Sdílet prostřednictvím


Průvodce nasazením řešení Security Service Edge od Microsoftu pro Microsoft Entra Přístup k Internetu pro testování provozu Microsoftu

Tento průvodce nasazením Testování konceptu (PoC) vám pomůže nasadit řešení Microsoft Security Service Edge (SSE), které nabízí Microsoft Entra Přístup k Internetu pro Microsoft Traffic.

Přehled

Řešení Security Service Edge zaměřené na identitu microsoftu konverguje řízení přístupu k síti, identitě a koncovému bodu, abyste mohli zabezpečit přístup k libovolné aplikaci nebo prostředku z libovolného umístění, zařízení nebo identity. Umožňuje a orchestruje správu zásad přístupu pro zaměstnance, obchodní partnery a digitální úlohy. Pokud se oprávnění nebo úroveň rizika změní na soukromé aplikace, aplikace SaaS a koncové body Microsoftu, můžete nepřetržitě monitorovat a upravovat přístup uživatelů v reálném čase. Tato část popisuje, jak dokončit Microsoft Entra Přístup k Internetu pro testování provozu Microsoftu v produkčním nebo testovacím prostředí.

Microsoft Entra Přístup k Internetu pro nasazení služby Microsoft Traffic

Dokončete počáteční kroky produktu. To zahrnuje konfiguraci Microsoft Entra Přístup k Internetu pro microsoft Traffic, povolení profilu předávání přenosů od Microsoftu a instalaci klienta globálního zabezpečeného přístupu. Konfiguraci byste měli vymezit na konkrétní testovací uživatele a skupiny.

Ukázkový scénář PoC: Ochrana před exfiltrací dat

Exfiltrace dat je zájmem všech společností, zejména těch, které pracují v vysoce regulovaných odvětvích, jako je státní správa nebo finance. Pomocí odchozích ovládacích prvků v nastavení přístupu mezi tenanty můžete blokovat neoprávněné identity z cizích tenantů v přístupu k vašim datům Microsoftu při používání spravovaných zařízení.

Microsoft Entra Přístup k Internetu pro Microsoft Traffic může vylepšit ovládací prvky ochrany před únikem informací tím, že vám umožní:

  • chránit před krádeží tokenů tím, že vyžaduje, aby uživatelé mohli přistupovat k prostředkům Microsoftu pouze v případě, že procházejí sítí dodržující předpisy.
  • vynucujte zásady podmíněného přístupu u připojení ke službě Security Service Edge od Microsoftu.
  • nasaďte omezení univerzálního tenanta v2 a eliminujte nutnost směrovat veškerý uživatelský provoz prostřednictvím proxy sítí spravovaných zákazníkem.
  • nakonfigurujte omezení tenanta, která uživatelům brání v přístupu k neautorizovaným externím tenantům s libovolnou identitou třetí strany (například osobní nebo vystavenou externí organizací).
  • chránit před infiltrací nebo exfiltrací tokenů, aby uživatelé nemohli obejít omezení vašeho tenanta přesunutím přístupových tokenů do nespravovaných zařízení nebo síťových umístění a z nespravovaných zařízení.

Tato část popisuje, jak vynutit kompatibilní síťový přístup k provozu Microsoftu, chránit připojení k Hraniční síti zabezpečení Microsoftu pomocí podmíněného přístupu a zabránit externím identitám v přístupu k externím tenantům na spravovaných zařízeních nebo sítích pomocí univerzálních omezení tenantů v2. Omezení tenanta se vztahují pouze na externí identity; nevztahují se na identity ve vašem vlastním tenantovi. Pokud chcete řídit odchozí přístup pro identity vlastních uživatelů, použijte nastavení přístupu mezi tenanty. Konfigurace zásad omezení tenanta v MICROSOFT Entra ID pro blokování přístupu platí pro uživatele, kteří získají injektáž hlaviček omezení tenanta. To zahrnuje jenom uživatele, kteří směrují přes proxy sítě zákazníků, kteří vkládat hlavičky, uživatele s nasazeným globálním klientem zabezpečeného přístupu nebo uživatele na zařízeních s Windows s povolenými omezeními tenanta prostřednictvím nastavení operačního systému Windows. Při testování se ujistěte, že globální služba zabezpečeného přístupu vynucuje omezení tenanta, a ne prostřednictvím proxy serverů sítě zákazníka nebo nastavení Windows, aby nedocházelo k neúmyslnému ovlivnění jiných uživatelů. Kromě toho je potřeba povolit signalizaci podmíněného přístupu, abyste v podmíněném přístupu povolili možnosti globálního zabezpečeného přístupu.

  1. Povolení globálního zabezpečeného přístupu pro podmíněný přístup

  2. Povolte omezení univerzálního tenanta.

  3. Nakonfigurujte zásady omezení tenanta v Centru pro správu Microsoft Entra a zablokujte přístup pro všechny externí identity a všechny aplikace.

  4. Vytvořte zásadu podmíněného přístupu, která pro přístup vyžaduje vyhovující síť. Konfigurace kompatibilního síťového požadavku blokuje veškerý přístup k Office 365 Exchange Online a Office 365 SharePointu Online pro testovací uživatele z libovolného umístění, pokud se nepřipojí pomocí řešení Microsoft Security Service Edge. Zásady podmíněného přístupu nakonfigurujte následujícím způsobem:

    1. Uživatelé: Vyberte testovacího uživatele nebo pilotní skupinu.
    2. Cílové prostředky: Vyberte aplikace Office 365 Exchange Online a Office 365 SharePoint Online.
    3. Podmínky:
    4. V části Umístění vyberte Nenakonfigurováno.
    5. Přepněte konfigurovat na ano.
    6. Zahrnout libovolné umístění.
    7. Vyloučit vybraná umístění.
    8. U možnosti Vybrat vyberte Možnost Žádné.
    9. Vyberte Všechna umístění v síti vyhovující předpisům.
  5. Řízení>přístupu udělují> blokování přístupu.

  6. Vytvořte druhou zásadu podmíněného přístupu, která vyžaduje, aby se globální klient zabezpečeného přístupu mohl připojit k řešení SSE (například MFA, vyhovující zařízení, TOU). Zásady podmíněného přístupu nakonfigurujte následujícím způsobem:

    1. Uživatelé: Vyberte testovacího uživatele nebo pilotní skupinu.

    2. Cílové prostředky:

    3. Vyberte , na co se tato zásada vztahuje, a vyberte globální zabezpečený přístup.

    4. V části Vybrat profily provozu, na které se tato zásada vztahuje, vyberte provoz Microsoftu.

      Snímek obrazovky s možnostmi zásad podmíněného přístupu

  7. Řízení přístupu uděluje> ovládacím prvkům>, které chcete vynutit, například vyžadování vícefaktorového ověřování.

  8. Pokuste se přihlásit k SharePointu Online nebo Exchangi Online a ověřte, že se zobrazí výzva k ověření v globálním zabezpečeném přístupu. Globální klient zabezpečeného přístupu používá přístupové tokeny a obnovovací tokeny pro připojení k řešení Microsoft Security Service Edge. Pokud jste dříve připojili globálního klienta pro zabezpečený přístup, možná budete muset počkat na vypršení platnosti přístupového tokenu (až hodinu) před použitím zásad podmíněného přístupu, které jste vytvořili.

    Snímek obrazovky s oknem výzvy k zadání přihlašovacích údajů globálního zabezpečeného přístupu

  9. Pokud chcete ověřit úspěšné použití zásad podmíněného přístupu, projděte si protokoly přihlášení pro testovacího uživatele pro aplikaci ZTNA Network Access Client – M365 .

    Snímek obrazovky se seznamem přihlašovacích protokolů s interaktivní kartou Přihlášení uživatele

    Snímek obrazovky s oknem protokolů přihlašování s kartou Podmíněný přístup

  10. Ověřte, že je klient globálního zabezpečeného přístupu připojený, otevřením zásobníku v pravém dolním rohu a ověřením, že je na ikoně zelená kontrola.

    Snímek obrazovky s ikonou globálního klienta zabezpečeného přístupu zobrazující úspěšný stav Připojeno

  11. Pomocí testovacího uživatele se přihlaste k SharePointu Online nebo Exchange Online pomocí testovacího zařízení.

    1. Ověřte, že uživatel může úspěšně získat přístup k prostředku.

    2. V protokolech přihlašování potvrďte, že zásada podmíněného přístupu, která blokuje přístup mimo kompatibilní sítě, značí , že se nepoužijí.

      Snímek obrazovky s řádkem v okně protokolů přihlašování s indikátorem úspěchu

      Snímek obrazovky s oknem pro přihlášení ukazující, že zásady podmíněného přístupu nejsou použity

  12. Z jiného zařízení bez globálního klienta zabezpečeného přístupu použijte testovací identitu uživatele k pokusu o přihlášení k SharePointu Online nebo Exchange Online. Případně můžete kliknout pravým tlačítkem myši na globálního klienta zabezpečeného přístupu na hlavním panelu systému a potom kliknout na Pozastavit a pak použít testovací identitu uživatele k pokusu o přihlášení k SharePointu Online nebo Exchange Online na stejném zařízení.

    1. Ověřte, že je přístup zablokovaný.

    2. V protokolech přihlašování potvrďte zásadu podmíněného přístupu, která blokuje přístup mimo vyhovující sítě.

      Snímek obrazovky s řádkem v okně protokolů přihlašování s indikátorem selhání

      Snímek obrazovky s oknem protokoly přihlášení zobrazující kartu Podmíněného přístupu se zvýrazněným řádkem, ve kterém je sloupec Výsledek chybný

  13. Z testovacího zařízení s povoleným globálním klientem zabezpečeného přístupu se pokuste přihlásit k jinému tenantovi Microsoft Entra s externí identitou. Ověřte, že omezení tenanta blokují přístup.

    Snímek obrazovky s oknem přihlášení po odeslání přihlašovacích údajů s blokovanou zprávou Accessu

  14. Přejděte do externího tenanta a přejděte do protokolů přihlašování. V protokolech přihlášení externího tenanta ověřte, že se přístup k cizímu tenantovi zobrazuje jako blokovaný a protokolovaný.

    Snímek obrazovky řádku okna s protokoly přihlášení, kde sloupec Výsledek je Chyba

    Snímek obrazovky s protokoly přihlášení zobrazující kartu Základní informace pro položku, která označuje důvod selhání zásad omezení tenanta, které neumožňují přístup

Ukázkový scénář PoC: Obnovení zdrojové IP adresy

Proxy sítě a řešení SSE třetích stran přepíší veřejnou IP adresu odesílajícího zařízení, což brání tomu, aby ID Microsoft Entra mohl tuto IP adresu používat pro zásady nebo sestavy. Toto omezení způsobuje následující problémy:

  • Id Microsoft Entra nemůže vynutit určité zásady podmíněného přístupu založené na umístění (například blokování nedůvěryhodných zemí).
  • Detekce založené na rizicích, které využívají základní známá umístění uživatele, se snižují, protože systémové limity algoritmů strojového učení Microsoft Entra ID Protection na IP adresu vašeho proxy serveru. Nemůžou zjistit ani trénovat na skutečné zdrojové IP adrese uživatele.
  • Operace/šetření SOC musí využívat protokoly třetích stran nebo proxy serveru k určení původní zdrojové IP adresy a jejich korelaci s dalšími protokoly aktivit, což vede k nefektivnosti.

Tato část ukazuje, jak Microsoft Entra Přístup k Internetu pro Microsoft Traffic tyto problémy překonat zachováním původní zdrojové IP adresy uživatele, zjednodušením šetření zabezpečení a řešením potíží.

Pokud chcete otestovat obnovení zdrojové IP adresy, musí být povolené globální signalizace zabezpečeného přístupu pro podmíněný přístup. Potřebujete zásady podmíněného přístupu, které vyžadují vyhovující síť, jak je popsáno výše v tomto článku.

  1. Ověřte, že je klient globálního zabezpečeného přístupu připojený, otevřením zásobníku v pravém dolním rohu a ověřením, že je na ikoně zelená kontrola. Pomocí testovací identity se přihlaste k SharePointu Online nebo Exchangi Online.

    Snímek obrazovky s ikonou globálního klienta zabezpečeného přístupu zobrazující indikátor stavu Připojeno

  2. Prohlédněte si přihlašovací protokol pro toto přihlášení a poznamenejte si IP adresu a umístění. Ověřte, že se nepoužádly zásady podmíněného přístupu kompatibilní se sítí.

    Snímek obrazovky s protokoly přihlášení zobrazující kartu Umístění položky

    Snímek obrazovky s oknem pro přihlášení s kartou Podmíněný přístup se zvýrazněným řádkem, ve kterém není použit sloupec Výsledek

  3. Nastavte zásadu podmíněného přístupu kompatibilní se sítí na režim jen pro sestavy a vyberte Uložit.

  4. Na testovacím klientském zařízení otevřete hlavní panel systému, klikněte pravým tlačítkem myši na ikonu globálního klienta zabezpečeného přístupu a vyberte Pozastavit. Najeďte myší na ikonu a ověřte, že se globální klient zabezpečeného přístupu už nepřipojí potvrzením globálního klienta zabezpečeného přístupu – zakázáno.

    Snímek obrazovky s nabídkou možností klienta globálního zabezpečeného přístupu se zvýrazněnou možností Pozastavit

    Snímek obrazovky s ikonou globálního klienta zabezpečeného přístupu se zobrazeným jako zakázaným

  5. Pomocí testovacího uživatele se přihlaste k SharePointu Online nebo Exchangi Online. Ověřte, že se můžete úspěšně přihlásit a získat přístup k prostředku.

  6. Podívejte se na protokol přihlášení pro poslední pokus o přihlášení.

    1. Ověřte, že IP adresa a umístění odpovídají dříve zmíněným ip adresám.

    2. Ověřte, že zásady podmíněného přístupu jen pro sestavu selhaly, protože provoz neprošel Microsoft Entra Přístup k Internetu pro Microsoft Traffic.

      Snímek obrazovky s protokoly přihlášení zobrazující kartu Umístění položky

      Snímek obrazovky s protokoly přihlášení zobrazující kartu Pouze sestava pro položku s možností Pouze sestava: Chyba ve sloupci Výsledek

Další kroky

Nasazení a ověření Microsoft Entra Soukromý přístup Deploy a ověření Microsoft Entra Přístup k Internetu