设置租户限制 v2

适用于:带白色勾号的绿色圆圈。 员工租户 带灰色 X 号的白色圆圈。 外部租户(了解详细信息

注意

本文所述的某些功能是预览功能。 有关预览版的详细信息,请参阅 Microsoft Azure 预览版补充使用条款

为了增强安全性,可以限制用户在使用外部帐户从你的网络或设备登录时可访问的内容。 跨租户访问设置附带的租户限制设置让你可以创建策略来控制对外部应用的访问。

例如,假设你的组织中的一名用户在未知租户中创建了一个单独的帐户,或者一个外部组织为你的用户提供了一个允许他们登录其组织的帐户。 你可以使用租户限制来防止用户在使用外部帐户登录到你的网络或设备上时使用部分或所有外部应用。

租户限制 v2 示意图。

步骤 说明
1 Contoso 在其跨租户访问设置中配置租户限制以阻止所有外部帐户和外部应用。 Contoso 可通过通用 TRv2公司代理 添加具有 TRv2 标头的 TRv2 强制信号,当请求中存在标头时,Microsoft Entra ID 将强制实施 TRv2 策略。
2 使用 Contoso 托管设备的用户会尝试使用来自未知租户的帐户登录到外部应用。 将包含 Contoso 租户 ID 和租户限制策略 ID 的 TRv2 HTTP 标头添加到身份验证请求中。
3 身份验证平面保护:Microsoft Entra ID 将强制实施 Contoso 的 TRv2 策略,并根据 Contoso TRv2 策略阻止外部帐户在身份验证期间访问外部租户。
4 数据平面保护(预览):Microsoft Entra ID 将阻止对 SharePoint 文件或匿名团队会议加入的任何匿名访问,并阻止用户使用渗透令牌访问资源。

租户限制 v2 提供了用于身份验证平面保护和数据平面保护的选项。

  • 身份验证平面保护是指使用租户限制 v2 策略阻止使用外部标识的登录。 例如,可以通过阻止攻击者登录到其恶意租户来防止恶意内部人员通过外部电子邮件泄露数据。 租户限制 v2 身份验证平面保护现已正式发布。

  • 数据平面保护是指防止绕过身份验证的攻击。 例如,攻击者可能会尝试通过使用 Teams 匿名会议加入或 SharePoint 匿名文件访问来允许访问恶意租户应用。 或者,攻击者可能会从恶意租户中的设备复制访问令牌并将其导入你的组织设备。 租户限制 v2 数据平面保护强制用户在尝试访问资源时进行身份验证,并在身份验证失败时阻止访问。

租户限制 v1 通过企业代理上配置的租户允许列表提供身份验证平面保护,而租户限制 v2 提供了精细的身份验证和数据平面保护选项(无论是否使用企业代理)。 如果使用公司代理进行标头注入,则选项仅包括身份验证平面保护。

租户限制 v2 概述

在你的组织的跨租户访问设置中,可以配置租户限制 v2 策略。 创建策略后,可通过三种方式在组织中应用策略。

  • 通用租户限制 v2。 此选项提供了身份验证平面和数据平面保护,无需企业代理。 通用租户限制使用全局安全访问来标记所有流量,适用于所有操作系统、浏览器、设备外形规格。 它支持客户端和远程网络连接。
  • 身份验证平面租户限制 v2。 你可以在组织中部署企业代理,并配置代理以设置租户限制 v2 信号,针对所有去往 Microsoft Entra ID 和 Microsoft 帐户 (MSA) 的流量。
  • Windows 租户限制 v2。 对于企业拥有的 Windows 设备,可以通过直接在设备上强制实施租户限制来强制实施身份验证平面和数据平面保护。 租户限制在资源访问发生时强制实施,提供数据路径覆盖并防范令牌渗透。 企业代理不是策略强制实施所必需的。 设备可以是 Microsoft Entra ID 托管或已加入域的设备(通过组策略进行管理)。

注意

本文介绍如何使用 Microsoft Entra 管理中心配置租户限制 v2。 还可以使用 Microsoft Graph 跨租户访问 API 来创建这些相同的租户限制策略。

支持的方案

租户限制 v2 的范围可以限定为特定用户、组、组织或外部应用。 基于 Windows 操作系统网络堆栈构建的应用受到保护。 支持以下方案:

  • 所有 Office 应用(所有版本/发布通道)。
  • 通用 Windows 平台 (UWP) .NET 应用程序。
  • 针对使用 Microsoft Entra ID 进行身份验证的所有应用程序(包括所有 Microsoft 第一方应用程序和使用 Microsoft Entra ID 进行身份验证的任何第三方应用程序)的身份验证平面保护。
  • 针对 SharePoint Online 和 Exchange Online 的数据平面保护。
  • 对 SharePoint Online、OneDrive for Business 和 Teams(已配置联合控制)提供匿名访问保护。
  • 针对 Microsoft 租户或使用者帐户的身份验证和数据平面保护。
  • 在全局安全访问中使用通用租户限制时,所有浏览器和平台。
  • 使用 Windows 组策略、Microsoft Edge 和 Microsoft Edge 中的所有网站时。

不支持的方案

  • 匿名阻止使用者 OneDrive 帐户。 客户可以通过阻止 https://onedrive.live.com/ 在代理级别解决问题。
  • 当用户使用匿名链接或非 Azure AD 帐户访问第三方应用(如 Slack)时。
  • 当用户将 Microsoft Entra ID 颁发的令牌从家庭计算机复制到工作计算机并使用它访问 Slack 等第三方应用时。
  • Microsoft 帐户的每用户租户限制。

租户限制 v1 和 v2 功能对比

下表比较了每个版本中的功能。

租户限制 v1 租户限制 v2
策略强制执行 公司代理在 Microsoft Entra ID 控制平面中强制实施租户限制策略。 选项:

- 全局安全访问中的通用租户限制,它使用策略信号来标记所有流量,在所有平台上同时提供身份验证和数据平面支持。

- 仅身份验证平面保护,企业代理对所有流量设置租户限制 v2 信号。

- Windows 设备管理,设备配置为将 Microsoft 流量指向租户限制策略,策略在云中强制实施。
策略强制实施限制 通过将租户添加到 Microsoft Entra 流量允许列表来管理公司代理。 Restrict-Access-To-Tenants 中标头值的字符限制:<allowed-tenant-list> 限制可添加的租户数。 在跨租户访问策略中由云策略管理。 租户级别的默认策略,并为每个外部租户创建合作伙伴策略。
恶意租户请求 Microsoft Entra ID 会阻止恶意租户身份验证请求以提供身份验证平面保护。 Microsoft Entra ID 会阻止恶意租户身份验证请求以提供身份验证平面保护。
粒度 仅限于租户和所有 Microsoft 帐户。 租户、用户、组和应用程序粒度。 (Microsoft 账户不支持用户级粒度。)
匿名访问 允许匿名访问 Teams 会议和文件共享。 阻止匿名访问 Teams 会议。 禁止访问匿名共享资源(“任何具有该链接的人”)。
Microsoft 帐户 使用 Restrict-MSA 标头阻止对使用者帐户的访问。 允许在标识和数据平面上控制 Microsoft 帐户(MSA 和 Live ID)身份验证。

例如,如果默认强制实施租户限制,则可以创建特定于 Microsoft 帐户的策略,允许用户使用其 Microsoft 帐户访问特定应用:
Microsoft Learn(应用 ID 18fbca16-2224-45f6-85b0-f7bf2b39b3f3),或
Microsoft Enterprise Skills Initiative(应用 ID 195e7f27-02f9-4045-9a91-cd2fa1c2af2f)。
代理管理 通过将租户添加到 Microsoft Entra 流量允许列表来管理公司代理。 对于企业代理身份验证平面保护,请将代理配置为对所有流量设置租户限制 v2 信号。
平台支持 受所有平台支持。 仅提供身份验证平面保护。 全局安全访问中的通用租户限制支持任何操作系统、浏览器或设备外形规格。

企业代理身份验证平面保护支持 macOS、Chrome 浏览器和 .NET 应用程序。

Windows 设备管理支持 Windows 操作系统和 Microsoft Edge。
门户支持 Microsoft Entra 管理中心没有用于配置策略的用户界面。 Microsoft Entra 管理中心提供了用于设置云策略的用户界面。
不受支持的应用 不适用 使用 Windows Defender 应用程序控制 (WDAC) 或 Windows 防火墙(例如,Chrome、Firefox 等)阻止不受支持的应用与 Microsoft 终结点一起使用。 请参阅阻止 Chrome、Firefox 和 .NET 应用程序(如 PowerShell)

在代理上将租户限制 v1 策略迁移到 v2

将租户限制策略从 v1 迁移到 v2 是一次性操作。 迁移后,无需进行客户端更改。 可以通过 Microsoft Entra 管理中心进行任何后续的服务器端策略更改。

在代理上启用 TRv2 时,只能在身份验证平面上强制实施 TRv2。 若要同时在身份验证和数据平面上启用 TRv2,应使用通用 TRv2 启用 TRv2 客户端信号

步骤 1:配置允许的合作伙伴租户列表

TRv1:租户限制 v1 (TRv1) 允许创建租户 ID 和/或 Microsoft 登录终结点的允许列表,以确保用户可以访问你的组织授权的外部租户。 TRv1 通过在代理上添加 Restrict-Access-To-Tenants: <allowed-tenant-list> 标头来实现此目的。 例如:`Restrict-Access-To-Tenants: " contoso.com, fabrikam.com, dogfood.com"。 详细了解租户限制 v1。

TRv2:对于租户限制 v2 (TRv2),该配置被移动到服务器端云策略,无需 TRv1 标头。

  • 在公司代理上,你应移除租户限制 v1 标头 Restrict-Access-To-Tenants: <allowed-tenant-list>
  • 对于允许的租户列表中列出的每个租户,按照步骤 2:为特定合作伙伴配置租户限制 v2 中的步骤,创建合作伙伴租户策略。 请务必遵循以下准则:

注意

  • 保留租户限制 v2 默认策略,该策略阻止使用外部标识的所有外部租户访问(例如,user@externaltenant.com)。
  • 按照步骤 2:为特定合作伙伴配置租户限制 v2 中的步骤,为 v1 允许列表中列出的每个租户创建合作伙伴租户策略。
  • 仅允许特定用户访问特定应用程序。 此设计通过仅限制对必要用户的访问权限来提高安全态势。

步骤 2:阻止使用者帐户或 Microsoft 帐户租户

TRv1:不允许用户登录到使用者应用程序。 Trv1 需要将 sec-Restrict-Tenant-Access-Policy 标头注入到访问 login.live.com 的流量,例如 sec-Restrict-Tenant-Access-Policy:restrict-msa'

TRv2:对于 TRv2,该配置被移动到服务器端云策略,无需 TRv1 标头。

  • 在公司代理上,你应移除租户限制 v1 标头 sec-Restrict-Tenant-Access-Policy: restrict-msa`。
  • 按照步骤 2:为特定合作伙伴配置租户限制 v2 中的步骤,为 Microsoft 帐户租户创建合作伙伴租户策略。 由于用户级分配不适用于 MSA 租户,因此该策略适用于所有 MSA 用户。 但是,应用程序级别粒度可用,应限制 MSA 或使用者帐户只能访问所需的应用程序。

注意

阻止 MSA 租户不会阻止设备的无用户流量,包括:

  • Autopilot、Windows 更新和组织遥测的流量。
  • 使用者帐户的 B2B 身份验证或“直通”身份验证,其中 Azure 应用和 Office.com 应用使用 Microsoft Entra ID 在使用者上下文中登录使用者用户。

步骤 3:在公司代理上启用租户限制 v2

TRv2:可以使用以下公司代理设置将公司代理配置为启用租户限制 V2 标头的客户端标记:sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>

其中 <DirectoryID> 是 Microsoft Entra 租户 ID,<policyGUID> 是跨租户访问策略的对象 ID。

租户限制与入站和出站设置

尽管租户限制是与跨租户访问设置一起配置的,但它们与入站和出站访问设置分开运行。 通过跨租户访问设置可控制用户何时使用组织中的帐户登录。 相比之下,租户限制使你能够控制用户何时使用外部帐户。 B2B 协作和 B2B 直接连接的入站和出站设置与租户限制设置互不影响。

不妨这样理解不同的跨租户访问设置:

  • 入站设置控制外部帐户对内部应用的访问。
  • 出站设置控制内部帐户对外部应用的访问。
  • 租户限制控制外部帐户对外部应用的访问。

租户限制与 B2B 协作

当用户需要访问外部组织和应用时,我们建议启用租户限制来阻止外部帐户并改用 B2B 协作。 B2B 协作支持:

  • 对 B2B 协作用户使用“条件访问”并强制其进行多重身份验证。
  • 管理入站和出站访问。
  • 当 B2B 协作用户的雇佣状态更改或其凭据遭到泄露时,终止会话和凭据。
  • 使用登录日志查看有关 B2B 协作用户的详细信息。

先决条件

要配置租户限制,需要:

  • Microsoft Entra ID P1 或 P2
  • 至少具有安全管理员角色的帐户
  • 运行 Windows 10 或 Windows 11(含最新更新)的 Windows 设备

配置服务器端租户限制 v2 云策略

步骤 1:配置默认租户限制 v2

租户限制 v2 的设置位于 Microsoft Entra 管理中心的“跨租户访问设置”下。 首先,配置要应用于所有用户、组、应用和组织的默认租户限制。 然后,如果需要特定于合作伙伴的配置,可以添加合作伙伴的组织,并自定义与默认设置不同的任何设置。

配置默认租户限制

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识>外部标识>跨租户访问设置”,然后选择“跨租户访问设置”。

  3. 选择“默认设置”选项卡。

    显示默认设置选项卡上租户限制部分的屏幕截图。

  4. 滚动到“租户限制”部分。

  5. 选择“编辑租户限制默认值”链接。

    显示“默认设置”的“编辑”按钮的屏幕截图

  6. 如果租户中尚不存在默认策略,策略 ID 旁边会出现一个“创建策略”链接。 选择此链接。

    显示“创建策略”链接的屏幕截图。

  7. “租户限制”页显示“租户 ID”和租户限制“策略 ID”。 使用复制图标复制这两个值。 之后当你将 Windows 客户端配置为启用租户限制时会用到这两个值。

    显示租户限制的租户 ID 和策略 ID 的屏幕截图。

  8. 选择“外部用户和组”选项卡。在“访问状态”下,选择以下选项之一:

    • 允许访问:允许使用外部帐户登录的所有用户访问外部应用(在“外部应用程序”选项卡上指定)。
    • 阻止访问:阻止使用外部帐户登录的所有用户访问外部应用(在“外部应用程序”选项卡上指定)。

    显示访问状态设置的屏幕截图。

    备注

    默认设置的范围不能限定为单个帐户或组,因此“应用于”始终等于“所有 <租户> 用户和组”。 请注意,如果阻止所有用户和用户组的访问权限,则还需要在“外部应用程序”选项卡上阻止访问所有外部应用程序。

  9. 选择“外部应用程序”选项卡。在“访问状态”下,选择以下选项之一:

    • 允许访问:允许使用外部帐户登录的所有用户访问“应用于”部分中指定的应用。
    • 访问:阻止使用外部帐户登录的所有用户访问“应用于”部分中指定的应用。

    显示“外部应用程序”选项卡上访问状态的屏幕截图。

  10. 在“应用于”下,选择下列项之一:

    • 所有外部应用程序:将“访问状态”下选择的操作应用于所有外部应用程序。 如果阻止所有外部应用程序的访问权限,则还需要在“所有用户和用户组”选项卡上阻止访问所有用户和用户组。
    • 选择外部应用程序:允许选择要将“访问状态”下的操作应用到的外部应用程序。 若要选择应用程序,请选择“添加 Microsoft 应用程序”或“添加其他应用程序”。 然后按应用程序名称或应用程序 ID(客户端应用 ID 或资源应用 ID)搜索并选择应用。 (查看常用 Microsoft 应用程序的 ID 列表。)如果要添加更多应用,请使用“添加”按钮。 完成后,选择“提交”。

    显示选择外部应用程序选项卡的屏幕截图。

  11. 选择“保存”。

步骤 2:为特定合作伙伴配置租户限制 v2

假设默认情况下使用租户限制来阻止访问,但希望允许用户使用自己的外部帐户访问某些应用程序。 例如,假设你希望用户能够使用自己的 Microsoft 帐户访问 Microsoft Learn。 本节中的说明介绍如何添加优先于默认设置的组织特定设置。

示例:配置租户限制 v2 以允许 Microsoft 帐户

  1. 至少以安全管理员条件访问管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识>外部标识>跨租户访问设置”。

  3. 选择“组织设置”。

    注意

    如果你要添加的组织已被添加到列表中,则可以跳过添加步骤,直接转到修改设置。

  4. 选择“添加组织”。

  5. 在“添加组织”窗格中,键入组织的完整域名(或租户 ID)。

    示例:搜索以下 Microsoft 帐户租户 ID:

    9188040d-6c67-4c5b-b112-36a304b66dad
    

    显示“添加组织”的屏幕截图。

  6. 在搜索结果中选择组织,然后选择“添加”。

  7. 修改设置:在“组织设置”列表中查找组织,然后水平滚动以查看“租户限制”列。 此时,此组织的所有租户限制设置都继承自默认设置。 若要更改此组织的设置,请选择“租户限制”列下的“从默认设置继承”链接。

    显示添加了默认设置的组织的屏幕截图。

  8. 此时将显示组织的“租户限制”页。 复制“租户 ID”和“策略 ID”的值。 之后当你将 Windows 客户端配置为启用租户限制时会用到这两个值。

    显示租户 ID 和策略 ID 的屏幕截图。

  9. 选择“自定义设置”,然后选择“外部用户和组”选项卡。在“访问状态”下,选择以下选项之一:

    • 允许访问:允许使用外部帐户登录的“适用于”下指定的用户和组访问外部应用(在“外部应用程序”选项卡上指定)。
    • 阻止访问:阻止使用外部帐户登录的“适用于”下指定的用户和组访问外部应用(在“外部应用程序”选项卡上指定)。

    注意

    在 Microsoft 帐户示例中,我们选择的是“允许访问”。

    显示选择“外部用户允许访问”选项的屏幕截图。

  10. 在“应用对象”下,选择“所有<组织>用户和组”。

    注意

    Microsoft 帐户不支持用户粒度,因此“选择<组织>用户和组”功能不可用。 对于其他组织,可以选择“选择<组织>用户和组”,然后对你想要添加的每个用户或组执行以下步骤:

    • 选择“添加外部用户和用户组”。
    • 在“选择”窗格的搜索框中,键入用户名或用户组名。
    • 在搜索结果中选择用户或用户组。
    • 如果要添加更多用户和组,请选择“添加”并重复这些步骤。 选择要添加的用户和组后,选择“提交”。

    显示选择“外部用户和组”选项的屏幕截图。

  11. 选择“外部应用程序”选项卡。在“访问状态”下,选择是允许还是阻止访问外部应用程序。

    • 允许访问:允许用户在使用外部帐户时访问“适用于”下指定的外部应用程序。
    • 阻止访问:阻止用户在使用外部帐户时访问“适用于”下指定的外部应用程序。

    注意

    在 Microsoft 帐户示例中,我们选择的是“允许访问”。

    显示“访问状态”选项的屏幕截图。

  12. 在“应用于”下,选择下列项之一:

    • 所有外部应用程序:将“访问状态”下选择的操作应用于所有外部应用程序。
    • 选择外部应用程序:将“访问状态”下选择的操作应用于所有外部应用程序。

    注意

    • 对于我们的 Microsoft 帐户示例,我们选择“选择外部应用程序”。
    • 如果阻止所有外部应用程序的访问权限,则还需要在“所有用户和用户组”选项卡上阻止访问所有用户和用户组。

    显示选择“应用于”选项的屏幕截图。

  13. 如果选择了“选择外部应用程序”,请对要添加的每个应用程序执行以下操作:

    • 选择“添加 Microsoft 应用程序”或“添加其他应用程序”。 对于 Microsoft Learn 示例,请选择“添加其他应用程序”。
    • 在搜索框中,键入应用程序名称或应用程序 ID(可以是客户端应用 ID 或资源应用 ID)。 (查看常用 Microsoft 应用程序的 ID 列表。)对于我们的 Microsoft Learn 示例,我们输入应用程序 ID 18fbca16-2224-45f6-85b0-f7bf2b39b3f3
    • 在搜索结果中选择应用程序,然后选择“添加”。
    • 对要添加的每个应用程序重复此操作。
    • 选择完应用程序后,选择“提交”。

    显示选择应用程序的屏幕截图。

  14. 你选择的应用程序列在“外部应用程序”选项卡上。选择“保存”。

    显示所选应用程序的屏幕截图。

注意

阻止 MSA 租户时,不会阻止:

  • 面向设备的无用户流量。 这包括面向 Autopilot、Windows 更新和组织遥测的流量。
  • 使用者帐户的 B2B 身份验证。
  • 许多 Azure 应用和 Office.com 都使用“传递”身份验证,对此应用使用 Microsoft Entra ID 在使用者上下文中登录使用者用户。

配置客户端租户限制 v2

有三个选项可用于为客户端强制实施租户限制 v2:

  • 选项 1:属于 Microsoft Entra 全局安全访问(预览版)的通用租户限制 v2
  • 选项 2:在企业代理上设置租户限制 v2
  • 选项 3:在 Windows 托管设备上启用租户限制(预览版)

选项 1:属于 Microsoft Entra 全局安全访问的通用租户限制 v2

建议使用属于 Microsoft Entra 全局安全访问的通用租户限制 v2,因为它会为所有设备和平台提供身份验证和数据平面保护。 此选项可针对绕过身份验证的复杂操作提供更多保护。 例如,攻击者可能会尝试允许匿名访问恶意租户的应用,例如在 Teams 中加入匿名会议。 或者,攻击者可能会尝试将从恶意租户中的设备提升的访问令牌导入你的组织设备。 通用租户限制 v2 通过在身份验证平面(Microsoft Entra ID 和 Microsoft 帐户)和数据平面(Microsoft 云应用程序)上发送租户限制 v2 信号来防止这些攻击。

选项 2:在企业代理上设置租户限制 v2

若要确保企业网络中的所有设备和应用都限制登录,请将企业代理配置为强制实施租户限制 v2。 虽然在企业代理上配置租户限制不提供数据平面保护,但却提供身份验证平面保护。

重要

如果之前设置了租户限制,则需要停止向 login.live.com 发送 restrict-msa。 否则,新设置将与 MSA 登录服务的现有说明冲突。

  1. 按如下所示配置租户限制 v2 标头:

    标头名称 标头值 示例值
    sec-Restrict-Tenant-Access-Policy <TenantId>:<policyGuid> aaaabbbb-0000-cccc-1111-dddd2222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5
    • TenantID 是你的 Microsoft Entra 租户 ID。 以管理员身份登录到 Microsoft Entra 管理中心,浏览到“标识>概述”,然后选择“概述”选项卡,找到此值。
    • policyGUID 是跨租户访问策略的对象 ID。 通过调用 /crosstenantaccesspolicy/default 并使用返回的“id”字段来查找此值。
  2. 在你的企业代理上,将租户限制 v2 标头发送到以下 Microsoft 登录域:

    • login.live.com
    • login.microsoft.com
    • login.microsoftonline.com
    • login.windows.net

    此标头对网络上的所有登录强制实施租户限制 v2 策略。 此标头不会阻止匿名访问 Teams 会议、SharePoint 文件或其他不需要身份验证的资源。

重要

解密 Microsoft URL - 代理上的租户限制(v1 和 v2)需要解密登录 URL(如 login.microsoftonline.com)的请求。 出于 TR 标头插入目的,Microsoft 支持对这些登录域进行流量解密,并且对于将 Microsoft 365 与第三方网络设备或解决方案同时使用的策略而言,这是有效的例外。

不支持中断和检查的租户限制 v2

对于非 Windows 平台,可以中断和检查流量,以便通过代理将租户限制 v2 参数添加到标头中。 但是,某些平台不支持中断和检查,因此租户限制 v2 不起作用。 对于这些平台,Microsoft Entra ID 的以下功能可以提供保护:

尽管这些替代方案提供了保护,但某些场景只能通过租户限制来涵盖,例如使用浏览器通过 Web(而不是专用应用)访问 Microsoft 365 服务。

选项 3:在 Windows 托管设备上启用租户限制(预览版)

创建租户限制 v2 策略后,可以通过将租户 ID 和策略 ID 添加到设备的 租户限制 配置,在每个 Windows 10、Windows 11 上强制实施策略。 在 Windows 设备上启用租户限制后,无需企业代理即可实施策略。 设备无需由 Microsoft Entra ID 托管即可强制实施租户限制 v2,还支持使用组策略管理的已加入域的设备。

注意

Windows 上的租户限制 V2 是一种部分解决方案,可保护某些场景的身份验证和数据平面。 它适用于托管的 Windows 设备,不保护 .NET 堆栈、Chrome 或 Firefox。 在 Microsoft Entra 全局安全访问的通用租户限制正式发布前,该 Windows 解决方案提供了临时解决方案。

适用于 Windows 10 2021 年 11 月更新 (21H2) 的管理模板 (.admx) 和组策略设置

可以使用组策略将租户限制配置部署到 Windows 设备。 请参阅以下资源:

在设备上测试策略

若要在设备上测试租户限制 v2 策略,请执行以下步骤。

注意

  • 设备必须运行 Windows 10 或 Windows 11(含最新更新)。
  1. 在 Windows 计算机上,按 Windows 键、键入 gpedit,然后选择“编辑组策略(控制面板)”。

  2. 转到“计算机配置”>“管理模板”>“Windows 组件”>“租户限制”。

  3. 右键单击右侧窗格中的“云策略详细信息”,然后选择“编辑”。

  4. 检索之前记录的租户 ID 和策略 ID(在步骤 7 中的配置默认租户限制下),并在以下字段中输入它们(将所有其他字段留空):

    Windows 云策略详细信息的屏幕截图。

  5. 选择“确定”

阻止 Chrome、Firefox 和 .NET 应用程序(如 PowerShell)

可以使用 Windows 防火墙功能阻止未受保护的应用通过 Chrome、Firefox 和 .NET 应用程序(如 PowerShell)访问 Microsoft 资源。 根据租户限制 v2 策略将阻止/允许的应用程序。

例如,如果客户将 PowerShell 添加到其租户限制 v2 CIP 策略,并在其租户限制 v2 策略终结点列表中 graph.microsoft.com,则 PowerShell 应该能够在启用防火墙的情况下访问它。

  1. 在 Windows 计算机上,按 Windows 键、键入 gpedit,然后选择“编辑组策略(控制面板)”。

  2. 转到“计算机配置”>“管理模板”>“Windows 组件”>“租户限制”。

  3. 右键单击右侧窗格中的“云策略详细信息”,然后选择“编辑”。

  4. 选中“启用 Microsoft 终结点的防火墙保护”复选框,然后选择“确定”。

显示启用防火墙策略的屏幕截图。

启用防火墙设置后,请尝试使用 Chrome 浏览器登录。 登录应会失败并显示以下消息:

显示 Internet 访问被阻止的屏幕截图。

查看租户限制 v2 事件

查看与事件查看器中的租户限制相关的事件。

  1. 在“事件查看器”中,打开“应用程序和服务日志”。
  2. 导航到“Microsoft”>“Windows”>“TenantLimits”>“Operational”并查找事件。

租户限制和数据平面支持(预览版)

Trv2 由以下资源强制实施,这些资源将会解决恶意行动者直接使用渗透令牌或以匿名方式访问资源的令牌渗透情况。

  • Teams
  • SharePoint Online(如 OneDrive 应用)
  • Exchange Online(如 Outlook 应用)
  • Office.com / Office 应用

租户限制和 Microsoft Teams(预览版)

默认情况下,Teams 具有开放联合身份验证,这意味着我们不会阻止任何人加入由外部租户托管的会议。 为了更好地控制对 Teams 会议的访问,可以使用 Teams 中的联合控制来允许或阻止特定租户,并使用租户限制 v2 来阻止对 Teams 会议的匿名访问。 若要对 Teams 强制实施租户限制,需要在 Microsoft Entra 跨租户访问设置中配置租户限制 v2。 还需要在 Teams 管理员门户中设置“联合控制”并重启 Teams。 对公司代理实施的租户限制不会阻止匿名访问 Teams 会议、SharePoint 文件和其他不需要身份验证的资源。

  • Teams 目前允许用户使用其公司/家庭提供的标识加入任何外部托管的会议。 可以使用出站跨租户访问设置来控制具有公司/家庭提供的标识的用户加入外部托管的 Teams 会议。
  • 租户限制将阻止用户使用外部颁发的标识加入 Teams 会议。

注意

Microsoft Teams 应用依赖于 SharePoint Online 和 Exchange Online 应用。 建议在 Office 365 应用而不是单独在 Microsoft Teams Services 或 SharePoint Online 或 Exchange Online 上设置 TRv2 策略。 如果允许/阻止属于 Office 365 的其中一个应用程序(SPO 或 EXO 等),则它也会影响 Microsoft Teams 等应用。 同样,如果允许/阻止 Microsoft Teams 应用,则 Teams 应用中的 SPO 和 EXO 也将受到影响。

纯匿名会议加入

租户限制 v2 会自动阻止所有未经身份验证且外部颁发的标识访问外部托管的 Teams 会议。 例如,假设 Contoso 使用 Teams 的“联合控制”来阻止 Fabrikam 租户。 如果使用 Contoso 设备的用户通过 Fabrikam 帐户加入 Contoso Teams 会议,则他们会被允许以匿名用户身份加入会议。 现在,如果 Contoso 还启用了租户限制 v2,Teams 会阻止匿名访问,该用户便无法加入会议。

使用外部颁发的标识加入会议

可以将租户限制 v2 策略配置为允许具有外部颁发的标识的特定用户或组加入特定的外部托管的 Teams 会议。 使用此配置,用户可以使用其外部颁发的标识登录到 Teams,并加入指定租户的外部托管 Teams 会议。

身份验证标识 经过身份验证的会话 结果
租户成员用户(经过身份验证的会话)

示例:用户使用其家庭标识作为成员用户(例如 user@mytenant.com)
已经过身份验证 租户限制 v2 允许访问 Teams 会议。 TRv2 永远不会应用于租户成员用户。 应用跨租户访问入站/出站策略。
匿名(无经过身份验证的会话)

示例:用户尝试使用未经身份验证的会话(例如 InPrivate 浏览器窗口中)来访问 Teams 会议。
未经过身份验证 租户限制 v2 阻止对 Teams 会议的访问。
外部颁发的标识(经过身份验证的会话)

示例:用户使用除其家庭标识以外的任何标识(例如 user@externaltenant.com)
作为外部颁发的标识经过了身份验证 按照租户限制 v2 策略允许或阻止访问 Teams 会议。 如果策略允许,用户可以加入会议。 否则,将阻止访问。

租户限制 v2 和 SharePoint Online(预览版)

SharePoint Online 在身份验证平面和数据平面均支持租户限制 v2。

经过身份验证的会话

如果租户上启用了租户限制 v2,则身份验证期间会阻止未经授权的访问。 如果用户在会话未经身份验证的情况下直接访问 SharePoint Online 资源,系统会提示他们登录。 如果租户限制 v2 策略允许访问,则用户可以访问资源;否则,将阻止访问。

匿名访问(预览版)

如果用户尝试使用其主租户/企业标识访问匿名文件,他们将能够访问该文件。 但是,如果用户尝试使用任何外部颁发的标识访问匿名文件,则访问将被阻止。

例如,假设用户正在使用为租户 A 配置了租户限制 v2 的托管设备。如果他们选择为租户 A 资源生成的匿名访问链接,他们应该能够匿名访问该资源。 但是,如果他们选择为租户 B SharePoint Online 生成的匿名访问链接,系统会提示他们登录。 使用外部颁发的标识对资源进行匿名访问将始终被阻止。

租户限制 v2 和 OneDrive(预览版)

经过身份验证的会话

如果租户上启用了租户限制 v2,则身份验证期间会阻止未经授权的访问。 如果用户在会话未经身份验证的情况下直接访问 OneDrive,系统会提示其登录。 如果租户限制 v2 策略允许访问,则用户可以访问资源;否则,将阻止访问。

匿名访问(预览版)

与 SharePoint Online 相同,OneDrive 也支持对身份验证平面和数据平面实施租户限制 V2。 同时,支持阻止匿名访问 OneDrive。 例如,可以对 OneDrive 终结点 (microsoft-my.sharepoint.com) 强制执行租户限制 V2 策略。

不在范围内

面向消费者的 OneDrive 帐户(通过 onedrive.live.com)不支持租户限制 v2。 某些 URL(例如 onedrive.live.com)并非如此,并使用我们的旧堆栈。 当用户通过这些 URL 访问 OneDrive 使用者租户时,不会强制实施该策略。 作为解决方法,可以在代理级别阻止 https://onedrive.live.com/

登录日志

Microsoft Entra 登录日志让你可以查看实施了租户限制 v2 策略后的登录详细信息。 当 B2B 用户登录到资源租户进行协作时,主租户和资源租户中均会生成登录日志。 这些日志包括主租户和资源租户所使用的应用程序、电子邮件地址、租户名称和租户 ID 等信息。 下面的示例展示了成功的登录:

显示成功登录的活动详细信息的屏幕截图。

如果登录失败,活动详细信息会提供有关失败原因的信息:

显示失败登录的活动详细信息的屏幕截图。

审核日志

审核日志提供了系统和用户活动的记录,包括来宾用户发起的活动。 可以在“监视”下查看租户的审核日志,或通过导航到用户配置文件来查看特定用户的审核日志。

显示审核日志页面的屏幕截图。

选择日志中的事件以获取有关该事件的更多详细信息,例如:

显示审核日志详细信息的屏幕截图。

还可以从 Microsoft Entra ID 导出这些日志,并使用所选报表工具获取自定义报表。

Microsoft Graph

使用 Microsoft Graph 获取策略信息:

HTTP 请求

  • 获取默认策略

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
    
  • 重置为系统默认值

    POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
    
  • 获取合作伙伴配置

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
    
  • 获取特定的合作伙伴配置

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
    
  • 更新特定合作伙伴

    PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
    

请求正文

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

已知限制

对于跨云传输的请求,不会强制实施租户限制 v2。

后续步骤

对于与非 Azure AD 标识、社交标识和非 IT 托管式外部帐户之间的 B2B 协作,请参阅配置外部协作设置