Настройка ограничений клиента версии 2

Применяется к: Клиенты рабочей силы (дополнительные сведения)

Чтобы повысить безопасность, можно ограничить доступ пользователей при использовании внешней учетной записи для входа из сетей или устройств. Параметры ограничений клиента , включенные в параметры доступа между клиентами, позволяют создать политику для управления доступом к внешним приложениям.

Например, предположим, что пользователь в вашей организации создал отдельную учетную запись в неизвестном арендаторе, или внешняя организация дала вашему пользователю учетную запись, которая позволяет ему войти в эту организацию. Ограничения клиентов можно использовать для предотвращения использования пользователем некоторых или всех внешних приложений во время входа с внешней учетной записью в сети или устройствах.

На следующей схеме показаны шаги, которые предпринимает пример организации для предотвращения доступа пользователей с помощью ограничений клиента версии 2.

Ограничения арендатора версии 2 предоставляют варианты для обоих типов защиты.

• Защита уровня аутентификации относится к использованию политики ограничений клиента версии 2 для блокировки входа пользователей с внешними удостоверениями. Например, можно предотвратить утечку данных инсайдером через внешнюю электронную почту, не позволяя злоумышленнику войти в его вредоносную учетную запись. В общем доступна защита механизма аутентификации в ограничениях пользователей версии 2.

• Защита плоскости данных относится к предотвращению атак, которые обходят проверку подлинности. Например, злоумышленник может попытаться разрешить доступ к приложениям вредоносного клиента путем анонимного присоединения к собранию Teams или анонимного доступа к файлам SharePoint. Или злоумышленник может скопировать токен доступа с устройства в вредоносном клиенте и импортировать его на устройство вашей организации. Защита плоскости данных в ограничениях клиента версии 2 заставляет пользователя проходить проверку подлинности при попытках доступа к ресурсу. Защита канала данных блокирует доступ, если проверка подлинности не прошла.

Ограничения клиента версии 1 обеспечивают защиту плоскости проверки подлинности через список разрешений клиента, настроенный на корпоративном прокси-сервере. Ограничения арендатора версии 2 предоставляют возможности для гранулированной аутентификации и защиты уровня данных с корпоративным прокси-сервером или без него. Если вы используете корпоративный прокси для внедрения заголовков, параметры ограничиваются только защитой уровня аутентификации.

Обзор ограничений арендатора версии 2

В параметрах доступа между клиентами организации можно настроить политику ограничений клиента версии 2. После создания политики в организации можно применить политику тремя способами:

• Универсальные ограничения для арендаторов. Этот параметр обеспечивает защиту плоскости аутентификации без корпоративного прокси-сервера. Ограничения универсального клиента используют глобальный безопасный доступ для маркировки всего трафика независимо от форм-фактора операционной системы, браузера или устройства. Этот параметр позволяет поддерживать как клиентские, так и удаленные сетевые подключения.
• Механизм проверки подлинности. Вы можете развернуть корпоративный прокси-сервер в организации и настроить прокси-сервер для установки ограничений клиента версии 2 на весь трафик на идентификатор Microsoft Entra и учетные записи Майкрософт.
• Окна. Для корпоративных устройств Windows вы можете обеспечить защиту как уровня проверки подлинности, так и уровня данных, применяя ограничения арендаторов прямо на устройствах. Ограничения арендатора применяются при доступе к ресурсам для обеспечения покрытия канала передачи данных и защиты от проникновения токенов. Корпоративный прокси-сервер не требуется для применения политик. Устройства могут быть управляемыми идентификаторами Microsoft Entra, или они могут быть присоединены к домену и управляться с помощью групповой политики.

Поддерживаемые сценарии

Ограничения клиента версии 2 можно ограничить определенными пользователями, группами, организациями или внешними приложениями. Приложения, созданные на основе сетевого стека операционной системы Windows, защищены. Поддерживаются следующие сценарии:

• Все приложения Office (все версии и каналы выпуска)
• Приложения универсальной платформы Windows (UWP) .NET
• Защита уровня проверки подлинности для всех приложений, прошедших проверку подлинности с помощью идентификатора Microsoft Entra ID, включая все приложения Майкрософт и любые партнерские приложения, использующие идентификатор Microsoft Entra для проверки подлинности
• Защита плоскости данных для SharePoint Online, Exchange Online и Microsoft Graph
• Защита анонимного доступа для Форм, SharePoint Online, OneDrive и Teams (с настроенными элементами управления федерацией)
• Защита аутентификации и уровня управления данными для корпоративных клиентов или потребителей учетных записей Microsoft.
• При использовании универсальных ограничений клиента в глобальном безопасном доступе все браузеры и платформы
• При использовании групповой политики Windows Microsoft Edge и всех веб-сайтов, открываемых в Microsoft Edge
• Сценарии с проверкой подлинности на основе устройств (включая пользовательские приложения, интегрированные с Microsoft Graph)
• Принудительное применение Ограничений арендатора версии 2 (TRv2) в Azure ExpressRoute при наличии заголовка TRv2.
  • Заголовки TRv2 автоматически добавляются при использовании универсального TRv2 через GSA или объекты групповой политики Windows для передачи сигналов на стороне клиента. Этот подход поддерживает как проверку подлинности, так и защиту плоскости данных.
  • Для сигнализации на основе прокси заголовки внедряются только в защиту плоскости аутентификации и не применяются к плоскости данных. ExpressRoute работает на сетевом уровне и не завершает сеанс TLS и не проверяет HTTP-трафик, а внедрение заголовка требует перехвата TLS и обработки на уровне приложений, что должно выполняться на прокси-сервере или брандмауэре, прежде чем трафик попадет в ExpressRoute. Если заголовки Trv2 не добавляются в запрос, TRv2 не будет применяться.

Неподдерживаемые сценарии

• Анонимная блокировка учетных записей OneDrive для потребителей. Это ограничение можно обойти на уровне прокси-сервера, блокируя https://onedrive.live.com/.
• Когда пользователь обращается к партнерскому приложению, например Slack, с помощью анонимной ссылки или учетной записи, отличной от Майкрософт.
• Когда пользователь копирует маркер, выданный идентификатором Microsoft Entra, с домашнего компьютера на рабочий компьютер и использует его для доступа к стороннему приложению, например Slack.
• Ограничения клиента для пользователей для учетных записей Майкрософт.

Сравнение ограничений клиента версии 1 и версии 2

В следующей таблице сравниваются функции в каждой версии.

Перенос политик ограничений арендатора версии 1 на версию 2 на прокси-сервере

Перенос политик ограничений клиента из версии 1 в версию 2 — это однократная операция. После миграции изменения на стороне клиента не требуются. Вы можете внести любые последующие изменения политики на стороне сервера через Центр администрирования Microsoft Entra.

При включении ограничений клиента версии 2 на прокси-сервере можно применять ограничения клиента версии 2 только на плоскости проверки подлинности. Чтобы включить ограничения арендатора версии 2 как для проверки подлинности, так и для плоскостей данных, необходимо включить сигнализацию на стороне клиента для ограничений арендатора версии 2 с помощью объекта групповой политики Windows (GPO).

Шаг 1. Настройка разрешенного списка клиентов партнеров

Ограничения для арендаторов версии 1 позволяют создать список разрешенных идентификаторов арендаторов и (или) точек входа для входа в систему Microsoft, чтобы пользователи могли получать доступ к внешним арендаторам, которые авторизованы вашей организацией. Ограничения арендатора версии 1 достигли разрешенного списка путем добавления заголовка Restrict-Access-To-Tenants: <allowed-tenant-list> на прокси. Например: Restrict-Access-To-Tenants: "contoso.com, fabrikam.com, northwindtraders.com". Узнайте больше об ограничениях для арендаторов версии 1.

С ограничениями клиента версии 2 конфигурация перемещается в политику облака на стороне сервера. Нет необходимости в ограничениях клиента версии 1, поэтому удалите этот заголовок из корпоративного прокси-сервера. Для каждого клиента в заголовке allowed-tenant-list создайте политику клиента партнера. Следуйте этим рекомендациям:

• Сохраните политику ограничений арендатора версии 2 по умолчанию, которая запрещает доступ всех внешних арендаторов с помощью внешних удостоверений (например, user@<externaltenant>.com).
• Создайте политику клиента партнера для каждого клиента, указанного в списке разрешений клиента версии 1, выполнив действия, описанные на шаге 2. Настройка ограничений клиента версии 2 для конкретных партнеров далее в этой статье.
• Разрешить доступ только определенным пользователям к определенным приложениям. Эта конструкция повышает уровень безопасности, ограничивая доступ только к необходимым пользователям.

Шаг 2. Блокировка учетных записей потребителей или клиентов учетных записей Майкрософт

Чтобы пользователи не могли входить в потребительские приложения, ограничения арендатора версии 1 требуют внедрения заголовка sec-Restrict-Tenant-Access-Policy в трафик, который проходит через login.live.com, например sec-Restrict-Tenant-Access-Policy: restrict-msa.

С ограничениями клиента версии 2 конфигурация перемещается в политику облака на стороне сервера. Нет необходимости в заголовке ограничений арендатора версии 1. На корпоративном прокси-сервере удалите заголовок ограничений арендатора версии 1 sec-Restrict-Tenant-Access-Policy: restrict-msa.

Создайте политику клиента партнера для клиента учетной записи Майкрософт, выполнив шаг 2. Настройка ограничений клиента версии 2 для конкретных партнеров далее в этой статье. Поскольку назначение на уровне пользователя недоступно для клиентов учетных записей Майкрософт, политика применяется ко всем пользователям учетных записей Майкрософт. Однако степень детализации на уровне приложения доступна. Следует ограничить доступ учетных записей Майкрософт или потребительских учетных записей только к необходимым приложениям.

Шаг 3. Включение ограничений клиента версии 2 на корпоративном прокси-сервере

Корпоративный прокси-сервер можно настроить для клиентского тегирования заголовка ограничений арендатора версии 2 с помощью следующего параметра корпоративного прокси: sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>.

В этом параметре замените <DirectoryID> на идентификатор клиента Microsoft Entra. Замените <policyGUID> идентификатором объекта для политики доступа между клиентами.

Ограничения арендатора и параметры для входящих и исходящих подключений

Хотя ограничения клиента настраиваются вместе с параметрами доступа между клиентами, они работают отдельно от параметров входящего и исходящего доступа. Параметры доступа между клиентами обеспечивают контроль при входе пользователей с учетной записью из вашей организации. В отличие от этого, ограничения клиентов позволяют контролировать использование внешней учетной записи пользователями. Параметры входящего и исходящего трафика для совместной работы B2B и прямых подключений B2B не влияют (и не зависят) от настроек ограничений арендатора.

Думайте о параметрах доступа следующим образом:

• Настройки входящего трафика управляют доступом внешних учетных записей к вашим внутренним приложениям.
• Параметры исходящего трафика управляют доступом внутренней учетной записи к внешним приложениям.
• Ограничения клиента управляют доступом внешней учетной записи к внешним приложениям.

Ограничения арендатора и совместная работа B2B

Когда пользователям требуется доступ к внешним организациям и приложениям, рекомендуется включить ограничения клиентов для блокировки внешних учетных записей и использования совместной работы B2B. Совместная работа B2B обеспечивает следующие возможности:

• Используйте условный доступ и принудительно выполните многофакторную проверку подлинности для пользователей совместной работы B2B.
• Управление входящим и исходящим доступом.
• Прекращайте сеансы и аннулируйте учетные данные, если изменяется статус занятости пользователя сотрудничества B2B или если их учетные данные скомпрометированы.
• Используйте журналы входа для просмотра сведений о пользователях совместной работы B2B.

Предварительные условия

Чтобы настроить ограничения клиента, вам потребуется:

• Microsoft Entra ID P1 или P2.
• Учетная запись с ролью по крайней мере администратора безопасности для настройки политики ограничений клиента версии 2.
• Для конфигурации групповой политики Windows устройства Под управлением Windows 10 или Windows 11 с последними обновлениями.

Настройка серверной облачной политики для ограничений клиента версии 2

Шаг 1. Настройка ограничений клиента по умолчанию

Параметры ограничений клиента версии 2 находятся в Центре администрирования Microsoft Entra в параметрах доступа между клиентами. Сначала настройте ограничения клиента по умолчанию, которые необходимо применить ко всем пользователям, группам, приложениям и организациям. Если вам нужны конфигурации для конкретного партнера, можно добавить организацию партнера и настроить все параметры, отличающиеся от стандартных значений.

Чтобы настроить ограничения клиента по умолчанию, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к Entra ID>внешние удостоверения>настройкам доступа между арендаторами.

3. Перейдите на вкладку "Параметры по умолчанию ".

   

4. Прокрутите страницу до раздела ограничений клиента .

5. Выберите ссылку "Изменить ограничения клиента" по умолчанию .

   

6. Если политика по умолчанию еще не существует в клиенте, ссылка "Создать политику" отображается рядом с идентификатором политики. Нажмите эту ссылку.

   

7. В области ограничений клиента отображаются значения идентификатора клиента и значения идентификатора политики для ограничений клиента. Используйте значки копирования для копирования обоих этих значений. Они будут использоваться позже при настройке клиентов Windows для включения ограничений клиента.

   

8. Перейдите на вкладку "Внешние пользователи и группы ". В разделе "Состояние Access" выберите один из следующих вариантов:

   • Разрешить доступ: позволяет всем пользователям, вошедшим в систему с помощью внешних учетных записей, получать доступ к внешним приложениям (указано на вкладке "Внешние приложения ").
   • Блокировка доступа. Блокирует доступ всех пользователей, вошедших в систему с помощью внешних учетных записей, доступ к внешним приложениям (указанный на вкладке "Внешние приложения ").

   

   Примечание.

   Параметры по умолчанию не могут быть ограничены отдельными учетными записями или группами, поэтому применяется к всегда равным всем <пользователям и группам клиента>. Помните, что если вы блокируете доступ для всех пользователей и групп, необходимо также заблокировать доступ ко всем внешним приложениям (на вкладке "Внешние приложения ").

9. Перейдите на вкладку "Внешние приложения ". В разделе "Состояние Access" выберите один из следующих вариантов:

   • Разрешить доступ: позволяет всем пользователям, вошедшим в систему с помощью внешних учетных записей, получать доступ к приложениям, указанным в разделе "Область применения ".
   • Блокировка доступа. Блокирует доступ всех пользователей, вошедших в систему с помощью внешних учетных записей, доступ к приложениям, указанным в разделе "Область применения ".

   

10. В разделе "Область применения" выберите один из следующих параметров:

    • Все внешние приложения: применяет действие, выбранное в разделе "Доступ" ко всем внешним приложениям. Если вы блокируете доступ ко всем внешним приложениям, необходимо также заблокировать доступ для всех пользователей и групп (на вкладке "Внешние пользователи и группы ").

    • Выберите внешние приложения: позволяет выбрать внешние приложения, к которым нужно применить действие в состоянии Access .

      Чтобы выбрать приложения, выберите "Добавить приложения Майкрософт " или "Добавить другие приложения". Затем выполните поиск по имени приложения или идентификатору приложения (идентификатору клиентского приложения или идентификатору приложения ресурса) и выберите это приложение. (См. список идентификаторов для часто используемых приложений Майкрософт.) Если вы хотите добавить дополнительные приложения, нажмите кнопку "Добавить ". По завершении нажмите кнопку "Отправить".

    

11. Нажмите кнопку "Сохранить".

Шаг 2. Настройка ограничений клиента версии 2 для конкретных партнеров

Предположим, что вы используете ограничения клиента для блокировки доступа по умолчанию, но вы хотите разрешить пользователям доступ к определенным приложениям с помощью собственных внешних учетных записей. Например, вы хотите, чтобы пользователи могли получать доступ к Microsoft Learn с помощью собственных учетных записей Майкрософт. Инструкции в этом разделе описывают, как добавить параметры, относящиеся к организации, которые имеют приоритет над параметрами по умолчанию.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности или администратор условного доступа.

2. Перейдите к Entra ID>внешние удостоверения>настройкам доступа между арендаторами.

3. Выберите параметры организации.

   Примечание.

   Если организация, которую вы хотите добавить, уже добавлена в список, можно пропустить его добавление и перейти непосредственно к изменению параметров.

4. Выберите "Добавить организацию".

5. В области "Добавление организации " введите полное доменное имя (или идентификатор клиента) для организации.

   Например, выполните поиск по следующему идентификатору клиента для учетной записи Майкрософт:

   9188040d-6c67-4c5b-b112-36a304b66dad
   

   

6. Выберите организацию в результатах поиска и нажмите кнопку "Добавить".

7. Измените параметры. Найдите организацию в списке параметров организации и прокрутите по горизонтали, чтобы просмотреть столбец ограничений клиента . На этом этапе все параметры ограничений арендатора для этой организации наследуются от параметров по умолчанию. Чтобы изменить параметры для этой организации, выберите ссылку «Унаследовано от стандартных настроек».

   

8. Появится область ограничений арендатора в организации. Скопируйте значения для идентификатора клиента и идентификатора политики. Они будут использоваться позже при настройке клиентов Windows для включения ограничений клиента.

   

9. Выберите "Настройка параметров" и перейдите на вкладку "Внешние пользователи и группы ". В разделе "Состояние Access" выберите параметр:

   • Разрешить доступ: позволяет пользователям и группам, указанным в разделе "Область применения ", которые вошли с помощью внешних учетных записей для доступа к внешним приложениям (указано на вкладке "Внешние приложения ").
   • Блокировка доступа: блокирует доступ пользователей и групп, указанных в разделе "Область применения ", для которых выполняется вход с помощью внешних учетных записей, доступ к внешним приложениям (указан на вкладке "Внешние приложения ").

   В примере учетных записей Майкрософт в этой статье мы выбираем "Разрешить доступ".

   

10. В разделе "Область применения" выберите "Все <пользователи и группы организации>".

    

    Примечание.

    Степень детализации пользователей не поддерживается в учетных записях Майкрософт, поэтому возможность выбора <> пользователей и групп организации недоступна. Для других организаций можно выбрать выбор <пользователей и групп организации>, а затем выполнить следующие действия:

    1. Выберите "Добавить внешних пользователей и группы".
    2. В области "Добавление внешнего пользователя или группы" введите идентификатор объекта пользователя или группы, которую вы хотите добавить.
    3. В правом раскрывающемся списке выберите, является ли он пользователем или группой.
    4. Если вы хотите добавить дополнительные сведения, нажмите кнопку "Добавить " и повторите эти действия. После ввода пользователей и групп, которые вы хотите добавить, нажмите кнопку "Отправить".

11. Перейдите на вкладку "Внешние приложения ". В разделе "Состояние Access" выберите, следует ли разрешать или блокировать доступ к внешним приложениям:

    • Разрешить доступ: позволяет пользователям получать доступ к внешним приложениям, указанным в разделе "Применимо" , когда пользователи используют внешние учетные записи.
    • Блокировка доступа. Блокирует доступ пользователей к внешним приложениям, указанным в разделе "Применимо", когда пользователи используют внешние учетные записи.

    В примере учетных записей Майкрософт в этой статье мы выбираем "Разрешить доступ".

    

12. В разделе "Область применения" выберите один из следующих параметров:

    • Все внешние приложения: применяет действие, выбранное в разделе "Доступ" ко всем внешним приложениям.
    • Выберите внешние приложения: применяет действие, выбранное в разделе "Доступ" ко всем внешним приложениям.

    В примере учетных записей Майкрософт в этой статье мы выбираем "Выбрать внешние приложения".

    Примечание.

    Если вы блокируете доступ ко всем внешним приложениям, необходимо также заблокировать доступ для всех пользователей и групп (на вкладке "Внешние пользователи и группы ").

    

13. Если вы выбрали выбор внешних приложений, сделайте следующее:

    1. Выберите "Добавить приложения Майкрософт" или "Добавить другие приложения". В примере Microsoft Learn в этой статье мы выбираем "Добавить другие приложения".
    2. В поле поиска введите имя приложения или идентификатор приложения ( идентификатор клиентского приложения или идентификатор приложения ресурса). (См. список идентификаторов для часто используемых приложений Майкрософт.) В примере Microsoft Learn в этой статье мы введем идентификатор 18fbca16-2224-45f6-85b0-f7bf2b39b3f3приложения.
    3. Выберите приложение в результатах поиска и нажмите кнопку "Добавить".
    4. Повторите предыдущие шаги для каждого приложения, которое необходимо добавить.
    5. После завершения выбора приложений нажмите кнопку "Отправить".

    

14. Выбранные приложения отображаются на вкладке "Внешние приложения ". Нажмите кнопку "Сохранить".

    

Настройка ограничений арендатора версии 2 на стороне клиента.

Существует три варианта применения ограничений для арендаторов версии 2:

• Используйте универсальные ограничения арендатора версии 2 в составе Microsoft Entra Global Secure Access
• Настройка ограничений клиента версии 2 на корпоративном прокси-сервере
• Включение ограничений клиента на управляемых Windows устройствах (предварительная версия)

Вариант 1. Использование универсальных ограничений клиента версии 2 в составе Microsoft Entra Global Secure Access

Ограничения универсального клиента версии 2 в рамках Microsoft Entra Global Secure Access обеспечивают защиту уровня проверки подлинности для всех устройств и платформ.

Вариант 2. Настройка ограничений клиента версии 2 на корпоративном прокси-сервере

Чтобы убедиться, что входы ограничены на всех устройствах и приложениях в корпоративной сети, настройте корпоративный прокси-сервер для принудительного применения ограничений клиента версии 2. Хотя настройка ограничений клиента на корпоративном прокси-сервере не обеспечивает защиту плоскости данных, она обеспечивает защиту плоскости проверки подлинности.

1. Настройте заголовок ограничений тенанта v2 следующим образом:

   Имя заголовка	Значение заголовка	Примерное значение
   sec-Restrict-Tenant-Access-Policy	<TenantId>:<policyGuid>	aaaabbbb-0000-cccc-1111-dddd2222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5

   • TenantID — это идентификатор клиента Microsoft Entra. Найдите это значение, войдите в Центр администрирования Microsoft Entra и перейдите к Entra ID>Обзор>Свойства.
   • policyGUID — это идентификатор объекта для политики доступа между клиентами. Найдите это значение путем вызова /crosstenantaccesspolicy/default и использования возвращаемого id поля.

2. На корпоративном прокси-сервере отправьте заголовок ограничений арендатора версии 2 в следующие домены для входа в систему Microsoft.

   • login.live.com
   • login.microsoft.com
   • login.microsoftonline.com
   • login.windows.net

   Этот заголовок применяет политику ограничений арендатора версии 2 для всех входов в вашей сети. Этот заголовок не блокирует анонимный доступ к собраниям Teams, файлам SharePoint или другим ресурсам, которые не требуют проверки подлинности.

Ограничения арендатора версии 2 без поддержки разрыва и проверки

Для платформ, не относящихся к Windows, вы можете анализировать трафик и добавлять параметры ограничений клиентов версии 2 в заголовок через прокси-сервер. Однако некоторые платформы не поддерживают разрыв и проверку, поэтому ограничения клиента версии 2 не работают. Для этих платформ следующие функции идентификатора Microsoft Entra могут обеспечить защиту:

• Условный доступ. Разрешить использование только управляемых или совместимых устройств
• Условный доступ. Управление доступом для гостевых или внешних пользователей
• Совместная работа B2B: Ограничение исходящих правил через межтенантный доступ для тех же тенантов, перечисленных в параметре Restrict-Access-To-Tenants
• Совместная работа B2B: Ограничьте приглашения для пользователей B2B на те же домены, которые перечислены в параметре "Ограничить-доступ-To-Tenants".
• Управление приложениями: ограничение согласия пользователей на приложения
• Intune: применение политики приложений через Intune для ограничения использования управляемых приложений только для UPN учетной записи, зарегистрированной на устройстве (в разделе «Разрешить только настроенные учетные записи организации в приложениях»)

Хотя эти альтернативные варианты обеспечивают защиту, некоторые сценарии можно охватывать только с помощью ограничений клиента. Примеры включают использование браузера для доступа к службам Microsoft 365 через Интернет вместо выделенного приложения.

Вариант 3. Включение ограничений клиента на управляемых Windows устройствах (предварительная версия)

После создания политики ограничений клиента версии 2 вы можете применить политику на каждом устройстве с Windows 10 или Windows 11, добавив идентификатор клиента и идентификатор политики в конфигурацию ограничений клиента устройства.

При включении ограничений клиента на устройстве Windows корпоративные прокси-серверы не требуются для применения политик. Устройства не обязательно должны быть управляемыми через Microsoft Entra ID для применения ограничений для клиента версии 2. Также поддерживаются присоединенные к домену устройства, управляемые с помощью групповой политики.

Использование групповой политики для развертывания ограничений клиента

Групповую политику можно использовать для развертывания конфигурации ограничений клиента на устройствах Windows. Дополнительные сведения см. в следующих ресурсах:

• Административные шаблоны для Обновления Windows 10 ноября 2021 г. (21H2)
• Справочник по отправной таблице параметров групповой политики для осеннего обновления Windows 10 ноября 2021 г. (21H2)

Проверка политики на устройстве

Чтобы протестировать политику ограничений клиента версии 2 на устройстве, выполните следующие действия.

1. На компьютере Windows выберите клавишу с логотипом Windows, введите gpedit, а затем выберите "Изменить групповую политику" (панель управления).

2. Перейдите к Конфигурации компьютера>Административные шаблоны>Компоненты Windows>Ограничения клиента.

3. Щелкните правой кнопкой мыши сведения о политике облака на правой панели и выберите пункт "Изменить".

4. Получите значения идентификатора клиента и идентификатора политики , записанные ранее (на шаге 7 в шаге 1. Настройка ограничений клиента по умолчанию) и введите их в следующих полях. Оставьте пустыми все другие поля.

   • Идентификатор каталога Microsoft Entra: введите значение Идентификатор клиента, которое было записано ранее, войдите в Центр администрирования Microsoft Entra и перейдите в Entra ID>Обзор>Свойства.

   • GUID политики: Идентификатор для вашей политики доступа между арендаторами. Это значение идентификатора политики , записанное ранее.

     

5. Нажмите кнопку "ОК".

Просмотр событий ограничений арендатора версии 2

Просмотр событий, связанных с ограничениями арендатора в Просмотре событий.

1. В средстве просмотра событий откройте журналы приложений и служб.
2. Перейдите в Microsoft>Windows>TenantRestrictions>Operations и найдите события.

Блокировать приложения Chrome, Firefox и .NET, такие как PowerShell

Чтобы заблокировать приложения, необходимо настроить управление приложениями для бизнеса в Windows (ранее — элемент управления приложениями Защитника Windows [WDAC]) и включить параметр брандмауэра Windows.

Настройка управления приложениями для бизнеса для управления доступом к ресурсам Майкрософт

Управление приложениями для бизнеса — это подсистема политик, встроенная в Windows, которая позволяет контролировать, какие приложения могут выполняться на устройствах пользователя. Для ограничений арендатора версии 2 необходимо использовать управление приложениями для бизнеса, чтобы блокировать необученные приложения (приложения, которые не поддерживают защиту ограничений арендатора версии 2) от доступа к ресурсам Microsoft. Это требование позволяет продолжать использовать браузеры и приложения вашего выбора, зная, что данные, защищенные Microsoft Entra, могут быть доступны только с помощью безопасных средств.

Незавершенные приложения не используют сетевой стек Windows, поэтому они не получают выгоду от ограничений клиента версии 2, добавленных в Windows. Они не могут отправлять сигнал в login.live.com для Microsoft Entra или в ресурсы Microsoft, которые указывают, что необходима защита с ограничениями арендаторов версии 2. Таким образом, вы не можете полагаться на непросвещенные приложения, чтобы обеспечить защиту уровня передачи данных.

Управление приложениями для бизнеса можно использовать двумя способами для защиты от незамеченных приложений:

• Запретить использование небезопасных приложений (то есть полностью блокировать работу PowerShell или Chrome). Вы можете использовать стандартную политику управления приложениями для бизнеса, которая управляет запуском приложений.
• Разрешить использование незамеченных приложений, но запретить им доступ к ресурсам Майкрософт. Для этого метода используется специальная политика управления приложениями для бизнеса, называемая политикой тегов идентификатора приложения (AppIdTaggingPolicy).

Для обоих вариантов необходимо сначала создать политику управления приложениями для бизнеса. Затем, при необходимости, преобразуйте его в политику тегов идентификатора приложения. Наконец, примените его к устройствам после тестирования на тестовом компьютере.

Дополнительные сведения см. в статье "Создание политик тегов AppId элемента управления приложениями".

Шаг 1. Создание политики с помощью мастера управления приложениями

1. Установите мастер политики управления приложениями.

2. Выберите "Создать политику" и выберите формат политики. По умолчанию используется несколько политик, базовая политика.

3. Выберите базовый шаблон (рекомендуется: Windows по умолчанию или разрешить Майкрософт). Подробные инструкции см. в разделе "Базовые политики шаблонов".

4. При преобразовании политики в политику маркировки идентификатора приложения мастер предполагает, что правила политики уже установлены. Их можно задать здесь, но это не обязательно. Эти правила политики включают меню расширенных параметров загрузки, отключение применения скриптов, принудительное применение приложений Магазина, режим аудита и целостность кода в пользовательском режиме.

5. Выберите расположение сохранения XML-файла политики и создайте политику.

Шаг 2. Преобразование политики в политику тегов идентификатора приложения

После того как вы создадите политику с помощью мастера или создадите свою с использованием PowerShell, преобразуйте результат .xml в политику присвоения тегов идентификаторам приложений. Политика тегов помечает приложения, для которых требуется разрешить доступ к ресурсам Майкрософт. Результат выполнения GUID — это ваш новый идентификатор политики.

   Set-CIPolicyIdInfo -ResetPolicyID .\policy.xml -AppIdTaggingPolicy -AppIdTaggingKey "M365ResourceAccessEnforced" -AppIdTaggingValue "True" 

Шаг 3. Компиляция и развертывание политики для тестирования

После изменения политики и преобразования его в политику тегов идентификатора приложения скомпилируйте его с идентификатором политики, соответствующим имени файла:

   ConvertFrom-CIPolicy .\policy.xml ".\{PolicyID}.cip"

Затем разверните политику в каталоге CiPolicies\Active :

   copy ".\{Policy ID}.cip" c:\windows\system32\codeintegrity\CiPolicies\Active\ 

Обновите политики в системе, вызвав RefreshPolicy.exe.

Включение параметра брандмауэра Windows

Вы можете использовать функцию брандмауэра Windows для блокировки незащищенных приложений от доступа к ресурсам Майкрософт через Chrome, Firefox и .NET, такие как PowerShell. Эти приложения будут заблокированы или разрешены в соответствии с политикой ограничений клиента версии 2.

Например, если вы добавляете PowerShell в политику Программы идентификации клиентов (CIP) для ограничений арендаторов версии 2 и у вас есть graph.microsoft.com в списке конечных точек политики ограничений арендаторов версии 2, PowerShell должна иметь возможность получить к нему доступ с включенным брандмауэром.

1. На компьютере Windows выберите клавишу с логотипом Windows, введите gpedit, а затем выберите "Изменить групповую политику" (панель управления).

2. Перейдите к Конфигурации компьютера>Административные шаблоны>Компоненты Windows>Ограничения клиента.

3. Щелкните правой кнопкой мыши сведения о политике облака на правой панели и выберите пункт "Изменить".

4. Установите флажок "Включить защиту брандмауэра" конечных точек Майкрософт и нажмите кнопку "ОК".

   

5. Обновите групповую политику на устройстве, выполнив:gpudate

      gupdate /force
   

6. Перезагрузите устройство.

Проверка того, что ограничения клиента версии 2 блокируют доступ

После включения брандмауэра и параметра управления приложениями для бизнеса попробуйте войти с помощью браузера Chrome и получить доступ к office.com. Вход должен закончиться ошибкой со следующим сообщением.

Ограничения для пользователей-арендаторов и поддержка канала данных (предварительная версия)

Следующие ресурсы применяют ограничения арендаторов v2. Эти ресурсы рассматривают сценарии с проникновением токенов, когда нехороший субъект обращается к ресурсу напрямую с инфильтрованным токеном или анонимно.

• Команды
• SharePoint Online, например приложение OneDrive
• Exchange Online, например приложение Outlook
• Office.com и приложения Office

Ограничения арендатора и Microsoft Forms (превью)

При принудительном применении ограничений арендатора версии 2 автоматически блокируется доступ ко всем анонимным или неаутентифицированным доступам к внешне размещенным формам из Microsoft Forms.

Ограничения арендатора и Microsoft Teams (предварительная версия)

По умолчанию Teams имеет открытую федерацию. Он не блокирует присоединение кого-либо к собранию, организованному внешним арендатором. Для более эффективного контроля доступа к собраниям Teams можно использовать федеративные элементы управления в Teams, чтобы разрешить или заблокировать доступ конкретным тенантам. Эти элементы управления федерацией также можно использовать вместе с ограничениями клиента версии 2 для блокировки анонимного доступа к собраниям Teams.

Чтобы применить ограничения клиента в Teams, необходимо настроить ограничения клиента v2 в параметрах доступа между клиентами Microsoft Entra. Кроме того, необходимо настроить элементы управления федерацией на портале администрирования Teams и перезапустить Teams. Ограничения клиента версии 2, реализованные на корпоративном прокси-сервере, не блокируют анонимный доступ к собраниям Teams, файлам SharePoint и другим ресурсам, которые не требуют проверки подлинности.

Если вы рассматриваете возможность использования ограничений арендатора для Teams, обратите внимание на следующие аспекты, касающиеся идентификации:

• В настоящее время Teams позволяет пользователям присоединяться к любому внешне организованному собранию, используя корпоративную или домашнюю учетную запись. Вы можете использовать параметры исходящего доступа между клиентами, чтобы контролировать, какие пользователи с корпоративной или домашней учетной записью могут присоединяться к внешне организованным собраниям Teams.
• Ограничения на уровне арендатора не позволяют пользователям использовать внешние удостоверения для присоединения к собраниям Teams.

Полное анонимное участие в встрече

Ограничения для арендаторов версии 2 автоматически блокируют все неаутентифицированные и выданные извне удостоверения личности для размещенных внешне собраний Teams.

Например, предположим, компания Contoso использует элементы управления федерацией Teams для блокировки клиента Fabrikam. Если пользователь с устройством Contoso использует учетную запись Fabrikam для присоединения к собранию Contoso Teams, он может быть разрешен в собрание как анонимный пользователь. Если компания Contoso также включает ограничения арендаторов версии 2, Teams блокирует анонимный доступ, и пользователь не может присоединиться к собранию.

Присоединение к собранию через удостоверение личности, выданное сторонней организацией

Вы можете настроить политику ограничений клиента версии 2, чтобы разрешить определенным пользователям или группам с удостоверениями, выданными внешними системами, присоединиться к собраниям Teams, размещенным внешними системами. С помощью этой конфигурации пользователи могут войти в Teams с помощью внешних идентификаторов и присоединиться к собраниям Teams, размещенным у внешнего арендатора.

Ограничения арендатора версии 2 и SharePoint Online (предварительная версия)

SharePoint Online поддерживает ограничения клиентов версии 2 на плоскости проверки подлинности и плоскости данных.

Прошедшие проверку подлинности сеансы

Если ограничения клиента версии 2 включены в клиенте, несанкционированный доступ блокируется во время проверки подлинности. Если пользователь напрямую обращается к ресурсу SharePoint Online без прошедшего проверку подлинности сеанса, им будет предложено войти в систему. Если политика ограничений клиента версии 2 разрешает доступ, пользователь может получить доступ к ресурсу. В противном случае доступ заблокирован.

Анонимный доступ (предварительная версия)

Если пользователь пытается получить доступ к анонимному файлу с помощью своего домашнего клиента или корпоративного удостоверения, пользователь может получить доступ к файлу. Но если пользователь пытается получить доступ к анонимному файлу с помощью любого внешнего выданного удостоверения, доступ блокируется.

Например, предположим, что пользователь использует управляемое устройство, настроенное с ограничениями клиента версии 2 для клиента A. Если пользователь выбирает ссылку анонимного доступа, созданную для ресурса Клиента A, он сможет получить доступ к ресурсу анонимно. Но если пользователь выбирает ссылку анонимного доступа, созданную для SharePoint Online в клиенте B, пользователю будет предложено войти в систему. Анонимный доступ к ресурсам через внешне выданное удостоверение всегда блокируется.

Ограничения для арендаторов v2 и OneDrive (предварительная версия)

Прошедшие проверку подлинности сеансы

Если ограничения клиента версии 2 включены в клиенте, несанкционированный доступ блокируется во время проверки подлинности. Если пользователь напрямую обращается к ресурсу OneDrive без прошедшего проверку подлинности сеанса, им будет предложено войти в систему. Если политика ограничений клиента версии 2 разрешает доступ, пользователь может получить доступ к ресурсу. В противном случае доступ заблокирован.

Анонимный доступ (предварительная версия)

Как и в SharePoint, OneDrive поддерживает ограничения клиентов версии 2 как на плоскости проверки подлинности, так и на плоскости данных. Также поддерживается блокировка анонимного доступа к OneDrive. Например, исполнение политики ограничений арендаторов версии 2 осуществляется на конечной точке OneDrive (microsoft-my.sharepoint.com).

Не входит в сферу рассмотрения

OneDrive для учетных записей потребителей (через onedrive.live.com) не поддерживает ограничения клиентов версии 2. Некоторые URL-адреса (например, onedrive.live.com) не сконвергированы и используют устаревший стек. Когда пользователь обращается к клиенту потребителя OneDrive через эти URL-адреса, политика не применяется. В качестве обходного решения можно заблокировать https://onedrive.live.com/ на уровне прокси-сервера.

Ограничения клиента версии 2 и принципы службы

Ограничения арендатора версии 2 блокируют доступ к основному объекту службы. Вы можете включить сигнал клиента с помощью:

• Брандмауэр или корпоративный прокси-сервер. Войдите с помощью учетной записи службы.

      $client_id = "00001111-aaaa-2222-bbbb-3333cccc4444"
      $clientSecret = Get-Credential -Username $client_id
      Connect-MgGraph -TenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee" -ClientSecretCredential $clientSecret
  

  Вход не удался с ошибкой:

  Connect-MgGraph : ClientSecretCredential authentication failed: AADSTS5000211: A tenant restrictions policy added to this request by a device or network administrator does not allow access to 'tenant'.

• Объект групповой политики Windows. Необходимо проверить включение защиты брандмауэра конечных точек Майкрософт и включение управления приложениями для бизнеса. См. статью Блокировать приложения Chrome, Firefox и .NET, такие как PowerShell ранее в этой статье.

Ограничения арендатора с подключаемым модулем единого входа Microsoft Enterprise для устройств Apple

Подключаемый модуль единого входа Microsoft Enterprise для устройств Apple предоставляет единый вход (SSO) для учетных записей Microsoft Entra в macOS, iOS и iPadOS во всех приложениях, поддерживающих функцию единого входа Apple Enterprise. Чтобы использовать плагин единого входа Microsoft Enterprise для устройств Apple, необходимо исключить определённые URL-адреса из сетевых прокси-серверов, перехвата трафика и других корпоративных систем.

Если в вашей организации используются версии Apple OS, выпущенные после 2022 года, не нужно исключать URL-адреса входа Майкрософт из проверки TLS. Если вы используете функцию ограничений арендатора, вы можете выполнить проверку TLS на URL-адресах входа Microsoft и добавить необходимые заголовки на запрос. Дополнительные сведения см. в разделе плагин единого входа Microsoft Enterprise для устройств Apple.

Вы можете проверить сетевую конфигурацию на устройстве macOS, чтобы убедиться, что конфигурация единого входа не повреждена из-за проверки TLS.

Журналы входа

Журналы входа Microsoft Entra дают возможность просматривать сведения о входах при наличии политики ограничений арендатора версии 2. Когда пользователь B2B входит в клиент ресурсов для совместной работы, журнал входа создается как в домашнем клиенте, так и в клиенте ресурсов. Эти журналы содержат такие сведения, как используемое приложение, адреса электронной почты, имя клиента и идентификатор клиента для домашнего клиента и для клиента ресурса. В следующем примере показан успешный вход.

Если вход завершается ошибкой, сведения о действии содержат сведения о причине сбоя.

Журналы аудита

Журналы аудита предоставляют записи о действиях системы и пользователей, включая действия, инициированные гостевыми пользователями. Вы можете просмотреть журналы аудита для клиента в разделе "Мониторинг" или просмотреть журналы аудита для конкретного пользователя, перейдя в профиль пользователя.

Чтобы получить дополнительные сведения о событии, выберите событие в журнале.

Вы также можете экспортировать эти журналы из идентификатора Microsoft Entra и использовать средство создания отчетов для получения настраиваемых отчетов.

Microsoft Graph

Используйте Microsoft Graph для получения сведений о политике.

HTTP-запрос

• Получите политику по умолчанию:

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  

• Сбросьте настройки к системным значениям по умолчанию.

  POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
  

• Получите конфигурации партнера

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
  

• Получите определенную конфигурацию партнера:

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

• Обновите конкретного партнера:

  PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

Текст запроса

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

Известные ограничения

• Ограничения арендатора версии 2 поддерживаются во всех облачных системах.

• TRv2 не применяет ограничения на межоблачные запросы на уровне проверки подлинности, поэтому доступ разрешен во время проверки подлинности. Однако TRv2 блокирует межоблачные запросы на плоскости данных. В результате при использовании групповой политики Windows пользователи не смогут получить доступ к ресурсам TRv2 через границы облака.

• Ограничения арендаторов версии 2 не совместимы с функцией единого входа на платформе macOS через корпоративный прокси. Клиенты, использующие ограничения арендатора версии 2 и единый вход на платформе, должны использовать универсальные ограничения арендатора версии 2 с сигналом клиента Global Secure Access. Это ограничение Apple, при котором платформенная технология единого входа несовместима с ограничениями арендатора, когда промежуточное сетевое решение внедряет заголовки. Примером такого решения является прокси-сервер, использующий цепочку доверия сертификатов за пределами корневых сертификатов системы Apple.

• Если TRv2 включен, доступ к Центру администрирования Microsoft Entra может привести к ошибке "Отказано в доступе". Чтобы устранить эту проблему, добавьте следующие флаги функций в URL-адрес Центра администрирования Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true Если вы обращаетесь к центру администрирования для клиента партнера (например, Fabrikam) и столкнулись с ошибкойhttps://entra.microsoft.com/, обновите URL-адрес следующим образом: https://entra.microsoft.com/?feature.msaljs=true&exp.msaljsexp=true#home Это позволит включить необходимые флаги и восстановить доступ.

Связанный контент

• Настройка параметров внешней совместной работы для B2B в Microsoft Entra External ID