Usare Restrizioni dei tenant per gestire l'accesso alle applicazioni cloud SaaSUse Tenant Restrictions to manage access to SaaS cloud applications

Le organizzazioni di grandi dimensioni che mettono l'accento sulla sicurezza vogliono passare a servizi cloud come Office 365, ma devono sapere che i loro utenti saranno in grado di accedere solo a risorse approvate.Large organizations that emphasize security want to move to cloud services like Office 365, but need to know that their users only can access approved resources. In genere, le aziende limitano gli indirizzi IP o i nomi di dominio quando vogliono gestire gli accessi.Traditionally, companies restrict domain names or IP addresses when they want to manage access. Questo approccio non è efficace in situazioni dove le app SaaS vengono ospitate in un cloud pubblico ed eseguite su nomi di dominio condivisi come outlook.office.com e login.microsoftonline.com. Bloccare questi indirizzi impedirebbe totalmente agli utenti di accedere ad Outlook sul Web invece di limitare il loro accesso alle identità e alle risorse approvate.This approach fails in a world where SaaS apps are hosted in a public cloud, running on shared domain names like outlook.office.com and login.microsoftonline.com. Blocking these addresses would keep users from accessing Outlook on the web entirely, instead of merely restricting them to approved identities and resources.

La soluzione offerta da Azure Active Directory per risolvere questo problema è costituita da una funzionalità denominata Restrizioni dei tenant.Azure Active Directory's solution to this challenge is a feature called Tenant Restrictions. Restrizioni dei tenant consente alle organizzazioni di controllare l'accesso alle applicazioni cloud SaaS, in base al tenant di Azure AD usato dalle applicazioni per il Single Sign-On.Tenant Restrictions enables organizations to control access to SaaS cloud applications, based on the Azure AD tenant the applications use for single sign-on. Ad esempio, si supponga di voler consentire l'accesso alle applicazioni Office 365 dell'organizzazione, impedendolo al contempo alle istanze di quelle stesse applicazioni in altre organizzazioni.For example, you may want to allow access to your organization’s Office 365 applications, while preventing access to other organizations’ instances of these same applications.

Restrizioni dei tenant dà alle organizzazioni la facoltà di specificare l'elenco di tenant cui gli utenti possono accedere.Tenant Restrictions gives organizations the ability to specify the list of tenants that their users are permitted to access. Azure AD consente quindi l'accesso solo ai tenant autorizzati.Azure AD then only grants access to these permitted tenants.

Questo articolo si concentra su Restrizioni dei tenant per Office 365, ma la funzionalità dovrebbe funzionare con qualsiasi app cloud SaaS che utilizza protocolli di autenticazione moderna con Azure AD per il Single Sign-On.This article focuses on Tenant Restrictions for Office 365, but the feature should work with any SaaS cloud app that uses modern authentication protocols with Azure AD for single sign-on. Se si usano app SaaS con un tenant Azure AD diverso da quello usato da Office 365, assicurarsi che tutti i tenant richiesti siano autorizzati.If you use SaaS apps with a different Azure AD tenant from the tenant used by Office 365, make sure that all required tenants are permitted. Per ulteriori informazioni sulle app cloud SaaS, vedere il Marketplace di Active Directory.For more information about SaaS cloud apps, see the Active Directory Marketplace.

FunzionamentoHow it works

La soluzione globale è composta dai seguenti elementi:The overall solution comprises the following components:

  1. Azure AD: se Restrict-Access-To-Tenants: <permitted tenant list> è presente, Azure AD genera unicamente token di sicurezza per i tenant autorizzati.Azure AD – If the Restrict-Access-To-Tenants: <permitted tenant list> is present, Azure AD only issues security tokens for the permitted tenants.

  2. Infrastruttura del server proxy locale: un dispositivo proxy in grado di eseguire ispezioni SSL, configurato per inserire l'intestazione contenente l'elenco di tenant autorizzati nel traffico verso Azure AD.On-premises proxy server infrastructure – a proxy device capable of SSL inspection, configured to insert the header containing the list of permitted tenants into traffic destined for Azure AD.

  3. Software client: per supportare Restrizioni dei tenant, il software client deve richiedere i token direttamente da Azure AD, in modo che l'infrastruttura proxy possa intercettare il traffico.Client software – to support Tenant Restrictions, client software must request tokens directly from Azure AD, so that traffic can be intercepted by the proxy infrastructure. Restrizioni dei tenant è attualmente supportata nelle applicazioni Office 365 basate su browser e nei client Office dove vengono usate tecniche di autenticazione moderne come OAuth 2.0.Tenant Restrictions is currently supported by browser-based Office 365 applications and by Office clients when modern authentication (like OAuth 2.0) is used.

  4. Autenticazione moderna: i servizi cloud devono usare un'autenticazione moderna per usare Restrizioni dei tenant e bloccare l'accesso a tutti i tenant non autorizzati.Modern Authentication – cloud services must use modern authentication to use Tenant Restrictions and block access to all non-permitted tenants. È necessario configurare i servizi cloud di Office 365 affinché possano usare i protocolli di autenticazione moderna per impostazione predefinita.Office 365 cloud services must be configured to use modern authentication protocols by default. Per le informazioni più aggiornate sul supporto di Office 365 per l'autenticazione moderna, leggere il relativo documento aggiornato.For the latest information on Office 365 support for modern authentication, read Updated Office 365 modern authentication.

Il diagramma seguente illustra il flusso di traffico di alto livello.The following diagram illustrates the high-level traffic flow. L'ispezione SSL è necessaria solo per il traffico verso Azure AD e non verso i servizi cloud di Office 365.SSL inspection is only required on traffic to Azure AD, not to the Office 365 cloud services. Questa distinzione è importante perché il volume di traffico per l'autenticazione in Azure AD è in genere molto inferiore rispetto a quello verso applicazioni SaaS come Exchange Online e SharePoint Online.This distinction is important because the traffic volume for authentication to Azure AD is typically much lower than traffic volume to SaaS applications like Exchange Online and SharePoint Online.

Flusso di traffico di Restrizioni dei tenant, diagramma

Impostare Restrizioni dei tenantSet up Tenant Restrictions

Ci sono due passaggi iniziali per quanto riguarda Restrizioni dei tenant.There are two steps to get started with Tenant Restrictions. Il primo consiste nell'assicurarsi che i client possano connettersi agli indirizzi giusti.The first step is to make sure that your clients can connect to the right addresses. Il secondo consiste nel configurare l'infrastruttura del proxy.The second is to configure your proxy infrastructure.

URL e indirizzi IPURLs and IP addresses

Per usare Restrizioni dei tenant, i client devono potersi connettere ai seguenti URL di Azure AD per l'autenticazione: login.microsoftonline.com, login.microsoft.com e login.windows.net.To use Tenant Restrictions, your clients must be able to connect to the following Azure AD URLs to authenticate: login.microsoftonline.com, login.microsoft.com, and login.windows.net. Inoltre, per accedere a Office 365, i client devono potersi connettere agli URL/FQDN e indirizzi IP definiti in URL e intervalli di indirizzi IP per Office 365.Additionally, to access Office 365, your clients must also be able to connect to the FQDNs/URLs and IP addresses defined in Office 365 URLs and IP address ranges.

Configurazione e requisiti del proxyProxy configuration and requirements

La configurazione seguente è necessaria per abilitare Restrizioni dei tenant tramite l'infrastruttura del proxy.The following configuration is required to enable Tenant Restrictions through your proxy infrastructure. Questa guida è generica, pertanto è consigliabile consultare la documentazione del fornitore del proxy per i passaggi di implementazione specifici.This guidance is generic, so you should refer to your proxy vendor’s documentation for specific implementation steps.

PrerequisitiPrerequisites

  • Il proxy deve poter eseguire l'intercettazione SSL, inserire intestazioni HTTP e filtrare le destinazioni tramite URL/FQDN.The proxy must be able to perform SSL interception, HTTP header insertion, and filter destinations using FQDNs/URLs.

  • I client devono considerare attendibile la catena di certificati presentata dal proxy per le comunicazioni SSL.Clients must trust the certificate chain presented by the proxy for SSL communications. Ad esempio, se vengono usati i certificati da un'infrastruttura PKI interna, deve essere considerato attendibile il certificato interno dell'autorità di certificazione interna.For example, if certificates from an internal PKI are used, the internal issuing root certificate authority certificate must be trusted.

  • Questa funzionalità è inclusa nelle sottoscrizioni di Office 365, ma se si desidera usare Restrizioni dei tenant per controllare l'accesso ad altre app SaaS, saranno necessarie licenze Premium 1 di Azure AD.This feature is included in Office 365 subscriptions, but if you want to use Tenant Restrictions to control access to other SaaS apps then Azure AD Premium 1 licenses are required.

ConfigurazioneConfiguration

Per ogni richiesta in ingresso a login.microsoftonline.com, login.microsoft.com e login.windows.net, inserire due intestazioni HTTP: Restrict-Access-To-Tenants e Restrict-Access-Context.For each incoming request to login.microsoftonline.com, login.microsoft.com, and login.windows.net, insert two HTTP headers: Restrict-Access-To-Tenants and Restrict-Access-Context.

Le intestazioni devono includere gli elementi seguenti:The headers should include the following elements:

  • Per Restrict-Access-To-Tenants, un valore di <elenco tenant consentiti>, ovvero un elenco delimitato da virgole contenente i tenant a cui gli utenti possono accedere.For Restrict-Access-To-Tenants, a value of <permitted tenant list>, which is a comma-separated list of tenants you want to allow users to access. È possibile usare qualsiasi dominio registrato con un tenant per individuare il tenant nell'elenco.Any domain that is registered with a tenant can be used to identify the tenant in this list. Ad esempio, per consentire l'accesso ai tenant Contoso e Fabrikam, la coppia nome/valore è simile alla seguente: Restrict-Access-To-Tenants: contoso.onmicrosoft.com,fabrikam.onmicrosoft.comFor example, to permit access to both Contoso and Fabrikam tenants, the name/value pair looks like: Restrict-Access-To-Tenants: contoso.onmicrosoft.com,fabrikam.onmicrosoft.com
  • Per Restrict-Access-Context, un valore ID di directory singola, dichiarando quale tenant imposta Restrizioni dei tenant.For Restrict-Access-Context, a value of a single directory ID, declaring which tenant is setting the Tenant Restrictions. Ad esempio, per dichiarare Contoso come tenant di impostazione dei criteri di Restrizioni dei tenant, la coppia nome/valore avrà un aspetto simile al seguente: Restrict-Access-Context: 456ff232-35l2-5h23-b3b3-3236w0826f3dFor example, to declare Contoso as the tenant that set the Tenant Restrictions policy, the name/value pair looks like: Restrict-Access-Context: 456ff232-35l2-5h23-b3b3-3236w0826f3d

Suggerimento

L'ID della directory si trova nel portale di Azure.You can find your directory ID in the Azure portal. Accedere come amministratore, selezionare Azure Active Directory, quindi selezionare Proprietà.Sign in as an administrator, select Azure Active Directory, then select Properties.

Per impedire agli utenti di inserire le proprie intestazioni HTTP con i tenant non approvati, il proxy deve sostituire l'intestazione Restrict-Access-To-Tenants se questa è già presente nella richiesta in ingresso.To prevent users from inserting their own HTTP header with non-approved tenants, the proxy needs to replace the Restrict-Access-To-Tenants header if it is already present in the incoming request.

È necessario forzare l'uso del proxy nei client per tutte le richieste a login.microsoftonline.com, login.microsoft.com e login.windows.net.Clients must be forced to use the proxy for all requests to login.microsoftonline.com, login.microsoft.com, and login.windows.net. Ad esempio, se vengono usati file PAC per reindirizzare i client all'uso del proxy, gli utenti finali non devono poter modificare o disabilitare tali file.For example, if PAC files are used to direct clients to use the proxy, end users should not be able to edit or disable the PAC files.

Esperienza utenteThe user experience

In questa sezione viene illustrata l'esperienza per utenti finali e amministratori.This section shows the experience for both end users and admins.

Esperienza utente finaleEnd-user experience

Un utente di esempio si trova nella rete Contoso ma tenta di accedere online all'istanza Fabrikam di un'applicazione SaaS condivisa come Outlook.An example user is on the Contoso network, but is trying to access the Fabrikam instance of a shared SaaS application like Outlook online. Se Contoso è un tenant non consentito per l'istanza, l'utente visualizza la pagina seguente:If Contoso is a non-permitted tenant for that instance, the user sees the following page:

Pagina di accesso negato per gli utenti in tenant non consentiti

Esperienza amministratoreAdmin experience

La configurazione di Restrizioni dei tenant viene eseguita nell'infrastruttura del proxy aziendale, ma gli amministratori possono accedere direttamente ai relativi report nel portale di Azure.While configuration of Tenant Restrictions is done on the corporate proxy infrastructure, admins can access the Tenant Restrictions reports in the Azure portal directly. Per visualizzare i report, passare alla pagina di panoramica di Azure Active Directory e quindi cercare in "Altre funzionalità".To view the reports, go to the Azure Active Directory Overview page, then look under ‘Other capabilities’.

L'amministratore per il tenant specificato come tenant Restricted-Access-Context può usare questo report per visualizzare tutti gli accessi bloccati a causa dei criteri di Restrizioni dei tenant, inclusi l'ID della directory di destinazione e le identità usate.The admin for the tenant specified as the Restricted-Access-Context tenant can use this report to see all sign-ins blocked because of the Tenant Restrictions policy, including the identity used and the target directory ID.

Usare il portale di Azure per visualizzare i tentativi di accesso con restrizioni

Come per gli altri report nel portale di Azure, è possibile usare i filtri per specificare l'ambito del report.Like other reports in the Azure portal, you can use filters to specify the scope of your report. È possibile usare filtri per utenti, applicazioni, client o intervalli di tempo specifici.You can filter on a specific user, application, client, or time interval.

Supporto di Office 365Office 365 support

Le applicazioni di Office 365 devono soddisfare due criteri per supportare pienamente Restrizioni dei tenant:Office 365 applications must meet two criteria to fully support Tenant Restrictions:

  1. Il client usato supporta l'autenticazione modernaThe client used supports modern authentication
  2. L'autenticazione moderna è abilitata come protocollo di autenticazione predefinito per il servizio cloud.Modern authentication is enabled as the default authentication protocol for the cloud service.

Fare riferimento al documento aggiornato sull'autenticazione moderna di Office 365 per le informazioni più recenti sui client Office che supportano attualmente l'autenticazione moderna.Refer to Updated Office 365 modern authentication for the latest information on which Office clients currently support modern authentication. Questa pagina include anche collegamenti a istruzioni su come abilitare l'autenticazione moderna in tenant Exchange Online e Skype for Business Online specifici.That page also includes links to instructions for enabling modern authentication on specific Exchange Online and Skype for Business Online tenants. L'autenticazione moderna è già abilitata per impostazione predefinita in SharePoint Online.Modern authentication is already enabled by default in SharePoint Online.

Restrizioni dei tenant è attualmente supportata nelle applicazioni Office 365 basate su browser come il portale di Office, Yammer, i siti SharePoint, Outlook sul Web e così via.Tenant Restrictions is currently supported by Office 365 browser-based applications (the Office Portal, Yammer, SharePoint sites, Outlook on the Web, etc.). Per i thick client come Outlook, Skype for Business, Word, Excel, PowerPoint e così via, Restrizioni dei tenant può essere applicata solo quando si usa l'autenticazione moderna.For thick clients (Outlook, Skype for Business, Word, Excel, PowerPoint, etc.) Tenant Restrictions can only be enforced when modern authentication is used.

I client Outlook e Skype for Business che supportano l'autenticazione moderna possono comunque usare protocolli legacy con tenant dove l'autenticazione moderna non è abilitata, ignorando di fatto Restrizioni dei tenant.Outlook and Skype for Business clients that support modern authentication are still able to use legacy protocols against tenants where modern authentication is not enabled, effectively bypassing Tenant Restrictions. In Outlook per Windows, i clienti possono scegliere di implementare delle restrizioni per impedire agli utenti finali di aggiungere ai propri profili account di posta elettronica non approvati.For Outlook on Windows, customers may choose to implement restrictions preventing end users from adding non-approved mail accounts to their profiles. Ad esempio, vedere l'impostazione di criteri di gruppo Impedisci l'aggiunta di account di Exchange non predefiniti.For example, see the Prevent adding non-default Exchange accounts group policy setting. Per Outlook su piattaforme non Windows e per Skype for Business su tutte le piattaforme, il supporto completo per le restrizioni del tenant non è attualmente disponibile.For Outlook on non-Windows platforms, and for Skype for Business on all platforms, full support for Tenant Restrictions is not currently available.

TestTesting

Se si desidera provare la funzionalità Restrizioni dei tenant prima di implementarla in tutta l'organizzazione, sono disponibili due opzioni: un approccio basato su host con uno strumento come Fiddler o una pianificazione per fasi delle impostazioni del proxy.If you want to try out Tenant Restrictions before implementing it for your whole organization, there are two options: a host-based approach using a tool like Fiddler, or a staged rollout of proxy settings.

Fiddler per un approccio basato su hostFiddler for a host-based approach

Fiddler è un proxy di debug Web gratuito, utilizzabile per acquisire e modificare il traffico HTTP/HTTPS, incluso l'inserimento di intestazioni HTTP.Fiddler is a free web debugging proxy that can be used to capture and modify HTTP/HTTPS traffic, including inserting HTTP headers. Per configurare Fiddler per testare Restrizioni dei tenant, eseguire la procedura seguente:To configure Fiddler to test Tenant Restrictions, perform the following steps:

  1. Scaricare e installare Fiddler.Download and install Fiddler.
  2. Configurare Fiddler per decrittografare il traffico HTTPS, come indicato nella relativa documentazione di aiuto.Configure Fiddler to decrypt HTTPS traffic, per Fiddler’s help documentation.
  3. Configurare Fiddler per inserire le intestazioni Restrict-Access-To-Tenants e Restrict-Access-Context con regole personalizzate:Configure Fiddler to insert the Restrict-Access-To-Tenants and Restrict-Access-Context headers using custom rules:

    1. Nello strumento Fiddler Web Debugger, selezionare il menu Rules (Regole) e selezionare Customize Rules… (Personalizza regole…)In the Fiddler Web Debugger tool, select the Rules menu and select Customize Rules… per aprire il file CustomRules.to open the CustomRules file.
    2. Aggiungere le righe seguenti all'inizio della funzione OnBeforeRequest.Add the following lines at the beginning of the OnBeforeRequest function. Sostituire il <dominio del tenant> con un dominio registrato con il proprio tenant, ad esempio contoso.onmicrosoft.com. Sostituire <l'ID della directory> con l'identificatore GUID di Azure AD del proprio tenant.Replace <tenant domain> with a domain registered with your tenant, for example, contoso.onmicrosoft.com. Replace <directory ID> with your tenant's Azure AD GUID identifier.
    if (oSession.HostnameIs("login.microsoftonline.com") || oSession.HostnameIs("login.microsoft.com") || oSession.HostnameIs("login.windows.net")){      oSession.oRequest["Restrict-Access-To-Tenants"] = "<tenant domain>";      oSession.oRequest["Restrict-Access-Context"] = "<directory ID>";}
    

    Se è necessario consentire più tenant, separare i vari nomi di tenant con le virgole.If you need to allow multiple tenants, use a comma to separate the tenant names. Ad esempio:For example:

    oSession.oRequest["Restrict-Access-To-Tenants"] = "contoso.onmicrosoft.com,fabrikam.onmicrosoft.com";
    
  4. Salvare e chiudere il file CustomRules.Save and close the CustomRules file.

Dopo aver configurato Fiddler, è possibile acquisire il traffico accedendo al menu File e selezionando Capture Traffic (Acquisisci traffico).After you configure Fiddler, you can capture traffic by going to the File menu and selecting Capture Traffic.

Implementazione per fasi delle impostazioni del proxyStaged rollout of proxy settings

A seconda delle funzionalità dell'infrastruttura di proxy, è possibile eseguire un'implementazione per fasi delle impostazioni agli utenti.Depending on the capabilities of your proxy infrastructure, you may be able to stage the rollout of settings to your users. Di seguito sono indicate due opzioni generali da tenere in considerazione:Here are a couple high-level options for consideration:

  1. Usare file PAC per indirizzare gli utenti di test a un'infrastruttura di proxy di test, mentre gli utenti normali continuano a utilizzare l'infrastruttura del proxy di produzione.Use PAC files to point test users to a test proxy infrastructure, while normal users continue to use the production proxy infrastructure.
  2. Alcuni server proxy possono supportare configurazioni diverse usando i gruppi.Some proxy servers may support different configurations using groups.

Fare riferimento alla documentazione del server proxy per i dettagli specifici.Refer to your proxy server documentation for specific details.

Passaggi successiviNext steps