通过

规划租户限制 v1 迁移到租户限制 v2

管理员使用租户限制 v1 来控制用户对其网络上外部租户的访问。 但是,具有跨租户访问设置的 租户限制 v2 增加了租户级限制。 租户限制 v2 还会增加更多粒度,例如单个用户、组和应用程序控件。

租户限制 v2 将策略管理从网络代理移动到基于云的门户。 由于代理标头大小限制已解除,组织不再因为目标租户数量达到上限而受限。

从租户限制 v1 迁移到租户限制 v2 是一次性过程,没有其他许可要求。 规划迁移时,包括来自网络和标识团队的利益干系人。

先决条件

必需的角色

本部分具有部署所需的最低特权角色。 使用安全管理员角色,或使用具有以下权限的自定义角色在 Microsoft.directory/crossTenantAccessPolicy/:

  • Standard/read
  • Partners/standard/read
  • Default/standard/read
  • Basic/update
  • Default/tenantRestrictions/update
  • Partners/tenantRestrictions/update
  • Partners/create
  • Partners/b2bCollaboration/update
  • Default/b2bCollaboration/update

创建并声明新的租户限制策略

获取代理注入的当前标头字符串。 评估当前策略并删除不需要的租户 ID 或允许的目标。 评估后,创建外部租户 ID 和/或外部域的列表。

为迁移配置跨租户访问设置和租户限制 v2 策略。 跨租户访问的出站设置定义了哪些租户可供内部身份进行访问。 在跨租户访问设置中,租户限制 v2 定义了当其他外部标识在您的托管网络上时,可以访问哪些租户。

技术注意事项

当您为跨租户访问配置出站设置时,该策略将在一小时内生效,并且会与租户限制 v1 策略一起进行评估。 将评估跨租户访问设置和租户限制 v1,并应用限制性更高的选项。

为了避免对用户产生负面影响,请尽可能多地在新策略中镜像租户限制 v1 策略。 使用新标头更新代理后,您在跨租户访问设置中配置的租户限制 v2 策略将会生效。

以下部分为常见方案设置迁移和配置管理。 使用本指南来帮助制定组织所需的策略。

仅允许对特定外部租户进行内部标识访问

允许内部标识(例如员工)访问托管网络上的特定外部租户。 阻止对未列入内部身份允许列表的租户的访问。 阻止外部标识(如承包商和供应商)访问所有外部租户。

  1. 跨租户访问设置中,在 “组织设置 ”选项卡上, 将每个域或租户添加为组织

  2. 若要允许所有用户和组并允许所有应用程序,对于每个添加的组织, 请为企业到企业(B2B)协作配置出站访问

    跨租户访问设置下的组织设置选项卡的屏幕截图。

  3. 若要阻止所有用户和组以及 B2B 协作的所有应用程序,请配置跨租户访问的默认出站设置。 此操作仅适用于未在步骤 1 中添加的租户。

    跨租户访问设置下的默认设置选项卡的屏幕截图。

  4. 租户限制默认设置中创建策略 ID(如果尚未创建)。 然后, 配置策略以阻止所有用户、组和外部应用程序。 此操作仅适用于未在步骤 1 中添加的租户。

    租户限制默认值的屏幕截图。

允许内部和外部标识访问特定的外部租户

允许内部标识(例如员工)和外部标识(如承包商和供应商)访问托管网络上的特定外部租户。 阻止租户访问(如果它们不在针对所有身份的允许列表中)。

  1. 跨租户访问设置中,在 “组织设置 ”选项卡上, 将每个域或租户 ID 添加为组织

  2. 对于每个添加的组织,若要启用内部标识, 请配置 B2B 协作的出站访问 ,以允许所有用户、组和应用程序。

  3. 对于每个添加的组织,若要启用外部标识, 请配置组织租户限制 ,以允许所有用户、组和应用程序。

    屏幕截图显示组织设置下的出站访问和租户限制的详细信息。

  4. 若要阻止所有用户、组和应用程序进行 B2B 协作, 请配置用于跨租户访问的默认出站设置。 此操作仅适用于未在步骤 1 中添加的租户。

    默认设置下的出站访问设置的屏幕截图。

  5. 租户限制默认设置中创建策略 ID(如果尚未创建)。 然后, 配置策略以阻止所有用户、组和外部应用程序。 此操作仅适用于未在步骤 1 中添加的租户。

    租户限制设置的屏幕截图,其中外部用户、组和外部应用程序被阻止。

注意

  • 若要以使用者Microsoft帐户为目标,请添加具有以下租户 ID 的组织: 9188040d-6c67-4c5b-b112-36a304b66dad
  • 租户限制 v2 策略已创建,但未生效。

启用租户限制 v2

使用租户 ID 和策略 ID 值创建新的标头。 更新网络代理以注入新标头。

更新网络代理以注入新 sec-Restrict-Tenant-Access-Policy 标头时,请删除两个租户限制 v1 标头: Restrict-Access-To-TenantsRestrict-Access-Context

提示

  • 在分阶段推出中更新网络代理。 保存当前租户限制 v1 标头和值。
  • 创建回滚计划,以帮助你应对潜在问题。

使用以下模式之一迁移代理配置。 确保代理支持所选模式。

  • 使用租户限制 v2 标头一次升级一个代理:通过此代理出口的用户会收到更新的标头,并应用新策略。 监控问题。 如果没有出现任何问题,请更新下一个代理,并继续更新所有代理。
  • 根据用户更新标头注入:某些代理需要对用户进行身份验证,并可能根据用户和群组选择要注入的标头。 向测试组用户推出新的租户限制 v2 标头。 监控问题。 如果没有出现任何问题,请在 100% 流量范围内之前分阶段添加更多用户。
  • 更新服务以一次性应用新的租户限制 v2 标头:不建议使用此选项。

推出新的标头更新时,请测试和验证用户是否体验到预期的行为。

监视器

为跨租户访问部署租户限制 v2 和出站设置时,请监视登录日志。 还可以使用 跨租户访问活动工作簿 来验证用户是否无法访问未经授权的租户。 这些工具有助于确定谁访问了哪些外部应用程序。

可以为跨租户访问和租户限制配置出站设置,以基于组成员身份和/或特定应用程序限制出站访问。

相关内容

  • Last updated on