Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Universella klientbegränsningar förbättrar funktionaliteten hos klientbegränsningar v2. De använder Global Secure Access för att tagga all trafik, oavsett operativsystem, webbläsare eller enhetens formfaktor. De tillåter stöd för både klient- och fjärrnätverksanslutning.
Administratörer behöver inte längre hantera proxyserverkonfigurationer eller komplexa nätverkskonfigurationer. De kan tillämpa klientbegränsningar v2 på valfri plattform med hjälp av Global Secure Access-klienten eller fjärrnätverk.
När du aktiverar universella klientbegränsningar lägger Global Säker åtkomst till principinformation för klientbegränsningar v2 till autentiseringsplanets nätverkstrafik. Den här trafiken kommer från Microsoft Entra ID och Microsoft Graph. Därför får användare som använder enheter och nätverk i din organisation endast använda auktoriserade externa klienter. Den här begränsningen hjälper till att förhindra dataexfiltrering för alla program som är integrerade med din Microsoft Entra ID-klient via enkel inloggning (SSO).
Följande diagram visar de steg som en exempelorganisation vidtar för att skydda mot skadliga användare med hjälp av klientbegränsningar v2.
| Steg | Beskrivning |
|---|---|
| 1 | Contoso konfigurerar en policy för klientbegränsningar v2 i inställningarna för åtkomst mellan klienter för att blockera alla externa konton och externa appar. Contoso tillämpar principen med hjälp av global säker åtkomst och universella klientbegränsningar. |
| 2 | En användare med en Contoso-hanterad enhet försöker komma åt en Microsoft Entra-integrerad app med en osanktionerad extern identitet. |
| 3 | Skydd för autentiseringsplanet: Med Microsoft Entra ID blockerar Contosos policy osanktionerade externa konton från att komma åt externa tenanter. Om en Microsoft Graph-token hämtas via en annan enhet och förs in i miljön inom dess livslängd kan denna token inte spelas upp från de enheter som har Global Secure Access-klienten eller via fjärrnätverk. |
| 4 | Dataskydd: Om en Microsoft Graph-token hämtas via en annan enhet och förs in i miljön inom dess livslängd kan denna token inte spelas upp från de enheter som har Global Secure Access-klienten eller via fjärrnätverk. |
Begränsningar för universella klienter hjälper till att förhindra dataexfiltrering mellan webbläsare, enheter och nätverk på följande vis:
- De gör det möjligt för Microsoft Entra-ID, Microsoft-konton och Microsoft-program att söka efter och tillämpa principen för associerade klientbegränsningar v2. Den här kontrollen möjliggör konsekvent policytillämpning.
- De arbetar med alla Microsoft Entra-integrerade appar från tredje part på autentiseringsplanet under inloggningen.
- De hjälper till att skydda Microsoft Graph.
Verkställighetsplatser för universella hyresgästbegränsningar
Autentiseringsplan (Microsoft Entra-ID)
Efterlevnad av autentiseringsplanen sker vid Microsoft Entra ID eller Microsoft-kontoautentisering.
När användaren är ansluten till Global Secure Access-klienten eller via fjärrnätverksanslutning kontrolleras principen för hyresgästbegränsningar v2 för att avgöra om autentisering ska tillåtas. Om användaren loggar in på organisationens klientorganisation tillämpas inte principen för klientbegränsningar v2. Om användaren loggar in på en annan klientorganisation tillämpas principen.
Alla program som är integrerade med Microsoft Entra-ID eller som använder ett Microsoft-konto för autentisering stöder universella klientbegränsningar på autentiseringsplanet.
Dataplan (Microsoft Graph)
Policysäkerställande i dataplanet stöds för närvarande för Microsoft Graph. Skydd av dataplanket säkerställer att importerade autentiseringsartefakter inte kan återanvändas från organisationens enheter för att exfiltrera data. Ett exempel på en sådan artefakt är en åtkomsttoken som erhålls på en annan enhet och kringgår autentiseringspolicyer som definierats i din policy för hyresgästanpassningar v2.
Förutsättningar
- Administratörer som interagerar med funktioner för global säker åtkomst måste ha rollen Global administratör för säker åtkomst för att hantera dessa funktioner.
- Global säker åtkomst kräver en licens. Mer information finns i Licensieringsöversikt. Om du inte redan har en licens kan du köpa en licens eller skaffa en utvärderingslicens.
- Du måste aktivera en Microsoft-trafikprofil. Fullständigt kvalificerade domännamn (FQDN) och IP-adresser för tjänster som ska ha universella klientbegränsningar måste anges till tunnelläge.
- Du måste distribuera globala klienter för säker åtkomst eller konfigurera fjärrnätverksanslutning.
Konfigurera principen för klientbegränsningar v2
Innan du kan använda universella klientbegränsningar måste du konfigurera både standardbegränsningarna för klientorganisationen och klientbegränsningarna för specifika partner.
Mer information om hur du konfigurerar dessa principer finns i Konfigurera klientbegränsningar v2.
Aktivera global signal om säker åtkomst för klientbegränsningar
När du har skapat principerna för klientbegränsning v2 kan du använda Global säker åtkomst för att tillämpa taggning för klientbegränsningar v2. En administratör som har både rollen Global administratör för säker åtkomst och säkerhetsadministratör måste vidta följande steg för att aktivera tvingande med global säker åtkomst:
Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.
Bläddra till Global Secure Access>Inställningar>Sessionshantering>Universella hyresgästbegränsningar.
Slå på växlingsreglaget Aktivera klientbegränsningar för Entra-ID (som omfattar alla molnappar).
Prova universella hyresgästbegränsningar
Klientbegränsningar tillämpas inte när en användare (eller en gästanvändare) försöker komma åt resurser i klientorganisationen där principerna har konfigurerats. Klientbegränsningar v2-principer bearbetas endast när en identitet från en annan klient försöker logga in eller komma åt resurser.
Om du till exempel konfigurerar en princip för klientbegränsningar v2 i klientorganisationen contoso.com blockera alla organisationer utom fabrikam.com gäller principen enligt den här tabellen:
| Användare | Typ | Hyresgäst | Hyresgästbegränsningar v2-policy bearbetas? | Tillåten autentiserad åtkomst? | Tillåten anonym åtkomst? |
|---|---|---|---|---|---|
alice@contoso.com |
Medlem | contoso.com | Nej (samma klientorganisation) | Ja | Nej |
alice@fabrikam.com |
Medlem | fabrikam.com | Ja | Ja (hyresgäst tillåten enligt policyn) | Nej |
bob@northwindtraders.com |
Medlem | northwindtraders.com | Ja | Nej (hyresgäst tillåts inte enligt policy) | Nej |
alice@contoso.com |
Medlem | contoso.com | Nej (samma klientorganisation) | Ja | Nej |
bob_northwindtraders.com#EXT#@contoso.com |
Gäst | contoso.com | Nej (gästanvändare) | Ja | Nej |
Verifiera autentiseringsplanets skydd
Se till att signalering för universella klientbegränsningar är inaktiverad i inställningarna för global säker åtkomst.
Gå till portalen Mina appar i en webbläsare. Logga in med identiteten från en klientorganisation som skiljer sig från din egen och som inte finns på tillåtelselistan i en policy för klientbegränsningar v2. Du kan behöva använda ett privat webbläsarfönster och/eller logga ut från ditt primära konto för att utföra det här steget.
Om din klientorganisation till exempel är Contoso loggar du in som Fabrikam-användare i Fabrikam-klientorganisationen. Fabrikam-användaren bör kunna komma åt portalen Mina appar eftersom signaler för universella klientbegränsningar är inaktiverade i Global säker åtkomst.
Aktivera universella klientbegränsningar i administrationscentret för Microsoft Entra. Gå till Global Secure Access>Session Management>Universal Tenant Restrictions, och aktivera sedan växlingsknappen Aktivera klientbegränsningar för Entra ID (som omfattar alla molnappar).
Logga ut från portalen Mina appar och starta om webbläsaren.
När Global Secure Access-klienten körs går du till portalen Mina appar med samma identitet (i föregående exempel fabrikam-användaren i Fabrikam-klientorganisationen).
Du bör blockeras från att autentisera till portalen Mina appar. Ett felmeddelande som det här bör visas: "Åtkomsten är blockerad. Contosos IT-avdelning har begränsat vilka organisationer som kan nås. Kontakta Contosos IT-avdelning för att få åtkomst."
Verifiera skyddet för dataplanet
Se till att signalering i universella klientbegränsningar är inaktiverad i inställningarna för global säker åtkomst.
I en webbläsare går du till Graph Explorer. Logga in med identiteten från en klientorganisation som skiljer sig från din egen och som inte finns på tillåtelselistan i en policy för klientbegränsningar v2. Om du vill utföra det här steget kan du behöva använda ett privat webbläsarfönster och/eller logga ut från ditt primära konto.
Om din klientorganisation till exempel är Contoso loggar du in som Fabrikam-användare i Fabrikam-klientorganisationen. Fabrikam-användaren bör kunna komma åt Graph Explorer eftersom signalering i klientbegränsningar v2 är inaktiverad i Global säker åtkomst.
Du kan också öppna Utvecklarverktyg i samma webbläsare med Graph Explorer öppna genom att välja F12 på tangentbordet. Börja samla in nätverksloggarna.
Du bör se HTTP-begäranden som returnerar status
200när du interagerar med Graph Explorer när allt fungerar som förväntat. Skicka till exempel enGETbegäran om att hämta användare i din klientorganisation.Kontrollera att alternativet Bevara logg är markerat.
Håll webbläsarfönstret öppet med loggarna.
Aktivera universella klientbegränsningar i administrationscentret för Microsoft Entra. Gå till Global Secure Access>Session Management>Universal Tenant Restrictions, och aktivera sedan växlingsknappen Aktivera klientbegränsningar för Entra ID (som omfattar alla molnappar).
När du är inloggad som den andra användaren (Fabrikam-användaren i föregående exempel) visas nya loggar i webbläsaren med Graph Explorer öppna. Processen kan ta några minuter. Dessutom kan webbläsaren uppdatera sig själv, baserat på begäran och svar som sker i serverdelen. Om webbläsaren inte uppdateras efter ett par minuter uppdaterar du sidan.
Din åtkomst blockeras nu med det här meddelandet: "Åtkomsten är blockerad. Contosos IT-avdelning har begränsat vilka organisationer som kan nås. Kontakta Contosos IT-avdelning för att få åtkomst."
I loggarna, leta efter ett
Statusvärde på302. Den här raden visar generella hyresgästbegränsningar som tillämpas på trafiken.I samma svar kontrollerar du rubrikerna för följande information för att bekräfta att universella klientbegränsningar har tillämpats:
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requires";error_category="insufficient_claims"
Kända begränsningar
Om du har aktiverat begränsningar för universella klientorganisationer och du har åtkomst till administrationscentret för Microsoft Entra för en klientorganisation på listan över klientbegränsningar v2, kan du få felet "Åtkomst nekad". Åtgärda det här felet genom att lägga till följande funktionsflagga i administrationscentret för Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true.
Anta till exempel att du arbetar för Contoso. Fabrikam, en partnertenant, finns på tillåtelselistan. Du kan få ett felmeddelande i Microsoft Entras administrationscenter för Fabrikams klientorganisation.
Om du fick felmeddelandet "Åtkomst nekad" för URL:en https://entra.microsoft.com/lägger du till funktionsflaggan på följande sätt: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home.
Detaljerad information om kända problem och begränsningar finns i Kända begränsningar för global säker åtkomst.