Ограничения универсального клиента
Ограничения универсального клиента повышают функциональность ограничения клиента версии 2 с помощью глобального безопасного доступа для тегов всего трафика независимо от операционной системы, браузера или форм-фактора устройства. Она обеспечивает поддержку подключения как клиента, так и удаленного сетевого подключения. Администраторы больше не должны управлять конфигурациями прокси-сервера или сложными сетевыми конфигурациями.
Ограничения универсального клиента применяются с помощью политики на основе глобального безопасного доступа, сигналив для плоскости проверки подлинности (общедоступная версия) и плоскости данных (предварительная версия). Ограничения клиентов версии 2 позволяют предприятиям предотвращать утечку данных пользователями с помощью удостоверений внешнего клиента для интегрированных приложений Microsoft Entra, таких как Microsoft Graph, SharePoint Online и Exchange Online. Эти технологии работают вместе, чтобы предотвратить кражу данных на всех устройствах и сетях.
В следующей таблице описаны шаги, выполненные на каждой точке предыдущей схемы.
| Этап | Описание: |
|---|---|
| 1 | Компания Contoso настраивает политику **ограничения клиента версии 2 ** в параметрах доступа между клиентами для блокировки всех внешних учетных записей и внешних приложений. Компания Contoso применяет политику с помощью ограничений универсального клиента Global Secure Access. |
| 2 | Пользователь с управляемым contoso устройством пытается получить доступ к интегрированному приложению Microsoft Entra с неуправляемым внешним удостоверением. |
| 3 | Защита уровня проверки подлинности. Использование идентификатора Microsoft Entra политика Contoso блокирует неуправляемые внешние учетные записи от доступа к внешним клиентам. |
| 4 | Защита плоскости данных: если пользователь снова пытается получить доступ к внешнему несанкционированному приложению, скопировав маркер ответа проверки подлинности, полученный за пределами сети Contoso и вставив его на устройство, они блокируются. Несоответствие маркера активирует повторную проверку подлинности и блокирует доступ. Для SharePoint Online любая попытка анонимного доступа к ресурсам будет заблокирована. Для Teams попытки присоединиться к собраниям анонимно будут отклонены. |
Ограничения универсального клиента помогают предотвратить кражу данных в браузерах, устройствах и сетях следующим образом:
- Он позволяет приложениям Microsoft Entra ID, учетных записей Майкрософт и приложений Майкрософт искать и применять связанные ограничения клиента версии 2. Эта подстановка позволяет согласованному приложению политики.
- Работает со всеми интегрированными сторонними приложениями Microsoft Entra на плоскости проверки подлинности во время входа.
- Работает с Exchange, SharePoint/OneDrive, Teams и Microsoft Graph для защиты плоскости данных (предварительная версия)
Точки принудительного применения универсальных ограничений клиента
Уровень аутентификации
Принудительное применение авторизационной плоскости происходит во время проверки подлинности Entra ID или учетной записи Microsoft. Если пользователь подключен к клиенту глобального безопасного доступа или через подключение к удаленной сети, политика ограничений арендаторов версии 2 проверяется для определения, следует ли разрешить аутентификацию. Если пользователь входит в клиент своей организации, политика ограничений клиентов не применяется. Если пользователь входит в другого арендатора, политика применяется. Любое приложение, интегрированное с Entra ID или использующее учетную запись Майкрософт для проверки подлинности, поддерживает универсальные ограничения арендатора на этапе проверки подлинности.
Плоскость данных (предварительный просмотр)
Применение политики управления данными осуществляется поставщиком ресурсов (службой Microsoft, поддерживающей ограничения арендаторов) в момент доступа к данным. Защита плоскости данных гарантирует, что импортированные артефакты аутентификации (например, токен доступа, полученный на другом устройстве, в обход механизмов аутентификации, определенных в вашей политике Ограничения арендатора версии 2) не могут быть воспроизведены с устройств вашей организации для эксфильтрации данных. Кроме того, защита канала передачи данных запрещает использование анонимных ссылок доступа в SharePoint/OneDrive для бизнеса и не позволяет пользователям присоединяться к встречам Teams анонимно.
Необходимые компоненты
- Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
- Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
- Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
- профиль трафика Майкрософт должен быть включен, а полные доменные имена (FQDN) или IP-адреса служб, для которых будут установлены универсальные ограничения клиента, устанавливаются в режим «туннель».
- развернуты клиенты глобального безопасного доступа или настроены подключения к удаленной сети.
Настройка политики ограничений клиента версии 2
Прежде чем организация сможет использовать универсальные ограничения клиента, они должны настроить как ограничения клиента по умолчанию, так и ограничения клиента для любых конкретных партнеров.
Дополнительные сведения о настройке этих политик см. в статье "Настройка ограничений клиента версии 2".
Включение сигнала глобального безопасного доступа для ограничений клиента
После создания политик ограничения клиента версии 2 можно использовать глобальный безопасный доступ для применения тегов для ограничений клиента версии 2. Администратор с ролью глобального администратора безопасного доступа и администратора безопасности должен выполнить следующие действия, чтобы обеспечить принудительное применение с помощью глобального безопасного доступа.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к ограничениям универсального клиента глобального управления>> безопасного доступа.>
- Выберите переключатель для включения ограничений клиента для идентификатора записи (охватывающего все облачные приложения).
Попробуйте использовать ограничения универсального клиента
Ограничения клиента не применяются, когда пользователь (или гостевой пользователь) пытается получить доступ к ресурсам в клиенте, где настроены политики. Политики ограничений клиента версии 2 обрабатываются только в том случае, если удостоверение из другого клиента пытается войти и /или получить доступ к ресурсам. Например, если вы настроите политику ограничений клиента версии 2 в клиенте contoso.com , чтобы заблокировать все организации, кроме fabrikam.comэтого, политика будет применяться в соответствии с этой таблицей:
| User | Тип | Клиент | Политика TRv2 обработана? | Разрешен доступ с проверкой подлинности? | Разрешен анонимный доступ? |
|---|---|---|---|---|---|
alice@contoso.com |
Элемент | contoso.com | No(тот же клиент) | Да | Нет |
alice@fabrikam.com |
Элемент | fabrikam.com | Да | Да(клиент, разрешенный политикой) | Нет |
bob@northwinds.com |
Элемент | northwinds.com | Да | Нет(клиент не разрешен политикой) | Нет |
alice@contoso.com |
Элемент | contoso.com | No(тот же клиент) | Да | Нет |
bob_northwinds.com#EXT#@contoso.com |
Гость | contoso.com | No(гостевой пользователь) | Да | Нет |
Проверка защиты уровня проверки подлинности
- Убедитесь, что в параметрах глобального безопасного доступа отключен сигнал об ограничениях универсального клиента.
- Используйте браузер для перехода
https://myapps.microsoft.com/и входа с удостоверением из клиента, отличного от вашего, который не указан в политике ограничений клиента версии 2. Обратите внимание, что для выполнения этого шага может потребоваться использовать частное окно браузера и (или) выйти из основной учетной записи.- Например, если клиент — Contoso, войдите в качестве пользователя Fabrikam в клиенте Fabrikam.
- Пользователь Fabrikam должен иметь доступ к порталу MyApps, так как уведомления об ограничениях клиента отключены в глобальном безопасном доступе.
- Включите ограничения универсального клиента в Центре администрирования Microsoft Entra — глобальный безопасный доступ —>> управление сеансами —> ограничения универсального клиента.
- Выйдите на портале MyApps и перезапустите браузер.
- В качестве конечного пользователя с запущенным клиентом Глобального безопасного доступа доступ к
https://myapps.microsoft.com/ней используется то же удостоверение (пользователь Fabrikam в клиенте Fabrikam).- Пользователь Fabrikam должен быть заблокирован от проверки подлинности в MyApps с сообщением об ошибке: Доступ заблокирован, ИТ-отдел Contoso ограничен доступом к организациям. Чтобы получить доступ, обратитесь в ИТ-отдел Contoso.
Проверка защиты плоскости данных
- Убедитесь, что сигнал об ограничениях универсального клиента отключен в параметрах глобального безопасного доступа.
- Используйте браузер для перехода
https://yourcompany.sharepoint.com/и входа с удостоверением клиента, отличного от вашего клиента, который не указан в политике ограничений клиента версии 2. Обратите внимание, что для выполнения этого шага может потребоваться использовать частное окно браузера и (или) выйти из основной учетной записи.- Например, если клиент — Contoso, войдите в качестве пользователя Fabrikam в клиенте Fabrikam.
- Пользователь Fabrikam должен иметь доступ к SharePoint, так как ограничения клиента версии 2 отключается в глобальном безопасном доступе.
- При необходимости в том же браузере с SharePoint Online откройте, откройте средства разработчика или нажмите клавишу F12 на клавиатуре. Начните записывать сетевые журналы. Http-запросы должны отображаться при
200переходе к SharePoint, когда все работает должным образом. - Убедитесь, что параметр "Сохранить журнал" установлен перед продолжением.
- Откройте окно браузера с помощью журналов.
- Включите ограничения универсального клиента в Центре администрирования Microsoft Entra — глобальный безопасный доступ —>> управление сеансами —> ограничения универсального клиента.
- Как пользователь Fabrikam, в браузере с SharePoint Online откройте в течение нескольких минут новые журналы. Кроме того, браузер может обновиться на основе запроса и ответа, происходящих в внутренней части. Если браузер не обновляется автоматически через пару минут, обновите страницу.
- Пользователь Fabrikam видит, что доступ теперь заблокирован с сообщением: доступ заблокирован, ИТ-отдел Contoso ограничен доступом к организациям. Чтобы получить доступ, обратитесь в ИТ-отдел Contoso.
- В журналах найдите состояние
302. В этой строке показаны ограничения универсального клиента, применяемые к трафику.- В том же ответе проверьте заголовки для следующих сведений, определяющих, что были применены ограничения универсального клиента:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- В том же ответе проверьте заголовки для следующих сведений, определяющих, что были применены ограничения универсального клиента:
Известные ограничения
Эта функция имеет одно или несколько известных ограничений. Более подробную информацию об известных проблемах и ограничениях этой функции см. в разделе "Известные ограничения для глобального безопасного доступа".