Configurare le restrizioni di tenant v2

Si applica a: Cerchio verde con segno di spunta bianco. Tenant delle risorse Cerchio bianco con il simbolo X grigio. Tenant esterni (altre informazioni)

Nota

Alcune funzionalità descritte in questo articolo sono funzionalità di anteprima. Per altre informazioni sulle anteprime, vedere Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.

Per migliorare la sicurezza, è possibile limitare ciò a cui gli utenti possono accedere quando usano un account esterno per l'accesso da reti o dispositivi. Le impostazioni di restrizione dei tenant, incluse nelle impostazioni di accesso tra tenant, consentono di creare un criterio per controllare l'accesso alle app esterne.

Si supponga, ad esempio, che un utente dell'organizzazione abbia creato un account separato in un tenant sconosciuto o che un'organizzazione esterna abbia assegnato all'utente un account che consenta di accedere all'organizzazione. È possibile usare le restrizioni di tenant per impedire all'utente di usare alcune o tutte le app esterne durante l'accesso con l'account esterno alla rete o ai dispositivi.

Diagramma che illustra le restrizioni di tenant v2.

Passaggi Descrizione
1 Contoso configura le restrizioni di tenant v2 nelle impostazioni di accesso tra tenant per bloccare tutti gli account e tutte le app esterni. Contoso aggiunge la segnalazione dell'applicazione di TRv2 con l'intestazione TRv2 tramite Universal TRv2 o un proxy aziendale; Microsoft Entra ID applicherà i criteri TRv2 quando l'intestazione è presente nella richiesta.
2 Un utente che usa un dispositivo gestito da Contoso tenta di accedere a un'app esterna usando un account da un tenant sconosciuto. L'intestazione HTTP TRv2 con l'ID tenant di Contoso e l'ID del criterio delle restrizioni di tenant viene aggiunta alla richiesta di autenticazione.
3 Protezione del piano di autenticazione: Microsoft Entra ID applica i criteri TRv2 di Contoso e impedisce agli account esterni di accedere ai tenant esterni durante l'autenticazione in base ai criteri TRv2 di Contoso.
4 Protezione del piano dati (anteprima): Microsoft Entra ID bloccherà l'accesso anonimo al file di SharePoint o alla riunione anonima di Teams, oltre a bloccare l'accesso utente alla risorsa con un token infiltrato.

Le restrizioni di tenant v2 offrono opzioni sia per la protezione del piano di autenticazione che per la protezione del piano dati.

  • La protezione del piano di autenticazione si riferisce all'uso di criteri v2 per bloccare gli accessi usando identità esterne. Ad esempio, è possibile impedire a un utente malintenzionato di perdere dati tramite posta elettronica esterna impedendone l'accesso al tenant pericoloso. La protezione del piano di autenticazione v2 delle restrizioni di tenant è disponibile a livello generale.

  • La protezione del piano dati si riferisce alla prevenzione degli attacchi che ignorano l'autenticazione. Ad esempio, un utente malintenzionato potrebbe tentare di consentire l'accesso alle app tenant pericolose usando l'accesso anonimo alle riunioni di Teams o l'accesso anonimo ai file di SharePoint. In alternativa, l'utente malintenzionato potrebbe copiare un token di accesso da un dispositivo in un tenant pericoloso e importarlo nel dispositivo aziendale. Le restrizioni di tenant v2 per la protezione del piano dati forzano l'autenticazione dell'utente quando tentano di accedere a una risorsa e bloccano l'accesso in caso di errore di autenticazione.

Sebbene le restrizioni di tenant v1 forniscano la protezione del piano di autenticazione tramite un elenco di tenant consentiti configurato nel proxy aziendale, le restrizioni di tenant v2 offrono opzioni per l'autenticazione granulare e la protezione del piano dati, con o senza un proxy aziendale. Se si usa un proxy aziendale per l'inserimento di intestazioni, le opzioni includono solo la protezione del piano di autenticazione.

Panoramica delle restrizioni di tenant v2

Nelle impostazioni di accesso tra tenant dell'organizzazione è possibile configurare i criteri di restrizione di tenant v2. Dopo aver creato i criteri, esistono tre modi per applicare i criteri nell'organizzazione.

  • Restrizioni di tenant universali v2. Questa opzione fornisce la protezione sia del piano di autenticazione che del piano dati senza un proxy aziendale. Le restrizioni di tenant universali usano il servizio Accesso globale sicuro per contrassegnare tutto il traffico indipendentemente dal sistema operativo, dal browser o dal fattore di forma del dispositivo. Consentono il supporto per la connettività di rete remota e client.
  • Restrizioni di tenant del piano di autenticazione v2. È possibile distribuire un proxy aziendale nell'organizzazione e configurare il proxy per impostare i segnali delle restrizioni di tenant v2 su tutto il traffico verso Microsoft Entra ID e gli account Microsoft (MSA).
  • Restrizioni di tenant di Windows v2. Per i dispositivi Windows di proprietà dell'azienda, è possibile applicare la protezione sia del piano di autenticazione che del piano dati applicando le restrizioni di tenant direttamente nei dispositivi. Le restrizioni di tenant vengono applicate all'accesso alle risorse, fornendo la copertura del percorso dati e la protezione dall'infiltrazione dei token. Non è richiesto un proxy aziendale per l'imposizione dei criteri. I dispositivi possono essere dispositivi gestiti da Microsoft Entra ID o dispositivi aggiunti a un dominio gestiti tramite Criteri di gruppo.

Nota

Questo articolo descrive come configurare le restrizioni di tenant v2 usando l'Interfaccia di amministrazione di Microsoft Entra. È anche possibile usare l'API di accesso tra tenant di Microsoft Graph per creare questi stessi criteri di restrizioni di tenant.

Scenari supportati

Le restrizioni di tenant v2 possono essere limitate a utenti, gruppi, organizzazioni o app esterne specifici. Le app basate sullo stack di rete del sistema operativo Windows sono protette. Sono supportati gli scenari che seguono:

  • Tutte le app di Office (tutte le versioni/tutti i canali di rilascio).
  • Applicazioni .NET UWP (Universal Windows Platform).
  • Protezione del piano di autenticazione per tutte le applicazioni che eseguono l'autenticazione con Microsoft Entra ID, incluse tutte le applicazioni Microsoft di prima parte e tutte le applicazioni di terze parti che usano Microsoft Entra ID per l'autenticazione.
  • Protezione del piano dati per SharePoint Online ed Exchange Online.
  • Protezione dell'accesso anonimo per SharePoint Online, OneDrive e Teams (con i controlli di federazione configurati).
  • Autenticazione e protezione del piano dati per gli account Microsoft tenant o consumer.
  • Quando si usano restrizioni di tenant universali in Accesso globale sicuro, tutti i browser e le piattaforme.
  • Quando si usano Criteri di gruppo di Windows, Microsoft Edge e tutti i siti Web in Microsoft Edge.

Scenari non supportati

  • Blocco anonimo dell'account OneDrive consumer. I clienti possono risolvere il problema a livello di proxy bloccando https://onedrive.live.com/.
  • Quando un utente accede a un'app di terze parti, ad esempio Slack, usando un collegamento anonimo o un account non Azure AD.
  • Quando un utente copia un token rilasciato da Microsoft Entra ID da un computer principale a un computer aziendale e lo usa per accedere a un'app di terze parti come Slack.
  • Restrizioni di tenant per utente per gli account Microsoft.

Confrontare le restrizioni di tenant v1 e v2

La tabella seguente confronta le caratteristiche di ogni versione.

Restrizioni di tenant v1 Restrizioni di tenant V2
Applicazione dei criteri Il proxy aziendale applica i criteri della restrizione di tenant nel piano di controllo di Microsoft Entra ID. Opzioni:

: restrizioni di tenant universali nel servizio Accesso globale sicuro, che usa la segnalazione dei criteri per contrassegnare tutto il traffico, fornendo il supporto sia dell'autenticazione che del piano dati in tutte le piattaforme.

: protezione solo del piano di autenticazione, dove il proxy aziendale imposta i segnali delle restrizioni di tenant v2 per tutto il traffico.

: gestione dei dispositivi Windows, dove i dispositivi sono configurati per indirizzare il traffico Microsoft ai criteri di restrizione di tenant e i criteri vengono applicati nel cloud.
Limitazioni relative all'applicazione di criteri Gestire i proxy aziendali aggiungendo tenant all'elenco del traffico consentito di Microsoft Entra. Limite di caratteri del valore dell'intestazione Restrict-Access-To-Tenants: <allowed-tenant-list> limita il numero di tenant che è possibile aggiungere. Gestito da criteri cloud nei criteri di accesso tra tenant. I criteri predefiniti a livello di tenant e i criteri dei partner vengono creati per ogni tenant esterno.
Richieste di tenant dannose Microsoft Entra ID blocca le richieste di autenticazione del tenant dannoso per fornire la protezione del piano di autenticazione. Microsoft Entra ID blocca le richieste di autenticazione del tenant dannoso per fornire la protezione del piano di autenticazione.
Granularità Limitate al tenant e a tutti gli account Microsoft. Granularità a livello di tenant, utente, gruppo e applicazione. La granularità a livello di utente non è supportata con gli account Microsoft.
Accesso anonimo È consentito l'accesso anonimo alle riunioni di Teams e alla condivisione file. L'accesso anonimo alle riunioni di Teams è bloccato. L'accesso alle risorse condivise in modo anonimo ("Chiunque con il collegamento") è bloccato.
Account Microsoft Usa un'intestazione Restrict-MSA per bloccare l'accesso agli account consumer. Consente il controllo dell'autenticazione degli account Microsoft (MSA e Live ID) nei piani di identità e dati.

Ad esempio, se le restrizioni di tenant vengono applicate per impostazione predefinita, è possibile creare criteri specifici degli account Microsoft che consentono agli utenti di accedere ad app specifiche con i propri account Microsoft, ad esempio:
Microsoft Learn (ID app 18fbca16-2224-45f6-85b0-f7bf2b39b3f3) o
Microsoft Enterprise Skills Initiative (ID app 195e7f27-02f9-4045-9a91-cd2fa1c2af2f).
Gestione proxy Gestire i proxy aziendali aggiungendo tenant all'elenco del traffico consentito di Microsoft Entra. Per la protezione del piano di autenticazione proxy aziendale, configurare il proxy per impostare i segnali delle restrizioni di tenant v2 per tutto il traffico.
Supporto delle piattaforme Supportate in tutte le piattaforme. Fornisce solo la protezione del piano di autenticazione. Le restrizioni di tenant universali in Accesso globale sicuro supportano qualsiasi sistema operativo, browser o forma del dispositivo.

La protezione del piano di autenticazione proxy aziendale supporta applicazioni macOS, browser Chrome e .NET.

La gestione dei dispositivi Windows supporta i sistemi operativi Windows e Microsoft Edge.
Supporto del portale Nessuna interfaccia utente nell'Interfaccia di amministrazione di Microsoft Entra per la configurazione dei criteri. Interfaccia utente disponibile nell'Interfaccia di amministrazione di Microsoft Entra per la configurazione dei criteri cloud.
App non supportate N/D Blocca l'uso di app non supportate con gli endpoint Microsoft usando Windows Defender Application Control (WDAC) o Windows Firewall (ad esempio, per Chrome, Firefox e così via). Vedere Bloccare Chrome, Firefox e le applicazioni .NET come PowerShell.

Eseguire la migrazione dei criteri delle restrizioni di tenant v1 alla versione 2 nel proxy

La migrazione dei criteri delle restrizioni di tenant dalla versione 1 alla versione 2 è un'operazione una tantum. Dopo la migrazione, non sono necessarie modifiche sul lato client. È possibile apportare eventuali modifiche ai criteri lato server successive tramite l'Interfaccia di amministrazione di Microsoft Entra.

Quando si abilita TRv2 nel proxy, sarà possibile applicare TRv2 solo al piano di autenticazione. Per abilitare TRv2 sia sull'autenticazione che sul piano dati, è necessario abilitare la segnalazione TRv2 lato client tramite Universal TRv2

Passaggio 1: Configurazione dell'elenco di tenant partner consentiti

TRv1: le restrizioni di tenant v1 (TRv1) consentono di creare un elenco di ID tenant e/o endpoint di accesso Microsoft per garantire che gli utenti accedano ai tenant esterni autorizzati dall'organizzazione. In TRv1 ciò è possibile aggiungendo l'intestazione Restrict-Access-To-Tenants: <allowed-tenant-list> nel proxy. Ad esempio: "Restrict-Access-To-Tenants: " contoso.com, fabrikam.com, dogfood.com". Altre informazioni sulle restrizioni di tenant v1.

TRv2: con le restrizioni di tenant v2 (TRv2), la configurazione viene spostata nei criteri cloud lato server e non è necessaria l'intestazione TRv1.

  • Nel proxy aziendale è necessario rimuovere l'intestazione delle restrizioni di tenant v1, Restrict-Access-To-Tenants: <allowed-tenant-list>.
  • Per ogni tenant nell'elenco di tenant consentiti, creare un criterio per il tenant partner seguendo la procedura descritta in Passaggio 2: Configurare le restrizioni di tenant v2 per partner specifici. Assicurarsi di seguire linee guida seguenti:

Nota

  • Conservare i criteri predefiniti delle restrizioni di tenant v2 che bloccano l'accesso a tutti i tenant esterni usando identità esterne (ad esempio, user@externaltenant.com).
  • Creare un criterio per il tenant partner per ogni tenant elencato nell'elenco di tenant consentiti v1 seguendo la procedura descritta in Passaggio 2: Configurare le restrizioni di tenant v2 per partner specifici.
  • Consentire solo a utenti specifici di accedere ad applicazioni specifiche. Questa progettazione aumenta la postura di sicurezza limitando l'accesso solo agli utenti necessari.

Passaggio 2: Blocco del tenant dell'account consumer o dell'account Microsoft

TRv1: per non consentire agli utenti di accedere alle applicazioni consumer. Trv1 richiede che l'intestazione sec-Restrict-Tenant-Access-Policy venga inserita nel traffico che visita login.live.com come sec-Restrict-Tenant-Access-Policy: restrict-msa`

TRv2: con TRv2, la configurazione viene spostata nei criteri cloud lato server e non è necessaria l'intestazione TRv1.

  • Nel proxy aziendale è necessario rimuovere l'intestazione delle restrizioni di tenant v1 sec-Restrict-Tenant-Access-Policy: restrict-msa'.
  • Creare un criterio per il tenant partner per il tenant degli account Microsoft seguendo il passaggio 2: Configurare le restrizioni di tenant v2 per partner specifici. Poiché l'assegnazione a livello di utente non è disponibile per i tenant degli account Microsoft, il criterio si applica a tutti gli utenti con account Microsoft. Tuttavia, è disponibile la granularità a livello di applicazione; è necessario limitare le applicazioni a cui gli account Microsoft o gli account consumer possono accedere solo alle applicazioni necessarie.

Nota

Il blocco del tenant degli account Microsoft non blocca il traffico senza utente per i dispositivi, tra cui:

  • Traffico per Autopilot, Windows Update e dati di telemetria dell'organizzazione.
  • Autenticazione B2B degli account consumer o autenticazione "pass-through", in cui le app di Azure e Office.com app usano Microsoft Entra ID per consentire agli utenti consumer di accedere a un contesto consumer.

Passaggio 3: Abilitare le restrizioni di tenant v2 nel proxy aziendale

TRv2: è possibile configurare il proxy aziendale per abilitare l'assegnazione di tag lato client dell'intestazione delle restrizioni di tenant V2 usando l'impostazione proxy aziendale seguente: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>

dove <DirectoryID> è l'ID tenant di Microsoft Entra e <policyGUID> è l'ID oggetto per i criteri di accesso tra tenant.

Restrizioni di tenant rispetto alle impostazioni in ingresso e in uscita

Anche se sono configurate insieme alle impostazioni di accesso tra tenant, le restrizioni di tenant funzionano separatamente rispetto alle impostazioni di accesso in ingresso e in uscita. Le impostazioni di accesso tra tenant consentono di controllare quando gli utenti accedono con un account dall'organizzazione. Al contrario, le restrizioni di tenant consentono di controllare quando gli utenti usano un account esterno. Le impostazioni in ingresso e in uscita per la collaborazione B2B e la connessione diretta B2B non influiscono sulle impostazioni delle restrizioni di tenant e non sono interessate.

Si considerino le diverse impostazioni di accesso tra tenant in questo modo:

  • Le impostazioni in ingresso controllano l'accesso dell'account esterno alle app interne.
  • Le impostazioni in uscita controllano l'accesso dell'account interno alle app esterne.
  • Le restrizioni di tenant controllano l'accesso dell'account esterno alle app esterne.

Restrizioni di tenant e collaborazione B2B

Quando gli utenti devono accedere a organizzazioni e app esterne, è consigliabile abilitare le restrizioni di tenant per bloccare gli account esterni e usare invece la collaborazione B2B. La collaborazione B2B offre la possibilità di:

  • Usare l'accesso condizionale e forzare l'autenticazione a più fattori per gli utenti di Collaborazione B2B.
  • Gestire l'accesso in ingresso e in uscita.
  • Terminare sessioni e credenziali quando lo stato di occupazione di un utente di Collaborazione B2B cambia o le credenziali vengono violate.
  • Usare i log di accesso per visualizzare i dettagli sull'utente di Collaborazione B2B.

Prerequisiti

Per configurare le restrizioni di tenant, è necessario:

  • Microsoft Entra ID P1 o P2
  • Account almeno con un ruolo Amministratore della sicurezza
  • Dispositivi Windows che eseguono Windows 10, Windows 11 con gli aggiornamenti più recenti

Configurare i criteri cloud per le restrizioni di tenant lato server v2

Passaggio 1: Configurare le restrizioni di tenant predefinite v2

Le impostazioni per le restrizioni di tenant v2 si trovano nell'Interfaccia di amministrazione di Microsoft Entra in Impostazioni di accesso tra tenant. Prima di tutto, configurare le restrizioni di tenant predefinite da applicare a tutti gli utenti, gruppi, app e organizzazioni. Quindi, se sono necessarie configurazioni specifiche del partner, è possibile aggiungere l'organizzazione di un partner e personalizzare le impostazioni diverse dalle impostazioni predefinite.

Per configurare le restrizioni di tenant predefinite

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.

  2. Passare a Identità>Identità esterne>Impostazioni di accesso tra tenant, quindi selezionare Impostazioni di accesso tra tenant.

  3. Selezionare la scheda Impostazioni predefinite.

    Screenshot che mostra la sezione delle restrizioni di tenant nella scheda Impostazioni predefinite.

  4. Scorrere fino alla sezione Restrizioni tenant.

  5. Selezionare il collegamento Modifica restrizioni tenant predefinite.

    Screenshot che mostra i pulsanti di modifica per le impostazioni predefinite.

  6. Se non esiste ancora un criterio predefinito nel tenant, accanto a ID criterio viene visualizzato un collegamento Crea criteri. Selezionare il collegamento.

    Screenshot che mostra il collegamento Crea criteri.

  7. Nella pagina Restrizioni tenant vengono visualizzati sia l'ID tenant che l'ID criterio delle restrizioni di tenant. Usare le icone di copia per copiare entrambi questi valori. Usare questi valori in un secondo momento quando si configurano i client Windows per abilitare le restrizioni di tenant.

    Screenshot che mostra l'ID tenant e l'ID criterio delle restrizioni di tenant.

  8. Selezionare la scheda Utenti e gruppi esterni. In Stato di accesso scegliere una delle opzioni seguenti:

    • Consenti accesso: consente a tutti gli utenti che hanno eseguito l'accesso con account esterni di accedere alle app esterne (specificate nella scheda Applicazioni esterne).
    • Blocca accesso: impedisce a tutti gli utenti che hanno eseguito l'accesso con account esterni di accedere alle app esterne (specificate nella scheda Applicazioni esterne).

    Screenshot che mostra le impostazioni per lo stato di accesso.

    Nota

    Non è possibile definire l'ambito delle impostazioni predefinite per singoli account o gruppi e quindi le indicazioni riportate nella sezione Si applica a fanno sempre riferimento a Tutti gli utenti e i gruppi di <tenant in uso>. Tenere presente che se si blocca l'accesso per tutti gli utenti e i gruppi, è necessario bloccare anche l'accesso a tutte le applicazioni esterne (nella scheda Applicazioni esterne).

  9. Selezionare la scheda Applicazioni esterne. In Stato di accesso scegliere una delle opzioni seguenti:

    • Consenti accesso: consente a tutti gli utenti che hanno eseguito l'accesso con account esterni di accedere alle app specificare nella sezione Si applica a.
    • Blocca accesso: blocca a tutti gli utenti che hanno eseguito l'accesso con account esterni l'accesso alle app specificare nella sezione Si applica a.

    Screenshot che mostra lo stato di accesso nella scheda Applicazioni esterne.

  10. In Si applica a selezionare una delle opzioni seguenti:

    • Tutte le applicazioni esterne: applica l'azione scelta in Stato di accesso a tutte le applicazioni esterne. Se si blocca l'accesso a tutte le applicazioni esterne, è anche necessario bloccare l'accesso per tutti gli utenti e i gruppi (nella scheda Utenti e gruppi).
    • Seleziona applicazioni esterne: consente di scegliere le applicazioni esterne a cui si vuole applicare l'azione indicata in Stato di accesso. Per selezionare le applicazioni, scegliere Aggiungi applicazioni Microsoft o Aggiungi altre applicazioni. Cercare quindi in base al nome dell'applicazione o all'ID applicazione (ID app ID client o ID app risorsa) e selezionare l'app. Vedere un elenco di ID per le applicazioni Microsoft di uso comune. Se si vuole aggiungere altre app, usa il pulsante Aggiungi. Al termine, selezionare Invia.

    Screenshot che mostra la selezione della scheda Applicazioni esterne.

  11. Seleziona Salva.

Passaggio 2: Configurare le restrizioni di tenant v2 per partner specifici

Si supponga di usare le restrizioni di tenant per bloccare l'accesso per impostazione predefinita. Tuttavia, si vuole consentire agli utenti di accedere a determinate applicazioni usando i propri account esterni. Si supponga, ad esempio, di voler consentire agli utenti di accedere a Microsoft Learn con i propri account Microsoft. Le istruzioni in questa sezione descrivono come aggiungere impostazioni specifiche dell'organizzazione che hanno la precedenza sulle impostazioni predefinite.

Esempio: Configurare le restrizioni di tenant v2 per consentire gli account Microsoft

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza o Amministratore accesso condizionale.

  2. Passare a Identità>Identità esterne>Impostazioni accesso tra tenant.

  3. Selezionare Impostazioni organizzative.

    Nota

    Se l'organizzazione da aggiungere è già stata aggiunta all'elenco, è possibile ignorare l'operazione di aggiunta a e passare direttamente alla modifica delle impostazioni.

  4. Selezionare Aggiungi organizzazione.

  5. Nel riquadro Aggiungi organizzazione digitare il nome di dominio completo (o l'ID tenant) dell'organizzazione.

    Esempio: cercare l'ID tenant degli account Microsoft seguente:

    9188040d-6c67-4c5b-b112-36a304b66dad
    

    Screenshot che mostra l'aggiunta di un'organizzazione.

  6. Selezionare l'organizzazione nei risultati della ricerca e quindi selezionare Aggiungi.

  7. Modifica delle impostazioni: trovare l'organizzazione nell'elenco Impostazioni organizzazione e quindi scorrere orizzontalmente fino a visualizzare la colonna Restrizioni tenant. A questo punto, tutte le impostazioni delle restrizioni di tenant per questa organizzazione vengono ereditate dalle impostazioni predefinite. Per modificare le impostazioni per questa organizzazione, selezionare il collegamento Ereditato dal valore predefinito nella colonna Restrizioni tenant.

    Screenshot che mostra un'organizzazione aggiunta con le impostazioni predefinite.

  8. Viene visualizzata la pagina Restrizioni tenant per l'organizzazione. Copiare i valori per ID tenant e ID criterio. Usare questi valori in un secondo momento quando si configurano i client Windows per abilitare le restrizioni di tenant.

    Screenshot che mostra l'ID tenant e l'ID criterio.

  9. Selezionare Personalizza impostazioni e quindi selezionare la scheda Utenti e gruppi esterni. In Stato di accesso scegliere un'opzione:

    • Consenti accesso: consente agli utenti e ai gruppi specificati nella sezione Si applica a che hanno eseguito l'accesso con account esterni di accedere alle app esterne (specificate nella scheda Applicazioni esterne).
    • Blocca accesso: blocca gli utenti e i gruppi specificati nella sezione Si applica a che hanno eseguito l'accesso con account esterni dall'accesso alle app esterne (specificate nella scheda Applicazioni esterne).

    Nota

    Per l'esempio degli account Microsoft, selezionare Consenti accesso.

    Screenshot che mostra la selezione degli utenti esterni che consentono le selezioni di accesso.

  10. In Si applica a scegliere Tutti gli utenti e gruppi di <organizzazione>.

    Nota

    La granularità degli utenti non è supportata con gli account Microsoft e pertanto la funzionalità Seleziona utenti e gruppi di <organizzazione> non è disponibile. Per altre organizzazioni, è possibile scegliere Seleziona utenti e gruppi di <organizzazione> e quindi seguire questa procedura per ogni utente o gruppo da aggiungere:

    • Selezionare Aggiungi utenti e gruppi esterni.
    • Nel riquadro Seleziona digitare il nome utente o il nome del gruppo nella casella di ricerca.
    • Selezionare l'utente o il gruppo nei risultati della ricerca.
    • Per aggiungere altro, selezionare Aggiungi e ripetere questi passaggi. Al termine della selezione degli utenti e dei gruppi da aggiungere, selezionare Invia.

    Screenshot che mostra la selezione di utenti e gruppi esterni.

  11. Selezionare la scheda Applicazioni esterne. In Stato di accesso scegliere se consentire o bloccare l'accesso alle applicazioni esterne.

    • Consenti accesso: consente alle applicazioni esterne specificate nella sezione Si applica a di accettare l'accesso da parte degli utenti quando usano account esterni.
    • Blocca accesso: impedisce alle applicazioni esterne specificate nella sezione Si applica a di accettare l'accesso da parte degli utenti quando usano account esterni.

    Nota

    Per l'esempio degli account Microsoft, selezionare Consenti accesso.

    Screenshot che mostra le selezioni dello stato di accesso.

  12. In Si applica a selezionare una delle opzioni seguenti:

    • Tutte le applicazioni esterne: applica l'azione scelta in Stato di accesso a tutte le applicazioni esterne.
    • Seleziona applicazioni esterne: applica l'azione scelta in Stato di accesso a tutte le applicazioni esterne.

    Nota

    • Per l'esempio degli account Microsoft, scegliere Seleziona applicazioni esterne.
    • Se si blocca l'accesso a tutte le applicazioni esterne, è anche necessario bloccare l'accesso per tutti gli utenti e i gruppi (nella scheda Utenti e gruppi).

    Screenshot che mostra la selezione degli elementi nella sezione Si applica a.

  13. Se si sceglie Seleziona applicazioni esterne, eseguire le operazioni seguenti per ogni applicazione da aggiungere:

    • Selezionare Aggiungi applicazioni Microsoft o Aggiungi altre applicazioni. Per l'esempio di Microsoft Learn, scegliere Aggiungi altre applicazioni.
    • Nella casella di ricerca digitare il nome dell'applicazione o l'ID applicazione (ID app ID client o ID app risorsa). Vedere l'elenco di ID per le applicazioni Microsoft di uso comune. Per l'esempio di Microsoft Learn, immettere l'ID applicazione 18fbca16-2224-45f6-85b0-f7bf2b39b3f3.
    • Selezionare l'applicazione nei risultati della ricerca e quindi selezionare Aggiungi.
    • Ripetere la procedura per ogni applicazione da aggiungere.
    • Al termine della selezione delle applicazioni, selezionare Invia.

    Screenshot che mostra la selezione delle applicazioni.

  14. Le applicazioni selezionate sono elencate nella scheda Applicazioni esterne. Selezionare Salva.

    Screenshot che mostra l'applicazione selezionata.

Nota

Il blocco del tenant dell'account Microsoft non bloccherà gli elementi seguenti:

  • Traffico senza utenti per i dispositivi. Sono inclusi il traffico per Autopilot, Windows Update e i dati di telemetria dell'organizzazione.
  • Autenticazione B2B degli account consumer.
  • Autenticazione "pass-through", usata da molte app di Azure e Office.com, in cui le app usano Microsoft Entra ID per consentire agli utenti consumer di accedere a un contesto consumer.

Configurare le restrizioni di tenant lato client v2

Sono disponibili tre opzioni per l'applicazione delle restrizioni di tenant v2 per i client:

  • Opzione 1: restrizioni di tenant universali v2 come parte del servizio Accesso globale sicuro (anteprima) di Microsoft Entra
  • Opzione 2: configurare le restrizioni di tenant v2 nel proxy aziendale
  • Opzione 3: abilitazione delle restrizioni di tenant nei dispositivi gestiti da Windows (anteprima)

Opzione 1: restrizioni di tenant universali v2 come parte del servizio Accesso globale sicuro di Microsoft Entra

Le restrizioni di tenant universali v2 come parte del servizio Accesso globale sicuro di Microsoft Entra sono consigliate perché forniscono la protezione dell'autenticazione e del piano dati per tutti i dispositivi e tutte le piattaforme. Questa opzione offre maggiore protezione da elaborati tentativi di ignorare l'autenticazione. Ad esempio, gli utenti malintenzionati potrebbero provare a consentire l'accesso anonimo alle app di un tenant pericoloso, ad esempio mediante l'aggiunta a una riunione anonima in Teams. In alternativa, gli utenti malintenzionati potrebbero tentare di importare nel dispositivo aziendale un token di accesso recuperato da un dispositivo nel tenant pericoloso. Le restrizioni di tenant universali v2 impediscono questi attacchi mediante l'invio dei segnali delle restrizioni di tenant v2 al piano di autenticazione (Microsoft Entra ID e account Microsoft) e al piano dati (applicazioni cloud Microsoft).

Opzione 2: configurare le restrizioni di tenant v2 nel proxy aziendale

Per assicurarsi che gli accessi siano limitati a tutti i dispositivi e a tutte le app nella rete aziendale, configurare il proxy aziendale in modo che vengano applicate le restrizioni di tenant v2. Sebbene non fornisca la protezione del piano dati, la configurazione delle restrizioni di tenant nel proxy aziendale fornisce protezione del piano di autenticazione.

Importante

Se in precedenza sono state configurate restrizioni di tenant, è necessario interrompere l'invio di restrict-msa a login.live.com. In caso contrario, le nuove impostazioni saranno in conflitto con le istruzioni esistenti per il servizio di accesso dell'account Microsoft.

  1. Configurare l'intestazione delle restrizioni di tenant v2 come indicato di seguito:

    Nome intestazione Valore intestazione Valore di esempio
    sec-Restrict-Tenant-Access-Policy <TenantId>:<policyGuid> aaaabbbb-0000-cccc-1111-dddd2222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5
    • TenantID è l'ID tenant di Microsoft Entra. Per trovare questo valore, accedere all'Interfaccia di amministrazione di Microsoft Entra come amministratore e passare a Identità>Panoramica e selezionare la scheda Panoramica.
    • policyGUID è l'ID oggetto per i criteri di accesso tra tenant. Per trovare questo valore, chiamare /crosstenantaccesspolicy/default e usare il campo "id" restituito.
  2. Nel proxy aziendale inviare l'intestazione delle restrizioni di tenant v2 ai domini di accesso Microsoft seguenti:

    • login.live.com
    • login.microsoft.com
    • login.microsoftonline.com
    • login.windows.net

    Questa intestazione applica i criteri delle restrizioni di tenant v2 a tutti gli accessi nella rete. Questa intestazione non blocca l'accesso anonimo alle riunioni di Teams, ai file di SharePoint o ad altre risorse che non richiedono l'autenticazione.

Importante

Decrittazione degli URL Microsoft: le restrizioni del tenant (v1 e v2) nel proxy richiedono la decrittazione delle richieste agli URL di accesso, ad esempio login.microsoftonline.com. La decrittazione del traffico per tali domini di accesso ai fini dell'inserimento dell'intestazione TR è supportata da Microsoft ed è un'eccezione valida dai criteri in Usare dispositivi o soluzioni di rete di terze parti con Microsoft 365.

Restrizioni di tenant v2 senza supporto per l'interruzione e l'ispezione

Per le piattaforme non Windows, è possibile interrompere e ispezionare il traffico per aggiungere i parametri delle restrizioni di tenant v2 nell'intestazione tramite proxy. Tuttavia, alcune piattaforme non supportano interruzioni e ispezioni e pertanto le restrizioni di tenant v2 non funzionano. Per queste piattaforme, le funzionalità seguenti di Microsoft Entra ID possono fornire protezione:

Sebbene queste alternative forniscano protezione, alcuni scenari possono essere gestiti solo tramite le restrizioni di tenant, ad esempio l'uso di un browser per accedere ai servizi di Microsoft 365 tramite il Web anziché l'app dedicata.

Opzione 3: abilitazione delle restrizioni di tenant nei dispositivi gestiti da Windows (anteprima)

Dopo aver creato un criterio di restrizioni del tenant v2, è possibile applicare i criteri in ogni Windows 10, Windows 11 aggiungendo l'ID tenant e l'ID criterio alla configurazione delle restrizioni del tenant del dispositivo. Quando le restrizioni di tenant sono abilitate in un dispositivo Windows, i proxy aziendali non sono richiesti per l'imposizione dei criteri. Ai fini dell'applicazione delle restrizioni di tenant v2, non è necessario che i dispositivi siano gestiti da Microsoft Entra ID; sono supportati anche i dispositivi aggiunti a un dominio gestiti con Criteri di gruppo.

Nota

Le restrizioni di tenant V2 in Windows sono una soluzione parziale che protegge l'autenticazione e i piani dati per alcuni scenari. Funziona su dispositivi Windows gestiti e non protegge lo stack .NET, Chrome o Firefox. La soluzione Windows offre una soluzione temporanea fino alla disponibilità generale delle restrizioni di tenant universali in Accesso globale sicuro di Microsoft Entra.

Modelli amministrativi (.admx) per l'aggiornamento di Windows del 10 novembre 2021 (21H2) e impostazioni di Criteri di gruppo

È possibile usare Criteri di gruppo per distribuire la configurazione delle restrizioni di tenant nei dispositivi Windows. Fare riferimento a queste risorse:

Testare i criteri in un dispositivo

Per testare i criteri delle restrizioni di tenant v2 in un dispositivo, seguire questa procedura.

Nota

  • Il dispositivo deve eseguire Windows 10 o Windows 11 con gli aggiornamenti più recenti.
  1. Nel computer Windows premere il tasto Windows, digitare gpedit e quindi selezionare Modifica criteri di gruppo (Pannello di controllo).

  2. Passare a Configurazione computer>Modelli amministrativi>Componenti di Windows>Restrizioni di tenant.

  3. Fare clic con il pulsante destro del mouse su Dettagli criteri cloud nel riquadro a destra e quindi selezionare Modifica.

  4. Recuperare i valori di ID tenant e ID criterio registrati in precedenza (nel passaggio 7 in Per configurare le restrizioni di tenant predefinite) e immetterli nei campi seguenti (lasciare vuoti tutti gli altri campi):

    Screenshot dei dettagli dei criteri cloud di Windows.

  5. Seleziona OK.

Bloccare Chrome, Firefox e le applicazioni .NET come PowerShell

È possibile usare la funzionalità Windows Firewall per impedire alle app non protette di accedere alle risorse Microsoft tramite Chrome, Firefox e applicazioni .NET come PowerShell, ovvero le applicazioni che verrebbero bloccate/consentite in base ai criteri delle restrizioni di tenant v2.

Ad esempio, se un cliente aggiunge PowerShell ai criteri CIP v2 tenant e ha graph.microsoft.com nell'elenco degli endpoint dei criteri delle restrizioni di tenant v2, PowerShell dovrebbe essere in grado di accedervi con il firewall abilitato.

  1. Nel computer Windows premere il tasto Windows, digitare gpedit e quindi selezionare Modifica criteri di gruppo (Pannello di controllo).

  2. Passare a Configurazione computer>Modelli amministrativi>Componenti di Windows>Restrizioni di tenant.

  3. Fare clic con il pulsante destro del mouse su Dettagli criteri cloud nel riquadro a destra e quindi selezionare Modifica.

  4. Selezionare la casella di controllo Abilita protezione firewall degli endpoint Microsoft e quindi selezionare OK.

Screenshot che mostra l'abilitazione dei criteri firewall.

Dopo aver abilitato l'impostazione del firewall, provare ad accedere usando un browser Chrome. L'accesso ha esito negativo e viene visualizzato il messaggio seguente:

Screenshot che mostra che l'accesso a Internet è bloccato.

Visualizzare le restrizioni di tenant v2

Visualizzare gli eventi correlati alle restrizioni di tenant in Visualizzatore eventi.

  1. In Visualizzatore eventi aprire Log applicazioni e servizi.
  2. Passare a Microsoft>Windows>Restrizioni tenant>Operativo e cercare gli eventi.

Restrizioni di tenant e supporto del piano dati (anteprima)

Trv2 viene applicato dalle risorse seguenti per risolvere gli scenari di infiltrazione dei token in cui un utente malintenzionato accede direttamente alla risorsa con un token infiltrato o in modo anonimo.

  • Teams
  • SharePoint Online come l'app OneDrive
  • Exchange Online come l'app Outlook
  • Office.com/app di Office

Restrizioni di tenant e Microsoft Teams (anteprima)

Per impostazione predefinita, Teams ha una federazione aperta, il che significa che gli utenti che partecipano a una riunione ospitata da un tenant esterno non vengono bloccati. Per un maggiore controllo sull'accesso alle riunioni di Teams, è possibile usare i controlli federativi in Teams per consentire o bloccare tenant specifici, insieme alle restrizioni di tenant v2 per bloccare l'accesso anonimo alle riunioni di Teams. Per applicare le restrizioni di tenant per Teams, è necessario configurare le restrizioni di tenant v2 nelle impostazioni di accesso tra tenant di Microsoft Entra. È anche necessario configurare i controlli federativi nel portale di amministrazione di Teams e riavviare Teams. Le restrizioni di tenant implementate nel proxy aziendale non bloccano l'accesso anonimo alle riunioni di Teams, ai file di SharePoint e ad altre risorse che non richiedono l'autenticazione.

  • Teams attualmente consente agli utenti di partecipare a qualsiasi riunione ospitata esternamente usando l'identità principale o aziendale. È possibile usare le impostazioni di accesso tra tenant in uscita per controllare gli utenti con identità principale/aziendale che partecipano alle riunioni di Teams ospitate esternamente.
  • Le restrizioni di tenant impediscono agli utenti di usare un'identità rilasciata esternamente per partecipare alle riunioni di Teams.

Nota

L'app Microsoft Teams ha dipendenze con le app di SharePoint Online ed Exchange Online. È consigliabile impostare i criteri TRv2 nell'app di Office 365 invece che in Microsoft Teams Services o SharePoint Online o Exchange Online separatamente. Se si consente/blocca una delle applicazioni (SPO o EXO e così via) appartenenti a Office 365, ciò interessa anche le app come Microsoft Teams. Analogamente, se l'app Microsoft Teams è consentita/bloccata, ne risulteranno interessante anche le app SPO e EXO all'interno di Teams.

Partecipazione anonima a una riunione

Le restrizioni di tenant v2 bloccano automaticamente l'accesso all'identità non autenticata e rilasciata esternamente relativamente alle riunioni di Teams ospitate esternamente. Si supponga, ad esempio, che Contoso usi i controlli federativi di Teams per bloccare il tenant di Fabrikam. Se un utente con un dispositivo Contoso usa un account Fabrikam per partecipare a una riunione di Contoso in Teams, l'utente può partecipare alla riunione come utente anonimo. Ora, se Contoso abilita anche le restrizioni di tenant v2, Teams blocca l'accesso anonimo e l'utente non è in grado di partecipare alla riunione.

Partecipare alla riunione usando un'identità rilasciata esternamente

È possibile configurare i criteri delle restrizioni di tenant v2 per consentire a utenti o gruppi specifici con identità rilasciate esternamente di partecipare a specifiche riunioni di Teams ospitate esternamente. Con questa configurazione, gli utenti possono accedere a Teams con le identità rilasciate esternamente e partecipare alle riunioni di Teams ospitate esternamente dal tenant specificato.

Identità di autenticazione Sessione autenticata Risultato
Utenti membri del tenant (sessione autenticata)

Esempio: un utente usa la propria identità principale come utente membro (ad esempio, user@mytenant.com)
Autenticato Le restrizioni di tenant v2 consentono l'accesso alla riunione di Teams. TRv2 non viene mai applicato agli utenti membri del tenant. Si applicano i criteri di accesso tra tenant in ingresso/in uscita.
Anonimo (nessuna sessione autenticata)

Esempio: un utente tenta di usare una sessione non autenticata, ad esempio in una finestra del browser InPrivate, per accedere a una riunione di Teams.
Non autenticato Le restrizioni di tenant v2 bloccano l'accesso alla riunione di Teams.
Identità rilasciata esternamente (sessione autenticata)

Esempio: un utente usa una qualsiasi identità diversa dall'identità principale (ad esempio user@externaltenant.com)
Autenticato come identità rilasciata esternamente Consentire o bloccare l'accesso alla riunione di Team in base ai criteri delle restrizioni di tenant v2. Se consentito dai criteri, l'utente può partecipare alla riunione. In caso contrario, l'accesso viene bloccato.

Restrizioni di tenant v2 e SharePoint Online (anteprima)

SharePoint Online supporta le restrizioni di tenant v2 a livello sia di piano di autenticazione che di piano dati.

Sessioni autenticate

Quando le restrizioni di tenant v2 sono abilitate in un tenant, l'accesso non autorizzato viene bloccato durante l'autenticazione. Se un utente accede direttamente a una risorsa di SharePoint Online senza una sessione autenticata, verrà richiesto di eseguire l'accesso. Se i criteri delle restrizioni di tenant v2 consentono l'accesso, l'utente può accedere alla risorsa; in caso contrario, l'accesso è bloccato.

Accesso anonimo (anteprima)

Se un utente tenta di accedere a un file anonimo usando il tenant principale o aziendale, può accedere al file. Tuttavia, se l'utente tenta di accedere al file anonimo usando un'identità rilasciata esternamente, l'accesso viene bloccato.

Si supponga, ad esempio, che un utente usi un dispositivo gestito configurato con restrizioni di tenant v2 per il tenant A. Se l'utente seleziona un collegamento di accesso anonimo generato per una risorsa del tenant A, dovrebbe essere in grado di accedere alla risorsa in modo anonimo. Se invece seleziona un collegamento di accesso anonimo generato per il tenant B di SharePoint Online, verrà richiesto di eseguire l'accesso. L'accesso anonimo alle risorse che usano un'identità rilasciata esternamente viene sempre bloccato.

Restrizioni di tenant v2 e OneDrive (anteprima)

Sessioni autenticate

Quando le restrizioni di tenant v2 sono abilitate in un tenant, l'accesso non autorizzato viene bloccato durante l'autenticazione. Se un utente accede direttamente a OneDrive senza una sessione autenticata, verrà richiesto di eseguire l'accesso. Se i criteri delle restrizioni di tenant v2 consentono l'accesso, l'utente può accedere alla risorsa; in caso contrario, l'accesso è bloccato.

Accesso anonimo (anteprima)

Analogamente a SharePoint, OneDrive supporta le restrizioni di tenant v2 a livello sia di piano di autenticazione che di piano dati. È supportato anche il blocco dell'accesso anonimo a OneDrive. Ad esempio, le restrizioni di tenant v2 funzionano nell'endpoint di OneDrive (microsoft-my.sharepoint.com).

Non nell'ambito

OneDrive per gli account consumer (tramite onedrive.live.com) non supporta le restrizioni di tenant v2. Alcuni URL (ad esempio onedrive.live.com) non sono verificati e usano lo stack legacy. Quando un utente accede al tenant consumer di OneDrive tramite questi URL, i criteri non vengono applicati. Come soluzione alternativa, è possibile bloccare https://onedrive.live.com/ a livello di proxy.

Log di accesso

I log di accesso di Microsoft Entra consentono di visualizzare i dettagli relativi agli accessi con i criteri delle restrizioni di tenant v2. Quando un utente B2B accede a un tenant di risorse per collaborare, viene generato un log di accesso sia nel tenant principale che nel tenant delle risorse. Questi log includono informazioni come l'applicazione usata, gli indirizzi di posta elettronica, il nome del tenant e l'ID tenant sia per il tenant principale che per il tenant delle risorse. L'esempio seguente illustra un accesso riuscito:

Screenshot che mostra i dettagli dell'attività per un accesso riuscito.

Se l'accesso non riesce, i dettagli dell'attività forniscono informazioni sul motivo dell'errore:

Screenshot che mostra i dettagli dell'attività per un accesso non riuscito.

Log di audit

I log di audit forniscono i record delle attività di sistema e utente, incluse le attività avviate da parte degli utenti guest. È possibile visualizzare i log di audit per il tenant in Monitoraggio o visualizzare i log di audit per un utente specifico passando al profilo dell'utente.

Screenshot che mostra la pagina Log di audit.

Selezionare un evento nel log per recuperare ulteriori dettagli sull'evento, ad esempio:

Screenshot che mostra i dettagli del log di audit.

È anche possibile esportare i log da Microsoft Entra ID e usare lo strumento di creazione di report per ottenere report personalizzati.

Microsoft Graph

Usare Microsoft Graph per ottenere informazioni sui criteri:

Richiesta HTTP

  • Ottenere i criteri predefiniti

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
    
  • Reimpostare l'impostazione predefinita del sistema

    POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
    
  • Recuperare la configurazione partner

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
    
  • Recuperare una configurazione partner specifica

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
    
  • Aggiornare un partner specifico

    PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
    

Testo della richiesta

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

Limitazione nota

Se la richiesta passa attraverso più cloud, le restrizioni del tenant v2 non verranno applicate.

Passaggi successivi

Vedere Configurare le impostazioni di collaborazione esterna per la collaborazione B2B con identità non Azure AD, identità di social networking e account esterni non gestiti dall'IT.