Restrições universais de inquilinos
As restrições universais de locatário aprimoram a funcionalidade da restrição de locatário v2 usando o Acesso Seguro Global (visualização) para marcar todo o tráfego, independentemente do sistema operacional, navegador ou fator de forma do dispositivo. Ele permite suporte para conectividade de rede remota e cliente. Os administradores não precisam mais gerenciar configurações de servidor proxy ou configurações de rede complexas.
As Restrições Universais de Locatário fazem essa imposição usando a sinalização de política baseada em Acesso Seguro Global para o plano de autenticação e de dados. As restrições de locatário v2 permitem que as empresas impeçam a exfiltração de dados por usuários que usam identidades de locatário externo para aplicativos integrados do Microsoft Entra, como Microsoft Graph, SharePoint Online e Exchange Online. Essas tecnologias trabalham juntas para evitar a exfiltração de dados universalmente em todos os dispositivos e redes.
A tabela a seguir explica as etapas executadas em cada ponto do diagrama anterior.
| Passo | Description |
|---|---|
| 1 | A Contoso define uma política v2 de restrições de locatário em suas configurações de acesso entre locatários para bloquear todas as contas externas e aplicativos externos. A Contoso aplica a política usando restrições de locatário universal do Acesso Seguro Global. |
| 2 | Um usuário com um dispositivo gerenciado pela Contoso tenta acessar um aplicativo integrado do Microsoft Entra com uma identidade externa não autorizada. |
| 3 | Proteção do plano de autenticação: usando a ID do Microsoft Entra, a política da Contoso impede que contas externas não autorizadas acessem locatários externos. |
| 4 | Proteção de plano de dados: se o usuário tentar acessar novamente um aplicativo externo não sancionado copiando um token de resposta de autenticação obtido fora da rede da Contoso e colando-o no dispositivo, ele será bloqueado. A incompatibilidade de token aciona a reautenticação e bloqueia o acesso. Para o SharePoint Online, qualquer tentativa de aceder anonimamente a recursos e, para o Microsoft Teams, qualquer tentativa de aderir anonimamente a chamadas, será bloqueada. |
As restrições universais de locatários ajudam a evitar a exfiltração de dados entre navegadores, dispositivos e redes das seguintes maneiras:
- Ele permite que o Microsoft Entra ID, Contas da Microsoft e aplicativos do Microsoft 365 pesquisem e apliquem a política v2 de restrições de locatário associadas. Essa pesquisa permite uma aplicação de política consistente.
- Funciona com todas as aplicações de terceiros integradas do Microsoft Entra no plano de autenticação durante o início de sessão.
- Funciona com Exchange, SharePoint e Microsoft Graph para proteção de plano de dados.
Pré-requisitos
- Os administradores que interagem com os recursos de visualização do Global Secure Access devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estão executando.
- A função de Administrador de Acesso Seguro Global para gerenciar os recursos de visualização do Acesso Seguro Global.
- O Administrador de Acesso Condicional para criar e interagir com políticas de Acesso Condicional.
- A pré-visualização requer uma licença Microsoft Entra ID P1. Se necessário, você pode comprar licenças ou obter licenças de avaliação.
Limitações conhecidas
- Se tiver ativado as restrições de inquilino universal e estiver a aceder ao centro de administração do Microsoft Entra para um dos inquilinos permitidos listados, poderá ver um erro "Acesso negado". Adicione o seguinte sinalizador de recurso ao centro de administração do Microsoft Entra:
?feature.msaljs=true&exp.msaljsexp=true- Por exemplo, você trabalha para a Contoso e permitiu listar a Fabrikam como locatária parceira. Poderá ver a mensagem de erro para o centro de administração Microsoft Entra do inquilino da Fabrikam.
- Se você recebeu a mensagem de erro "acesso negado" para este URL:
https://entra.microsoft.com/em seguida, adicione o sinalizador de recurso da seguinte maneira:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- Se você recebeu a mensagem de erro "acesso negado" para este URL:
Configurar política v2 de restrições de locatário
Antes que uma organização possa usar restrições universais de locatário, ela deve configurar as restrições de locatário padrão e as restrições de locatário para quaisquer parceiros específicos.
Para obter mais informações sobre como configurar essas políticas, consulte o artigo Configurar restrições de locatário V2 (Visualização).
Habilitar a marcação para restrições de locatário v2
Depois de criar as políticas de restrição de locatário v2, você pode utilizar o Acesso Seguro Global para aplicar a marcação para restrições de locatário v2. Um administrador com as funções de Administrador de Acesso Seguro Global e Administrador de Segurança deve executar as seguintes etapas para habilitar a imposição com o Acesso Seguro Global.
- Entre no centro de administração do Microsoft Entra como um Administrador de Acesso Seguro Global.
- Navegue até Configurações Globais de Acesso>Seguro>Global Restrições de Locatário de Gerenciamento de>Sessão.
- Selecione o botão de alternar para Ativar a etiquetagem para impor restrições de inquilinos na rede.
- Selecione Guardar.
Experimente restrições universais de locatário com o SharePoint Online.
Esse recurso funciona da mesma forma para o Exchange Online e o Microsoft Graph: nos exemplos a seguir, explicamos como vê-lo em ação em seu próprio ambiente.
Experimente o caminho de autenticação:
- Com as restrições universais de locatário desativadas nas configurações globais do Global Secure Access.
- Vá para SharePoint Online,
https://yourcompanyname.sharepoint.com/, com uma identidade externa que não é permitida listada em uma política v2 de restrições de locatário.- Por exemplo, um usuário da Fabrikam no locatário da Fabrikam.
- O usuário da Fabrikam deve ser capaz de acessar o SharePoint Online.
- Ative as restrições universais de locatários.
- Como usuário final, com o Cliente Global de Acesso Seguro em execução, vá para o SharePoint Online com uma identidade externa que não tenha sido explicitamente permitida na lista.
- Por exemplo, um usuário da Fabrikam no locatário da Fabrikam.
- O usuário da Fabrikam deve ser impedido de acessar o SharePoint Online com uma mensagem de erro dizendo:
- O acesso está bloqueado, o departamento de TI da Contoso restringiu quais organizações podem ser acessadas. Entre em contato com o departamento de TI da Contoso para obter acesso.
Experimente o caminho de dados
- Com as restrições universais de locatário desativadas nas configurações globais do Global Secure Access.
- Vá para SharePoint Online,
https://yourcompanyname.sharepoint.com/, com uma identidade externa que não é permitida listada em uma política v2 de restrições de locatário.- Por exemplo, um usuário da Fabrikam no locatário da Fabrikam.
- O usuário da Fabrikam deve ser capaz de acessar o SharePoint Online.
- No mesmo navegador com o SharePoint Online aberto, vá para Ferramentas de Desenvolvedor ou pressione F12 no teclado. Comece a capturar os logs de rede. Você deve ver Status 200, quando tudo estiver funcionando conforme o esperado.
- Verifique se a opção Preservar log está marcada antes de continuar.
- Mantenha a janela do navegador aberta com os logs.
- Ative as restrições universais de locatários.
- Como usuário da Fabrikam, no navegador com o SharePoint Online aberto, em poucos minutos, novos logs aparecem. Além disso, o navegador pode se atualizar com base na solicitação e nas respostas que acontecem no back-end. Se o navegador não for atualizado automaticamente após alguns minutos, pressione atualizar no navegador com o SharePoint Online aberto.
- O usuário da Fabrikam vê que seu acesso agora está bloqueado dizendo:
- O acesso está bloqueado, o departamento de TI da Contoso restringiu quais organizações podem ser acessadas. Entre em contato com o departamento de TI da Contoso para obter acesso.
- O usuário da Fabrikam vê que seu acesso agora está bloqueado dizendo:
- Nos logs, procure um Status de 302. Esta linha mostra restrições universais de locatário sendo aplicadas ao tráfego.
- Na mesma resposta, verifique nos cabeçalhos as seguintes informações que identificam que as restrições universais de locatário foram aplicadas:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- Na mesma resposta, verifique nos cabeçalhos as seguintes informações que identificam que as restrições universais de locatário foram aplicadas:
Termos de Utilização
A sua utilização das experiências e funcionalidades de pré-visualização do Microsoft Entra Private Access e do Microsoft Entra Internet Access é regida pelos termos e condições do serviço online de pré-visualização do(s) contrato(s) ao abrigo do(s) qual(is) obteve os serviços. As Visualizações Prévias podem estar sujeitas a compromissos de segurança, conformidade e privacidade reduzidos ou diferentes, conforme explicado mais detalhadamente nos Termos de Licença Universal para Serviços Online e no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft ("DPA") e em quaisquer outros avisos fornecidos com a Visualização.
Próximos passos
A próxima etapa para começar a usar o Microsoft Entra Internet Access é habilitar a sinalização de Acesso Seguro Global aprimorada.
Para obter mais informações sobre políticas de Acesso Condicional para Acesso Seguro Global (visualização), consulte os seguintes artigos: