Proteger o acesso a aplicativos na nuvem, públicos e privados usando APIs de acesso à rede do Microsoft Graph (versão prévia)
Acesso à Internet do Microsoft Entra e Acesso privado do Microsoft Entra compreendem a solução do Security Service Edge da Microsoft e permitem que as organizações consolidem controles e configurem políticas unificadas de acesso à identidade e à rede. Acesso à Internet do Microsoft Entra garante o acesso ao Microsoft 365, SaaS e aplicativos públicos da Internet enquanto protege usuários, dispositivos e dados contra ameaças à Internet. Por outro lado, Acesso privado do Microsoft Entra garante o acesso a aplicativos privados hospedados localmente ou na nuvem.
Este artigo descreve as APIs de acesso à rede no Microsoft Graph que habilitam os serviços de Acesso à Internet do Microsoft Entra e Acesso privado do Microsoft Entra. O Acesso Seguro Global é o termo unificador para esses dois serviços. Para obter mais informações, confira O que é o Acesso Seguro Global?
Criar blocos das APIs de acesso à rede
As APIs de acesso à rede fornecem uma estrutura para configurar como você deseja encaminhar ou filtrar o tráfego e suas regras associadas. A tabela a seguir lista as entidades principais que compõem as APIs de acesso à rede.
| Entidades | Descrição |
|---|---|
| encaminhamentoProfile | Determina como o tráfego é roteado ou ignorado por meio dos serviços de Acesso Seguro Global. Um perfil de encaminhamento está vinculado a um tipo de tráfego que pode ser microsoft 365, Internet ou tráfego privado. Em seguida, um perfil de encaminhamento pode ter várias políticas de encaminhamento. Por exemplo, o perfil de encaminhamento do Microsoft 365 tem políticas para Exchange Online, SharePoint Online e assim por diante. |
| forwardingPolicy | Define as regras para roteamento ou ignorar tipo de tráfego específico por meio dos serviços de Acesso Seguro Global. Cada política é tentada para um tipo de tráfego que pode ser o Tráfego Microsoft 365, Internet ou Privado. Uma política de encaminhamento só pode ter regras de política de encaminhamento. |
| encaminhamentoPolicyLink | Representa a relação entre um perfil de encaminhamento e uma política de encaminhamento e mantém o estado atual da conexão. |
| policyRule | Mantém a definição principal de um conjunto de regras de política. |
| remoteNetwork | Representa o local físico de onde usuários e dispositivos se conectam para acessar a nuvem, aplicativos públicos ou privados. Cada rede remota é composta por dispositivos e a conexão de dispositivos em uma rede remota é mantida por meio do CPE (equipamento local do cliente). |
| filteringProfile | As políticas de filtragem de grupos, então associadas às políticas de Acesso Condicional em Microsoft Entra para aproveitar um conjunto avançado de condições de contexto do usuário. |
| filteringPolicy | Encapsula várias políticas configuradas pelos administradores, como políticas de filtragem de rede, prevenção contra perda de dados e proteção contra ameaças. |
| filteringPolicLink | Representa a relação entre um perfil de filtragem e uma política de filtragem e mantém o estado atual da conexão. |
Integração ao processo de serviço
Para começar a usar os serviços de Acesso Seguro Global e as APIs de acesso à rede de suporte, você deve integrar explicitamente o serviço.
| Operação | Descrição |
|---|---|
| Locatário integrado | Integração aos serviços de acesso privado e Acesso à Internet do Microsoft Entra. |
| Verificar status | Verifique o status de integração do locatário. |
Perfis e políticas de encaminhamento de tráfego
As APIs a seguir permitem que um administrador gerencie e configure perfis de encaminhamento. Há três perfis padrão: Microsoft 365, Privado e Internet. Use as APIs a seguir para gerenciar perfis e políticas de encaminhamento de tráfego.
| Operações de exemplo | Descrição |
|---|---|
| Listar perfis de encaminhamento | Liste os perfis de encaminhamento configurados para o locatário. Você também pode recuperar as políticas associadas usando o $expand parâmetro de consulta. |
| Atualizar encaminhamentoProfile | Habilite ou desabilite um perfil de encaminhamento ou configure associações como a rede remota. |
| Listar políticas de encaminhamento | Liste as políticas de encaminhamento configuradas para o locatário. Você também pode recuperar as regras de política de encaminhamento associadas usando o $expand parâmetro de consulta. |
| Listar links de política de encaminhamento | Liste os links de política associados a um perfil de encaminhamento. Você também pode recuperar as regras de política de encaminhamento associadas usando o $expand parâmetro de consulta. |
Redes remotas
Um cenário de rede remota envolve dispositivos de usuário ou dispositivos sem usuário, como impressoras que estabelecem conectividade por meio do CPE (equipamento local do cliente), também conhecido como links de dispositivo, em um local físico do escritório.
Use as APIs a seguir para gerenciar os detalhes de uma rede remota que você integrou ao serviço.
| Operações de exemplo | Descrição |
|---|---|
| Criar uma rede remota Criar links de dispositivo para uma rede remota Criar perfis de encaminhamento para uma rede remota |
Crie redes remotas e seus links de dispositivo associados e perfis de encaminhamento. |
| Listar redes remotas Listar links de dispositivo para uma rede remota Listar perfis de encaminhamento para uma rede remota |
Liste redes remotas e seus links de dispositivo associados e perfis de encaminhamento. |
Controles de acesso
As APIs de acesso à rede fornecem um meio de gerenciar três tipos de configurações de controle de acesso em sua organização: acesso entre locatários, acesso condicional e opções de encaminhamento. Essas configurações garantem acesso de rede seguro e eficiente para dispositivos e usuários em seu locatário.
Configurações de acesso entre locatários
As configurações de acesso entre locatários envolvem a marcação de pacotes de rede e a aplicação de políticas de TRv2 (restrições de locatário) para ajudar a evitar a exfiltração de dados. Use o tipo de recurso crossTenantAccessSettings e suas APIs associadas para gerenciar configurações de acesso entre locatários.
Configurações de acesso condicional
As configurações de acesso condicional nos serviços de Acesso Seguro Global envolvem habilitar ou desabilitar a sinalização de acesso condicional para restauração e conectividade de IP de origem. A configuração determina se o recurso de destino recebe o endereço IP de origem original do cliente ou o endereço IP do serviço de Acesso Seguro Global.
Use o tipo de recurso condicionalAccessSettings e suas APIs associadas para gerenciar as configurações de acesso condicional.
Opções de encaminhamento
As opções de encaminhamento permitem que os administradores habilitem ou desabilitem a capacidade de ignorar a pesquisa DNS na borda e encaminhar o tráfego do Microsoft 365 diretamente para o Front Door usando o IP de destino resolvido pelo cliente. Use o tipo de recurso forwardingOptions e suas APIs associadas para gerenciar opções de encaminhamento.
Logs de auditoria
O monitoramento e a auditoria de eventos em seu ambiente são cruciais para manter a segurança, a conformidade e a eficiência operacional. Os eventos de Acesso Seguro Global são registrados nos logs do diretório e podem ser recuperados usando APIs associadas.
Logs e relatórios de tráfego
Você pode navegar pelos logs de conexão de tráfego de rede para ver uma divisão dos tipos de tráfego de rede por meio dos serviços de Acesso Seguro Global. Use o tipo de recurso networkAccessTraffic e suas APIs associadas para exibir logs de tráfego de rede granulares.
Você também pode recuperar contagens resumidas de tráfego relacionadas a dispositivos, usuários, transações e solicitações de acesso entre locatários por meio dos serviços de Acesso Seguro Global. Use o tipo de recurso de relatórios e suas APIs associadas para exibir estatísticas de tráfego de rede resumidas.
Logs de tráfego do Microsoft 365 enriquecidos
Os serviços de Acesso Seguro Global permitem enriquecer os logs de auditoria do Microsoft 365 com informações de tráfego de rede. Com logs de tráfego enriquecidos, você pode examinar dados de diagnóstico de rede, dados de desempenho e eventos de segurança relevantes para aplicativos do Microsoft 365. O tráfego relacionado às três cargas de trabalho do Microsoft 365 a seguir pode ser enriquecido com informações de tráfego de rede: SharePoint, Microsoft Teams e Exchange Online.
Confiança Zero
Esse recurso ajuda as organizações a alinhar suas identidades com os três princípios orientadores de uma arquitetura Confiança Zero:
- Verificar explicitamente
- Usar privilégio mínimo
- Assumir violação
Para saber mais sobre Confiança Zero e outras maneiras de alinhar sua organização aos princípios orientadores, consulte o Centro de Diretrizes Confiança Zero.
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de