Настройка ограничений клиента версии 2
Область применения: клиенты рабочей силы внешние клиенты (дополнительные сведения)
Ескерім
Некоторые функции, описанные в этой статье, являются предварительными версиями функций. См. подробные сведения о дополнительных условиях использования предварительных выпусков Microsoft Azure.
Чтобы повысить безопасность, можно ограничить доступ пользователей при использовании внешней учетной записи для входа из сетей или устройств. Параметры ограничений клиента, включенные в параметры доступа между клиентами, позволяют создать политику для управления доступом к внешним приложениям.
Например, предположим, что пользователь в вашей организации создал отдельную учетную запись в неизвестном клиенте, или внешняя организация предоставила пользователю учетную запись, которая позволяет им войти в свою организацию. Ограничения клиентов можно использовать для предотвращения использования пользователем некоторых или всех внешних приложений во время входа с внешней учетной записью в сети или устройствах.
Шаги | Description |
---|---|
1 | Contoso настраивает ограничения клиента в параметрах доступа между клиентами для блокировки всех внешних учетных записей и внешних приложений. Компания Contoso добавляет сигнал о принудительном применении TRv2 с заголовком TRv2 через универсальный TRv2 или корпоративный прокси-сервер , а идентификатор Microsoft Entra id будет применять политику TRv2, когда заголовок присутствует в запросе. |
2 | Пользователь, использующий управляемое Contoso устройство, пытается войти в внешнее приложение с помощью учетной записи из неизвестного клиента. Заголовок TRv2 HTTP с идентификатором клиента Contoso и идентификатором политики ограничений клиента добавляется в запрос проверки подлинности. |
3 | Защита уровня проверки подлинности: идентификатор Microsoft Entra будет применять политику TRv2 Компании Contoso и блокировать внешние учетные записи от доступа к внешним клиентам во время проверки подлинности в рамках политики Contoso TRv2. |
4 | Защита плоскости данных (предварительная версия ): идентификатор Microsoft Entra блокирует любой анонимный доступ к файлу SharePoint или присоединению к анонимным собраниям команд, а также блокирует доступ пользователей к ресурсу с помощью маркера с инфильтрированным маркером. |
Ограничения клиента версии 2 предоставляют возможности защиты плоскости проверки подлинности и защиты плоскости данных.
Защита плоскости проверки подлинности относится к использованию политики ограничений клиента версии 2 для блокировки входа с помощью внешних удостоверений. Например, злоумышленник может предотвратить утечку данных злоумышленника по внешней электронной почте, предотвратив вход злоумышленника в свой вредоносный клиент. Общедоступна защита плоскости проверки подлинности клиента версии 2.
Защита плоскости данных относится к предотвращению атак, которые обходят проверку подлинности. Например, злоумышленник может попытаться разрешить доступ к вредоносным приложениям клиента с помощью анонимного присоединения к собранию Teams или анонимного доступа к файлам SharePoint. Или злоумышленник может скопировать маркер доступа с устройства в вредоносном клиенте и импортировать его на ваше устройство организации. Ограничения клиента версии 2 позволяют пользователю проходить проверку подлинности при попытке доступа к ресурсу и блокирует доступ, если проверка подлинности завершается ошибкой.
Хотя ограничения клиентов версии 1 обеспечивают защиту плоскости проверки подлинности через список разрешений клиента, настроенный на корпоративном прокси-сервере, ограничения клиентов версии 2 предоставляют возможность детальной проверки подлинности и защиты плоскости данных с корпоративным прокси-сервером или без нее. Если вы используете корпоративный прокси-сервер для внедрения заголовков, параметры включают только защиту плоскости проверки подлинности.
В параметрах доступа между клиентами организации можно настроить политику ограничений клиента версии 2. После создания политики в организации существует три способа применения политики.
- Ограничения универсального клиента версии 2. Этот параметр обеспечивает защиту уровня проверки подлинности и плоскости данных без корпоративного прокси-сервера. Ограничения универсального клиента используют глобальный безопасный доступ для маркировки всего трафика независимо от форм-фактора операционной системы, браузера или устройства. Она обеспечивает поддержку подключения как клиента, так и удаленного сетевого подключения.
- Ограничения клиента уровня проверки подлинности версии 2. Вы можете развернуть корпоративный прокси-сервер в организации и настроить прокси-сервер для задания ограничений клиента версии 2 для всех трафика на идентификатор Microsoft Entra и учетные записи Майкрософт (MSA).
- Ограничения клиента Windows версии 2. Для корпоративных устройств Windows можно применять защиту плоскости проверки подлинности и плоскости данных, применяя ограничения клиента непосредственно на устройствах. Ограничения клиента применяются при доступе к ресурсам, обеспечивая покрытие пути данных и защиту от проникновения маркера. Корпоративный прокси-сервер не требуется для применения политик. Устройства могут быть управляемыми или присоединенными к домену устройствами, управляемыми с помощью групповой политики.
Ескерім
В этой статье описывается настройка ограничений клиента версии 2 с помощью Центра администрирования Microsoft Entra. Вы также можете использовать API доступа между клиентами Microsoft Graph для создания этих политик ограничений клиента.
Ограничения клиента версии 2 могут быть ограничены определенными пользователями, группами, организациями или внешними приложениями. Приложения, созданные на основе сетевого стека операционной системы Windows, защищены. Поддерживаются следующие сценарии:
- Все Приложение Office (все версии и каналы выпуска).
- приложения .NET универсальная платформа Windows (UWP).
- Защита плоскости проверки подлинности для всех приложений, прошедших проверку подлинности с помощью идентификатора Microsoft Entra ID, включая все сторонние приложения и любые сторонние приложения, использующие идентификатор Microsoft Entra для проверки подлинности.
- Защита плоскости данных для SharePoint Online и Exchange Online.
- Защита анонимного доступа для SharePoint Online, OneDrive и Teams (с настроенными элементами управления федерацией).
- Защита от проверки подлинности и плоскости данных для учетных записей клиентов Майкрософт или потребителей.
- При использовании ограничений универсального клиента в глобальном безопасном доступе все браузеры и платформы.
- При использовании групповой политики Windows Microsoft Edge и всех веб-сайтов в Microsoft Edge.
- Анонимная блокировка учетной записи OneDrive для потребителя. Клиенты могут работать на уровне прокси-сервера, блокируя https://onedrive.live.com/.
- Когда пользователь обращается к стороннему приложению, например Slack, с помощью анонимной ссылки или учетной записи, отличной от Azure AD.
- Когда пользователь копирует маркер, выданный идентификатором Microsoft Entra, с домашнего компьютера на рабочий компьютер и использует его для доступа к стороннему приложению, например Slack.
- Ограничения клиента для пользователей для учетных записей Майкрософт.
В следующей таблице сравниваются функции в каждой версии.
Ограничения клиента версии 1 | Ограничения клиента версии 2 | |
---|---|---|
Применение политики | Корпоративный прокси-сервер применяет политику ограничения клиента в плоскости управления Идентификатором Microsoft Entra. | Параметры: — Ограничения универсального клиента в Global Secure Access, которые используют политику для маркировки всего трафика, обеспечивая поддержку проверки подлинности и плоскости данных на всех платформах. — защита только для плоскости проверки подлинности, когда корпоративный прокси-сервер устанавливает ограничения клиента версии 2 для всех сигналов трафика. — Управление устройствами Windows, где устройства настроены для указания трафика Майкрософт политике ограничений клиента, а политика применяется в облаке. |
Ограничение применения политик | Управление корпоративными прокси-клиентами путем добавления клиентов в список разрешений трафика Microsoft Entra. Ограничение символа значения заголовка в ограничениях доступа к клиентам: <allowed-tenant-list> ограничивает количество клиентов, которые можно добавить. |
Управляется облачной политикой в политике доступа между клиентами. Политика по умолчанию на уровне клиента и политика партнера создается для каждого внешнего клиента. |
Вредоносные запросы клиента | Идентификатор Microsoft Entra блокирует вредоносные запросы проверки подлинности клиента для обеспечения защиты уровня проверки подлинности. | Идентификатор Microsoft Entra блокирует вредоносные запросы проверки подлинности клиента для обеспечения защиты уровня проверки подлинности. |
Степень детализации | Ограничено клиентом и всеми учетными записями Майкрософт. | Степень детализации клиента, пользователя, группы и приложения. (Степень детализации на уровне пользователя не поддерживается в учетных записях Майкрософт.) |
Анонимный доступ | Анонимный доступ к собраниям Teams и совместному доступу к файлам разрешен. | Анонимный доступ к собраниям Teams заблокирован. Доступ к анонимным общим ресурсам ("Любой пользователь с ссылкой") заблокирован. |
Учетные записи Майкрософт | Использует заголовок Restrict-MSA для блокировки доступа к учетным записям потребителей. | Позволяет контролировать проверку подлинности учетных записей Майкрософт (MSA и Live ID) как на удостоверениях, так и на плоскостях данных. Например, если вы применяете ограничения клиента по умолчанию, вы можете создать политику, связанную с учетными записями Майкрософт, которая позволяет пользователям получать доступ к определенным приложениям с помощью учетных записей Майкрософт, например: Microsoft Learn (идентификатор 18fbca16-2224-45f6-85b0-f7bf2b39b3f3 приложения) или Инициатива microsoft Enterprise Skills (идентификатор 195e7f27-02f9-4045-9a91-cd2fa1c2af2f приложения). |
Управление прокси-сервером | Управление корпоративными прокси-клиентами путем добавления клиентов в список разрешений трафика Microsoft Entra. | Для защиты уровня проверки подлинности корпоративного прокси-сервера настройте прокси-сервер для установки ограничений клиента версии 2 для всех сигналов трафика. |
Поддержка платформ | Поддерживается на всех платформах. Предоставляет только защиту плоскости проверки подлинности. | Ограничения универсального клиента в Global Secure Access поддерживают любую операционную систему, браузер или форм-фактор устройства. Защита уровня проверки подлинности корпоративного прокси-сервера поддерживает приложения macOS, Chrome и .NET. Управление устройствами Windows поддерживает операционные системы Windows и Microsoft Edge. |
Поддержка портала | Не существует пользовательского интерфейса в Центре администрирования Microsoft Entra для настройки политики. | Пользовательский интерфейс, доступный в Центре администрирования Microsoft Entra для настройки облачной политики. |
Неподдерживаемые приложения | Н/П | Блокировать неподдерживаемое использование приложений с конечными точками Майкрософт с помощью управления приложениями Защитника Windows (WDAC) или брандмауэра Windows (например, для Chrome, Firefox и т. д.). См. статью Блокировать приложения Chrome, Firefox и .NET, такие как PowerShell. |
Перенос политик ограничений клиента из версии 1 в версию 2 — это однократная операция. После миграции изменения на стороне клиента не требуются. Вы можете внести любые последующие изменения политики на стороне сервера через Центр администрирования Microsoft Entra.
При включении TRv2 на прокси-сервере вы сможете применить TRv2 только в плоскости проверки подлинности. Чтобы включить TRv2 для проверки подлинности и плоскости данных, следует включить сигнал на стороне клиента TRv2 с помощью универсального TRv2
Шаг 1. Настройка разрешенного списка клиентов партнеров
TRv1: ограничения клиента версии 1 (TRv1) позволяют создавать список разрешенных идентификаторов клиентов и (или) конечных точек входа Майкрософт, чтобы обеспечить пользователям доступ к внешним клиентам, которые ваша организация авторизует. TRv1 достиг его путем добавления Restrict-Access-To-Tenants: <allowed-tenant-list>
заголовка на прокси-сервер. Например, "Ограничить доступ к клиентам: " contoso.com, fabrikam.com, dogfood.com". Дополнительные сведения об ограничениях клиента версии 1.
TRv2: с ограничениями клиента версии 2 (TRv2) конфигурация перемещается в политику облака на стороне сервера и не требуется заголовок TRv1.
- На корпоративном прокси-сервере следует удалить заголовок
Restrict-Access-To-Tenants: <allowed-tenant-list>
клиента версии 1. - Для каждого клиента в списке разрешенных клиентов создайте политику клиента партнера, выполнив действия, описанные на шаге 2. Настройка ограничений клиентов версии 2 для конкретных партнеров. Следуйте приведенным ниже рекомендациям.
Ескерім
- Сохраните политику по умолчанию для ограничений клиента версии 2, которая блокирует доступ всех внешних клиентов с помощью внешних удостоверений (например,
user@externaltenant.com
). - Создайте политику клиента партнера для каждого клиента, указанного в списке разрешений версии 1, выполнив действия, описанные на шаге 2. Настройка ограничений клиентов версии 2 для конкретных партнеров.
- Разрешить доступ только определенным пользователям к определенным приложениям. Эта конструкция повышает уровень безопасности, ограничивая доступ только к необходимым пользователям.
Шаг 2. Блокировка учетной записи потребителя или клиента учетной записи Майкрософт
TRv1. Чтобы пользователи не могли входить в потребительские приложения. Trv1 требует, чтобы заголовок sec-Restrict-Tenant-Access-Policy был внедрен для трафика, посещающего login.live.com, например sec-Restrict-Tenant-Access-Policy: restrict-msa'
TRv2. При использовании TRv2 конфигурация перемещается в политику облака на стороне сервера и не требуется использовать заголовок TRv1.
- На корпоративном прокси-сервере следует удалить заголовок клиента версии 1 с-Restrict-Tenant-Access-Policy: restrict-msa.
- Создайте политику клиента партнера для клиента учетных записей Майкрософт, выполнив шаг 2. Настройка ограничений клиента версии 2 для конкретных партнеров. Поскольку назначение на уровне пользователя недоступно для клиентов MSA, политика применяется ко всем пользователям MSA. Однако степень детализации на уровне приложения доступна, и следует ограничить доступ приложений, к которым могут обращаться только те приложения, которые необходимы для MSA или потребительских учетных записей.
Ескерім
Блокировка клиента MSA не блокирует трафик без пользователей для устройств, в том числе:
- Трафик для Автопилота, Обновл. Windows и телеметрии организации.
- Проверка подлинности B2B учетных записей потребителей или сквозной проверки подлинности, в которой приложения Azure и Office.com приложения используют идентификатор Microsoft Entra для входа пользователей-потребителей в контексте потребителя.
Шаг 3. Включение ограничений клиента версии 2 на корпоративном прокси-сервере
TRv2. Вы можете настроить корпоративный прокси-сервер для включения тегов на стороне клиента заголовка ограничений клиента версии 2 с помощью следующего корпоративного прокси-сервера: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>
где <DirectoryID>
находится идентификатор клиента Microsoft Entra и <policyGUID>
является идентификатором объекта для политики доступа между клиентами.
Хотя ограничения клиента настраиваются вместе с параметрами доступа между клиентами, они работают отдельно от параметров входящего и исходящего доступа. Параметры доступа между клиентами обеспечивают контроль при входе пользователей с учетной записью из вашей организации. В отличие от этого, ограничения клиентов позволяют контролировать использование внешней учетной записи пользователями. Параметры для входящего и исходящего трафика для совместной работы B2B и прямого подключения B2B не влияют (и не влияют на параметры клиента).
Думайте о различных параметрах доступа между клиентами следующим образом:
- Параметры входящего трафика управляют доступом к внешним учетным записям к внутренним приложениям.
- Параметры исходящего трафика управляют доступом внутренней учетной записи к внешним приложениям.
- Ограничения клиента управляют доступом внешней учетной записи к внешним приложениям.
Когда пользователям требуется доступ к внешним организациям и приложениям, мы рекомендуем включить ограничения клиентов для блокировки внешних учетных записей и использования совместной работы B2B. Совместная работа B2B обеспечивает следующие возможности:
- Используйте условный доступ и принудительно выполните многофакторную проверку подлинности для пользователей совместной работы B2B.
- Управление входящим и исходящим доступом.
- Завершение сеансов и учетных данных при изменении состояния занятости пользователя совместной работы B2B или нарушения учетных данных.
- Используйте журналы входа для просмотра сведений о пользователе совместной работы B2B.
Чтобы настроить ограничения клиента, вам потребуется:
- Microsoft Entra ID P1 или P2
- Учетная запись с ролью по крайней мере администратора безопасности
- Устройства Windows под управлением Windows 10, Windows 11 с последними обновлениями
Параметры ограничений клиента версии 2 находятся в Центре администрирования Microsoft Entra в параметрах доступа между клиентами. Сначала настройте ограничения клиента по умолчанию, которые необходимо применить ко всем пользователям, группам, приложениям и организациям. Затем, если вам нужны конфигурации для конкретного партнера, вы можете добавить организацию партнера и настроить все параметры, отличающиеся от ваших значений по умолчанию.
Кеңес
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к параметрам доступа внешних>удостоверений>между клиентами, а затем выберите параметры доступа между клиентами.
Выберите вкладку Параметры по умолчанию.
Прокрутите страницу до раздела ограничений клиента.
Выберите ссылку "Изменить ограничения клиента" по умолчанию .
Если политика по умолчанию еще не существует в клиенте, рядом с идентификатором политики появится ссылка "Создать политику ". Нажмите эту ссылку.
На странице ограничений клиента отображаются идентификатор клиента и идентификатор политики ограничений клиента. Используйте значки копирования для копирования обоих этих значений. Их можно использовать позже при настройке клиентов Windows для включения ограничений клиента.
Перейдите на вкладку "Внешние пользователи и группы ". В разделе "Состояние Access" выберите один из следующих вариантов:
- Разрешить доступ: позволяет всем пользователям, вошедшим в систему с помощью внешних учетных записей, получать доступ к внешним приложениям (указано на вкладке "Внешние приложения ").
- Блокировка доступа. Блокирует доступ всех пользователей, вошедших в систему с помощью внешних учетных записей, доступ к внешним приложениям (указанный на вкладке "Внешние приложения ").
Ескерім
Параметры по умолчанию не могут быть ограничены отдельными учетными записями или группами, поэтому применяется к всегда равным всем <пользователям и группам клиента>. Помните, что если вы блокируете доступ для всех пользователей и групп, необходимо также заблокировать доступ ко всем внешним приложениям (на вкладке "Внешние приложения ").
Перейдите на вкладку "Внешние приложения ". В разделе "Состояние Access" выберите один из следующих вариантов:
- Разрешить доступ: позволяет всем пользователям, вошедшим в систему с помощью внешних учетных записей, получать доступ к приложениям, указанным в разделе "Область применения ".
- Блокировка доступа. Блокирует доступ всех пользователей, вошедших в систему с помощью внешних учетных записей, доступ к приложениям, указанным в разделе "Область применения ".
В разделе Область применения выберите один из следующих вариантов:
- Все внешние приложения. Применяет выбранное в разделе Состояние доступа действие ко всем внешним приложениям. Если вы блокируете доступ ко всем внешним приложениям, вам также потребуется заблокировать доступ для всех пользователей и групп в вашей организации (на вкладке Пользователи и группы).
- Выберите внешние приложения: позволяет выбрать внешние приложения, к которым нужно применить действие в состоянии Access. Чтобы выбрать приложения, выберите "Добавить приложения Майкрософт" или "Добавить другие приложения". Затем выполните поиск по имени приложения или идентификатору приложения (идентификатору клиентского приложения или идентификатору приложения ресурса) и выберите это приложение. (См. список идентификаторов для часто используемых приложений Майкрософт.) Если вы хотите добавить дополнительные приложения, нажмите кнопку "Добавить ". По завершении нажмите кнопку "Отправить".
Выберите Сохранить.
Предположим, что вы используете ограничения клиента для блокировки доступа по умолчанию, но вы хотите разрешить пользователям доступ к определенным приложениям с помощью собственных внешних учетных записей. Например, предположим, что пользователи смогут получать доступ к Microsoft Learn с помощью собственных учетных записей Майкрософт. Инструкции в этом разделе описывают, как добавить параметры, относящиеся к организации, которые имеют приоритет над параметрами по умолчанию.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности или администратор условного доступа.
Перейдите к параметрам доступа внешних>удостоверений>между клиентами.
Выберите Параметры организации.
Ескерім
Если организация, которую вы хотите добавить, уже добавлена в список, можно пропустить его добавление и перейти непосредственно к изменению параметров.
Выберите Добавить организацию.
В области Добавить организацию введите полное доменное имя (или идентификатор клиента) для организации.
Пример. Выполните поиск по следующему идентификатору клиента учетных записей Майкрософт:
9188040d-6c67-4c5b-b112-36a304b66dad
Выберите организацию в результатах поиска и нажмите кнопку Добавить.
Изменение параметров. Найдите организацию в списке параметров организации, а затем прокрутите по горизонтали, чтобы просмотреть столбец ограничений клиента. На этом этапе все параметры ограничений клиента для этой организации наследуются от параметров по умолчанию. Чтобы изменить параметры для этой организации, в столбце ограничений клиента выберите ссылку "Унаследовано от по умолчанию".
Откроется страница ограничений клиента для организации. Скопируйте значения для идентификатора клиента и идентификатора политики. Их можно использовать позже при настройке клиентов Windows для включения ограничений клиента.
Выберите "Настройка параметров" и перейдите на вкладку "Внешние пользователи и группы". В разделе "Состояние Access" выберите параметр:
- Разрешить доступ: позволяет пользователям и группам, указанным в разделе "Область применения ", которые вошли с помощью внешних учетных записей для доступа к внешним приложениям (указано на вкладке "Внешние приложения ").
- Блокировка доступа: блокирует доступ пользователей и групп, указанных в разделе "Область применения", для которых выполняется вход с помощью внешних учетных записей, доступ к внешним приложениям (указан на вкладке "Внешние приложения ").
Ескерім
В нашем примере учетных записей Майкрософт выберите "Разрешить доступ".
В разделе "Область применения" выберите все <пользователи и группы организации>.
Ескерім
Степень детализации пользователей не поддерживается в учетных записях Майкрософт, поэтому возможность выбора <> пользователей и групп организации недоступна. Для других организаций можно выбрать выбор <пользователей и групп организации>, а затем выполнить следующие действия для каждого пользователя или группы, которую вы хотите добавить:
- Выберите Добавление внешних пользователей и групп.
- В области Выбор введите имя пользователя или группы в поле поиска.
- Выберите пользователя или группу в результатах поиска.
- Если вы хотите добавить дополнительные сведения, нажмите кнопку "Добавить " и повторите эти действия. После выбора пользователей и групп, которые вы хотите добавить, нажмите кнопку "Отправить".
Перейдите на вкладку "Внешние приложения ". В разделе "Состояние Access" выберите, следует ли разрешать или блокировать доступ к внешним приложениям.
- Разрешить доступ. Позволяет внешним приложениям, указанным в разделе "Область применения ", получать доступ пользователям при использовании внешних учетных записей.
- Блокировка доступа. Блокирует доступ к внешним приложениям, указанным в разделе "Область применения", к доступу пользователей при использовании внешних учетных записей.
Ескерім
В нашем примере учетных записей Майкрософт выберите "Разрешить доступ".
В разделе Область применения выберите один из следующих вариантов:
- Все внешние приложения. Применяет выбранное в разделе Состояние доступа действие ко всем внешним приложениям.
- Выбрать внешние приложения. Применяет выбранное в разделе Состояние доступа действие ко всем внешним приложениям.
Ескерім
- В нашем примере учетных записей Майкрософт выберите "Выбрать внешние приложения".
- Если вы блокируете доступ ко всем внешним приложениям, вам также потребуется заблокировать доступ для всех пользователей и групп в вашей организации (на вкладке Пользователи и группы).
Если вы выбрали Выбрать внешние приложения, выполните следующие действия для каждого приложения, которое нужно добавить:
- Выберите Добавить приложения Майкрософт или Добавить другие приложения. В нашем примере Microsoft Learn мы выбираем "Добавить другие приложения".
- В поле поиска введите имя приложения или идентификатор приложения (идентификатор клиентского приложения или идентификатор приложения-ресурса). (См. список идентификаторов для часто используемых приложений Майкрософт.) В нашем примере Microsoft Learn введите идентификатор
18fbca16-2224-45f6-85b0-f7bf2b39b3f3
приложения. - Выберите приложение в результатах поиска и нажмите кнопку "Добавить".
- Повторите эти действия для каждого приложения, которое нужно добавить.
- После выбора приложений нажмите кнопку "Отправить".
Выбранные приложения отображаются на вкладке "Внешние приложения ". Нажмите кнопку "Сохранить".
Ескерім
Блокировка клиента MSA не блокируется:
- Трафик без пользователей для устройств. Это трафик для Autopilot, Центра обновления Windows и телеметрии организации.
- Проверка подлинности B2B для учетных записей потребителей.
- Проверка подлинности passthrough, используемая многими приложениями Azure и Office.com, где приложения используют идентификатор Microsoft Entra для входа пользователей-потребителей в контексте потребителя.
Существует три варианта применения ограничений клиента версии 2 для клиентов:
- Вариант 1. Ограничения универсального клиента версии 2 в составе Microsoft Entra Global Secure Access (предварительная версия)
- Вариант 2. Настройка ограничений клиента версии 2 на корпоративном прокси-сервере
- Вариант 3. Включение ограничений клиента на управляемых устройствах Windows (предварительная версия)
Вариант 1. Ограничения универсального клиента версии 2 в составе Microsoft Entra Global Secure Access
Ограничения универсального клиента версии 2 в составе Microsoft Entra Global Secure Access рекомендуется, так как она обеспечивает проверку подлинности и защиту плоскости данных для всех устройств и платформ. Этот параметр обеспечивает большую защиту от сложных попыток прохождения проверки подлинности. Например, злоумышленники могут попытаться разрешить анонимный доступ к приложениям вредоносного клиента, например анонимному присоединению к собранию в Teams. Или злоумышленники могут попытаться импортировать на устройство организации маркер доступа, снятый с устройства в вредоносном клиенте. Ограничения универсального клиента версии 2 предотвращают эти атаки, отправляя сигналы клиентов версии 2 на плоскости проверки подлинности (идентификатор Microsoft Entra и учетная запись Майкрософт) и плоскость данных (облачные приложения Майкрософт).
Чтобы обеспечить ограничение входа на всех устройствах и приложениях в корпоративной сети, настройте корпоративный прокси-сервер для принудительного применения ограничений клиента версии 2. Хотя настройка ограничений клиента на корпоративном прокси-сервере не обеспечивает защиту плоскости данных, она обеспечивает защиту плоскости проверки подлинности.
Маңызды
Если вы ранее настроили ограничения клиента, вам потребуется прекратить отправку restrict-msa
в login.live.com. В противном случае новые параметры будут конфликтовать с существующими инструкциями в службе входа MSA.
Настройте заголовок клиента версии 2 следующим образом:
Имя заголовка Значение заголовка Образец значения sec-Restrict-Tenant-Access-Policy
<TenantId>:<policyGuid>
aaaabbbb-0000-cccc-1111-dd222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeee5 TenantID
— это идентификатор клиента Microsoft Entra. Найдите это значение, войдите в Центр администрирования Microsoft Entra в качестве администратора и перейдите к обзору удостоверений> и выберите вкладку "Обзор".policyGUID
— это идентификатор объекта для политики доступа между клиентами. Найдите это значение путем вызова/crosstenantaccesspolicy/default
и использования возвращаемого поля "id".
На корпоративном прокси-сервере отправьте заголовок ограничений клиента версии 2 в следующие домены входа Майкрософт:
- login.live.com
- login.microsoft.com
- login.microsoftonline.com
- login.windows.net
Этот заголовок применяет политику ограничений клиента версии 2 для всех входов в сеть. Этот заголовок не блокирует анонимный доступ к собраниям Teams, файлам SharePoint или другим ресурсам, которые не требуют проверки подлинности.
Маңызды
Расшифровка URL-адресов Майкрософт — ограничения клиента (версии 1 и 2) на прокси-сервере требует расшифровки запросов к URL-адресам входа, таким как login.microsoftonline.com. Расшифровка трафика для этих доменов входа для целей вставки заголовков TR поддерживается корпорацией Майкрософт и является допустимым исключением из политик на использовании сторонних сетевых устройств или решений с Microsoft 365.
Для платформ, отличных от Windows, можно разбить и проверить трафик, чтобы добавить ограничения клиента версии 2 в заголовок через прокси-сервер. Однако некоторые платформы не поддерживают разрыв и проверку, поэтому ограничения клиента версии 2 не работают. Для этих платформ следующие функции идентификатора Microsoft Entra могут обеспечить защиту:
- Условный доступ. Разрешить использование управляемых или совместимых устройств
- Условный доступ: управление доступом для гостевых и внешних пользователей
- Совместная работа B2B. Ограничение исходящего доступа между клиентами для одного и того же клиента, указанного в параметре "Ограничить доступ к клиентам"
- Совместная работа B2B. Ограничение приглашений пользователям B2B на те же домены, перечисленные в параметре "Ограничить доступ к клиентам"
- Управление приложениями: ограничение согласия пользователей на приложения
- Intune: применение политики приложений через Intune для ограничения использования управляемых приложений только имени участника-пользователя учетной записи, зарегистрированной на устройстве (в разделе "Разрешить только настроенные учетные записи организации в приложениях")
Хотя эти альтернативные варианты обеспечивают защиту, некоторые сценарии можно охватывать только с помощью ограничений клиента, таких как использование браузера для доступа к службам Microsoft 365 через Интернет вместо выделенного приложения.
Вариант 3. Включение ограничений клиента на управляемых устройствах Windows (предварительная версия)
После создания политики ограничений клиента версии 2 вы можете применить политику в каждой версии Windows 10, Windows 11, добавив идентификатор клиента и идентификатор политики в конфигурацию ограничений клиента устройства. Если ограничения клиента включены на устройстве Windows, корпоративные прокси-серверы не требуются для применения политик. Устройства не должны быть идентификатором Microsoft Entra, управляемым для принудительного применения ограничений клиента версии 2; Также поддерживаются присоединенные к домену устройства, управляемые с помощью групповой политики.
Ескерім
Ограничения клиента версии 2 в Windows — это частичное решение, которое защищает проверки подлинности и плоскости данных для некоторых сценариев. Он работает на управляемых устройствах Windows и не защищает стек .NET, Chrome или Firefox. Решение Windows предоставляет временное решение до общедоступной доступности ограничений универсального клиента в Microsoft Entra Global Secure Access.
Административные шаблоны (ADMX) для Windows 10 ноября 2021 г. с обновлением (21H2) и параметрами групповой политики
Групповую политику можно использовать для развертывания конфигурации ограничений клиента на устройствах Windows. Дополнительные сведения см. в следующих ресурсах:
- Административные шаблоны для Windows 10
- Справочная электронная таблица параметров групповой политики для Windows 10
Чтобы протестировать политику ограничений клиента версии 2 на устройстве, выполните следующие действия.
Ескерім
- Устройство должно работать под управлением Windows 10 или Windows 11 с последними обновлениями.
На компьютере Windows нажмите клавишу Windows, введите gpedit и выберите "Изменить групповую политику" (панель управления).
Перейдите к ограничениям клиента компонентов Windows для административных>шаблонов>конфигурации>компьютера.
Щелкните правой кнопкой мыши сведения о политике облака в правой области и выберите пункт "Изменить".
Получите идентификатор клиента и идентификатор политики, записанные ранее (на шаге 7 в разделе "Настройка ограничений клиента по умолчанию") и введите их в следующих полях (оставьте все остальные поля пустыми):
- Идентификатор каталога Microsoft Entra: введите идентификатор клиента, записанный ранее. Войдите в Центр администрирования Microsoft Entra от имени администратора и перейдите в обзор удостоверений>и выбрав вкладку "Обзор".
- GUID политики. Идентификатор политики для политики доступа между клиентами. Это идентификатор политики, записанный ранее. Этот идентификатор также можно найти с помощью команды https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/defaultGraph Explorer.
Нажмите ОК.
Вы можете использовать функцию брандмауэра Windows для блокировки незащищенных приложений от доступа к ресурсам Майкрософт через Chrome, Firefox и .NET, такие как PowerShell. Приложения, которые будут заблокированы или разрешены согласно политике ограничений клиента версии 2.
Например, если клиент добавляет PowerShell в политику CIP версии 2 и graph.microsoft.com в списке конечных точек политики версии 2, PowerShell должна иметь доступ к нему с включенным брандмауэром.
На компьютере Windows нажмите клавишу Windows, введите gpedit и выберите "Изменить групповую политику" (панель управления).
Перейдите к ограничениям клиента компонентов Windows для административных>шаблонов>конфигурации>компьютера.
Щелкните правой кнопкой мыши сведения о политике облака в правой области и выберите пункт "Изменить".
Установите флажок "Включить защиту брандмауэра" конечных точек Майкрософт и нажмите кнопку "ОК".
После включения параметра брандмауэра попробуйте войти в браузер Chrome. Вход должен завершиться ошибкой со следующим сообщением:
Просмотр событий, связанных с ограничениями клиента в Просмотр событий.
- В Просмотр событий откройте журналы приложений и служб.
- Перейдите к Microsoft>Windows>TenantRestrictions>Operations и найдите события.
Trv2 применяется следующими ресурсами, которые будут обращаться к сценариям проникновения маркера, когда недопустимый субъект обращается к ресурсу напрямую с инфильтрованным маркером или анонимно.
- Teams
- SharePoint Online, например приложение OneDrive
- Exchange Online, например приложение Outlook
- Office.com / Приложения Office
Teams по умолчанию имеет открытую федерацию, что означает, что мы не блокируем собрание, размещенное внешним клиентом. Для повышения контроля доступа к собраниям Teams можно использовать элементы управления федерацией в Teams, чтобы разрешить или заблокировать конкретных клиентов, а также ограничения клиентов версии 2, чтобы заблокировать анонимный доступ к собраниям Teams. Чтобы применить ограничения клиента для Teams, необходимо настроить ограничения клиента версии 2 в параметрах доступа Между клиентами Microsoft Entra. Кроме того, необходимо настроить элементы управления федерацией на портале администрирования Teams и перезапустить Teams. Ограничения клиента, реализованные на корпоративном прокси-сервере, не блокируют анонимный доступ к собраниям Teams, файлам SharePoint и другим ресурсам, которые не требуют проверки подлинности.
- В настоящее время Teams позволяет пользователям присоединяться к любому внешнему размещению собрания с помощью корпоративного или домашнего удостоверения. Параметры доступа между клиентами можно использовать для управления пользователями с корпоративным или домашним удостоверением, чтобы присоединиться к собраниям Teams с внешним размещением.
- Ограничения клиента позволяют пользователям использовать внешне выданное удостоверение для присоединения к собраниям Teams.
Ескерім
Приложение Microsoft Teams зависит от приложений SharePoint Online и Exchange Online. Мы рекомендуем настроить политику TRv2 в приложении Office 365 вместо Служб Microsoft Teams, SharePoint Online или Exchange Online отдельно. Если вы разрешаете или блокируете одно из приложений (SPO или EXO) и т. д.), которое входит в состав Office 365, оно также повлияет на приложения, такие как Microsoft Teams. Аналогичным образом, если приложение Microsoft Teams разрешено или заблокировано, SPO и EXO с приложением Teams будет затронуто.
Ограничения клиента версии 2 автоматически блокируют все неавтоентизованные и внешние выданные удостоверения для внешних размещенных собраний Teams. Например, предположим, что Contoso использует элементы управления федерацией Teams для блокировки клиента Fabrikam. Если пользователь с устройством Contoso использует учетную запись Fabrikam для присоединения к собранию Contoso Teams, он может быть разрешен в собрание как анонимный пользователь. Теперь, если Компания Contoso также включает ограничения клиентов версии 2, Teams блокирует анонимный доступ, а пользователь не может присоединиться к собранию.
Вы можете настроить политику ограничений клиента версии 2, чтобы разрешить определенным пользователям или группам с внешними выданными удостоверениями присоединиться к определенным внешним размещенным собраниям Teams. С помощью этой конфигурации пользователи могут войти в Teams с помощью внешних выданных удостоверений и присоединиться к собраниям Teams, размещенным во внешнем клиенте.
Удостоверение проверки подлинности | Сеанс с проверкой подлинности | Результат |
---|---|---|
Пользователи-члены клиента (сеанс с проверкой подлинности) Пример. Пользователь использует свое домашнее удостоверение в качестве участника (например, user@mytenant.com) |
Проверка подлинности выполнена | Ограничения клиента версии 2 позволяют получить доступ к собранию Teams. TRv2 никогда не применяется к пользователям-членам клиента. Применяется политика входящего и исходящего трафика между клиентами. |
Анонимный (без сеанса проверки подлинности) Пример. Пользователь пытается использовать сеанс без проверки подлинности, например в окне браузера InPrivate, чтобы получить доступ к собранию Teams. |
Не прошел проверку подлинности | Ограничения клиента версии 2 блокируют доступ к собранию Teams. |
Внешне выданное удостоверение (сеанс с проверкой подлинности) Пример. Пользователь использует любое удостоверение, отличное от удостоверений дома (например, user@externaltenant.com) |
Проверка подлинности в качестве внешнего выданного удостоверения | Разрешить или заблокировать доступ к собранию Teams для каждой политики ограничений клиента версии 2. Если это разрешено политикой, пользователь может присоединиться к собранию. В противном случае доступ заблокирован. |
SharePoint Online поддерживает ограничения клиентов версии 2 на плоскости проверки подлинности и плоскости данных.
Если ограничения клиентов версии 2 включены в клиенте, несанкционированный доступ блокируется во время проверки подлинности. Если пользователь напрямую обращается к ресурсу SharePoint Online без прошедшего проверку подлинности сеанса, им будет предложено войти в систему. Если политика ограничений клиента версии 2 разрешает доступ, пользователь может получить доступ к ресурсу; в противном случае доступ заблокирован.
Если пользователь пытается получить доступ к анонимному файлу с помощью домашнего клиента или корпоративного удостоверения, он сможет получить доступ к файлу. Но если пользователь пытается получить доступ к анонимному файлу с помощью любого внешнего выданного удостоверения, доступ блокируется.
Например, предположим, что пользователь использует управляемое устройство, настроенное с ограничениями клиента версии 2 для клиента A. Если они выбирают ссылку анонимного доступа, созданную для ресурса A клиента, они смогут получить доступ к ресурсу анонимно. Но если они выбирают ссылку анонимного доступа, созданную для клиента B SharePoint Online, им будет предложено войти в систему. Анонимный доступ к ресурсам с помощью внешнего выданного удостоверения всегда блокируется.
Если ограничения клиентов версии 2 включены в клиенте, несанкционированный доступ блокируется во время проверки подлинности. Если пользователь напрямую обращается к OneDrive без прошедшего проверку подлинности сеанса, им будет предложено войти в систему. Если политика ограничений клиента версии 2 разрешает доступ, пользователь может получить доступ к ресурсу; в противном случае доступ заблокирован.
Как и в SharePoint, OneDrive поддерживает ограничения клиентов версии 2 как на плоскости проверки подлинности, так и на плоскости данных. Также поддерживается блокировка анонимного доступа к OneDrive. Например, ограничения клиента версии 2 работают в конечной точке OneDrive (microsoft-my.sharepoint.com).
OneDrive для учетных записей потребителей (через onedrive.live.com) не поддерживает ограничения клиентов версии 2. Некоторые URL-адреса (например, onedrive.live.com) являются неуверенными и используют наш устаревший стек. Когда пользователь обращается к клиенту потребителя OneDrive через эти URL-адреса, политика не применяется. В качестве обходного решения можно заблокировать https://onedrive.live.com/ на уровне прокси-сервера.
Журналы входа Microsoft Entra позволяют просматривать сведения о входах с помощью политики ограничений клиента версии 2. Когда пользователь B2B входит в клиент ресурса для совместной работы, журнал входа создается как в домашнем клиенте, так и в клиенте ресурса. Эти журналы содержат такие сведения, как используемое приложение, адреса электронной почты, имя клиента и идентификатор клиента для домашнего клиента и для клиента ресурса. В следующем примере показан успешный вход:
Если вход завершается ошибкой, сведения о действии предоставляют сведения о причине сбоя:
Журналы аудита предоставляют записи о действиях системы и пользователей, включая действия, инициированные гостевыми пользователями. Журналы аудита для клиента можно просмотреть в разделе "Мониторинг" или просмотреть журналы аудита для конкретного пользователя, перейдя к профилю пользователя.
Выберите событие в журнале, чтобы получить дополнительные сведения о событии, например:
Вы также можете экспортировать эти журналы из идентификатора Microsoft Entra и использовать средство создания отчетов для получения настраиваемых отчетов.
Используйте Microsoft Graph для получения сведений о политике:
Получение политики по умолчанию
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
Сброс в систему по умолчанию
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
Получение конфигурации партнера
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
Получение конкретной конфигурации партнера
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
Обновление конкретного партнера
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
"tenantRestrictions": {
"usersAndGroups": {
"accessType": "allowed",
"targets": [
{
"target": "AllUsers",
"targetType": "user"
}
]
},
"applications": {
"accessType": "allowed",
"targets": [
{
"target": "AllApplications",
"targetType": "application"
}
]
}
}
Ограничения клиента версии 2 не будут применяться с запросом, идущим между облаками.
Для совместной работы B2B с использованием удостоверений, отличных от Azure AD, социальных удостоверений и внешних учетных записей, не управляемых ИТ-отделом, см. Настройка параметров внешнего взаимодействия.