Ограничения универсального клиента
Ограничения универсального клиента повышают функциональность ограничения клиента версии 2 с помощью глобального безопасного доступа (предварительная версия) для тегов всего трафика независимо от операционной системы, браузера или форм-фактора устройства. Она обеспечивает поддержку подключения как клиента, так и удаленного сетевого подключения. Администратор istrator больше не требуется управлять конфигурациями прокси-сервера или сложными сетевыми конфигурациями.
Ограничения универсального клиента применяются с помощью политики на основе глобального безопасного доступа для проверки подлинности и плоскости данных. Ограничения клиентов версии 2 позволяют предприятиям предотвращать утечку данных пользователями с помощью удостоверений внешнего клиента для интегрированных приложений Microsoft Entra, таких как Microsoft Graph, SharePoint Online и Exchange Online. Эти технологии работают вместе, чтобы предотвратить кражу данных на всех устройствах и сетях.
В следующей таблице описаны шаги, выполненные на каждой точке предыдущей схемы.
Этап | Описание: |
---|---|
1 | Компания Contoso настраивает политику ограничений клиента версии 2 в параметрах доступа между клиентами для блокировки всех внешних учетных записей и внешних приложений. Компания Contoso применяет политику с помощью ограничений универсального клиента Global Secure Access. |
2 | Пользователь с управляемым contoso устройством пытается получить доступ к интегрированному приложению Microsoft Entra с неуправляемым внешним удостоверением. |
3 | Защита уровня проверки подлинности. Использование идентификатора Microsoft Entra политика Contoso блокирует неуправляемые внешние учетные записи от доступа к внешним клиентам. |
4 | Защита плоскости данных: если пользователь снова пытается получить доступ к внешнему несанкционированному приложению, скопировав маркер ответа проверки подлинности, полученный за пределами сети Contoso и вставив его на устройство, они блокируются. Несоответствие маркера активирует повторную проверку подлинности и блокирует доступ. Для SharePoint Online любая попытка анонимного доступа к ресурсам и microsoft Teams, любая попытка анонимного присоединения звонков будет заблокирована. |
Ограничения универсального клиента помогают предотвратить кражу данных в браузерах, устройствах и сетях следующим образом:
- Он позволяет приложениям Microsoft Entra ID, Учетные записи Майкрософт и Microsoft 365 искать и применять связанные ограничения клиента версии 2. Эта подстановка позволяет согласованному приложению политики.
- Работает со всеми интегрированными сторонними приложениями Microsoft Entra на плоскости проверки подлинности во время входа.
- Работает с Exchange, SharePoint и Microsoft Graph для защиты плоскости данных.
Необходимые компоненты
- Администратор istrator, взаимодействующие с Функции предварительной версии глобального безопасного доступа должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
- Роль глобального безопасного доступа Администратор istrator для управления функциями предварительной версии Global Secure Access.
- Условный доступ Администратор istrator для создания и взаимодействия с политиками условного доступа.
- Для предварительной версии требуется лицензия Microsoft Entra ID P1. При необходимости вы можете приобрести лицензии или получить пробные лицензии.
Известные ограничения
- Если вы включили ограничения универсального клиента и обращаетесь к Центру администрирования Microsoft Entra для одного из разрешенных клиентов, может появилась ошибка "Доступ запрещен". Добавьте следующий флаг компонента в Центр администрирования Microsoft Entra:
?feature.msaljs=true&exp.msaljsexp=true
- Например, вы работаете в Компании Contoso и разрешаете использовать Fabrikam в качестве клиента партнера. Вы можете увидеть сообщение об ошибке для центра администрирования Microsoft Entra клиента Fabrikam.
- Если вы получили сообщение об ошибке "отказано в доступе" для этого URL-адреса:
https://entra.microsoft.com/
добавьте флаг компонента следующим образом:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
- Если вы получили сообщение об ошибке "отказано в доступе" для этого URL-адреса:
Настройка политики ограничений клиента версии 2
Прежде чем организация сможет использовать универсальные ограничения клиента, они должны настроить как ограничения клиента по умолчанию, так и ограничения клиента для любых конкретных партнеров.
Дополнительные сведения о настройке этих политик см. в статье "Настройка ограничений клиентов версии 2 (предварительная версия)".
Включение тегов для ограничений клиента версии 2
После создания политик ограничения клиента версии 2 можно использовать глобальный безопасный доступ для применения тегов для ограничений клиента версии 2. Администратор с ролями глобального безопасного доступа Администратор istrator и security Администратор istrator должен выполнить следующие действия, чтобы обеспечить принудительное применение с помощью глобального безопасного доступа.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator глобального безопасного доступа.
- Перейдите к глобальным>ограничениям глобального Параметры> Session Management>Tenant.
- Выберите переключатель Включить добавление тегов, чтобы применить ограничения клиента в сети.
- Выберите Сохранить.
Попробуйте использовать ограничения универсального клиента с помощью SharePoint Online.
Эта возможность работает так же для Exchange Online и Microsoft Graph в следующих примерах, как увидеть его в действии в вашей собственной среде.
Попробуйте использовать путь проверки подлинности:
- При отключении ограничений универсального клиента в глобальных параметрах глобального безопасного доступа.
- Перейдите в SharePoint Online с внешним удостоверением,
https://yourcompanyname.sharepoint.com/
которое не разрешено в политике ограничений клиента версии 2.- Например, пользователь Fabrikam в клиенте Fabrikam.
- Пользователь Fabrikam должен иметь доступ к SharePoint Online.
- Включите ограничения универсального клиента.
- В качестве конечного пользователя с запущенным клиентом глобального безопасного доступа перейдите в SharePoint Online с внешним удостоверением, которое не было явно разрешено.
- Например, пользователь Fabrikam в клиенте Fabrikam.
- Пользователь Fabrikam должен быть заблокирован для доступа к SharePoint Online с сообщением об ошибке:
- Доступ заблокирован, ИТ-отдел Contoso ограничен доступом к организациям. Чтобы получить доступ, обратитесь в ИТ-отдел Contoso.
Попробуйте путь к данным
- При отключении ограничений универсального клиента в глобальных параметрах глобального безопасного доступа.
- Перейдите в SharePoint Online с внешним удостоверением,
https://yourcompanyname.sharepoint.com/
которое не разрешено в политике ограничений клиента версии 2.- Например, пользователь Fabrikam в клиенте Fabrikam.
- Пользователь Fabrikam должен иметь доступ к SharePoint Online.
- В том же браузере с открытым окном SharePoint Online перейдите к средствам разработчика или нажмите клавишу F12 на клавиатуре. Начните записывать сетевые журналы. Вы должны увидеть состояние 200, когда все работает должным образом.
- Перед продолжением убедитесь, что параметр "Сохранить журнал" проверка.
- Откройте окно браузера с помощью журналов.
- Включите ограничения универсального клиента.
- Как пользователь Fabrikam, в браузере с SharePoint Online откройте в течение нескольких минут новые журналы. Кроме того, браузер может обновиться на основе запроса и ответа, происходящих в внутренней части. Если браузер не обновляется автоматически через пару минут, нажмите на обновление браузера с помощью SharePoint Online.
- Пользователь Fabrikam видит, что доступ теперь заблокирован:
- Доступ заблокирован, ИТ-отдел Contoso ограничен доступом к организациям. Чтобы получить доступ, обратитесь в ИТ-отдел Contoso.
- Пользователь Fabrikam видит, что доступ теперь заблокирован:
- В журналах найдите состояние 302. В этой строке показаны ограничения универсального клиента, применяемые к трафику.
- В том же ответе проверка заголовки для следующих сведений, определяющих применение ограничений универсального клиента:
Restrict-Access-Confirm: 1
x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- В том же ответе проверка заголовки для следующих сведений, определяющих применение ограничений универсального клиента:
Условия использования
Использование Частный доступ Microsoft Entra и Интернет-доступ Microsoft Entra предварительных версий и функций регулируется условиями предварительной версии веб-службы соглашений, в соответствии с которыми вы получили услуги. Предварительные версии могут быть подвержены снижению или другим обязательствам по обеспечению безопасности, соответствия требованиям и конфиденциальности, как описано далее в условиях универсального лицензионного соглашения для веб-служб и надстройки защиты данных Майкрософт (DPA) и других уведомлениях, предоставляемых предварительной версией.
Следующие шаги
Следующим шагом для начала работы с Интернет-доступ Microsoft Entra является включение расширенного сигнала глобального безопасного доступа.
Дополнительные сведения о политиках условного доступа для глобального безопасного доступа (предварительная версия) см. в следующих статьях: