Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Kromě odesílání provozu do globálního zabezpečeného přístupu můžou správci k zabezpečení profilů přenosů používat zásady podmíněného přístupu. Můžou podle potřeby kombinovat ovládací prvky, jako je vyžadování vícefaktorového ověřování, vyžadování vyhovujícího zařízení nebo definování přijatelného rizika přihlašování. Použití těchto ovládacích prvků nejen u cloudových aplikací, ale i u síťového provozu, umožňuje realizaci tzv. univerzálního podmíněného přístupu.
Podmíněný přístup k profilům provozu poskytuje správcům obrovskou kontrolu nad stavem zabezpečení. Správci mohou vynutit principy nulové důvěry (Zero Trust) pomocí zásad pro správu přístupu k síti. Použití profilů provozu umožňuje konzistentní použití zásad. Například aplikace, které nepodporují moderní ověřování, se teď dají chránit za profilem provozu.
Tato funkce umožňuje správcům konzistentně vynucovat zásady podmíněného přístupu na základě profilů provozu, nejen aplikací nebo akcí. Správci můžou cílit na konkrétní profily provozu – profil provozu Microsoftu, privátní prostředky a přístup k internetu pomocí těchto zásad. Uživatelé mají přístup k těmto nakonfigurovaným koncovým bodům nebo profilům provozu jenom v případech, kdy vyhovují nakonfigurovaným zásadám podmíněného přístupu.
Požadavky
- Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu , musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí.
- Role globálního správce zabezpečeného přístupu pro správu funkcí globálního zabezpečeného přístupu.
- Správce podmíněného přístupu pro vytváření a interakci se zásadami podmíněného přístupu.
- Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
Známá omezení autorizace tunelu
Profily pro přístup k Microsoftu a internetu používají zásady podmíněného přístupu Microsoft Entra ID k autorizaci přístupu k jejich tunelům v klientovi Global Secure Access. To znamená, že v podmíněném přístupu můžete udělit nebo blokovat přístup k provozu Microsoftu a profilům předávání přístupu k internetu. V některých případech, když není uděleno povolení k tunelu, cesta obnovení k opětovnému získání přístupu k prostředkům vyžaduje přístup k cílům buď na profilu povolení provozu Microsoft, nebo na profilu směrování přístupu k internetu, čímž se uživateli znemožní přístup ke všemu na jejich počítači.
Jedním z příkladů je situace, kdy zablokujete přístup k cílovému prostředku pro internetový přístup na zařízeních, která nejsou v souladu s předpisy, čímž uživatelům Microsoft Entra Internet Access znemožníte, aby uvedli svá zařízení znovu do souladu. Způsob, jak tento problém zmírnit, spočívá v obcházení koncových bodů sítě pro Microsoft Intune a všech dalších cílů, ke kterým se přistupuje v rámci vlastních skriptů pro zjišťování shody pro Microsoft Intune. Tuto operaci můžete provést jako součást vlastního obejití v profilu předávání přístupu k internetu.
Další známá omezení
Podrobné informace o známých problémech a omezeních najdete v tématu Známá omezení globálního zabezpečeného přístupu.
Zásady podmíněného přístupu
Pomocí podmíněného přístupu můžete povolit řízení přístupu a zásady zabezpečení pro síťový provoz získaný Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup.
- Vytvořte zásadu, která cílí na veškerý provoz Microsoftu.
- Použijte zásady podmíněného přístupu pro aplikace privátního přístupu, jako je rychlý přístup.
- Povolte obnovení zdrojové IP adresy v rámci Global Secure Access, aby se zdrojová IP adresa zobrazovala v příslušných protokolech a sestavách.
Diagram toku přístupu k internetu
Následující příklad ukazuje, jak Microsoft Entra Přístup k Internetu funguje při použití zásad univerzálního podmíněného přístupu pro síťový provoz.
Poznámka:
Řešení Microsoft Security Service Edge se skládá ze tří tunelů: provoz Microsoftu, Přístup k internetu a Privátní přístup. Univerzální podmíněný přístup se vztahuje na tunely internetového přístupu a tunely pro provoz Microsoftu. Není poskytována podpora pro zaměření na tunel privátního přístupu. Podnikové aplikace privátního přístupu musíte cílit jednotlivě.
Následující vývojový diagram znázorňuje univerzální podmíněný přístup určený pro internetové prostředky a aplikace Microsoftu s globálním zabezpečeným přístupem.
| Krok | Popis |
|---|---|
| 1 | Klient globálního zabezpečeného přístupu se pokusí připojit k řešení Microsoft Security Service Edge. |
| 2 | Klientská aplikace přesměrovává na Microsoft Entra ID pro ověřování a autorizaci. |
| 3 | Uživatel a zařízení se ověřují. Ověřování proběhne bezproblémově, když má uživatel platný primární obnovovací token. |
| 4 | Po ověření uživatele a zařízení dojde k vynucení zásad univerzálního podmíněného přístupu. Zásady univerzálního podmíněného přístupu cílí na zavedené tunely Microsoftu a internetu mezi globálním klientem zabezpečeného přístupu a Microsoft Security Service Edge. |
| 5 | Microsoft Entra ID vydává Přístupový token pro klienta Globálního zabezpečeného přístupu. |
| 6 | Klient globálního zabezpečeného přístupu představuje přístupový token pro Microsoft Security Service Edge. Token se ověřuje. |
| 7 | Tunely se vytvářejí mezi klientem globálního zabezpečeného přístupu a Microsoft Security Service Edge. |
| 8 | Provoz se začne shromažďovat a tunelovat do cíle prostřednictvím tunelu Microsoft a tunelu Internet Access. |
Poznámka:
Zaměřte se na aplikace Microsoftu s globálním zabezpečeným přístupem, abyste ochránili připojení mezi Microsoft Security Service Edge a globálním klientem zabezpečeného přístupu. Pokud chcete zajistit, aby uživatelé nemohli obejít službu Microsoft Security Service Edge, vytvořte zásadu podmíněného přístupu, která vyžaduje vyhovující síť pro vaše aplikace Microsoft 365 Enterprise.
Uživatelské prostředí
Když se uživatelé přihlásí k počítači s nainstalovaným, nakonfigurovaným a spuštěným globálním klientem zabezpečeného přístupu, zobrazí se výzva k přihlášení. Když se uživatelé pokusí získat přístup k prostředku chráněnému zásadou. Podobně jako v předchozím příkladu je tato politika vynucována a jsou vyzváni k přihlášení, pokud tak ještě neučinili. Když se podíváte na ikonu hlavního panelu systému pro klienta globálního zabezpečeného přístupu, uvidíte červený kruh, který označuje, že je odhláškaná nebo neběží.
Když se uživatel přihlásí ke klientovi globálního zabezpečeného přístupu, zobrazí se zelený kruh, ke kterému jste přihlášení, a klient je spuštěný.
