Begränsningar för universell klientorganisation
Begränsningar för universell klientorganisation förbättrar funktionerna i klientbegränsning v2 med global säker åtkomst för att tagga all trafik oavsett operativsystem, webbläsare eller enhetsformulärfaktor. Det ger stöd för både klient- och fjärrnätverksanslutning. Administratörer behöver inte längre hantera proxyserverkonfigurationer eller komplexa nätverkskonfigurationer.
Universella klientbegränsningar tillämpar detta med hjälp av global säker åtkomstbaserad principsignalering för både autentiseringsplanet (allmänt tillgängligt) och dataplanet (förhandsversion). Klientbegränsningar v2 gör det möjligt för företag att förhindra dataexfiltrering av användare som använder externa klientidentiteter för Microsoft Entra-integrerade program som Microsoft Graph, SharePoint Online och Exchange Online. Dessa tekniker fungerar tillsammans för att förhindra dataexfiltrering universellt över alla enheter och nätverk.
I följande tabell beskrivs de steg som vidtagits vid varje punkt i föregående diagram.
| Steg | Description |
|---|---|
| 1 | Contoso konfigurerar en princip för **klientbegränsningar v2 ** i inställningarna för åtkomst mellan klientorganisationer för att blockera alla externa konton och externa appar. Contoso tillämpar principen med globala begränsningar för säker åtkomst för universell klientorganisation. |
| 2 | En användare med en Contoso-hanterad enhet försöker komma åt en Microsoft Entra-integrerad app med en icke-sanktionerad extern identitet. |
| 3 | Skydd mot autentiseringsplan: Med Microsoft Entra-ID blockerar Contosos princip osanktionerade externa konton från att komma åt externa klienter. |
| 4 | Dataskydd: Om användaren återigen försöker komma åt ett externt osanktionerat program genom att kopiera en autentiseringssvarstoken som de fick utanför Contosos nätverk och klistra in den på enheten blockeras de. Tokenmatchningsfelet utlöser omautentisering och blockerar åtkomst. För SharePoint Online blockeras alla försök att anonymt komma åt resurser. För Teams nekas försök att ansluta till möten anonymt. |
Begränsningar för universella klientorganisationer hjälper till att förhindra dataexfiltrering mellan webbläsare, enheter och nätverk på följande sätt:
- Det gör det möjligt för Microsoft Entra-ID, Microsoft-konton och Microsoft-program att söka efter och tillämpa den associerade principen för klientbegränsningar v2. Den här sökningen möjliggör konsekvent principprogram.
- Fungerar med alla Microsoft Entra-integrerade appar från tredje part på autentiseringsplanet under inloggningen.
- Fungerar med Exchange, SharePoint/OneDrive, Teams och Microsoft Graph för dataskydd (förhandsversion)
Tillämpningsplatser för universella klientbegränsningar
Autentiseringsplan
Autentiseringsplanet tillämpas vid tidpunkten för Entra-ID eller Microsoft-kontoautentisering. När användaren är ansluten till den globala klienten för säker åtkomst eller via fjärrnätverksanslutning kontrolleras principen Klientbegränsningar v2 för att avgöra om autentisering ska tillåtas. Om användaren loggar in på organisationens klientorganisation tillämpas inte principen för klientbegränsningar. Om användaren loggar in på en annan klientorganisation tillämpas principen. Alla program som är integrerade med Entra-ID eller använder Microsoft-konto för autentisering har stöd för universella klientbegränsningar på autentiseringsplanet.
Dataplan (förhandsversion)
Dataplanstillämpning utförs av resursleverantören (en Microsoft-tjänst som stöder klientbegränsningar) när data nås. Dataplanesskydd säkerställer att importerade autentiseringsartefakter (till exempel en åtkomsttoken som hämtats på en annan enhet och kringgå autentiseringsplanens krav som definieras i din Tenant Restrictions v2-policy) inte kan spelas upp från er organisations enheter för att undvika dataexfiltration. Dessutom förhindrar dataskydd användare av anonyma åtkomstlänkar i SharePoint/OneDrive för företag och förhindrar att användarna ansluter till Teams-möten anonymt.
Förutsättningar
- Administratörer som interagerar med funktioner för global säker åtkomst måste ha en eller flera av följande rolltilldelningar beroende på vilka uppgifter de utför.
- Rollen Global administratör för säker åtkomst för att hantera funktionerna för global säker åtkomst.
- Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.
- Microsoft-trafikprofilen måste vara aktiverad och FQDN/IP-adresser för tjänster som har universella klientbegränsningar är inställda på "Tunnel"-läge.
- Klienter för global säker åtkomst distribueras eller fjärranslutning till nätverk konfigureras.
Konfigurera princip för klientbegränsningar v2
Innan en organisation kan använda universella klientbegränsningar måste de konfigurera både standardbegränsningar för klientorganisationer och klientbegränsningar för specifika partner.
Mer information om hur du konfigurerar dessa principer finns i artikeln Konfigurera klientbegränsningar v2.
Aktivera global säker åtkomstsignalering för hyresgästbegränsningar
När du har skapat principerna för klientbegränsning v2 kan du använda Global säker åtkomst för att tillämpa taggning för klientbegränsningar v2. En administratör med både rollen Global administratör för säker åtkomst och säkerhetsadministratör måste vidta följande steg för att aktivera tillämpning med global säker åtkomst.
- Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.
- Bläddra till Globala inställningar för >
- Välj växlingsknappen för att aktivera klientbegränsningar för Entra-ID (omfattar alla molnappar).
Prova begränsningar för universell klientorganisation
Klientbegränsningar tillämpas inte när en användare (eller en gästanvändare) försöker komma åt resurser i klientorganisationen där principerna har konfigurerats. Klientbegränsningar v2-principer bearbetas endast när en identitet från en annan klient försöker logga in och/eller kommer åt resurser. Om du till exempel konfigurerar en princip för klientbegränsningar v2 i klientorganisationen contoso.com för att blockera alla organisationer utom fabrikam.comtillämpas principen enligt den här tabellen:
| User | Typ | Klientorganisation | Bearbetad TRv2-princip? | Tillåten autentiserad åtkomst? | Tillåten anonym åtkomst? |
|---|---|---|---|---|---|
alice@contoso.com |
Medlem | contoso.com | Nej(samma klientorganisation) | Ja | Nej |
alice@fabrikam.com |
Medlem | fabrikam.com | Ja | Ja(klientorganisation tillåts av principen) | Nej |
bob@northwinds.com |
Medlem | northwinds.com | Ja | Nej(klientorganisation tillåts inte av principen) | Nej |
alice@contoso.com |
Medlem | contoso.com | Nej(samma klientorganisation) | Ja | Nej |
bob_northwinds.com#EXT#@contoso.com |
Gäst | contoso.com | Nej(gästanvändare) | Ja | Nej |
Verifiera autentiseringsplanets skydd
- Se till att signaler om universella klientbegränsningar är inaktiverade i inställningarna för global säker åtkomst.
- Använd webbläsaren för att navigera till
https://myapps.microsoft.com/och logga in med identiteten från en annan klientorganisation än din som inte är tillåten i en princip för klientbegränsningar v2. Observera att du kan behöva använda ett privat webbläsarfönster och/eller logga ut från ditt primära konto för att utföra det här steget.- Om din klientorganisation till exempel är Contoso loggar du in som Fabrikam-användare i Fabrikam-klientorganisationen.
- Fabrikam-användaren bör kunna komma åt MyApps-portalen eftersom signaler om klientbegränsningar är inaktiverade i global säker åtkomst.
- Aktivera universella klientbegränsningar i administrationscentret för Microsoft Entra –> Global säker åtkomst –> Sessionshantering –> Universella klientbegränsningar.
- Logga ut från MyApps-portalen och starta om webbläsaren.
- Som slutanvändare, med Global Secure Access-klienten igång, åtkomst
https://myapps.microsoft.com/med samma identitet (Fabrikam-användare i Fabrikam-klientorganisationen).- Fabrikam-användaren bör blockeras från att autentisera till MyApps med felmeddelandet: Åtkomsten är blockerad, Contoso IT-avdelningen har begränsat vilka organisationer som kan nås. Kontakta Contoso IT-avdelningen för att få åtkomst.
Verifiera dataskyddet
- Se till att signalering av universella klientbegränsningar är inaktiverad i inställningarna för global säker åtkomst.
- Använd webbläsaren för att navigera till
https://yourcompany.sharepoint.com/och logga in med identiteten från en annan klientorganisation än din som inte är tillåten i en princip för klientbegränsningar v2. Observera att du kan behöva använda ett privat webbläsarfönster och/eller logga ut från ditt primära konto för att utföra det här steget.- Om din klientorganisation till exempel är Contoso loggar du in som Fabrikam-användare i Fabrikam-klientorganisationen.
- Fabrikam-användaren bör kunna komma åt SharePoint eftersom klientbegränsningar v2-signaler är inaktiverade i global säker åtkomst.
- Du kan också öppna Utvecklarverktyg i samma webbläsare med SharePoint Online eller trycka på F12 på tangentbordet. Börja samla in nätverksloggarna. Du bör se HTTP-begäranden som returnerar status
200när du navigerar i SharePoint när allt fungerar som förväntat. - Kontrollera att alternativet Bevara logg är markerat innan du fortsätter.
- Håll webbläsarfönstret öppet med loggarna.
- Aktivera universella klientbegränsningar i administrationscentret för Microsoft Entra –> Global säker åtkomst –> Sessionshantering –> Begränsningar för universell klientorganisation.
- Som Fabrikam-användare, i webbläsaren med SharePoint Online öppen, inom några minuter, visas nya loggar. Webbläsaren kan också uppdatera sig själv baserat på begäran och svar som sker i serverdelen. Om webbläsaren inte uppdateras automatiskt efter ett par minuter uppdaterar du sidan.
- Fabrikam-användaren ser att deras åtkomst nu blockeras med meddelandet: Åtkomst blockeras, Contoso IT-avdelningen har begränsat vilka organisationer som kan nås. Kontakta Contoso IT-avdelningen för att få åtkomst.
- I loggarna letar du efter statusen
302. Den här raden visar universella klientbegränsningar som tillämpas på trafiken.- I samma svar kontrollerar du rubrikerna för följande information som identifierar att universella klientbegränsningar tillämpades:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- I samma svar kontrollerar du rubrikerna för följande information som identifierar att universella klientbegränsningar tillämpades:
Kända begränsningar
Den här funktionen har en eller flera kända begränsningar. Mer detaljerad information om kända problem och begränsningar för den här funktionen finns i Kända begränsningar för global säker åtkomst.