Restrições de locatário universal
As restrições de locatário universal aprimoram a funcionalidade das restrições de locatário v2 utilizando o Acesso Global Seguro (versão prévia) para marcar todo o tráfego, seja qual for o sistema operacional, o navegador ou o fator forma do dispositivo. Ele permite o suporte para conectividade de cliente e de rede remota. Os administradores não precisam mais gerenciar configurações de servidor proxy ou configurações de rede complexas.
As Restrições Universais de Locatário fazem essa imposição usando a sinalização de política baseada em Acesso Global Seguro para o plano de autenticação e de dados. As restrições de locatário v2 permitem que as empresas impeçam a exfiltração de dados por usuários usando identidades de locatário externas para aplicativos integrados do Microsoft Entra, como Microsoft Graph, SharePoint Online e Exchange Online. Essas tecnologias trabalham juntas para evitar a exfiltração de dados universalmente em todos os dispositivos e redes.
A tabela a seguir explica as etapas executadas em cada ponto do diagrama anterior.
| Etapa | Descrição |
|---|---|
| 1 | A Contoso configura restrições de locatário v2 em suas configurações de acesso entre locatários para bloquear todas as contas externas e aplicativos externos. A Contoso impõe a política usando restrições universais de locatário do Acesso Global Seguro. |
| 2 | Um usuário com um dispositivo gerenciado pela Contoso tenta acessar um aplicativo integrado do Microsoft Entra com uma identidade externa não sancionada. |
| 3 | Proteção do plano de autenticação: usando a ID do Microsoft Entra, a política da Contoso impede que contas externas não sancionadas acessem locatários externos. |
| 4 | Proteção do plano de dados: o usuário tenta acessar o aplicativo externo copiando um token de resposta de autenticação obtido fora da rede da Contoso e adicionando no dispositivo Windows. A incompatibilidade de token dispara a reautenticação e bloqueia o acesso. No SharePoint Online, toda tentativa de acessar recursos anonimamente será bloqueada. |
As restrições universais de locatário ajudam a impedir a exfiltração de dados entre navegadores, dispositivos e redes das seguintes maneiras:
- Ele permite que os aplicativos Microsoft Entra ID, Microsoft Accounts e Microsoft 365 procurem e imponham as restrições de locatário associadas à política v2. Essa pesquisa permite um aplicativo de política consistente.
- Funciona com todos os aplicativos de terceiros integrados ao Microsoft Entra no plano de autenticação durante a entrada.
- Funciona com Exchange, SharePoint e Microsoft Graph para proteção de plano de dados.
Pré-requisitos
- Os administradores que interagem com os recursos da versão prévia do Acesso Global Seguro devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estão executando.
- A função Administrador do Acesso Seguro Global para gerenciar a versão prévia do recurso Acesso Seguro Global.
- O Administrador do Acesso Condicional para criar e interagir com as políticas de Acesso Condicional.
- A preview requer uma licença do Microsoft Entra ID P1. Se necessário, você pode adquirir licenças ou obter licenças de avaliação.
Limitações conhecidas
- Se você tiver habilitado as restrições universais de locatário e estiver acessando o centro de administração do Microsoft Entra em um dos locatários listados como permitidos, poderá ver um erro "Acesso negado". Adicione o seguinte sinalizador de recurso ao centro de administração do Microsoft Entra:
?feature.msaljs=true&exp.msaljsexp=true- Por exemplo, você trabalha para a Contoso e permitiu listar a Fabrikam como um locatário parceiro. Você poderá ver a mensagem de erro para o centro de administração do Microsoft Entra do locatário da Fabrikam.
- Se você recebeu a mensagem de erro "acesso negado" para esse URL:
https://entra.microsoft.com/, adicione o sinalizador de recurso da seguinte forma:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- Se você recebeu a mensagem de erro "acesso negado" para esse URL:
Configurar restrições de locatário v2 Azure AD
Antes que uma organização possa usar restrições universais de locatário, ela deve configurar as restrições de locatário padrão e as restrições de locatário para quaisquer parceiros específicos.
Para obter mais informações sobre como configurar essas políticas, consulte o artigo Configurar restrições de locatário V2 (visualização).
Habilitar marcação para restrições de locatário v2
Depois de criar as políticas de restrição de locatário v2, você poderá utilizar o Acesso Global Seguro para aplicar a marcação para restrições de locatário v2. Um administrador com as funções de Administrador de Acesso Global Seguro e Administrador de Segurança deve executar as etapas a seguir para habilitar a imposição com o Acesso Global Seguro.
- Entre no centro de administração do Microsoft Entra como um Administrador do Acesso Global Seguro.
- Navegue até Acesso Global Seguro>Configurações Globais>Gerenciamento de sessão>Restrições de locatário.
- Selecione a alternância para Habilitar marcação para impor restrições de locatário em sua rede.
- Selecione Salvar.
Experimente as restrições de locatário universais com o SharePoint Online.
Esse recurso funciona da mesma forma para o Exchange Online e o Microsoft Graph: nos exemplos a seguir, explicamos como vê-lo em ação em seu próprio ambiente.
Experimente o caminho de autenticação:
- Com as restrições universais de locatário desativadas nas configurações globais do Acesso Global Seguro.
- Vá para o SharePoint Online,
https://yourcompanyname.sharepoint.com/, com uma identidade externa que não está listada como permitida em uma política v2 de restrições de locatário.- Por exemplo, um usuário da Fabrikam no locatário da Fabrikam.
- O usuário da Fabrikam deve ser capaz de acessar o SharePoint Online.
- Ligue as restrições de locatário universal
- Como usuário final, com o Acesso Global Seguro Client em execução, vá para o SharePoint Online com uma identidade externa que não tenha sido explicitamente permitida.
- Por exemplo, um usuário da Fabrikam no locatário da Fabrikam.
- O usuário da Fabrikam deve ser impedido de acessar o SharePoint Online com uma mensagem de erro dizendo:
- O acesso está bloqueado, o departamento de TI da Contoso restringiu quais organizações podem ser acessadas. Entre em contato com o departamento de TI da Contoso para obter acesso.
Experimente o caminho de dados
- Com as restrições universais de locatário desativadas nas configurações globais do Acesso Global Seguro.
- Vá para o SharePoint Online,
https://yourcompanyname.sharepoint.com/, com uma identidade externa que não está listada como permitida em uma política v2 de restrições de locatário.- Por exemplo, um usuário da Fabrikam no locatário da Fabrikam.
- O usuário da Fabrikam deve ser capaz de acessar o SharePoint Online.
- No mesmo navegador com o SharePoint Online aberto, vá para Ferramentas de Desenvolvedor ou pressione F12 no teclado. Comece a capturar os logs de rede. Você deve ver Status 200, quando tudo estiver funcionando conforme o esperado.
- Verifique se a opção Preservar log está marcada antes de continuar.
- Mantenha a janela do navegador aberta com os logs.
- Ligue as restrições de locatário universal
- Como usuário da Fabrikam, no navegador com o SharePoint Online aberto, em poucos minutos, novos logs aparecem. Além disso, o navegador pode se atualizar com base na solicitação e nas respostas que acontecem no back-end. Se o navegador não for atualizado automaticamente após alguns minutos, pressione atualizar no navegador com o SharePoint Online aberto.
- O usuário da Fabrikam vê que seu acesso agora está bloqueado dizendo:
- O acesso está bloqueado, o departamento de TI da Contoso restringiu quais organizações podem ser acessadas. Entre em contato com o departamento de TI da Contoso para obter acesso.
- O usuário da Fabrikam vê que seu acesso agora está bloqueado dizendo:
- Nos logs, procure um Status de 302. Esta linha mostra as restrições universais de locatário que estão sendo aplicadas ao tráfego.
- Na mesma resposta, verifique os cabeçalhos para obter as seguintes informações que identificam que as restrições universais de locatário foram aplicadas:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- Na mesma resposta, verifique os cabeçalhos para obter as seguintes informações que identificam que as restrições universais de locatário foram aplicadas:
Termos de Uso
Seu uso do Acesso Privado do Microsoft Entra e Acesso à Internet do Microsoft Entra experiências e recursos de preview é regido pelos termos e condições de serviço online de preview dos contratos sob os quais você obteve os serviços. As prévias podem estar sujeitas a compromissos de segurança, conformidade e privacidade reduzidos ou diferentes, conforme explicado nos Termos de Licença Universais para Serviços Online e no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft (“DPA”) e quaisquer outros avisos fornecidos com a preview.
Próximas etapas
A próxima etapa para começar a usar o Acesso à Internet do Microsoft Entra é habilitar a sinalização avançada de Acesso Global Seguro.
Para obter mais informações sobre políticas de acesso condicional para Acesso Global Seguro (visualização), consulte os seguintes artigos:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de