Kontrolliere Datenströme aus Deiner hochsicheren Umgebung zu Microsoft 365 über die neue Universal Tenant Restrictions

Wenn Du als Architekt oder Administrator eine hochsichere Umgebung wie eine Bank, Versicherung oder andere sensible Bereiche verantwortest, kennst Du sicher das Dilemma des Zulassens von Microsoft 365 Diensten im Hinblick auf das Risiko von ungewolltem Datenabfluss.

Sobald beispielsweise teams.microsoft.com oder andere Microsoft URLs in der Network Security freigegeben werden, besteht das begründete Risiko, dass Benutzer willentlich oder im Versehen auch auf andere Tenants als den der eigenen Firma zugreifen und damit Daten an diese Tenants übermitteln. Das alles unter dem Radar der Network Security, zumal die URLs ja erlaubt worden sind, um das eigen M365 Ökosystem nutzbar zu machen.

Um dieses Risiko auszuschliessen, machen viele Firmen ein Tenant Whitelisting über die sogenannten Tenant Restrictions, eine Möglichkeit zum Steuern welche Tenants erlaubt sind und welche nicht.

Das erfolgt entweder über die Kontrolle der aufgerufenen URL (die Tenant ID ist beim Login Teil davon), oder aber über eine Policy ID im Header der Login Anfrage. Die erste Variante über die Analyse der URL (aka Tenant Restrictions V1), bedingt allerdings das Aufbrechen der verschlüsselten Pakete (TLS Inspection), was wiederum zu Kompatiblitäts- oder Performance Problemen mit einigen Service führen kann (schön erklärt in den M365 Network Principals Microsoft 365 network connectivity principles - Microsoft 365 Enterprise | Microsoft Learn). Bei der etwas moderneren Tenant Restrictions V2, werden die Aufrufe nach wie vor an den Proxy geschickt, allerdings nicht mehr komplett mit TLS Inspection aufgebrochen, der Proxy ergänzt nur noch den Header mit einer Policy ID und schickt die Anfrage an die Entra ID B2B Konfiguration, wo anschliessend in Entra ID entschieden wird, ob der Tenant erlaubt ist oder nicht.

Klingt doch gut, wo ist also das Problem? Naja, leider müssen die Login Anfragen jedes Mal beim Proxy vorbei, was wiederum eine Challenge für die vielen Remote Workers darstellt. Speziell bei weltweit tätigen Firmen oder eben auch bei New Work Companies wie das die Experts Inside zum Beispiel ist, ist dies kein eleganter Network Design.

Die Lösung: Universal Tenant Restrictions

Mit dem Release von Entra Global Secure Access (Microsofts Interpretation der Secure Service Edge SSE), kommt nun eine dritte Möglichkeit dazu, die freigegebenen Tenants zu kontrollieren. Mit der Universal Tenant Restrictions, erfolgt die Ergänzung der Login Anfragen nicht mehr auf den zentralen Netzwerkproxy, sondern wird vom Global Secure Access Client direkt vom Endgerät mitgeschickt. Anschliessend werden analog der TRv2, die B2B Settings von Entra ID angewendet, wo entsprechend auf Service Ebene kontrolliert werden kann, welcher Service von welchem Tenant erlaubt sein soll. Mit diesem Wechsel spielt es nun also keine Rolle mehr, ob die Anfrage aus derselben geografischen Region kommt, wo der Proxy steht, oder ob es sich um einen Remote Zugriff handelt. How cool is that?! 😊

Was ist zu tun

Um also Deine bestehende TRv1 oder TRv2 auf die neue Universal Tenant Restrictions zu migrieren, sind folgende Schritte nötig:

• Aktivieren vom Microsoft Traffic Profil im neuen Entra Portal (entra.microsoft.com). Dieser Teil ist über die E3 Lizenz abgedeckt, natürlich aber auch über die E5 oder die neue Entra Suiten (Pläne und Preise für Microsoft Entra | Microsoft Security)
• Aktivieren der Universal Tenant Restrictions im Entra Portal
• Installation vom Entra GSA Client (praktisch alle Plattformen sind unterstützt)
• Bypass der Entra GSA Endpoints auf den Proxies (zugriff aus dem LAN) und im VPN Splitt-Tunnel (Remote Zugriffe). Die benötigten URLs sind die folgenden:
  • *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16
  • Dokumentiert hier (am Beispiel Cisco): Learn about Security Service Edge (SSE) coexistence with Microsoft and Cisco. - Global Secure Access | Microsoft Learn
• Optional: Falls gewünscht erweitern der Conditional Access Policies für das zusätzlich Absichern der Zugriffe auf die Remote Hosts. Experts Inside Best practice: Kombinieren des Defender for Endpoint Risk Levels mit der Intune Compliance (Steigt das Device Risk, wird der Zugang auf Entra GSA verhindert)

Vergleich und Fazit

Über die neue Universal Tenant Restrictions sind neue, den Zero Trust Grundsätzen unterliegende Netzwerkdesigns möglich, ohne allenfalls vorhandene Sicherheitsvorgaben zu unterwandern. Im Vergleich zu der alten TRv1, ist zudem eine granulare Kontrolle der in den freigegebenen Tenants erlaubten Dienste möglich (Teams ja, Onedrive nein als Beispiel). Aufgrund der Integration des Features in die E3 und höher Lizenzen, entstehen zudem keine Kosten, im Gegenteil, es entfällt allenfalls sogar heute benötigte Netzwerkinfrastruktur.