Begränsningar för universell klientorganisation
Begränsningar för universell klientorganisation förbättrar funktionerna i klientbegränsning v2 med global säker åtkomst för att tagga all trafik oavsett operativsystem, webbläsare eller enhetsformulärfaktor. Det ger stöd för både klient- och fjärrnätverksanslutning. Administratörer behöver inte längre hantera proxyserverkonfigurationer eller komplexa nätverkskonfigurationer.
Universella klientbegränsningar tillämpar detta med hjälp av global säker åtkomstbaserad principsignalering för både autentiseringsplanet (allmänt tillgängligt) och dataplanet (förhandsversion). Klientbegränsningar v2 gör det möjligt för företag att förhindra dataexfiltrering av användare som använder externa klientidentiteter för Microsoft Entra-integrerade program som Microsoft Graph, SharePoint Online och Exchange Online. Dessa tekniker fungerar tillsammans för att förhindra dataexfiltrering universellt över alla enheter och nätverk.
I följande tabell beskrivs de steg som vidtagits vid varje punkt i föregående diagram.
| Steg | Description |
|---|---|
| 1 | Contoso konfigurerar en princip för **klientbegränsningar v2 ** i inställningarna för åtkomst mellan klientorganisationer för att blockera alla externa konton och externa appar. Contoso tillämpar principen med globala begränsningar för säker åtkomst för universell klientorganisation. |
| 2 | En användare med en Contoso-hanterad enhet försöker komma åt en Microsoft Entra-integrerad app med en icke-sanktionerad extern identitet. |
| 3 | Skydd mot autentiseringsplan: Med Microsoft Entra-ID blockerar Contosos princip osanktionerade externa konton från att komma åt externa klienter. |
| 4 | Dataskydd: Om användaren återigen försöker komma åt ett externt osanktionerat program genom att kopiera en autentiseringssvarstoken som de fick utanför Contosos nätverk och klistra in den på enheten blockeras de. Tokenmatchningsfelet utlöser omautentisering och blockerar åtkomst. För SharePoint Online blockeras alla försök att anonymt komma åt resurser. |
Begränsningar för universella klientorganisationer hjälper till att förhindra dataexfiltrering mellan webbläsare, enheter och nätverk på följande sätt:
- Det gör det möjligt för Microsoft Entra-ID, Microsoft-konton och Microsoft-program att söka efter och tillämpa den associerade principen för klientbegränsningar v2. Den här sökningen möjliggör konsekvent principprogram.
- Fungerar med alla Microsoft Entra-integrerade appar från tredje part på autentiseringsplanet under inloggningen.
- Fungerar med Exchange, SharePoint och Microsoft Graph för dataskydd (förhandsversion)
Förutsättningar
- Administratörer som interagerar med funktioner för global säker åtkomst måste ha en eller flera av följande rolltilldelningar beroende på vilka uppgifter de utför.
- Rollen Global administratör för säker åtkomst för att hantera funktionerna för global säker åtkomst.
- Administratören för villkorlig åtkomst för att skapa och interagera med principer för villkorsstyrd åtkomst.
- Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.
Kända begränsningar
- Dataskyddsfunktionerna finns i förhandsversion (skydd mot autentiseringsplanet är allmänt tillgängligt)
- Om du har aktiverat begränsningar för universella klientorganisationer och du har åtkomst till administrationscentret för Microsoft Entra för en av de tillåtna klientorganisationer som anges kan felet "Åtkomst nekad" visas. Lägg till följande funktionsflagga i administrationscentret för Microsoft Entra:
?feature.msaljs=true&exp.msaljsexp=true- Du arbetar till exempel för Contoso och du har angett Fabrikam som en partnerklientorganisation. Du kan se felmeddelandet för Fabrikam-klientorganisationens Administrationscenter för Microsoft Entra.
- Om du fick felmeddelandet "åtkomst nekad" för den här URL:en lägger
https://entra.microsoft.com/du till funktionsflaggan på följande sätt:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- Om du fick felmeddelandet "åtkomst nekad" för den här URL:en lägger
Konfigurera princip för klientbegränsningar v2
Innan en organisation kan använda universella klientbegränsningar måste de konfigurera både standardbegränsningar för klientorganisationer och klientbegränsningar för specifika partner.
Mer information om hur du konfigurerar dessa principer finns i artikeln Konfigurera klientbegränsningar v2.
Aktivera taggning för klientbegränsningar v2
När du har skapat principerna för klientbegränsning v2 kan du använda Global säker åtkomst för att tillämpa taggning för klientbegränsningar v2. En administratör med både rollen Global administratör för säker åtkomst och säkerhetsadministratör måste vidta följande steg för att aktivera tillämpning med global säker åtkomst.
- Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.
- Bläddra till Globala inställningar för säker åtkomst>>Sessionshantering>Universella klientbegränsningar.
- Välj växlingsknappen för att aktivera klientbegränsningar för Entra-ID (omfattar alla molnappar).
Prova begränsningar för universell klientorganisation
Klientbegränsningar tillämpas inte när en användare (eller en gästanvändare) försöker komma åt resurser i klientorganisationen där principerna har konfigurerats. Klientbegränsningar v2-principer bearbetas endast när en identitet från en annan klient försöker logga in och/eller kommer åt resurser. Om du till exempel konfigurerar en princip för klientbegränsningar v2 i klientorganisationen contoso.com för att blockera alla organisationer utom fabrikam.comtillämpas principen enligt den här tabellen:
| User | Typ | Klientorganisation | Bearbetad TRv2-princip? | Tillåten autentiserad åtkomst? | Tillåten anonym åtkomst? |
|---|---|---|---|---|---|
alice@contoso.com |
Medlem | contoso.com | Nej(samma klientorganisation) | Ja | Nej |
alice@fabrikam.com |
Medlem | fabrikam.com | Ja | Ja(klientorganisation tillåts av principen) | Nej |
bob@northwinds.com |
Medlem | northwinds.com | Ja | Nej(klientorganisation tillåts inte av principen) | Nej |
alice@contoso.com |
Medlem | contoso.com | Nej(samma klientorganisation) | Ja | Nej |
bob_northwinds.com#EXT#@contoso.com |
Gäst | contoso.com | Nej(gästanvändare) | Ja | Nej |
Verifiera autentiseringsplanets skydd
- Se till att signaler om universella klientbegränsningar är inaktiverade i inställningarna för global säker åtkomst.
- Använd webbläsaren för att navigera till
https://myapps.microsoft.com/och logga in med identiteten från en annan klientorganisation än din som inte är tillåten i en princip för klientbegränsningar v2. Observera att du kan behöva använda ett privat webbläsarfönster och/eller logga ut från ditt primära konto för att utföra det här steget.- Om din klientorganisation till exempel är Contoso loggar du in som Fabrikam-användare i Fabrikam-klientorganisationen.
- Fabrikam-användaren bör kunna komma åt MyApps-portalen eftersom signaler om klientbegränsningar är inaktiverade i global säker åtkomst.
- Aktivera universella klientbegränsningar i administrationscentret för Microsoft Entra –> Global säker åtkomst –> Sessionshantering –> Universella klientbegränsningar.
- Logga ut från MyApps-portalen och starta om webbläsaren.
- Som slutanvändare, med Global Secure Access-klienten igång, åtkomst
https://myapps.microsoft.com/med samma identitet (Fabrikam-användare i Fabrikam-klientorganisationen).- Fabrikam-användaren bör blockeras från att autentisera till MyApps med felmeddelandet: Åtkomsten är blockerad, Contoso IT-avdelningen har begränsat vilka organisationer som kan nås. Kontakta Contoso IT-avdelningen för att få åtkomst.
Verifiera dataskyddet
- Se till att signalering av universella klientbegränsningar är inaktiverad i inställningarna för global säker åtkomst.
- Använd webbläsaren för att navigera till
https://yourcompany.sharepoint.com/och logga in med identiteten från en annan klientorganisation än din som inte är tillåten i en princip för klientbegränsningar v2. Observera att du kan behöva använda ett privat webbläsarfönster och/eller logga ut från ditt primära konto för att utföra det här steget.- Om din klientorganisation till exempel är Contoso loggar du in som Fabrikam-användare i Fabrikam-klientorganisationen.
- Fabrikam-användaren bör kunna komma åt SharePoint eftersom klientbegränsningar v2-signaler är inaktiverade i global säker åtkomst.
- Du kan också öppna Utvecklarverktyg i samma webbläsare med SharePoint Online eller trycka på F12 på tangentbordet. Börja samla in nätverksloggarna. Du bör se HTTP-begäranden som returnerar status
200när du navigerar i SharePoint när allt fungerar som förväntat. - Kontrollera att alternativet Bevara logg är markerat innan du fortsätter.
- Håll webbläsarfönstret öppet med loggarna.
- Aktivera universella klientbegränsningar i administrationscentret för Microsoft Entra –> Global säker åtkomst –> Sessionshantering –> Begränsningar för universell klientorganisation.
- Som Fabrikam-användare, i webbläsaren med SharePoint Online öppen, inom några minuter, visas nya loggar. Webbläsaren kan också uppdatera sig själv baserat på begäran och svar som sker i serverdelen. Om webbläsaren inte uppdateras automatiskt efter ett par minuter uppdaterar du sidan.
- Fabrikam-användaren ser att deras åtkomst nu blockeras med meddelandet: Åtkomst blockeras, Contoso IT-avdelningen har begränsat vilka organisationer som kan nås. Kontakta Contoso IT-avdelningen för att få åtkomst.
- I loggarna letar du efter statusen
302. Den här raden visar universella klientbegränsningar som tillämpas på trafiken.- I samma svar kontrollerar du rubrikerna för följande information som identifierar att universella klientbegränsningar tillämpades:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- I samma svar kontrollerar du rubrikerna för följande information som identifierar att universella klientbegränsningar tillämpades: