微软收紧Azure AD对SaaS应用程序的访问控制

Azure Active Directory中的租户限制功能现已普遍可用，使组织可以更好地控制用户与软件即服务应用程序的交互，以防止敏感信息泄漏。

微软身份部门程序管理总监亚历克斯·西蒙斯(Alex Simons)在1月31日的博客中解释说，“租户限制”使组织能够基于应用程序用于单点登录的Azure AD租户来控制访问。

除了作为软件巨头的用户身份管理平台的基于云的版本之外，Azure AD还可以用于为各种第三方SaaS应用(当然还有Microsoft的第三方应用)提供单点登录和访问服务。自己的Office 365商业软件套件。

本质上，该功能可用于帮助企业确保仅允许其用户登录其SaaS订阅。“例如，您可以使用租户限制来访问您组织的Office 365应用程序，同时阻止访问其他组织的相同应用程序实例，” Simons继续说道。

Microsoft Azure Active Directory程序管理器Yossi Banai补充说，过去，管理员禁止IP地址或域来限制对Web应用程序的访问。但是，在企业环境中越来越多地采用公共云和SaaS应用程序时，所有SaaS提供商的客户都指向同一个共享域名，这使这种策略变得不切实际。

Banai说，当用户不受限制地访问云应用程序时，存在数据泄漏的可能性。“如果用户可以使用其企业身份访问Office 365，则他们还可以使用其他身份访问这些相同的服务。”

微软的解决方案是基于组织用于向用户提供单点登录服务的Azure AD租户限制访问，并限制对未经许可的租户的访问。该解决方案要求具有安全套接字层检查功能的本地代理服务器插入带有已批准租户列表的新标头。此联机支持文档中提供了安装说明。

该公司还为其Azure AD的企业对企业(B2B)协作工具包推出了一些新功能。

顾名思义，Azure AD B2B包含了一组技术和管理功能，使企业及其合作伙伴组织可以安全地进行协作。Simons在2月1日的另一份公告中说：“ Azure AD B2B的目标是使各种规模和行业的组织，即使是那些具有复杂合规性和治理要求的组织，也可以与世界各地的协作者轻松安全地合作。”

新功能包括自助服务功能，使员工可以邀请其他B2B用户加入他们管理的应用程序或组。用户还可以将邀请发送到任何电子邮件地址。新的自定义品牌功能使电子邮件邀请具有专业外观。

其他更新包括B2B来宾帐户的多因素身份验证，新的审核和报告选项以及PowerShell支持。