設定租用戶限制 v2
適用於: 員工租用戶 外部租用戶 (深入了解)
注意
本文所述的某些功能是預覽功能。 如需有關預覽版的詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
若要增強安全性,您可以限制使用者在使用外部帳戶從網路或裝置登入時,可以存取的內容。 租用戶限制設定隨附於跨租用戶存取設定,可讓您建立原則來控制外部應用程式的存取。
例如,假設您組織中的使用者已在未知租用戶中建立個別帳戶,或外部組織已為您的使用者提供一個帳戶,讓他們可登入其組織。 當使用者在您的網路或裝置上使用外部帳戶登入時,您可以使用租用戶限制來防止他們使用部分或所有外部應用程式。
步驟 | 描述 |
---|---|
1 | Contoso 會在其跨租用戶存取設定中設定租用戶限制,以封鎖所有外部帳戶和外部應用程式。 Contoso 會透過通用 TRv2 或公司 Proxy 新增具有 TRv2 標頭的 TRv2 強制信號,而 Microsoft Entra ID 會在要求上出現該標頭時強制執行 TRv2 原則。 |
2 | 使用 Contoso 受控裝置的使用者會嘗試使用未知租用戶中的帳戶登入外部應用程式。 具有 Contoso 租用戶識別碼和租用戶限制原則識別碼的 TRv2 HTTP 標頭會新增至驗證要求。 |
3 | 驗證平面保護:Microsoft Entra ID 會根據 Contoso TRv2 原則強制執行 Contoso 的 TRv2 原則,在驗證期間阻止外部帳戶存取外部租用戶。 |
4 | 資料平面保護 (預覽版):Microsoft Entra ID 會針對 SharePoint 檔案封鎖任何匿名存取,或阻止匿名小組加入會議,以及封鎖使用者以滲透權杖存取資源。 |
租用戶限制 v2 提供驗證平面保護和資料平面保護的選項。
驗證平面保護是指使用租用戶限制 v2 原則來封鎖使用外部身分識別的登入。 例如,您可以藉由防止攻擊者登入其惡意租用戶,來避免惡意內部人員透過外部電子郵件洩漏資料。 租用戶限制 v2 驗證平面保護已正式推出。
資料平面保護是指抵禦略過驗證的攻擊。 例如,攻擊者可能會嘗試使用 Teams 匿名會議加入或 SharePoint 匿名檔案存取來允許存取惡意租用戶應用程式。 或者攻擊者可能會從惡意租用戶中的裝置複製存取權杖,並將其匯入至您的組織裝置。 租用戶限制 v2 資料平面保護會在使用者嘗試存取資源時,強制其進行驗證,並在驗證失敗時封鎖存取。
租用戶限制 v1 可透過公司 Proxy 上設定的租用戶允許清單提供驗證平面保護,而租用戶限制 v2 可讓您選擇在使用或不使用公司 Proxy 的情況下,進行細微的驗證和資料平面保護。 如果您使用公司 Proxy 來插入標頭,則選項只會包含驗證平面保護。
租用戶限制 v2 概觀
在組織的跨租用戶存取設定中,您可以設定租用戶限制 v2 原則。 建立原則之後,有三種方式可在組織中套用原則。
- 通用租用戶限制 v2。 此選項可在沒有公司 Proxy 的情況下提供驗證平面和資料平面保護。 通用租用戶限制會使用全球安全存取來標記所有流量,且無論作業系統、瀏覽器或裝置外形規格為何。 其允許支援用戶端和遠端網路連線能力。
- 驗證平面租用戶限制 v2。 您可以在組織中部署公司 Proxy,將 Proxy 設定為在流向 Microsoft Entra ID 和 Microsoft 帳戶 (MSA) 的所有流量上設定租用戶限制 v2 訊號。
- Windows 租用戶限制 v2。 針對公司擁有的 Windows 裝置,您可以直接在裝置上強制執行租用戶限制,以強制執行驗證平面和資料平面保護。 租用戶限制會在資源存取時強制執行,並提供資料路徑涵蓋範圍和保護,以防止權杖滲透。 強制執行原則不需要公司 Proxy。 裝置可以是 Microsoft Entra ID 所管理或已加入網域的裝置,這些裝置會透過群組原則來管理。
注意
本文說明如何使用 Microsoft Entra 系統管理中心來設定租用戶限制 v2。 您也可以使用 Microsoft Graph 跨租用戶存取 API 來建立這些相同的租用戶限制原則。
支援的案例
租用戶限制 v2 的範圍可限定於特定使用者、群組、組織或外部應用程式。 以 Windows 作業系統網路堆疊為基礎的應用程式會受到保護。 以下是支援的案例:
- 所有 Office 應用程式 (所有版本/發行通道)。
- 通用 Windows 平台 (UWP) .NET 應用程式。
- 驗證平面保護,適用於所有使用 Microsoft Entra ID 進行驗證的應用程式,包括所有 Microsoft 第一方應用程式,以及任何使用 Microsoft Entra ID 進行驗證的第三方應用程式。
- 適用於 SharePoint Online 和 Exchange Online 的資料平面保護。
- 適用於 SharePoint Online、OneDrive 和 Teams 的匿名存取保護 (已設定同盟控制項)。
- Microsoft 租用戶或取用者帳戶的驗證和資料平面保護。
- 在全球安全存取中使用通用租用戶限制時,所有的瀏覽器和平台。
- 使用 Windows 群組原則時,Microsoft Edge 和 Microsoft Edge 中的所有網站。
不支援的情節
- 對取用者 OneDrive 帳戶進行匿名封鎖。 客戶可以藉由封鎖 https://onedrive.live.com/ 來解決 Proxy 層級問題。
- 當使用者使用匿名連結或非 Azure AD 帳戶存取第三方應用程式時,例如 Slack。
- 當使用者將 Microsoft Entra ID 核發的權杖從住家機器複製到工作機器時,並用其來存取 Slack 之類的第三方應用程式時。
- Microsoft 帳戶的依使用者租用戶限制。
比較租用戶限制 v1 和 v2
下表比較每個版本的功能。
租用戶限制 v1 | 租用戶限制 v2 | |
---|---|---|
原則強制執行 | 公司 Proxy 會在 Microsoft Entra ID 控制平面中強制執行租用戶限制原則。 | 選項: - 全球安全存取中的通用租用戶限制,其使用原則訊號標記所有流量,並在所有平台上都提供驗證和資料平面支援。 - 僅限驗證平面的保護,其中公司 Proxy 會在所有流量上設定租用戶限制 v2 訊號。 - Windows 裝置管理,其中裝置會設定為將 Microsoft 流量指向租用戶限制原則,並在雲端中強制執行原則。 |
原則強制執行限制 | 藉由將租用戶新增至 Microsoft Entra 流量允許清單,來管理公司 Proxy。 Restrict-Access-To-Tenants 中標頭值的字元限制:<allowed-tenant-list> 會限制可新增的租用戶數目。 |
由跨租用戶存取原則中的雲端原則管理。 系統會為每個外部租用戶建立租用戶層級的預設原則和合作夥伴原則。 |
惡意租用戶要求 | Microsoft Entra ID 會封鎖惡意的租用戶驗證要求,以提供驗證平面保護。 | Microsoft Entra ID 會封鎖惡意的租用戶驗證要求,以提供驗證平面保護。 |
細微性 | 限制在租用戶和所有 Microsoft 帳戶。 | 租用戶、使用者、群組和應用程式細微性。 (Microsoft 帳戶不支援使用者層級的細微性)。 |
匿名存取 | 允許匿名存取 Teams 會議和檔案共用。 | Teams 會議的匿名存取會遭到封鎖。 匿名共用資源的存取 (「具有連結的任何人」) 會遭到封鎖。 |
Microsoft 帳戶 | 使用 Restrict-MSA 標頭來封鎖取用者帳戶的存取。 | 允許控制身分識別和資料平面上的 Microsoft 帳戶 (MSA 和 Live ID) 驗證。 例如,如果您預設強制執行租用戶限制,您可以建立 Microsoft 帳戶專屬原則,讓使用者使用其 Microsoft 帳戶存取特定應用程式,例如: Microsoft Learn (應用程式識別碼 18fbca16-2224-45f6-85b0-f7bf2b39b3f3 ),或Microsoft 企業技能計劃 (應用程式識別碼 195e7f27-02f9-4045-9a91-cd2fa1c2af2f )。 |
Proxy 管理 | 藉由將租用戶新增至 Microsoft Entra 流量允許清單,來管理公司 Proxy。 | 針對公司 Proxy 驗證平面保護,將 Proxy 設定為在所有流量上設定租用戶限制 v2 訊號。 |
平台支援 | 可在所有平台上支援。 僅提供驗證平面保護。 | 全球安全存取中的通用租用戶限制支援任何作業系統、瀏覽器或裝置外形規格。 公司 Proxy 驗證平面保護支援 macOS、Chrome 瀏覽器和 .NET 應用程式。 Windows 裝置管理支援 Windows 作業系統和 Microsoft Edge。 |
入口網站支援 | Microsoft Entra 系統管理中心沒有用於設定原則的使用者介面。 | Microsoft Entra 系統管理中心提供用於設定雲端原則的使用者介面。 |
不支援的應用程式 | N/A | 使用 Windows Defender 應用程式控制 (WDAC) 或 Windows 防火牆來防止不支援的應用程式使用 Microsoft 端點 (例如 Chrome、Firefox 等等)。 請參閱封鎖 Chrome、Firefox 和 .NET 應用程式,例如 PowerShell。 |
將租用戶限制 v1 原則遷移至 Proxy 上的 v2
將租用戶限制原則從 v1 遷移至 v2 是一次性作業。 移轉之後,不需要任何客戶端變更。 您可以透過 Microsoft Entra 系統管理中心進行任何後續伺服器端的原則變更。
在 Proxy 上啟用 TRv2 時,您只能在驗證平面上強制執行 TRv2。 若要在驗證和資料平面上啟用 TRv2,您應該使用通用 TRv2 啟用 TRv2 用戶端訊號
步驟 1:設定允許的合作夥伴租用戶清單
TRv1:租用戶限制 v1 (TRv1) 可讓您建立租用戶識別碼和/或 Microsoft 登入端點的允許清單,以確保使用者存取您組織授權的外部租用戶。 TRv1 可藉由在 Proxy 上新增 Restrict-Access-To-Tenants: <allowed-tenant-list>
標頭來達成此目的。 例如:`Restrict-Access-To-Tenants: " contoso.com, fabrikam.com, dogfood.com"。 深入了解租用戶限制 v1。
TRv2:透過租用戶限制 v2 (TRv2),設定會移至伺服器端雲端原則,而不需要 TRv1 標頭。
- 在您的公司 Proxy 上,您應該移除租用戶限制 v1 標頭:
Restrict-Access-To-Tenants: <allowed-tenant-list>
。 - 針對 allowed-tenant-list 中的每個租用戶,請遵循步驟 2:為特定合作夥伴設定租用戶限制 v2 中的步驟,建立合作夥伴租用戶原則。 請務必遵循下列指導方針:
注意
- 保留租用戶限制 v2 預設原則,該原則會封鎖所有使用外部身分識別的外部租用戶存取權的 (例如:
user@externaltenant.com
)。 - 遵循步驟 2:為特定合作夥伴設定租用戶限制 v2 中的步驟,為 v1 允許清單中列出的每個租用戶建立合作夥伴租用戶原則。
- 只允許特定使用者存取特定應用程式。 此設計會限制僅必要使用者具有存取權,藉此提高您的安全性態勢。
步驟 2:封鎖取用者帳戶或 Microsoft 帳戶租用戶
TRv1:不允許使用者登入取用者應用程式。 Trv1 需要將 sec-Restrict-Tenant-Access-Policy 標頭插入造訪 login.live.com 的流量,例如 sec-Restrict-Tenant-Access-Policy: restrict-msa`
TRv2:使用 TRv2 時,設定會移至伺服器端的雲端原則,而且不需要 TRv1 標頭。
- 在您的公司 Proxy 上,您應該移除租用戶限制 v1 標頭:sec-Restrict-Tenant-Access-Policy: restrict-msa`。
- 遵循步驟 2:為特定合作夥伴設定租用戶限制 v2,為 Microsoft 帳戶租用戶建立合作夥伴租用戶原則。 由於使用者層級指派不適用於 MSA 租用戶,因此原則會適用於所有 MSA 使用者。 不過,您可以使用應用程式層級的細微性,而且您應該限制 MSA 或取用者帳戶只能存取必要的應用程式。
注意
封鎖 MSA 租用戶不會封鎖裝置的無使用者流量,包括:
- Autopilot、Windows Update 和組織遙測的流量。
- 取用者帳戶的 B2B 驗證或「傳遞」驗證,其中 Azure 應用程式和 Office.com 應用程式會使用 Microsoft Entra ID,在取用者內容中登入取用者使用者。
步驟 3:在公司 Proxy 上啟用租用戶限制 v2
TRv2:您可以使用下列公司 Proxy 設定來啟用租用戶限制 V2 標頭的用戶端標記:sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>
其中 <DirectoryID>
是您的 Microsoft Entra tenant ID,而 <policyGUID>
是跨租用戶存取原則的物件識別碼。
租用戶限制與輸入和輸出設定
雖然租用戶限制會與您的跨租用戶存取設定一起設定,但會與輸入和輸出存取設定分開運作。 跨租用戶存取設定可讓您控制使用者何時使用組織的帳戶登入。 相較之下,租用戶限制可讓您控制使用者何時使用外部帳戶。 B2B 共同作業和 B2B 直接連接的輸入和輸出設定不會影響租用戶限制設定 (也不受其影響)。
以此方式思考不同的跨租用戶存取設定:
- 輸入設定可控制「外部」帳戶對您「內部」應用程式的存取。
- 輸出設定可控制「內部」帳戶對「外部」應用程式的存取。
- 租用戶限制可控制「外部」帳戶對「外部」應用程式的存取。
租用戶限制與B2B 共同作業
當使用者需要存取外部組織和應用程式時,建議您啟用租用戶限制來封鎖外部帳戶,並改用 B2B 共同作業。 B2B 共同作業可讓您:
- 使用條件式存取,並強制 B2B 共同作業使用者採用多重要素驗證。
- 管理輸入和輸出的存取權。
- 當 B2B 共同作業使用者的雇用狀態變更或其認證遭到入侵時,終止工作階段和認證。
- 使用登入記錄來檢視 B2B 共同作業使用者的詳細資料。
必要條件
若要設定租用戶限制,您需要:
- Microsoft Entra ID P1 或 P2
- 至少具有安全性系統管理員角色的帳戶
- 執行 Windows 10、Windows 11 且具有最新更新的 Windows 裝置
設定伺服器端租用戶限制 v2 雲端原則
步驟 1:設定預設租用戶限制 v2
租用戶限制 v2 的設定位於 Microsoft Entra 系統管理中心底下的 [跨租用戶存取設定]。 首先,設定您想要對所有使用者、群組、應用程式和組織套用的預設租用戶限制。 然後,如果您需要合作夥伴專屬的設定,您可以新增合作夥伴的組織,並自訂與預設值不同的任何設定。
設定預設租用戶限制
提示
本文中的步驟可能會隨著您開始使用的入口網站而稍有不同。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定],然後選取 [跨租用戶存取設定]。
選取 [預設設定] 索引標籤。
捲動至 [租用戶限制] 區段。
選取 [編輯租用戶限制預設值] 連結。
如果租用戶中還沒有任何預設原則,則 [原則識別碼] 旁會出現 [建立原則] 連結。 選取此連結。
[租用戶限制] 頁面會顯示您的租用戶識別碼和租用戶限制的原則識別碼。 使用複製圖示來複製這兩個值。 您稍後會在設定 Windows 用戶端來啟用租用戶限制時用到這些值。
選取 [外部使用者和群組] 索引標籤。在 [存取狀態] 底下,選擇下列其中一項:
- 允許存取:允許所有使用外部帳戶登入的使用者存取外部應用程式 (在 [外部應用程式] 索引標籤上指定)。
- 封鎖存取:防止所有使用外部帳戶登入的使用者存取外部應用程式 (在 [外部應用程式] 索引標籤上指定)。
注意
預設設定不能將範圍限定為個別帳戶或群組,因此 [適用於] 一律等於所有 <您租用戶> 的使用者和群組。 請注意,如果您封鎖所有使用者和群組的存取,則也需要封鎖對所有外部應用程式 (在 [應用程式] 索引標籤上) 的存取。
選取 [外部應用程式] 索引標籤。在 [存取狀態] 底下,選擇下列其中一項:
- 允許存取:允許使用外部帳戶登入的所有使用者存取 [適用於] 區段中指定的應用程式。
- 封鎖存取:防止所有使用外部帳戶登入的使用者存取 [適用於] 區段中指定的應用程式。
在 [適用於] 底下,選取下列其中一項:
- 所有外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。 如果您封鎖對所有外部應用程式的存取,則也需要封鎖所有使用者和群組的存取 (在 [使用者和群組] 索引標籤上)。
- 選取外部應用程式:可讓您選擇要套用 [存取狀態] 底下動作的外部應用程式。 若要選取應用程式,請選擇 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。 依據應用程式名稱或應用程式識別碼進行搜尋 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼]),然後選取應用程式。 (請參閱常用 Microsoft 應用程式的識別碼清單。) 如果您想要新增更多應用程式,請使用 [新增] 按鈕。 完成後,請選取 [提交]。
選取 [儲存]。
步驟 2:為特定合作夥伴設定租用戶限制 v2
假設您預設為使用租用戶限制來封鎖存取,但您想要允許使用者使用自己的外部帳戶存取特定應用程式。 例如,假設您希望使用者能夠使用自己的 Microsoft 帳戶存取 Microsoft Learn。 本節中的指示會說明如何新增優先於預設設定的組織專屬設定。
範例:設定租用戶限制 v2 來允許 Microsoft 帳戶
至少以安全性系統管理員或條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]。
選取 [組織設定]。
注意
如果您想要新增的組織已經新增至清單,您可以略過新增,並直接移至修改設定。
選取 [新增組織]。
在 [新增組織] 窗格中,輸入組織的完整網域名稱 (或租用戶識別碼)。
範例:搜尋下列 Microsoft 帳戶租用戶識別碼:
9188040d-6c67-4c5b-b112-36a304b66dad
在搜尋結果中選取組織,然後選取 [新增]。
修改設定:在 [組織設定] 清單中尋找組織,然後水平捲動以查看 [租用戶限制] 資料行。 至此,此組織的所有租用戶限制設定都是繼承自您的預設設定。 若要變更此組織的設定,請選取 [租用戶限制] 資料行底下的 [繼承自預設] 連結。
組織的 [租用戶限制] 頁面隨即出現。 複製租用戶識別碼和原則識別碼的值。 您稍後會在設定 Windows 用戶端來啟用租用戶限制時用到這些值。
選取 [自訂設定],然後選取 [外部使用者和群組] 索引標籤。在 [存取狀態] 底下,選擇選項:
- 允許存取:允許 [適用於] 底下使用外部帳戶登入的使用者和群組存取外部應用程式 (在 [外部應用程式] 索引標籤上指定)。
- 封鎖存取:防止 [適用於] 底下使用外部帳戶登入的使用者和群組存取外部應用程式 (在 [外部應用程式] 索引標籤上指定)。
注意
針對 Microsoft 帳戶範例,我們選取 [允許存取]。
在 [適用於] 底下,選擇所有 <組織> 使用者和群組。
注意
Microsoft 帳戶不支援使用者細微性,因此無法使用選取 <組織> 使用者和群組功能。 針對其他組織,您可以選擇選取 <組織> 使用者和群組,然後針對您想要新增的每個使用者或群組執行下列步驟:
- 選取 [新增外部使用者和群組]。
- 在 [選取] 窗格中,於搜尋方塊中輸入使用者名稱或群組名稱。
- 在搜尋結果中選取使用者或群組。
- 如果您想要新增更多內容,請選取 [新增] 並重複這些步驟。 完成選取要新增的使用者和群組之後,請選取 [提交]。
選取 [外部應用程式] 索引標籤。在 [存取狀態] 底下,選擇是否允許或封鎖外部應用程式的存取。
- 允許存取:允許在 [適用於] 底下指定的外部應用程式由您使用外部帳戶的使用者存取。
- 封鎖存取:封鎖在 [適用於] 底下指定的外部應用程式,使其無法由您使用外部帳戶的使用者存取。
注意
針對 Microsoft 帳戶範例,我們選取 [允許存取]。
在 [適用於] 底下,選取下列其中一項:
- 所有外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。
- 選取外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。
注意
- 針對 Microsoft 帳戶範例,我們選擇 [選取外部應用程式]。
- 如果您封鎖對所有外部應用程式的存取,則也需要封鎖所有使用者和群組的存取 (在 [使用者和群組] 索引標籤上)。
如果您選擇 [選取外部應用程式],請針對您要新增的每個應用程式執行下列動作:
- 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。 針對我們的 Microsoft Learn 範例,我們選擇 [新增其他應用程式]。
- 在搜尋方塊中,輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 (請參閱常用 Microsoft 應用程式的識別碼清單)。針對我們的 Microsoft Learn 範例,我們會輸入應用程式識別碼
18fbca16-2224-45f6-85b0-f7bf2b39b3f3
。 - 在搜尋結果中選取應用程式,然後選取 [新增]。
- 針對您要新增的每個應用程式重複執行。
- 完成選取應用程式時,請選取 [提交]。
您選取的應用程式會列在 [外部應用程式] 索引標籤上。選取 [儲存]。
注意
封鎖 MSA 租用戶並不會封鎖:
- 裝置的無使用者 (User-less) 流量。 這包括 Autopilot、Windows Update 和組織遙測的流量。
- 取用者帳戶的 B2B 驗證。
- 「傳遞」驗證,由許多 Azure 應用程式和 Office.com 所使用,其中應用程式會使用 Microsoft Entra ID 在取用者內容中登入取用者使用者。
設定用戶端租用戶限制 v2
針對用戶端強制執行租用戶限制 v2 有三個選項:
- 選項 1:將通用租用戶限制 v2 作為 Microsoft Entra 全球安全存取 (預覽版) 的一部分
- 選項 2:在您的公司 Proxy 上設定租用戶限制 v2
- 選項 3:在 Windows 受控裝置 (預覽本) 上啟用租用戶限制
選項 1:將通用租用戶限制 v2 作為 Microsoft Entra 全球安全存取的一部分
建議使用將通用租用戶限制 v2 作為 Microsoft Entra 全球安全存取的一部分,因為此選項會為所有裝置和平台提供驗證和資料平面保護。 此選項提供許多保護來防止複雜的略過驗證嘗試。 例如,攻擊者可能會嘗試允許匿名存取惡意租用戶的應用程式,例如 Teams 中的匿名會議加入。 或者,攻擊者可能會嘗試將從惡意租用戶裝置提取的存取權杖匯入到您的組織裝置。 通用租用戶限制 v2 會藉由在驗證平面 (Microsoft Entra ID 和 Microsoft 帳戶) 和資料平面 (Microsoft 雲端應用程式) 上傳送租用戶限制 v2 訊號來阻止這些攻擊。
選項 2:在您的公司 Proxy 上設定租用戶限制 v2
若要確保公司網路中的所有裝置和應用程式上都已限制登入,請將公司 Proxy 設定為強制執行租用戶限制 v2。 雖然在公司 Proxy 上設定租用戶限制不提供資料平面保護,但確實會提供驗證平面保護。
重要
如果您先前已設定租用戶限制,則必須停止傳送 restrict-msa
至 login.live.com。 否則,新的設定將會與 MSA 登入服務的現有指示衝突。
設定租用戶限制 v2 標頭,如下所示:
標頭名稱 標題值 範例值 sec-Restrict-Tenant-Access-Policy
<TenantId>:<policyGuid>
aaaabbbb-0000-cccc-1111-dddd2222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5 TenantID
是您的 Microsoft Entra 租用戶識別碼。 以系統管理員身分登入 Microsoft Entra 系統管理中心並瀏覽至 [身分識別]>[概觀],然後選取 [概觀] 索引標籤,即可找到此值。policyGUID
是跨租用戶存取原則的物件識別碼。 呼叫/crosstenantaccesspolicy/default
並使用傳回的 [識別碼] 欄位來尋找此值。
在您的公司 Proxy 上,將租用戶限制 v2 標頭傳送至下列 Microsoft 登入網域:
- login.live.com
- login.microsoft.com
- login.microsoftonline.com
- login.windows.net
此標頭會在您網路上的所有登入上強制執行租用戶限制 v2 原則。 此標頭不會封鎖匿名存取 Teams 會議、SharePoint 檔案或其他不需要驗證的資源。
重要
解密 Microsoft URL - Proxy 上的租用戶限制 (v1 和 v2) 需要解密登入 URL 的要求,例如 login.microsoftonline.com。 Microsoft 支援基於插入 TR 標頭的目的,對這些登入網域進行流量解密,而且這在搭配 Microsoft 365 使用第三方網路裝置或解決方案的原則中是有效例外狀況。
租用戶限制 v2 不支援中斷並檢查
針對非 Windows 平台,您可以中斷並檢查流量,以透過 Proxy 將租用戶限制 v2 參數新增至標頭。 不過,某些平台不支援中斷並檢查,因此租用戶限制 v2 無法運作。 針對這些平台,Microsoft Entra ID 的下列功能可以提供保護:
- 條件式存取:只允許使用受控/相容裝置
- 條件式存取:管理訪客/外部使用者的存取
- B2B 共同作業:針對 "Restrict-Access-To-Tenants" 參數中列出的相同租用戶,依據跨租用戶存取限制輸出規則
- B2B 共同作業:將 B2B 使用者的邀請限制為 "Restrict-Access-To-Tenants" 參數中列出的相同網域
- 應用程式管理:限制使用者同意應用程式的方式
- Intune:透過 Intune 套用應用程式原則,將受控應用程式的使用限制為僅限已註冊裝置之帳戶的 UPN (在 [應用程式中只允許設定的組織帳戶] 底下)
雖然這些替代方案會提供保護,但某些情況只能透過租用戶限制來涵蓋,例如使用瀏覽器透過 Web 存取 Microsoft 365 服務,而不是透過專用應用程式。
選項 3:在 Windows 受控裝置 (預覽本) 上啟用租用戶限制
建立租使用者限制 v2 原則之後,您可以將租使用者標識碼和原則標識碼新增至裝置的 租使用者限制 設定,在每個 Windows 10、Windows 11 上強制執行原則。 在 Windows 裝置上啟用租用戶限制時,不需要公司 Proxy 來強制執行原則。 裝置不需要 Microsoft Entra ID 管理,即可強制執行租用戶限制 v2;也支援使用群組原則管理的已加入網域的裝置。
注意
Windows 上的租用戶限制 V2 是部分解決方案,可保護某些情況下的驗證和資料平面。 其適用於受控 Windows 裝置,且不會保護 .NET 堆疊、Chrome 或 Firefox。 Windows 解決方案會提供暫時解決方案,直到 Microsoft Entra 全球安全存取中的通用租用戶限制正式推出為止。
Windows 10 2021 年 11 月更新 (21H2) 和群組原則設定的系統管理範本 (.admx)
您可以使用群組原則將租用戶限制設定部署到 Windows 裝置。 請參閱下列資源:
在裝置上測試原則
若要在裝置上測試租用戶限制 v2 原則,請遵循下列步驟。
注意
- 裝置必須執行具有最新更新的 Windows 10 或 Windows 11。
在 Windows 電腦上按下 [Windows] 鍵,輸入 gpedit,然後選取 [編輯群組原則 (控制台)]。
移至至 [電腦設定]>[系統管理範本]>[Windows 元件]>[租用戶限制]。
以滑鼠右鍵按下右側窗格中的 [雲端原則詳細資料],然後選取 [編輯]。
擷取您稍早記錄的租用戶識別碼和原則識別碼 (在 [設定預設租用戶限制] 下的步驟 7 中),並在下列欄位中輸入這些值 (將所有其他欄位保留空白):
- Microsoft Entra 目錄識別碼:輸入您稍早記錄的租用戶識別碼。 以系統管理員身分登入 Microsoft Entra 系統管理中心並瀏覽至 [身分識別]>[概觀],然後選取 [概觀] 索引標籤。
- 原則 GUID:跨租用戶存取原則的識別碼。 這是您稍早記錄的原則識別碼。 您也可以使用 Graph 總管命令來尋找此識別碼:https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/default。
選取 [確定]。
封鎖 Chrome、Firefox 和 .NET 應用程式,例如 PowerShell
您可以使用 Windows 防火牆功能,防止未受保護的應用程式透過 Chrome、Firefox 和 .NET 應用程式 (例如 PowerShell) 存取 Microsoft 資源。 根據租用戶限制 v2 原則封鎖/允許的應用程式。
例如,如果客戶將 PowerShell 新增至其租用戶限制 v2 CIP 原則,並在其租用戶限制 v2 原則端點清單中具有 graph.microsoft.com,則 PowerShell 應該能夠在已啟用防火牆的情況下進行存取。
在 Windows 電腦上按下 [Windows] 鍵,輸入 gpedit,然後選取 [編輯群組原則 (控制台)]。
移至至 [電腦設定]>[系統管理範本]>[Windows 元件]>[租用戶限制]。
以滑鼠右鍵按下右側窗格中的 [雲端原則詳細資料],然後選取 [編輯]。
選取 [啟用 Microsoft 端點的防火牆保護] 核取方塊,然後選取 [確定]。
啟用防火牆設定之後,請嘗試使用 Chrome 瀏覽器登入。 登入應該會失敗,並顯示下列訊息:
檢視租用戶限制 v2 事件
在事件檢視器中檢視與租用戶限制相關的事件。
- 開啟 [事件檢視器] 中的 [應用程式及服務記錄檔]。
- 瀏覽至 [Microsoft]>[Windows]>[TenantRestrictions]>[作業] 並尋找事件。
租用戶限制和資料平面支援 (預覽版)
Trv2 是由下列資源強制執行,將用來處理權杖滲透的情況,其中不良執行者會直接使用滲透權杖或以匿名方式存取資源。
- Teams
- SharePoint Online,例如 OneDrive 應用程式
- Exchange Online,例如 Outlook 應用程式
- Office.com / Office 應用程式
租用戶限制和 Microsoft Teams (預覽版)
Teams 預設有開放式同盟,這表示我們不會阻止任何人加入外部租用戶主持的會議。 若要更充分掌控 Teams 會議的存取權,您可以使用 Teams 中的同盟控制項來允許或封鎖特定租用戶,同時使用租用戶限制 v2 來封鎖 Teams 會議的匿名存取。 若要強制執行 Teams 的租用戶限制,您必須在 Microsoft Entra 跨租用戶存取設定中設定租用戶限制 v2。 您也需要在 Teams 系統管理入口網站中設定同盟控制項,然後重新啟動 Teams。 在公司 Proxy 上實作的租用戶限制不會封鎖 Teams 會議、SharePoint 檔案和其他不需要驗證之資源的匿名存取。
- Teams 目前可讓使用者使用其公司/住家提供的身分識別加入任何外部指持的會議。 您可以使用輸出跨租用戶存取設定,控制由公司/住家提供身分識別的使用者如何加入外部主持的 Teams 會議。
- 租用戶限制可防止使用者使用外部發出的身分識別來加入 Teams 會議。
注意
Microsoft Teams 應用程式相依於 SharePoint Online 和 Exchange Online 應用程式。 建議您在 Office 365 應用程式上設定 TRv2 原則,而不是在個別的 Microsoft Teams 服務、SharePoint Online 或 Exchange Online 上設定。 如果您允許/封鎖其中一個屬於 Office 365 的應用程式 (SPO 或 EXO 等等),則也會影響 Microsoft Teams 等應用程式。 同樣地,如果允許/封鎖 Microsoft Teams 應用程式,Teams 應用程式中的 SPO 和 EXO 也將會受到影響。
純匿名會議加入
租用戶限制 v2 會自動封鎖所有未經驗證且由外部核發的身分識別,使其無法存取外部主持的 Teams 會議。 例如,假設 Contoso 使用 Teams 同盟控制項來封鎖 Fabrikam 租用戶。 如果具有 Contoso 裝置的人員使用 Fabrikam 帳戶加入 Contoso Teams 會議,將會允許他們以匿名使用者身分進入會議。 現在,如果 Contoso 也啟用租用戶限制 v2,則 Teams 會封鎖匿名存取,該使用者無法加入會議。
使用外部發行的身分識別加入會議
您可以設定租用戶限制 v2 原則,以允許具有外部核發身分識別的特定使用者或群組加入外部主持的特定 Teams 會議。 透過此設定,使用者可以使用其外部核發的身分識別登入 Teams,並加入指定租用戶的外部主持 Teams 會議。
驗證身分識別 | 已驗證的工作階段 | 結果 |
---|---|---|
租用戶成員使用者 (已驗證的工作階段) 範例:使用者使用其住家身分識別作為成員使用者 (例如:user@mytenant.com) |
已驗證 | 租用戶限制 v2 允許存取 Teams 會議。 TRv2 永遠不會套用至租用戶成員使用者。 套用跨租用戶存取輸入/輸出原則。 |
匿名 (沒有已驗證的工作階段) 範例:使用者嘗試使用未經驗證的工作階段,例如在 InPrivate 瀏覽器視窗中存取 Teams 會議。 |
未驗證 | 租用戶限制 v2 會封鎖 Teams 會議的存取。 |
外部核發的身分識別 (已驗證的工作階段) 範例:使用者使用其住家身分識別以外的任何身分識別 (例如:user@externaltenant.com) |
以外部核發的身分識別進行驗證 | 根據租用戶限制 v2 原則允許或封鎖 Teams 會議的存取。 如果原則允許,則使用者可以加入會議。 否則會封鎖存取。 |
租用戶限制 v2 和 SharePoint Online (預覽)
SharePoint Online 支援在驗證平面和資料平面上使用租用戶限制 v2。
預覽已驗證的工作階段
在租用戶上啟用租用戶限制 v2 時,未經授權的存取會在驗證期間遭到封鎖。 如果使用者在沒有已驗證工作階段的情況下直接存取 SharePoint Online 資源,系統會提示他們登入。 如果租用戶限制 v2 原則允許存取,則使用者可以存取資源;否則會封鎖存取。
匿名存取 (預覽版)
如果使用者嘗試使用其住家租用戶/公司身分識別來存取匿名檔案,他們能夠存取檔案。 但是,如果使用者嘗試使用任何外部核發的身分識別來存取匿名檔案,則存取會遭到封鎖。
例如,假設使用者使用的受控裝置已針對租用戶 A 設定租用戶限制 v2。如果他們選取針對租用戶 A 資源所產生的匿名存取連結,則他們應該能夠匿名存取資源。 但是,如果他們選取針對租用戶 B SharePoint Online 產生的匿名存取連結,則系統會提示他們登入。 使用外部核發身分識別的資源匿名存取一律會遭到封鎖。
租用戶限制 v2 和 OneDrive (預覽)
預覽已驗證的工作階段
在租用戶上啟用租用戶限制 v2 時,未經授權的存取會在驗證期間遭到封鎖。 如果使用者沒有經過驗證的工作階段而直接存取 OneDrive,則系統會提示他們登入。 如果租用戶限制 v2 原則允許存取,則使用者可以存取資源;否則會封鎖存取。
匿名存取 (預覽版)
如同 SharePoint,OneDrive 支援在驗證平面和資料平面上使用租用戶限制 v2。 也支援封鎖 OneDrive 的匿名存取。 例如,租用戶限制 v2 原則強制執行可在 OneDrive 端點 (microsoft-my.sharepoint.com) 上運作。
不在範圍中
適用於取用者帳戶的 OneDrive (透過 onedrive.live.com) 不支援租用戶限制 v2。 某些 URL (例如 onedrive.live.com) 未包含在內,並使用我們的舊版堆疊。 當使用者透過這些 URL 存取 OneDrive 取用者租用戶時,不會強制執行原則。 因應措施是,您可以在 Proxy 層級上封鎖 https://onedrive.live.com/。
登入記錄
Microsoft Entra 登入記錄可讓您檢視使用租用戶限制 v2 原則時的登入詳細資料。 B2B 使用者登入要共同作業的資源租用戶時,會在主租用戶和資源租用戶中產生登入記錄。 這些記錄包括主租用戶和資源租用戶的資訊,例如所使用應用程式、電子郵件地址、租用戶名稱和租用戶識別碼。 以下範例顯示成功登入的情況:
如果登入失敗,活動詳細資料會提供失敗原因的相關資訊:
稽核記錄
稽核記錄可提供系統和使用者活動的記錄,包括來賓使用者所起始的活動。 您可以在 [監視] 底下檢視租用戶的稽核記錄,或瀏覽至使用者設定檔來檢視特定使用者的稽核記錄。
選取記錄中的事件以取得事件的詳細資料,例如:
您也可以從 Microsoft Entra ID 匯出這些記錄,並使用您慣用的報告工具取得自訂報告。
Microsoft Graph
使用 Microsoft Graph 來取得原則資訊:
HTTP 要求
取得預設原則
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
重設為系統預設值
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
取得合作夥伴設定
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
取得特定的合作夥伴設定
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
更新特定的合作夥伴
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
要求本文
"tenantRestrictions": {
"usersAndGroups": {
"accessType": "allowed",
"targets": [
{
"target": "AllUsers",
"targetType": "user"
}
]
},
"applications": {
"accessType": "allowed",
"targets": [
{
"target": "AllApplications",
"targetType": "application"
}
]
}
}
已知的限制
如果是跨雲端的要求,則不會強制執行租用戶限制 v2。
下一步
請參閱使用非 Azure AD 身分識別、社交身分識別和非 IT 管理的外部帳戶,針對 B2B 共同作業設定外部共同作業設定。