Share via

Povolení kontroly sítě kompatibilní s podmíněným přístupem

  • Článek

Organizace, které používají podmíněný přístup společně s globálním zabezpečeným přístupem ve verzi Preview, můžou zabránit škodlivému přístupu k aplikacím Microsoftu, aplikacím SaaS třetích stran a privátním podnikovým aplikacím (LoB) s využitím několika podmínek, které poskytují hloubkovou ochranu. Tyto podmínky můžou zahrnovat dodržování předpisů zařízením, umístění a další informace o ochraně před identitou uživatele nebo krádeží tokenů. Globální zabezpečený přístup zavádí v rámci podmíněného přístupu a průběžného vyhodnocování přístupu koncept vyhovující sítě. Tato kontrola vyhovující sítě zajišťuje, že se uživatelé připojují z ověřeného modelu síťového připojení pro konkrétního tenanta a splňují zásady zabezpečení vynucené správci.

Globální klient zabezpečeného přístupu nainstalovaný na zařízeních nebo uživatelích za nakonfigurovanými vzdálenými sítěmi umožňuje správcům zabezpečit prostředky za kompatibilní sítí pomocí pokročilých řízení podmíněného přístupu. Tato síťová funkce, která vyhovuje předpisům, usnadňuje správcům správu a údržbu, aniž by museli udržovat seznam všech IP adres umístění organizace. Správa istrátory nemusí střídmět provoz přes výstupní body VPN organizace, aby se zajistilo zabezpečení.

Pro SharePoint Online se v současné době podporuje průběžné vyhodnocování přístupu (CAE) s kompatibilní funkcí sítě. S CAE můžete vynutit hloubkovou ochranu pomocí ochrany proti krádeži tokenů.

Tato kontrola sítě dodržující předpisy je specifická pro každého tenanta.

  • Pomocí této kontroly můžete zajistit, aby k vašim prostředkům nemohly přistupovat jiné organizace, které používají globální služby zabezpečeného přístupu Microsoftu.
    • Contoso může například chránit své služby, jako je Exchange Online a SharePoint Online, za kontrolou sítě dodržující předpisy, aby k těmto prostředkům měli přístup jenom uživatelé společnosti Contoso.
    • Pokud jiná organizace, jako je Fabrikam, používala kompatibilní kontrolu sítě, neprošla by kontrolou sítě vyhovující předpisům společnosti Contoso.

Kompatibilní síť se liší od IPv4, IPv6 nebo geografických umístění , která můžete nakonfigurovat v Microsoft Entra. Nevyžaduje se žádné upkeep správce.

Požadavky

  • Správa istrátory, kteří pracují s Globální funkce zabezpečeného přístupu ve verzi Preview musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí.
    • Role role globálního zabezpečeného přístupu Správa istrator pro správu funkcí Global Secure Access Ve verzi Preview.
    • Podmíněný přístup Správa istrator pro vytváření a interakci se zásadami podmíněného přístupu a pojmenovanými umístěními.
  • Verze Preview vyžaduje licenci Microsoft Entra ID P1. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
  • Pokud chcete použít profil přesměrování provozu Microsoftu 365, doporučuje se licence Microsoftu 365 E3.

Známá omezení

  • Pro SharePoint Online je teď podporovaná kontrola kompatibilní se sítí s průběžným vyhodnocováním přístupu.
  • U aplikací pro privátní přístup se v současné době nepodporuje kontrola sítě vyhovující předpisům.
  • Podmínka kompatibilního síťového umístění není podporovaná pro zařízení, která nejsou zaregistrovaná ve správě mobilních zařízení (MDM). Pokud nakonfigurujete zásadu podmíněného přístupu pomocí podmínky kompatibilního síťového umístění, můžou to mít vliv na uživatele se zařízeními, která ještě nejsou zaregistrovaná v MDM. Uživatelům na těchto zařízeních může selhat kontrola zásad podmíněného přístupu a blokování.
    • Ujistěte se, že při použití podmínky kompatibilního síťového umístění vyloučíte ovlivněné uživatele nebo zařízení.

Povolení globálního zabezpečeného přístupu pro podmíněný přístup

Chcete-li povolit požadované nastavení pro kontrolu kompatibilní sítě, musí správce provést následující kroky.

  1. Přihlaste se k Centru pro správu Microsoft Entra jako globální zabezpečený přístup Správa istrator.
  2. Přejděte do globálního zabezpečeného přístupu (Preview)>Správa globálních nastavení>Řízenírelací adaptivního přístupu.
  3. Výběrem přepínače povolte signalizaci globálního zabezpečeného přístupu v podmíněném přístupu.
  4. Přejděte k pojmenovaným umístěním> podmíněného přístupu ochrany.>
    1. Ověřte, že máte umístění s názvem Všechna vyhovující síťová umístění s typem umístění Přístup k síti. Organizace můžou volitelně označit toto umístění jako důvěryhodné.

Snímek obrazovky znázorňující přepínač pro povolení signalizace v podmíněném přístupu

Upozornění

Pokud má vaše organizace aktivní zásady podmíněného přístupu na základě kontroly kompatibilní sítě a zakážete globální signalizaci zabezpečeného přístupu v podmíněném přístupu, můžete neúmyslně zablokovat přístup k prostředkům cílovým koncovým uživatelům. Pokud tuto funkci musíte zakázat, nejprve odstraňte všechny odpovídající zásady podmíněného přístupu.

Ochrana prostředků za sítí dodržující předpisy

Zásady podmíněného přístupu v síti se dají použít k ochraně prostředků Microsoftu 365 a jiných výrobců.

Následující příklad ukazuje tento typ zásad. Kromě toho se teď podporuje ochrana proti krádeži tokenů pomocí CAE pro SharePoint Online.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k podmíněnému přístupu k ochraně>.
  3. Vyberte Vytvořit novou zásadu.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Možnost Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
  6. V části Cílové prostředky>Zahrnout a vyberte Vybrat aplikace.
    1. Zvolte Office 365 Exchange Online a/nebo Office 365 SharePoint Online a/nebo některou z vašich aplikací SaaS třetích stran.
    2. Konkrétní cloudová aplikace Office 365 ve výběru aplikace se v současné době nepodporuje, takže tuto cloudovou aplikaci nevybírejte.
  7. Za podmínek>umístění.
    1. Nastavte možnost Konfigurovat na hodnotu Ano.
    2. V části Zahrnout vyberte Libovolné umístění.
    3. V části Vyloučit vyberte Vybraná umístění.
      1. Vyberte umístění Všech kompatibilních síťových umístění.
    4. Zvolte Zvolit.
  8. V části Řízení přístupu:
    1. Udělte, vyberte Blokovat přístup a vyberte Vybrat.
  9. Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.
  10. Výběrem tlačítka Vytvořit vytvořte zásadu.

Poznámka:

Můžete použít profily přenosů globálního zabezpečeného přístupu spolu se zásadami podmíněného přístupu, které vyžadují vyhovující síť pro všechny cloudové aplikace. Při nastavování zásady s použitím umístění umístění v síti kompatibilních se všemi cloudovými aplikacemi není nutné žádné vyloučení.

Profily provozu jsou interně vyloučené z vynucení podmíněného přístupu, pokud je vyžadována vyhovující síť. Toto vyloučení umožňuje klientovi globálního zabezpečeného přístupu přistupovat k požadovaným prostředkům.

Vyloučený profil provozu se zobrazí v protokolech přihlašování jako následující profil provozu síťového přístupu ZTNA aplikace.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

  • Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu tísňového volání se dá použít k přihlášení k tenantovi a provést kroky pro obnovení přístupu.
  • Účty služeb a instanční objekty, jako je účet Microsoft Entra Připojení Sync. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Účty služeb, jako jsou tyto, by se měly vyloučit, protože vícefaktorové ověřování není možné dokončit programově. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
    • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze základních zásad.

Vyzkoušení zásad sítě vyhovujících předpisům

  1. Na zařízení koncového uživatele s nainstalovaným a spuštěným klientem globálního zabezpečeného přístupu přejděte k https://outlook.office.com/mail/ prostředkům nebo https://yourcompanyname.sharepoint.com/k němu máte přístup.
  2. Pozastavte klienta globálního zabezpečeného přístupu tak, že kliknete pravým tlačítkem myši na aplikaci na hlavním panelu Windows a vyberete Pozastavit.
  3. Přejděte na https://outlook.office.com/mail/ stránku nebo https://yourcompanyname.sharepoint.com/, máte zablokovaný přístup k prostředkům s chybovou zprávou s informací , že k tomu teď nemáte přístup.

Snímek obrazovky s chybovou zprávou v okně prohlížeče, ke které teď nemáte přístup

Řešení problému

Ověřte, že se nové pojmenované umístění automaticky vytvořilo pomocí Microsoft Graphu.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Snímek obrazovky znázorňující výsledky dotazu v Průzkumníku grafů

Podmínky užívání

Vaše používání prostředí a funkcí ve verzi Preview Microsoft Entra Soukromý přístup a Microsoft Entra Přístup k Internetu se řídí podmínkami a ujednáními online služeb ve verzi Preview, za kterých jste tyto služby získali. Verze Preview můžou podléhat omezením nebo jiným závazkům v oblasti zabezpečení, dodržování předpisů a ochrany osobních údajů, jak je dále vysvětleno v univerzálních licenčních podmínkách pro online služby a dodatcích k ochraně dat produktů a služeb Společnosti Microsoft (DÁLE jen "DPA") a veškerých dalších oznámení uvedených ve verzi Preview.

Další kroky

Globální klient zabezpečeného přístupu pro Windows (Preview)