Compartilhar via


Restrições de locatário universal

As restrições de locatário universal aprimoram a funcionalidade da restrição de locatário v2 usando o Acesso Global Seguro para marcar todo o tráfego, independentemente do sistema operacional, navegador ou fator forma do dispositivo. Ele permite o suporte para conectividade de cliente e de rede remota. Os administradores não precisam mais gerenciar configurações de servidor proxy ou configurações de rede complexas.

As Restrições de locatário universal fazem essa imposição usando a sinalização de política baseada no Acesso Global Seguro para o plano de autenticação (Disponibilidade geral) e o plano de dados (Versão prévia). As restrições de locatário v2 permitem que as empresas impeçam a exfiltração de dados por usuários usando identidades de locatário externas para aplicativos integrados do Microsoft Entra, como Microsoft Graph, SharePoint Online e Exchange Online. Essas tecnologias trabalham juntas para evitar a exfiltração de dados universalmente em todos os dispositivos e redes.

Diagrama mostrando como as restrições de locatário v2 protegem contra usuários mal-intencionados.

A tabela a seguir explica as etapas executadas em cada ponto do diagrama anterior.

Etapa Descrição
1 A Contoso configura uma política de **restrições de locatário v2 ** em suas configurações de acesso entre locatários para bloquear todas as contas externas e aplicativos externos. A Contoso impõe a política usando restrições universais de locatário do Acesso Global Seguro.
2 Um usuário com um dispositivo gerenciado pela Contoso tenta acessar um aplicativo integrado do Microsoft Entra com uma identidade externa não sancionada.
3 Proteção do plano de autenticação: usando a ID do Microsoft Entra, a política da Contoso impede que contas externas não sancionadas acessem locatários externos.
4 Proteção do plano de dados: o usuário tenta acessar o aplicativo externo copiando um token de resposta de autenticação obtido fora da rede da Contoso e adicionando no dispositivo Windows. A incompatibilidade de token dispara a reautenticação e bloqueia o acesso. No SharePoint Online, toda tentativa de acessar recursos anonimamente será bloqueada.

As restrições universais de locatário ajudam a impedir a exfiltração de dados entre navegadores, dispositivos e redes das seguintes maneiras:

  • Ele permite que os aplicativos Microsoft, o Microsoft Entra ID e contas Microsoft procurem e imponham as restrições de locatário associadas à política v2. Essa pesquisa permite um aplicativo de política consistente.
  • Funciona com todos os aplicativos de terceiros integrados ao Microsoft Entra no plano de autenticação durante a entrada.
  • Funciona com o Exchange, SharePoint e Microsoft Graph para proteção do plano de dados (Versão prévia)

Pré-requisitos

Limitações conhecidas

  • Os recursos de proteção do plano de dados estão em versão prévia (a proteção do plano de autenticação está em disponibilidade geral)
  • Ao usar Restrições Universais de Locatário e acessar o centro de administração do Microsoft Entra para gerenciar um locatário parceiro permitido pela política Restrições de Locatário v2, você poderá receber erros de autorização. Para contornar esse problema, você precisa adicionar o parâmetro de consulta ?exp.msaljsoptedoutextensions=%7B%7D ao URL do centro de administração do Microsoft Entra (por exemplo, https://entra.microsoft.com/?exp.msaljsoptedoutextensions=%7B%7D).

Configurar a política de Restrições de locatário v2

Antes que uma organização possa usar restrições universais de locatário, ela deve configurar as restrições de locatário padrão e as restrições de locatário para quaisquer parceiros específicos.

Para obter mais informações sobre como configurar essas políticas, confira o artigo Configurar as restrições de locatário v2.

Habilitar a marcação para as Restrições de locatário v2

Depois de criar as políticas de restrição de locatário v2, você poderá utilizar o Acesso Global Seguro para aplicar a marcação para restrições de locatário v2. Um administrador com as funções de Administrador de Acesso Global Seguro e Administrador de Segurança deve executar as etapas a seguir para habilitar a imposição com o Acesso Global Seguro.

  1. Entre no centro de administração do Microsoft Entra como um Administrador do Acesso Global Seguro.
  2. Navegue até Acesso Seguro Global>Configurações>Gerenciamento de sessão>Restrições universais de locatário.
  3. Selecione a alternância para Habilitar Restrições de Locatário para a ID do Entra (abrangendo todos os aplicativos de nuvem).

Experimentar as Restrições de locatário universal

As restrições de locatário não são impostas quando um usuário (ou um usuário convidado) tenta acessar recursos no locatário onde as políticas estão configuradas. As políticas de Restrições de locatário v2 são processadas somente quando uma identidade de um locatário diferente tenta entrar e/ou acessar recursos. Por exemplo, se você configurar uma política de Restrições de locatário v2 no locatário contoso.com para bloquear todas as organizações, exceto fabrikam.com, a política será aplicada de acordo com esta tabela:

Usuário Tipo Locatário Política TRv2 processada? Acesso autenticado permitido? Acesso anônimo permitido?
alice@contoso.com Membro contoso.com Não (mesmo locatário) Sim No
alice@fabrikam.com Membro fabrikam.com Sim Sim(locatário permitido pela política) Não
bob@northwinds.com Membro northwinds.com Sim Não (locatário não permitido pela política) Não
alice@contoso.com Membro contoso.com Não (mesmo locatário) Sim No
bob_northwinds.com#EXT#@contoso.com Convidado contoso.com Não (usuário convidado) Sim No

Validar a proteção do plano de autenticação

  1. Certifique-se de que a sinalização de Restrições universais de locatário está desativada nas configurações do Acesso Global Seguro.
  2. Use seu navegador para navegar para https://myapps.microsoft.com/ e entrar com a identidade de um locatário diferente do seu que não esteja na lista de permissões de uma política de restrições de locatário v2. Observe que talvez seja necessário usar uma janela privada do navegador e/ou fazer logoff da sua conta primária para executar esta etapa.
    1. Por exemplo, se o locatário for Contoso, entre como um usuário da Fabrikam no locatário da Fabrikam.
    2. O usuário da Fabrikam deve poder acessar o portal MyApps, já que a sinalização de Restrições de locatário está desabilitada no Acesso Global Seguro.
  3. Ative as restrições universais de locatário no centro de administração do Microsoft Entra –> Acesso Seguro Global – >Gerenciamento de Sessão –> Restrições universais de locatário.
  4. Saia do portal MyApps e reinicie seu navegador.
  5. Como um usuário final, com o Cliente de Acesso Global Seguro em execução, acesse https://myapps.microsoft.com/ usando a mesma identidade (usuário da Fabrikam no locatário da Fabrikam).
    1. O usuário da Fabrikam deve ser impedido de autenticar no MyApps com a mensagem de erro: o Access está bloqueado, o departamento de TI da Contoso restringiu quais organizações podem ser acessadas. Entre em contato com o departamento de TI da Contoso para obter acesso.

Validar a proteção do plano de dados

  1. Certifique-se de que a sinalização de Restrições universais de locatário está desativada nas configurações do Acesso Global Seguro.
  2. Use seu navegador para navegar para https://yourcompany.sharepoint.com/ e entrar com a identidade de um locatário diferente do seu que não esteja na lista de permissões de uma política de Restrições de locatário v2. Observe que talvez seja necessário usar uma janela privada do navegador e/ou fazer logoff da sua conta primária para executar esta etapa.
    1. Por exemplo, se o locatário for Contoso, entre como um usuário da Fabrikam no locatário da Fabrikam.
    2. O usuário da Fabrikam deve poder acessar o SharePoint, já que a sinalização de Restrições de locatário v2 está desabilitada no Acesso Global Seguro.
  3. Opcionalmente, no mesmo navegador com o SharePoint Online aberto, abra as Ferramentas para Desenvolvedores ou pressione F12 no teclado. Comece a capturar os logs de rede. Você deverá ver as solicitações HTTP retornando o status 200 enquanto navega pelo SharePoint quando tudo estiver funcionando conforme o esperado.
  4. Verifique se a opção Preservar log está marcada antes de continuar.
  5. Mantenha a janela do navegador aberta com os logs.
  6. Ative as Restrições universais de locatário no centro de administração do Microsoft Entra –> Acesso Seguro Global – Gerenciamento de Sessão> –> Restrições universais de locatário.
  7. Como usuário da Fabrikam, no navegador com o SharePoint Online aberto, em poucos minutos, novos logs aparecem. Além disso, o navegador pode se atualizar com base na solicitação e nas respostas que acontecem no back-end. Se o navegador não for atualizado automaticamente após alguns minutos, atualize a página.
    1. O usuário da Fabrikam vê que seu acesso agora está bloqueado com a mensagem: Access está bloqueado, o departamento de TI da Contoso restringiu quais organizações podem ser acessadas. Entre em contato com o departamento de TI da Contoso para obter acesso.
  8. Nos logs, procure um Status de 302. Esta linha mostra as restrições universais de locatário que estão sendo aplicadas ao tráfego.
    1. Na mesma resposta, verifique os cabeçalhos para obter as seguintes informações que identificam que as restrições universais de locatário foram aplicadas:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

Próximas etapas