a91-cd2fa1c2af2f ). |
Proxyverwaltung | Verwalten Sie Unternehmensproxys, indem Sie Mandanten zur Zulassungsliste für Microsoft Entra ID-Datenverkehr hinzufügen. | Konfigurieren Sie für den Schutz der Unternehmensproxy-Authentifizierungsebene den Proxy, um Mandanteneinschränkungen v2-Signale für den gesamten Datenverkehr festzulegen. |
Plattformunterstützung | Wird auf allen Plattformen unterstützt. Bietet nur Schutz auf Authentifizierungsebene. | Universelle Mandanteneinschränkungen in globaler sicherer Zugriff unterstützen alle Betriebssysteme, Browser oder Geräteformfaktoren. Der Schutz für die Unternehmensproxy-Authentifizierungsebene unterstützt macOS, den Chrome-Browser und .NET-Anwendungen. Die Windows-Geräteverwaltung unterstützt Windows-Betriebssysteme und Microsoft Edge. |
Portal-Unterstützung | Keine Benutzeroberfläche im Microsoft Entra Admin Center zum Konfigurieren der Richtlinie. | Benutzeroberfläche, die im Microsoft Entra Admin Center zum Einrichten der Cloudrichtlinie verfügbar ist. |
Nicht unterstützte Apps | – | Blockieren Sie die Verwendung nicht unterstützter Apps mit Microsoft-Endpunkten mithilfe von Windows Defender-Anwendungssteuerung (WDAC) oder Windows-Firewall (z. B. für Chrome, Firefox usw.). Weitere Informationen finden Sie unter Blockieren von Chrome-, Firefox- und .NET-Anwendungen wie PowerShell. |
Migrieren von v1-Richtlinien für Mandanteneinschränkungen zu v2 auf dem Proxy
Das Migrieren von Mandanteneinschränkungsrichtlinien von v1 zu v2 ist ein einmaliger Vorgang. Nach der Migration sind keine clientseitigen Änderungen erforderlich. Sie können nachfolgende serverseitige Richtlinienänderungen über das Microsoft Entra Admin Center vornehmen.
Wenn Sie TRv2 für Proxy aktivieren, können Sie TRv2 nur auf Authentifizierungsebene erzwingen. Um TRv2 sowohl für die Authentifizierung als auch für die Datenebene zu aktivieren, sollten Sie die clientseitige TRv2-Signalisierung mit universellem TRv2 aktivieren.
Schritt 1: Konfigurieren der Liste zulässiger Partnermandanten
TRv1: Mit Mandanteneinschränkungen v1 (TRv1) können Sie eine Zulassungsliste von Mandanten-IDs und Microsoft-Anmeldeendpunkten erstellen, um sicherzustellen, dass Benutzer*innen auf externe Mandanten zugreifen, die Ihre Organisation autorisiert. TRv1 erreichte dies durch Hinzufügen des Headers Restrict-Access-To-Tenants: <allowed-tenant-list>
auf dem Proxy. Beispiel: `Restrict-Access-To-Tenants: " contoso.com, fabrikam.com, dogfood.com". Weitere Informationen zu Mandanteneinschränkungen v1.
TRv2: Mit Mandanteneinschränkungen v2 (TRv2) wird die Konfiguration in die serverseitige Cloudrichtlinie verschoben, und der TRv1-Header ist nicht mehr erforderlich.
- Sie sollten auf Ihrem Unternehmensproxy den Header
Restrict-Access-To-Tenants: <allowed-tenant-list>
der Mandanteneinschränkungen v1 entfernen. - Erstellen Sie für jeden Mandanten, der in der Zulassungsliste aufgeführt ist, eine Partnermandantenrichtlinie, indem Sie die Schritte unter Schritt 2: Konfigurieren von Mandanteneinschränkungen v2 für bestimmte Partner ausführen. Beachten Sie diese Richtlinien:
Hinweis
- Behalten Sie die Standardrichtlinie für Mandanteneinschränkungen v2 bei, die den Zugriff auf externe Mandanten mithilfe von Fremdidentitäten blockiert (z. B.
user@externaltenant.com
). - Erstellen Sie eine Partnermandantenrichtlinie für jeden Mandanten, der in Ihrer v1-Zulassungsliste aufgeführt ist, indem Sie die Schritte unter Schritt 2: Konfigurieren von Mandanteneinschränkungen v2 für bestimmte Partner ausführen.
- Achten Sie darauf, dass Sie nur bestimmten Benutzern den Zugriff auf bestimmte Anwendungen erlauben. Dieses Design erhöht Ihren Sicherheitsstatus, indem der Zugriff nur auf die erforderlichen Benutzer beschränkt wird.
Schritt 2: Blockieren des Consumerkontos oder des Microsoft-Kontomandanten
TRv1: Um zu verhindern, dass Benutzer*innen sich bei Consumeranwendungen anmelden, muss für TRv1 der Header „sec-Restrict-Tenant-Access-Policy“ in den Datenverkehr an login.live.com eingefügt werden, z. B. sec-Restrict-Tenant-Access-Policy: restrict-msa`.
TRv2: Mit TRv2 wird die Konfiguration in die serverseitige Cloudrichtlinie verschoben, und der TRv1-Header ist nicht mehr erforderlich.
- Sie sollten auf Ihrem Unternehmensproxy den Header sec-Restrict-Tenant-Access-Policy: restrict-msa` der Mandanteneinschränkungen v1 entfernen.
- Erstellen Sie eine Partnermandantenkonfiguration für den Microsoft-Kontomandanten, indem Sie Schritt 2: Konfigurieren von Mandanteneinschränkungen v2 für bestimmte Partner ausführen. Da die Zuweisung auf Benutzerebene für MSA-Mandanten nicht verfügbar ist, gilt die Richtlinie für alle MSA-Benutzer. Die Granularität auf Anwendungsebene ist jedoch verfügbar, und Sie sollten die Anwendungen einschränken, auf die MSA- oder Consumerkonten nur auf die Anwendungen zugreifen können, die erforderlich sind.
Hinweis
Das Blockieren des MSA-Mandanten blockiert nicht den Datenverkehr ohne Benutzer für Geräte, einschließlich:
- Datenverkehr für Autopilot, Windows Update und Organisationstelemetrie.
- B2B-Authentifizierung von Consumerkonten oder „Passthrough“-Authentifizierung, bei der Azure-Apps und Office.com-Apps Microsoft Entra ID verwenden, um Consumer in einem Consumerkontext anzumelden.
Schritt 3: Aktivieren der Mandanteneinschränkungen v2 auf dem Unternehmensproxy
TRv2: Sie können den Unternehmensproxy so konfigurieren, dass clientseitige Tags der V2-Header für Mandanteneinschränkungen aktiviert werden, indem Sie die folgende Unternehmensproxyeinstellung verwenden: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>
dabei ist <DirectoryID>
Ihre Microsoft Entra-Mandanten-ID und <policyGUID>
die Objekt-ID für Ihre mandantenübergreifende Zugriffsrichtlinie ist.
Mandanteneinschränkungen im Vergleich zu ein- und ausgehenden Einstellungen
Mandanteneinschränkungen werden zwar zusammen mit Ihren mandantenübergreifenden Zugriffseinstellungen konfiguriert, funktionieren jedoch getrennt von den Einstellungen für ein- und ausgehenden Zugriff. Mit mandantenübergreifenden Zugriffseinstellungen können Sie steuern, wann sich Benutzer mit einem Konto aus Ihrer Organisation anmelden. Im Gegensatz dazu können Sie durch Mandanteneinschränkungen steuern, wann Benutzer ein externes Konto verwenden. Ihre Einstellungen für ein- und ausgehende Verbindungen für die B2B-Zusammenarbeit und die direkte B2B-Verbindung wirken sich nicht auf Ihre Einstellungen für Mandanteneinschränkungen aus (und sind von diesen nicht betroffen).
Stellen Sie sich die verschiedenen mandantenübergreifenden Zugriffseinstellungen wie folgt vor:
- Eingehende Einstellungen steuern den Zugriff externer Konten auf Ihre internen Apps.
- Ausgehende Einstellungen steuern den internen Kontozugriff auf externe Apps.
- Mandanteneinschränkungen steuern den Zugriff externer Konten auf externe Apps.
Mandanteneinschränkungen im Vergleich zur B2B-Zusammenarbeit
Wenn Ihre Benutzer Zugriff auf externe Organisationen und Apps benötigen, empfehlen wir, Mandanteneinschränkungen zu aktivieren, um externe Konten zu blockieren und stattdessen B2B-Zusammenarbeit zu verwenden. Die B2B-Zusammenarbeit ermöglicht Folgendes:
- Sie können den bedingten Zugriff verwenden und die Multi-Faktor-Authentifizierung für B2B Collaboration-Benutzer erzwingen.
- Sie können ein- und ausgehende Verbindungen verwalten.
- Sie können Sitzungen beenden und Anmeldedaten löschen, wenn sich der Beschäftigungsstatus eines B2B Collaboration-Benutzers ändert oder seine Anmeldedaten missbraucht werden.
- Verwenden Sie Anmeldeprotokolle, um Details zum Benutzer von B2B-Zusammenarbeit anzuzeigen.
Voraussetzungen
Zum Konfigurieren von Mandanteneinschränkungen benötigen Sie:
- Microsoft Entra ID P1 oder P2
- Konto mit mindestens der Rolle Sicherheitsadministrator
- Windows-Geräte, auf denen Windows 10 oder Windows 11 mit den neuesten Updates ausgeführt wird
Konfigurieren der serverseitigen Mandanteneinschränkungen v2-Cloudrichtlinie
Schritt 1: Konfigurieren von Standardmandanteneinschränkungen v2
Einstellungen für Mandanteneinschränkungen v2 befinden sich im Microsoft Entra Admin Center unter Einstellungen für mandantenübergreifenden Zugriff. Konfigurieren Sie zunächst die Standardmandanteneinschränkungen, die Sie für alle Benutzer, Gruppen, Apps und Organisationen anwenden möchten. Wenn Sie dann partnerspezifische Konfigurationen benötigen, können Sie die Organisation eines Partners hinzufügen und alle Einstellungen anpassen, die sich von Ihren Standardeinstellungen unterscheiden.
So konfigurieren Sie Standardmandanteneinschränkungen
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Navigieren Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen, und wählen Sie dann Mandantenübergreifende Zugriffseinstellungen aus.
Wählen Sie die Registerkarte Standardeinstellungen aus.
Navigieren Sie zum Abschnitt Mandanteneinschränkungen.
Wählen Sie den Link Standardeinstellungen für Mandanteneinschränkungen bearbeiten aus.
Wenn im Mandanten noch keine Standardrichtlinie vorhanden ist, wird neben der Richtlinien-ID der Link Richtlinie erstellen angezeigt. Wählen Sie diese Verknüpfung aus.
Auf der Seite Mandanteneinschränkungen werden sowohl Ihre Mandanten-ID als auch Ihre Richtlinien-ID für Mandanteneinschränkungen angezeigt. Verwenden Sie die Kopiersymbole, um beide Werte zu kopieren. Sie verwenden sie später, wenn Sie Windows-Clients so konfigurieren, dass Mandanteneinschränkungen aktiviert werden.
Wählen Sie die Registerkarte Externe Benutzer und Gruppen aus. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:
- Zugriff zulassen: Ermöglicht allen Benutzern, die mit externen Konten angemeldet sind, den Zugriff auf externe Apps (angegeben auf der Registerkarte Externe Anwendungen ).
- Zugriff blockieren: Verhindert, dass alle Benutzer, die mit externen Konten angemeldet sind, auf externe Apps zugreifen (angegeben auf der Registerkarte Externe Anwendungen ).
Hinweis
Standardeinstellungen können nicht für einzelne Konten oder Gruppen festgelegt werden, sodass Gilt für immer gleich Alle <Mandanten>-Benutzer und -Gruppen ist. Wenn Sie den Zugriff für alle Ihre Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle externen Anwendungen blockieren (auf der Registerkarte Externe Anwendungen).
Wählen Sie die Registerkarte Externe Anwendungen aus. Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:
- Zugriff zulassen: Ermöglicht allen Benutzern, die mit externen Konten angemeldet sind, den Zugriff auf die im Abschnitt Gilt für angegebenen Apps.
- Zugriff blockieren: Verhindert, dass alle Benutzer, die mit externen Konten angemeldet sind, auf die im Abschnitt Gilt für angegebenen Apps zugreifen.
Wählen Sie unter Gilt für eine der folgenden Optionen aus:
- Alle externen Anwendungen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an. Wenn Sie den Zugriff auf alle externen Anwendungen blockieren, müssen Sie auch den Zugriff für alle Ihre Benutzer und Gruppen blockieren (auf der Registerkarte Benutzer und Gruppen).
- Externe Anwendungen auswählen: Hiermit können Sie die externen Anwendungen auswählen, auf die die Aktion unter Zugriffsstatus angewendet werden soll. Um Anwendungen auszuwählen, wählen Sie Microsoft-Anwendungen hinzufügen oder Andere Anwendungen hinzufügen aus. Geben Sie den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. (Siehe eine Liste der IDs für häufig verwendete Microsoft-Anwendungen.) Wenn Sie weitere Apps hinzufügen möchten, verwenden Sie die Schaltfläche Hinzufügen. Klicken Sie auf Senden, wenn Sie fertig sind.
Wählen Sie Speichern aus.
Schritt 2: Konfigurieren von Mandanteneinschränkungen v2 für bestimmte Partner
Angenommen, Sie verwenden Mandanteneinschränkungen, um den Zugriff standardmäßig zu blockieren, aber Sie möchten Benutzern den Zugriff auf bestimmte Anwendungen mit ihren eigenen externen Konten ermöglichen. Angenommen, Sie möchten, dass Benutzer mit ihren eigenen Microsoft-Konten auf Microsoft Learn zugreifen können. In den Anweisungen in diesem Abschnitt wird beschrieben, wie Sie organisationsspezifische Einstellungen hinzufügen, die Vorrang vor den Standardeinstellungen haben.
Beispiel: Konfigurieren von Mandanteneinschränkungen v2 zum Zulassen von Microsoft-Konten
Melden Sie sich im Microsoft Entra Admin Center mindestens als Sicherheitsadministrator oder als Administrator für bedingten Zugriff an.
Navigieren Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.
Wählen Sie Organisationseinstellungen aus.
Hinweis
Wenn die Organisation, die Sie hinzufügen möchten, der Liste bereits hinzugefügt wurde, können Sie das Hinzufügen überspringen und direkt zum Ändern der Einstellungen wechseln.
Wählen Sie Organisation hinzufügen aus.
Geben Sie im Bereich Organisation hinzufügen den vollständigen Domänennamen (oder die Mandanten-ID) für die Organisation ein.
Beispiel: Suchen Sie nach der folgenden Mandanten-ID für Microsoft-Konten:
9188040d-6c67-4c5b-b112-36a304b66dad
Wählen Sie die Organisation in den Suchergebnissen und dann Hinzufügen aus.
Ändern der Einstellungen: Suchen Sie die Organisation in der Liste Organisationseinstellungen, und scrollen Sie dann horizontal, um die Spalte Mandanteneinschränkungen anzuzeigen. An diesem Punkt werden alle Zugriffseinstellungen für diese Organisation von Ihren Standardeinstellungen geerbt. Um die Einstellungen für diese Organisation zu ändern, wählen Sie unter der Spalte Mandanteneinschränkungen den Link Geerbt von Standard.
Die Seite Mandanteneinschränkungen für die Organisation wird angezeigt. Kopieren Sie die Werte für Mandanten-ID und Richtlinien-ID. Sie verwenden sie später, wenn Sie Windows-Clients so konfigurieren, dass Mandanteneinschränkungen aktiviert werden.
Wählen Sie Einstellungen anpassen und dann die Registerkarte Externe Benutzer und Gruppen aus. Wählen Sie unter Zugriffsstatus eine Option aus:
- Zugriff zulassen: Ermöglicht Benutzern und Gruppen, die unter Gilt für die Angemeldeten mit externen Konten angegeben sind, den Zugriff auf externe Apps (angegeben auf der Registerkarte Externe Anwendungen).
- Zugriff blockieren: Verhindert, dass Benutzer und Gruppen, die unter Gilt für externe Konten angemeldet sind, auf externe Apps zugreifen (angegeben auf der Registerkarte Externe Anwendungen).
Hinweis
Für unser Microsoft-Kontobeispiel wählen wir Zugriff zulassen aus.
Wählen Sie unter Anwendungsbereich die Option Alle <Organisation>-Benutzer und -Gruppen.
Hinweis
Die Benutzergranularität wird mit Microsoft-Konten nicht unterstützt, sodass die Funktion <Organisation>-Benutzer und -Gruppen auswählen nicht verfügbar ist. Für andere Organisationen können Sie <Organisation>-Benutzer und -Gruppen auswählen wählen, und dann für jeden Benutzer oder jede Gruppe, den bzw. die Sie hinzufügen möchten, die folgenden Schritte ausführen:
- Wählen Sie Externe Benutzer und Gruppen hinzufügen aus.
- Geben Sie im Bereich Auswählen den Benutzernamen oder den Gruppennamen in das Suchfeld ein.
- Wählen Sie den Benutzer oder die Gruppe in den Suchergebnissen aus.
- Wenn Sie weitere hinzufügen möchten, wählen Sie Hinzufügen aus, und wiederholen Sie diese Schritte. Wenn Sie die Benutzer und Gruppen ausgewählt haben, die Sie hinzufügen möchten, wählen Sie Auswählen aus.
Wählen Sie die Registerkarte Externe Anwendungen aus. Wählen Sie unter Zugriffsstatus aus, ob der Zugriff auf externe Anwendungen zugelassen oder blockiert werden soll.
- Zugriff zulassen: Ermöglicht den Zugriff auf die unter Gilt für angegebenen externen Anwendungen durch Ihre Benutzer, wenn diese externe Konten verwenden.
- Zugriff blockieren: Blockiert die unter Gilt für angegebenen externen Anwendungen für den Zugriff durch Ihre Benutzer, wenn diese externe Konten verwenden.
Hinweis
Für unser Microsoft-Kontobeispiel wählen wir Zugriff zulassen aus.
Wählen Sie unter Gilt für eine der folgenden Optionen aus:
- Alle externen Anwendungen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an.
- Externe Anwendungen auswählen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an.
Hinweis
- In unserem Microsoft-Kontobeispiel wählen Sie Externe Anwendungen auswählen aus.
- Wenn Sie den Zugriff auf alle externen Anwendungen blockieren, müssen Sie auch den Zugriff für alle Ihre Benutzer und Gruppen blockieren (auf der Registerkarte Benutzer und Gruppen).
Wenn Sie Externe Anwendungen auswählen ausgewählt haben, gehen Sie für jede Anwendung, die Sie hinzufügen möchten, wie folgt vor:
- Wählen Sie Add Microsoft applications (Microsoft-Anwendungen hinzufügen) oder Weitere Anwendungen hinzufügen aus. In unserem Microsoft Learn-Beispiel wählen Sie Weitere Anwendungen hinzufügen aus.
- Geben Sie den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. (Siehe eine Liste der IDs für häufig verwendete Microsoft-Anwendungen.) Für unser Microsoft Learn-Beispiel geben wir die Anwendungs-ID
18fbca16-2224-45f6-85b0-f7bf2b39b3f3
ein. - Wählen Sie die Anwendung in den Suchergebnissen aus, und wählen Sie dann Hinzufügen aus.
- Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
- Wenn Sie die Anwendungen ausgewählt haben, wählen Sie Auswählen aus.
Die von Ihnen ausgewählten Anwendungen werden auf der Registerkarte Externe Anwendungen aufgeführt. Wählen Sie Speichern aus.
Hinweis
Durch das Blockieren des MSA-Mandanten wird Folgendes nicht blockiert:
- Benutzerloser Datenverkehr für Geräte. Dies schließt den Datenverkehr für Autopilot, Windows Update und Organisationstelemetrie ein.
- B2B-Authentifizierung von Consumerkonten.
- „Passthrough“-Authentifizierung, die von vielen Azure-Apps und Office.com verwendet wird, wobei Apps Microsoft Entra ID zum Anmelden von Consumerbenutzern in einem Consumerkontext verwenden.
Konfigurieren clientseitiger Mandanteneinschränkungen v2
Es gibt drei Optionen zum Erzwingen von Mandanteneinschränkungen v2 für Clients:
- Option 1: Universelle Mandanteneinschränkungen v2 als Teil von Microsoft Entra Global Secure Access (Preview)
- Option 2: Einrichten von Mandanteneinschränkungen v2 für Ihren Unternehmensproxy
- Option 3: Aktivieren von Mandanteneinschränkungen auf verwalteten Windows-Geräten (Preview)
Option 1: Universelle Mandanteneinschränkungen v2 als Teil von globaler sicherer Zugriff in Microsoft Entra
Universelle Mandanteneinschränkungen v2 als Teil von Microsoft Entra Global Secure Access wird empfohlen, da dies Schutz auf Authentifizierungs- und Datenebene für alle Geräte und Plattformen bietet. Diese Option bietet mehr Schutz vor komplexen Versuchen, die Authentifizierung zu umgehen. Beispielsweise können Angreifer versuchen, anonymen Zugriff auf die Apps eines böswilligen Mandanten zuzulassen, z. B. anonyme Besprechungsbeitritte in Teams. Oder Angreifer könnten versuchen, ein Zugriffstoken, das von einem Gerät im böswilligen Mandanten entwendet wurde, auf Ihr Organisationsgerät zu importieren. Universelle Mandanteneinschränkungen v2 verhindert diese Angriffe, indem Mandanteneinschränkungen v2-Signale auf Authentifizierungsebene (Microsoft Entra ID und Microsoft-Konto) und Datenebene (Microsoft-Cloudanwendungen) gesendet werden.
Option 2: Einrichten von Mandanteneinschränkungen v2 für Ihren Unternehmensproxy
Um sicherzustellen, dass Anmeldungen auf allen Geräten und Apps in Ihrem Unternehmensnetzwerk eingeschränkt sind, konfigurieren Sie Ihren Unternehmensproxy, um Mandanteneinschränkungen v2 zu erzwingen. Das Konfigurieren von Mandanteneinschränkungen für Ihren Unternehmensproxy bietet zwar keinen Schutz auf Datenebene, bietet jedoch Schutz auf Authentifizierungsebene.
Wichtig
Wenn Sie zuvor Mandanteneinschränkungen eingerichtet haben, müssen Sie das Senden von restrict-msa
an login.live.com beenden. Andernfalls stehen die neuen Einstellungen in Konflikt mit Ihren vorhandenen Anweisungen für den MSA-Anmeldedienst.
Konfigurieren Sie den Mandanteneinschränkungen v2-Header wie folgt:
Headername Headerwert Beispielwert sec-Restrict-Tenant-Access-Policy
<TenantId>:<policyGuid>
aaaabbbb-0000-cccc-1111-dddd2222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5 TenantID
ist Ihre Microsoft Entra-Mandanten-ID. Suchen Sie diesen Wert, indem Sie sich als Administrator beim Microsoft Entra Admin Center anmelden, zu Identität>Übersicht navigieren und die Registerkarte Übersicht auswählen.policyGUID
ist die Objekt-ID für Ihre mandantenübergreifende Zugriffsrichtlinie. Suchen Sie diesen Wert, indem Sie/crosstenantaccesspolicy/default
aufrufen und das zurückgegebene Feld „id“ verwenden.
Senden Sie auf Ihrem Unternehmensproxy den Header „Mandanteneinschränkungen v2“ an die folgenden Microsoft-Anmeldedomänen:
- login.live.com
- login.microsoft.com
- login.microsoftonline.com
- login.windows.net
Dieser Header erzwingt Ihre Richtlinie für Mandanteneinschränkungen v2 für alle Anmeldungen in Ihrem Netzwerk. Dieser Header blockiert nicht den anonymen Zugriff auf Teams-Besprechungen, SharePoint-Dateien oder andere Ressourcen, die keine Authentifizierung erfordern.
Wichtig
Entschlüsseln von Microsoft-URLs: Mandanteneinschränkungen (v1 und v2) für den Proxy erfordern die Entschlüsselung von Anforderungen an Anmelde-URLs wie login.microsoftonline.com. Die Entschlüsselung des Datenverkehrs für diese Anmeldedomänen für den Zweck der TR-Headereinfügung wird von Microsoft unterstützt und ist eine gültige Ausnahme der Richtlinien zur Verwendung von Netzwerkgeräten oder Lösungen von Drittanbietern mit Microsoft 365.
Mandanteneinschränkungen v2 ohne Unterstützung für Break and Inspect (Unterbrechungen und Überprüfungen)
Bei Nicht-Windows-Plattformen können Sie Datenverkehr unterbrechen und überprüfen, um die Parameter für Mandanteneinschränkungen v2 dem Header über einen Proxy hinzuzufügen. Einige Plattformen unterstützen jedoch keine Unterbrechungen und Überprüfungen, sodass Mandanteneinschränkungen v2 nicht funktioniert. Für diese Plattformen können die folgenden Features von Microsoft Entra ID Schutz bieten:
- Bedingter Zugriff: Nur die Verwendung verwalteter/konformer Geräte zulassen
- Bedingter Zugriff: Verwalten des Zugriffs für Gastbenutzer/externe Benutzer
- B2B Collaboration: Einschränken von Ausgangsregeln durch mandantenübergreifenden Zugriff für dieselben Mandanten, die im Parameter „Restrict-Access-To-Tenants“ aufgeführt sind
- B2B Collaboration: Beschränken von Einladungen an B2B-Benutzer auf dieselben Domänen, die im Parameter „Restrict-Access-To-Tenants“ aufgeführt sind
- Anwendungsverwaltung: Einschränken, wie Benutzer Anwendungen zustimmen
- Intune: Anwenden der App-Richtlinie über Intune, um die Verwendung verwalteter Apps nur auf den UPN des Kontos zu beschränken, welches das Gerät registriert hat (unter Nur konfigurierte Organisationskonten in Apps zulassen)
Obwohl diese Alternativen Schutz bieten, können bestimmte Szenarien nur durch Mandanteneinschränkungen abgedeckt werden, z. B. die Verwendung eines Browsers für den Zugriff auf Microsoft 365-Dienste über das Web anstelle der dedizierten App.
Option 3: Aktivieren von Mandanteneinschränkungen auf verwalteten Windows-Geräten (Preview)
Nachdem Sie eine v2-Richtlinie für Mandanteneinschränkungen erstellt haben, können Sie die Richtlinie auf jedem Windows 10 und Windows 11 durchsetzen, indem Sie Ihre Mandanten-ID und die Richtlinien-ID zur Konfiguration der Mandanteneinschränkungen auf dem Gerät hinzufügen. Wenn Mandanteneinschränkungen auf einem Windows-Gerät aktiviert sind, sind Unternehmensproxys für die Richtlinienerzwingung nicht erforderlich. Geräte müssen nicht von Microsoft Entra ID verwaltet werden, um Mandanteneinschränkungen v2 erzwingen zu können. In die Domäne eingebundene Geräte, die mit Gruppenrichtlinie verwaltet werden, werden ebenfalls unterstützt.
Hinweis
Mandanteneinschränkungen V2 unter Windows ist eine Teillösung, die die Authentifizierungs- und die Datenebene für einige Szenarien schützt. Sie funktioniert auf verwalteten Windows-Geräten und dient nicht zum Schutz des .NET-Stacks oder von Chrome oder Firefox. Die Windows-Lösung ist eine Übergangslösung bis zur allgemeinen Verfügbarkeit von universellen Mandanteneinschränkungen in globaler sicherer Zugriff in Microsoft Entra.
Administrative Vorlagen (.ADMX) für Windows 10 Update vom November 2021 (21H2) und Gruppenrichtlinieneinstellungen
Sie können Gruppenrichtlinie verwenden, um die Konfiguration der Mandanteneinschränkungen auf Windows-Geräten bereitzustellen. Weitere Informationen finden Sie in den folgenden Ressourcen:
- Administrative Vorlagen für Windows 10
- Referenztabelle für Gruppenrichtlinieneinstellungen für Windows 10
Testen der Richtlinien auf einem Gerät
Führen Sie die folgenden Schritte aus, um die Mandanteneinschränkungen v2-Richtlinie auf einem Gerät zu testen.
Hinweis
- Auf dem Gerät muss Windows 10 oder Windows 11 mit den neuesten Updates installiert sein.
Drücken Sie auf dem Windows-Computer auf die Windows-Taste, geben Sie gpeditein, und wählen Sie dann Gruppenrichtlinie bearbeiten (Systemsteuerung).
Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Mandanteneinschränkungen.
Klicken Sie im rechten Bereich mit der rechten Maustaste auf Cloudrichtliniendetails, und wählen Sie dann Bearbeiten aus.
Rufen Sie die Mandanten-ID und die Richtlinien-ID ab, die Sie zuvor (in Schritt 7 unter So konfigurieren Sie Standardmandanteneinschränkungen) aufgezeichnet haben, und geben Sie sie in die folgenden Felder ein (lassen Sie alle anderen Felder leer):
Microsoft Entra-Verzeichnis-ID: Geben Sie die Mandanten-ID ein, die Sie zuvor aufgezeichnet haben. indem Sie sich als Administrator beim Microsoft Entra Admin Center anmelden, zu Identität>Übersicht navigieren und die Registerkarte Übersicht auswählen.
Richtlinien-GUID: Die ID für Ihre mandantenübergreifende Zugriffsrichtlinie. Dies ist die zuvor aufgezeichnete Richtlinien-ID.
Wählen Sie OK aus.
Blockieren von Chrome-, Firefox- und .NET-Anwendungen wie PowerShell
Sie können die Windows-Firewallfunktion verwenden, um zu verhindern, dass nicht geschützte Apps über Chrome-, Firefox- und .NET-Anwendungen wie PowerShell auf Microsoft-Ressourcen zugreifen. Die Anwendungen, die gemäß der Richtlinie für Mandanteneinschränkungen v2 blockiert/zugelassen werden.
Wenn ein Kunde beispielsweise PowerShell zu seiner CIP-Richtlinie für Mandanteneinschränkungen v2 hinzufügt und graph.microsoft.com in seiner Endpunktliste für Mietereinschränkungen v2 aufgeführt ist, sollte PowerShell bei aktivierter Firewall darauf zugreifen können.
Drücken Sie auf dem Windows-Computer auf die Windows-Taste, geben Sie gpeditein, und wählen Sie dann Gruppenrichtlinie bearbeiten (Systemsteuerung).
Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Mandanteneinschränkungen.
Klicken Sie im rechten Bereich mit der rechten Maustaste auf Cloudrichtliniendetails, und wählen Sie dann Bearbeiten aus.
Aktivieren Sie das Kontrollkästchen Firewallschutz von Microsoft-Endpunkten aktivieren, und klicken Sie dann auf OK.
Nachdem Sie die Firewalleinstellung aktiviert haben, versuchen Sie, sich mit einem Chrome-Browser anzumelden. Die Anmeldung sollte mit der folgenden Meldung fehlschlagen:
Anzeigen von Ereignissen für Mandanteneinschränkungen v2
Anzeigen von Ereignissen im Zusammenhang mit Mandanteneinschränkungen in der Ereignisanzeige.
- Öffnen Sie in der Ereignisanzeige Anwendungs- und Dienstprotokolle.
- Navigieren Sie zu Microsoft>Windows>TenantRestrictions>Operational, und suchen Sie nach Ereignissen.
Mandanteneinschränkungen und Unterstützung der Datenebene (Vorschau)
Trv2 wird durch die folgenden Ressourcen erzwungen, die Tokeninfiltrationsszenarien adressieren, in denen ein ungültiger Akteur direkt mit einem infiltrierten Token oder anonym auf die Ressource zugreift.
- Teams
- SharePoint Online wie OneDrive-App
- Exchange Online wie Outlook-App
- Office.com/Office-Apps
Mandanteneinschränkungen und Microsoft Teams (Preview)
Teams verfügt standardmäßig über einen offenen Verbund. Dies bedeutet, dass niemand gehindert wird, an einer Besprechung teilzunehmen, die von einem externen Mandanten gehostet wird. Für eine bessere Kontrolle über den Zugriff auf Teams-Besprechungen können Sie Verbundsteuerelemente in Teams verwenden, um bestimmte Mandanten zuzulassen oder zu blockieren, zusammen mit Mandanteneinschränkungen v2, um den anonymen Zugriff auf Teams-Besprechungen zu blockieren. Um Mandanteneinschränkungen für Teams zu erzwingen, müssen Sie Mandanteneinschränkungen v2 in Ihren Einstellungen für mandantenübergreifenden Microsoft Entra-Zugriff konfigurieren. Außerdem müssen Sie Verbundsteuerelemente im Teams-Admin-Portal einrichten und Teams neu starten. Mandanteneinschränkungen, die für den Unternehmensproxy implementiert werden, blockieren den anonymen Zugriff auf Teams-Besprechungen, SharePoint-Dateien und andere Ressourcen, die keine Authentifizierung erfordern.
- Teams ermöglicht Benutzern derzeit die Teilnahme an jeder extern gehosteten Besprechung mit der jeweiligen geschäftlichen/privaten Identität. Mit Einstellungen für den mandantenübergreifenden ausgehenden Zugriff können Sie die Teilnahme von Benutzern mit geschäftlichen/privaten Identitäten an extern gehosteten Teams-Besprechungen steuern.
- Mandanteneinschränkungen verhindern, dass Benutzer eine extern ausgestellte Identität verwenden, um an Teams-Besprechungen teilzunehmen.
Hinweis
Die Microsoft Teams-App ist von SharePoint Online- und Exchange Online-Apps abhängig. Es wird empfohlen, die TRv2-Richtlinie für die Office 365-App anstelle von Microsoft Teams Services, SharePoint Online oder Exchange Online separat festzulegen. Wenn Sie eine der Anwendungen (SPO oder EXO usw.) zulassen/blockieren, die Teil von Office 365 ist, wirkt sich dies auch auf Apps wie Microsoft Teams aus. Wenn die Microsoft Teams-App zulässig/blockiert ist, wirkt sich dies auf SPO und EXO in der Teams-App aus.
Teilnahme an rein anonymen Besprechungen
Mandanteneinschränkungen v2 blockiert automatisch alle Zugriffe von nicht authentifizierten und extern ausgestellten Identitäten auf extern gehostete Teams-Besprechungen. Angenommen, Contoso verwendet Teams-Verbundsteuerelemente, um den Fabrikam-Mandanten zu blockieren. Wenn eine Person mit einem Contoso-Gerät ein Fabrikam-Konto verwendet, um an einer Contoso Teams-Besprechung teilzunehmen, wird sie als anonymer Benutzer in die Besprechung zugelassen. Wenn Contoso nun auch Mandanteneinschränkungen v2 aktiviert, blockiert Teams den anonymen Zugriff, und der Benutzer kann nicht an der Besprechung teilnehmen.
Teilnahme an Besprechungen mit einer extern ausgestellten Identität
Sie können die Richtlinie für Mandanteneinschränkungen v2 so konfigurieren, dass bestimmte Benutzer oder Gruppen mit extern ausgestellten Identitäten an bestimmten extern gehosteten Teams-Besprechungen teilnehmen können. Bei dieser Konfiguration können sich Benutzer mit ihren extern ausgestellten Identitäten bei Teams anmelden und an den extern gehosteten Teams-Besprechungen des angegebenen Mandanten teilnehmen.
Authentifizierungsidentität | Authentifizierte Sitzung | Ergebnis |
---|---|---|
Mandantenmitgliedsbenutzer (authentifizierte Sitzung) Beispiel: Ein Benutzer verwendet seine Heimidentität als Mitgliedbenutzer (z. B. user@mytenant.com) |
Authentifiziert | Der Zugriff auf die Teams-Besprechung wird durch Mandanteneinschränkungen v2 ermöglicht. TRv2 wird nie auf Mandantenmitgliedsbenutzer angewendet. Es gilt die Richtlinie für den mandantenübergreifenden Zugang (eingehend/ausgehend). |
Anonym (keine authentifizierte Sitzung) Beispiel: Ein Benutzer versucht, eine nicht authentifizierte Sitzung zu verwenden, z. B. in einem InPrivate-Browserfenster, um auf eine Teams-Besprechung zuzugreifen. |
Nicht authentifiziert | Der Zugriff auf die Teams-Besprechung wird durch Mandanteneinschränkungen v2 blockiert. |
Extern ausgestellte Identität (authentifizierte Sitzung) Beispiel: Ein Benutzer verwendet eine andere Identität als seine private Identität (z. B. user@externaltenant.com). |
Authentifiziert als extern ausgestellte Identität | Der Zugriff auf die Teams-Besprechung wird durch Mandanteneinschränkungen v2 zugelassen oder blockiert. Sofern von der Richtlinie zugelassen, kann der Benutzer an der Besprechung teilnehmen. Andernfalls wird der Zugriff blockiert. |
Mandanteneinschränkungen v2 und SharePoint Online (Vorschau)
SharePoint Online unterstützt Mandanteneinschränkungen v2 sowohl auf der Authentifizierungsebene als auch auf der Datenebene.
Authentifizierte Sitzungen
Wenn Mandanteneinschränkungen v2 für einen Mandanten aktiviert sind, wird der nicht autorisierte Zugriff während der Authentifizierung blockiert. Wenn ein Benutzer ohne authentifizierte Sitzung direkt auf eine SharePoint Online-Ressource zugreift, wird er aufgefordert, sich anzumelden. Wenn die Richtlinie für Mandanteneinschränkungen v2 den Zugriff zulässt, kann der Benutzer auf die Ressource zugreifen. Andernfalls wird der Zugriff blockiert.
Anonymer Zugriff (Preview)
Wenn Benutzer*innen versuchen, mithilfe der Basismandanten-/Unternehmensidentität auf eine anonyme Datei zuzugreifen, sind sie in Lage, auf die Datei zuzugreifen. Wenn der Benutzer jedoch versucht, mithilfe einer extern ausgestellten Identität auf die anonyme Datei zuzugreifen, wird der Zugriff blockiert.
Angenommen, ein Benutzer bzw. eine Benutzerin verwendet ein verwaltetes Gerät, das mit Mandanteneinschränkungen v2 für Mandant A konfiguriert ist. Wenn er bzw. sie einen anonymen Zugriffslink auswählt, der für eine Mandant-A-Ressource generiert wird, sollte er bzw. sie anonym auf die Ressource zugreifen können. Wenn sie jedoch einen anonymen Zugriffslink auswählen, der für Mandant B SharePoint Online generiert wurde, werden sie zur Anmeldung aufgefordert. Der anonyme Zugriff auf Ressourcen mit einer extern ausgestellten Identität wird immer blockiert.
Mandanteneinschränkungen v2 und OneDrive (Vorschau)
Authentifizierte Sitzungen
Wenn Mandanteneinschränkungen v2 für einen Mandanten aktiviert sind, wird der nicht autorisierte Zugriff während der Authentifizierung blockiert. Wenn ein Benutzer direkt auf ein OneDrive ohne authentifizierte Sitzung zugreift, wird er aufgefordert, sich anzumelden. Wenn die Richtlinie für Mandanteneinschränkungen v2 den Zugriff zulässt, kann der Benutzer auf die Ressource zugreifen. Andernfalls wird der Zugriff blockiert.
Anonymer Zugriff (Preview)
Wie SharePoint unterstützt OneDrive Mandantenbeschränkungen v2 sowohl auf der Authentifizierungsebene als auch auf der Datenebene. Das Blockieren des anonymen Zugriffs auf OneDrive wird ebenfalls unterstützt. Die Erzwingung von Mandanteneinschränkungen v2-Richtlinien funktioniert beispielsweise am OneDrive-Endpunkt (microsoft-my.sharepoint.com).
Nicht behandelte Bereiche
OneDrive für Consumerkonten (über onedrive.live.com) unterstützt Mandanteneinschränkungen v2 nicht. Einige URLs (z. B. onedrive.live.com) sind unkonvergiert und verwenden unseren Legacystapel. Wenn ein Benutzer über diese URLs auf den OneDrive-Consumermandanten zugreift, wird die Richtlinie nicht erzwungen. Als Problemumgehung können Sie https://onedrive.live.com/ auf Proxyebene blockieren.
Anmeldeprotokolle
Mit Microsoft Entra-Anmeldeprotokollen können Sie Details zu Anmeldungen mit einer Mandanteneinschränkungen v2-Richtlinie anzeigen. Wenn sich ein B2B-Benutzer für die Zusammenarbeit bei einem Ressourcenmandanten anmeldet, wird sowohl im Stammmandanten als auch im Ressourcenmandanten ein Anmeldeprotokoll generiert. Diese Protokolle enthalten Informationen wie die verwendete Anwendung, E-Mail-Adressen, den Mandantennamen und die Mandanten-ID für den Stammmandanten und den Ressourcenmandanten. Das folgende Beispiel zeigt eine erfolgreiche Anmeldung:
Wenn die Anmeldung fehlschlägt, geben die Aktivitätsdetails Informationen über den Grund für den Fehler an:
Überwachungsprotokolle
Die Überwachungsprotokolle enthalten erfasste System- und Benutzeraktivitäten. Dazu zählen auch Aktivitäten, die von Gastbenutzer*innen initiiert wurden. Sie können Überwachungsprotokolle für den Mandanten unter „Überwachung“ anzeigen oder Überwachungsprotokolle für bestimmte Benutzer*innen anzeigen, indem Sie zum Profil der Benutzer*innen navigieren.
Wählen Sie ein Ereignis im Protokoll aus, um weitere Details zu diesem zu erhalten, z. B.:
Sie können diese Protokolle auch aus Microsoft Entra ID exportieren und ein Berichterstellungstool Ihrer Wahl verwenden, um benutzerdefinierte Berichte zu erstellen.
Microsoft Graph
Verwenden Sie Microsoft Graph, um Richtlinieninformationen abzurufen:
HTTP-Anforderung
Abrufen der Standardrichtlinie
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
Zurücksetzen auf den Systemstandard
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
Abrufen der Partnerkonfiguration
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
Abrufen einer bestimmten Partnerkonfiguration
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
Aktualisieren eines bestimmten Partners
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
Anforderungstext
"tenantRestrictions": {
"usersAndGroups": {
"accessType": "allowed",
"targets": [
{
"target": "AllUsers",
"targetType": "user"
}
]
},
"applications": {
"accessType": "allowed",
"targets": [
{
"target": "AllApplications",
"targetType": "application"
}
]
}
}
Bekannte Einschränkung
Mandanteneinschränkungen v2 werden nicht erzwungen, wenn eine Anforderung über Cloudgrenzen hinweg erfolgt.
Nächste Schritte
Unter Konfigurieren der Einstellungen für externe Zusammenarbeit finden Sie Informationen zur B2B-Zusammenarbeit mit Azure AD-fremden Identitäten, Identitäten sozialer Netzwerke und nicht von der IT verwalteten externen Konten.