Share via

Begränsningar för universell klientorganisation

  • Artikel

Begränsningar för universella klientorganisationer förbättrar funktionerna i klientbegränsning v2 med global säker åtkomst (förhandsversion) för att tagga all trafik oavsett operativsystem, webbläsare eller enhetsformulärfaktor. Det ger stöd för både klient- och fjärrnätverksanslutning. Administratörer behöver inte längre hantera proxyserverkonfigurationer eller komplexa nätverkskonfigurationer.

Universella klientbegränsningar tillämpar detta med hjälp av global säker åtkomstbaserad principsignalering för både autentiserings- och dataplanet. Klientbegränsningar v2 gör det möjligt för företag att förhindra dataexfiltrering av användare som använder externa klientidentiteter för Microsoft Entra-integrerade program som Microsoft Graph, SharePoint Online och Exchange Online. Dessa tekniker fungerar tillsammans för att förhindra dataexfiltrering universellt över alla enheter och nätverk.

Diagram som visar hur klientbegränsningar v2 skyddar mot skadliga användare.

I följande tabell beskrivs de steg som vidtagits vid varje punkt i föregående diagram.

Steg Description
1 Contoso konfigurerar en princip för klientbegränsningar v2 i sina åtkomstinställningar mellan klientorganisationer för att blockera alla externa konton och externa appar. Contoso tillämpar principen med globala begränsningar för säker åtkomst för universell klientorganisation.
2 En användare med en Contoso-hanterad enhet försöker komma åt en Microsoft Entra-integrerad app med en icke-sanktionerad extern identitet.
3 Skydd mot autentiseringsplan: Med Microsoft Entra-ID blockerar Contosos princip osanktionerade externa konton från att komma åt externa klienter.
4 Dataskydd: Om användaren återigen försöker komma åt ett externt osanktionerat program genom att kopiera en autentiseringssvarstoken som de fick utanför Contosos nätverk och klistra in den på enheten blockeras de. Tokenmatchningsfelet utlöser omautentisering och blockerar åtkomst. För SharePoint Online blockeras alla försök att anonymt komma åt resurser, och för Microsoft Teams blockeras alla försök att ansluta anonymt.

Begränsningar för universella klientorganisationer hjälper till att förhindra dataexfiltrering mellan webbläsare, enheter och nätverk på följande sätt:

  • Det gör det möjligt för Microsoft Entra-ID, Microsoft-konton och Microsoft 365-program att söka efter och tillämpa principen för associerade klientbegränsningar v2. Den här sökningen möjliggör konsekvent principprogram.
  • Fungerar med alla Microsoft Entra-integrerade appar från tredje part på autentiseringsplanet under inloggningen.
  • Fungerar med Exchange, SharePoint och Microsoft Graph för dataskydd.

Förutsättningar

  • Administratörer som interagerar med förhandsgranskningsfunktioner för global säker åtkomst måste ha en eller flera av följande rolltilldelningar beroende på vilka uppgifter de utför.
    • Rollen Global administratör för säker åtkomst för att hantera förhandsgranskningsfunktionerna för global säker åtkomst.
    • Administratören för villkorlig åtkomst för att skapa och interagera med principer för villkorsstyrd åtkomst.
  • Förhandsgranskningen kräver en Microsoft Entra ID P1-licens. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Kända begränsningar

  • Om du har aktiverat begränsningar för universella klientorganisationer och du har åtkomst till administrationscentret för Microsoft Entra för en av de tillåtna klientorganisationer som anges kan felet "Åtkomst nekad" visas. Lägg till följande funktionsflagga i administrationscentret för Microsoft Entra:
    • ?feature.msaljs=true&exp.msaljsexp=true
    • Du arbetar till exempel för Contoso och du har angett Fabrikam som en partnerklientorganisation. Du kan se felmeddelandet för Fabrikam-klientorganisationens Administrationscenter för Microsoft Entra.
      • Om du fick felmeddelandet "åtkomst nekad" för den här URL:en lägger https://entra.microsoft.com/ du till funktionsflaggan på följande sätt: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Konfigurera klientbegränsningar v2-princip

Innan en organisation kan använda universella klientbegränsningar måste de konfigurera både standardbegränsningar för klientorganisationer och klientbegränsningar för specifika partner.

Mer information om hur du konfigurerar dessa principer finns i artikeln Konfigurera klientbegränsningar V2 (förhandsversion).

Skärmbild som visar en princip för begränsning av klientorganisation i portalen.

Aktivera taggning för klientbegränsningar v2

När du har skapat principerna för klientbegränsning v2 kan du använda Global säker åtkomst för att tillämpa taggning för klientbegränsningar v2. En administratör med både rollen Global administratör för säker åtkomst och säkerhetsadministratör måste vidta följande steg för att aktivera tillämpning med global säker åtkomst.

  1. Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.
  2. Bläddra till Globala begränsningar för global Inställningar>> Sessionshanteringsklient.>
  3. Välj växlingsknappen Aktivera taggning för att framtvinga begränsningar för klientorganisation i nätverket.
  4. Välj Spara.

Skärmbild som visar växlingsknappen för att aktivera taggning.

Prova begränsningar för universell klientorganisation med SharePoint Online.

Den här funktionen fungerar på samma sätt för Exchange Online och Microsoft Graph i följande exempel som vi förklarar hur du ser den i praktiken i din egen miljö.

Prova autentiseringssökvägen:

  1. Med universella klientbegränsningar inaktiverade i globala inställningar för global säker åtkomst.
  2. Gå till SharePoint Online, https://yourcompanyname.sharepoint.com/, med en extern identitet som inte är tillåten i en princip för klientbegränsningar v2.
    1. Till exempel en Fabrikam-användare i Fabrikam-klientorganisationen.
    2. Fabrikam-användaren bör kunna komma åt SharePoint Online.
  3. Aktivera begränsningar för universell klientorganisation.
  4. Som slutanvändare går du till SharePoint Online med en extern identitet som inte uttryckligen har angetts som tillåten när den globala säkra åtkomstklienten körs.
    1. Till exempel en Fabrikam-användare i Fabrikam-klientorganisationen.
    2. Fabrikam-användaren bör blockeras från att komma åt SharePoint Online med ett felmeddelande som säger:
      1. Åtkomsten blockeras, Contosos IT-avdelning har begränsat vilka organisationer som kan nås. Kontakta Contoso IT-avdelningen för att få åtkomst.

Prova datasökvägen

  1. Med universella klientbegränsningar inaktiverade i globala inställningar för global säker åtkomst.
  2. Gå till SharePoint Online, https://yourcompanyname.sharepoint.com/, med en extern identitet som inte är tillåten i en princip för klientbegränsningar v2.
    1. Till exempel en Fabrikam-användare i Fabrikam-klientorganisationen.
    2. Fabrikam-användaren bör kunna komma åt SharePoint Online.
  3. I samma webbläsare med SharePoint Online öppet går du till Utvecklarverktyg eller trycker på F12 på tangentbordet. Börja samla in nätverksloggarna. Du bör se Status 200 när allt fungerar som förväntat.
  4. Kontrollera att alternativet Bevara logg är markerat innan du fortsätter.
  5. Håll webbläsarfönstret öppet med loggarna.
  6. Aktivera begränsningar för universell klientorganisation.
  7. Som Fabrikam-användare, i webbläsaren med SharePoint Online öppen, inom några minuter, visas nya loggar. Webbläsaren kan också uppdatera sig själv baserat på begäran och svar som sker i serverdelen. Om webbläsaren inte uppdateras automatiskt efter ett par minuter trycker du på uppdatera i webbläsaren med SharePoint Online öppet.
    1. Fabrikam-användaren ser att deras åtkomst nu är blockerad och säger:
      1. Åtkomsten blockeras, Contosos IT-avdelning har begränsat vilka organisationer som kan nås. Kontakta Contoso IT-avdelningen för att få åtkomst.
  8. Leta efter statusen 302 i loggarna. Den här raden visar universella klientbegränsningar som tillämpas på trafiken.
    1. I samma svar kontrollerar du rubrikerna för följande information som identifierar att universella klientbegränsningar tillämpades:
      1. Restrict-Access-Confirm: 1
      2. x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"

Användningsvillkor

Din användning av Microsoft Entra privatåtkomst och Microsoft Entra internetåtkomst förhandsversionsupplevelser och funktioner styrs av förhandsversionen av onlinetjänstens villkor för de avtal där du fick tjänsterna. Förhandsversioner kan omfattas av begränsade eller olika säkerhets-, efterlevnads- och sekretessåtaganden, vilket beskrivs ytterligare i de universella licensvillkoren för onlinetjänster och Microsoft Products and Services Data Protection Addendum ("DPA") och eventuella andra meddelanden som tillhandahålls med förhandsversionen.

Nästa steg

Nästa steg för att komma igång med Microsoft Entra internetåtkomst är att aktivera förbättrad global säker åtkomstsignal.

Mer information om principer för villkorlig åtkomst för global säker åtkomst (förhandsversion) finns i följande artiklar: