这个问题确实很难得到答案,不同的人对此有相反的看法:
我们的代理服务器上的租户限制是否会阻止我的一个用户访问其他人的租户 - 即使他们在其 AAD 中将其设置为来宾用户?
背景: 我已设置 Microsoft Tenant-Restrictions,代理服务器会检查所有访问 Microsoft 公共云的传出请求的标头。它会查看请求尝试访问的租户名称,并检查配置文件(或白名单)以验证该租户是否已获批准。如果没有,则会阻止它们。
这是设计使然。
问题: 我发现,作为 B2B 协作的一部分,我们越来越多的合作伙伴正在 Azure Active Directory 中设置我的用户并授予他们访问其资源的权限。这也是设计使然。但是如上所述,我们现有的租户限制阻止了这一点。
有人向我建议,如果用户在其 AAD 中设置为访客,则这将不受租户限制的影响,并且该用户将能够访问其租户。
但我不确定我是否同意。
由于用户在其他人的 AAD(显然驻留在他们的租户中)中被设置为访客,因此该用户将在身份验证期间被阻止,因为 IDP 是他们的 AAD - 而不是我的。
我的基本测试支持我的观点。但是我仍在与人们就此进行辩论。不幸的是,我无法在工作环境中对此进行详细测试。
那么,访客账户可以绕过租户限制吗?
谢谢!
答案1
是的,您网络上的任何用户通过您的代理进行访问都将受到租户限制,无论他们使用的是来自您的租户的 AAD 帐户还是来宾帐户。