Sdílet prostřednictvím

Povolit kontrolu sítě v souladu s podmíněným přístupem

Organizace, které používají podmíněný přístup spolu s globálním zabezpečeným přístupem, můžou zabránit škodlivému přístupu k aplikacím Microsoftu, aplikacím SaaS třetích stran a privátním podnikovým aplikacím (LoB) s využitím několika podmínek, které poskytují hloubkovou ochranu. Mezi tyto podmínky může patřit silné ověřování pomocí faktorů, soulad zařízení, poloha a další faktory. Povolení těchto podmínek chrání vaši organizaci před ohrožením identity uživatele nebo krádeží tokenů. Globální zabezpečený přístup představuje koncept kompatibilní sítě v rámci podmíněného přístupu Microsoft Entra ID. Tato kontrola sítě vyhovující předpisům zajišťuje, že se uživatelé připojují přes službu Globální zabezpečený přístup pro konkrétního tenanta a dodržují zásady zabezpečení vynucené správci.

Klient Global Secure Access, nainstalovaný na zařízeních nebo uživatelích za nakonfigurovanými vzdálenými sítěmi, umožňuje správcům zabezpečit prostředky za vyhovující sítí pomocí pokročilých řízení podmíněného přístupu. Tato síťová funkce, která vyhovuje předpisům, usnadňuje správcům správu zásad přístupu, aniž by museli udržovat seznam výchozích IP adres a odstraňuje požadavek na přenos dat přes síť VPN organizace, aby zachovali ukotvení zdrojových IP adres a použili zásady podmíněného přístupu založené na PROTOKOLU IP. Další informace o podmíněném přístupu najdete v tématu Co je podmíněný přístup?

Vynucování shody kontrol sítě

Vynucování dodržování pravidel v síti snižuje riziko krádeže a opakovaného použití tokenů. Vynucování úrovně ověřování provádí Microsoft Entra ID v době ověřování uživatele. Pokud útočník ukradl token relace a pokusí se ho zopakovat ze zařízení, které není připojeno k síti vyhovující vaší organizaci (například žádost o přístupový token s odcizeným obnovovacím tokenem), Entra ID okamžitě tuto žádost zamítne a dále přístup zablokuje. Vynucování roviny dat funguje se službami integrovanými s Globálním zabezpečeným přístupem a podporujícími průběžné vyhodnocování přístupu (CAE) – v současné době Microsoft Graph. U aplikací, které podporují CAE, budou odcizené přístupové tokeny, které jsou znovu použity mimo síť vašeho tenantu splňující požadavky kompatibility, zamítnuty aplikací téměř v reálném čase. Bez CAE bude odcizený přístupový token trvat až do plné životnosti (výchozí hodnota je 60 až 90 minut).

Tato kontrola sítě dodržující předpisy je specifická pro tenanta, ve kterém je nakonfigurovaná. Pokud například definujete zásady podmíněného přístupu, které vyžadují v contoso.com kompatibilní síť, můžou tento ovládací prvek předat jenom uživatelé s globálním zabezpečeným přístupem nebo konfigurací vzdálené sítě. Uživatel z fabrikam.com nebude schopen splnit požadavky kompatibilní sítě domény contoso.com.

Kompatibilní síť se liší od IPv4, IPv6 nebo geografických umístění , která můžete nakonfigurovat v Microsoft Entra. Správci nemusí kontrolovat a udržovat kompatibilní síťové IP adresy a rozsahy, posílit stav zabezpečení a minimalizovat režijní náklady na správu.

Požadavky

  • Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu , musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí.
    • Role globálního správce zabezpečeného přístupu pro správu funkcí globálního zabezpečeného přístupu.
    • Správce podmíněného přístupu k povolení signalizace Globálního zabezpečeného přístupu pro podmíněný přístup, a také k vytváření a interakci se zásadami podmíněného přístupu a pojmenovanými lokalitami.
  • Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.

Známá omezení

Podrobné informace o známých problémech a omezeních najdete v tématu Známá omezení globálního zabezpečeného přístupu.

Povolení signalizace globálního zabezpečeného přístupu pro podmíněný přístup

Pokud chcete povolit požadované nastavení, aby se povolila kontrola vyhovující sítě, musí správce provést následující kroky.

  1. Přihlaste se do Centra pro správu Microsoft Entra pomocí účtu, který má aktivovanou roli globálního správce zabezpečeného přístupu a správce podmíněného přístupu .
  2. Přejděte do Globální zabezpečený přístup>Nastavení>Správa relací>Adaptivní přístup.
  3. Výběrem přepínače povolte signalizaci certifikační autority pro ID Entra (pokrývající všechny cloudové aplikace).
  4. Přejděte k Ochrana>Podmíněný přístup>Pojmenované lokality.
    1. Ověřte, že máte umístění s názvem Všechna vyhovující síťová umístění s typem umístění Přístup k síti. Organizace můžou volitelně označit toto umístění jako důvěryhodné.

Snímek obrazovky znázorňující přepínač pro povolení signalizace v podmíněném přístupu

Upozornění

Pokud má vaše organizace aktivní zásady podmíněného přístupu na základě kontroly kompatibilní sítě a vy později zakážete signalizaci globálního zabezpečeného přístupu v podmíněném přístupu, můžete neúmyslně zablokovat přístup k prostředkům cílovým koncovým uživatelům. Pokud tuto funkci musíte zakázat, nejprve odstraňte všechny odpovídající zásady podmíněného přístupu.

Chraňte své prostředky prostřednictvím sítě dodržující předpisy

Zásady podmíněného přístupu v síti se dají použít k ochraně aplikací Microsoftu a třetích stran, které jsou integrované s jednotným přihlašováním Entra ID. Typická zásada bude obsahovat „blokování“ pro všechna síťová umístění kromě vyhovující sítě. Následující příklad ukazuje kroky konfigurace tohoto typu zásad:

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte do Entra ID>Podmíněný přístup.
  3. Vyberte Vytvořit novou zásadu.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity pracovních úloh.
    1. V části Zahrnout vyberte Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo účty pro krizové situace ve vaší organizaci.
  6. V části Cílové prostředky>Zahrnout a vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
    1. Pokud vaše organizace registruje zařízení do Microsoft Intune, doporučuje se vyloučit aplikace Microsoft Intune Enrollment a Microsoft Intune ze zásad podmíněného přístupu, aby nedocházelo k cyklické závislosti.
  7. V části Síť.
    1. Nastavte možnost Konfigurovat na hodnotu Ano.
    2. V části Zahrnout vyberte Libovolné umístění.
    3. V části Vyloučit vyberte Všechna kompatibilní síťová umístění.
  8. V části Řízení přístupu:
    1. Povolit, vyberte Blokovat přístup a zvolte Vybrat.
  9. Potvrďte nastavení a nastavte Zapnout politiku na Zapnuto.
  10. Výběrem tlačítka Vytvořit vytvořte a povolte zásadu.

Poznámka:

Použijte globální zabezpečený přístup spolu se zásadami podmíněného přístupu, které vyžadují síť vyhovující předpisům pro všechny prostředky.

Globální prostředky zabezpečeného přístupu jsou automaticky vyloučeny ze zásad podmíněného přístupu, pokud je v zásadách povolená kompatibilní síť . Není třeba žádné explicitní vyloučení zdrojů. Tato automatická vyloučení jsou nutná, aby se zajistilo, že globální klient zabezpečeného přístupu nemá blokovaný přístup k požadovaným prostředkům. Pro globální zabezpečený přístup jsou potřeba následující prostředky:

  • Globální profily zabezpečeného provozu a přístupu
  • Global Secure Access Policy Service (interní služba)

Události přihlášení pro ověřování vyloučených prostředků globálního zabezpečeného přístupu se zobrazí v protokolech přihlašování k Microsoft Entra ID jako:

  • Internetové prostředky s globálním zabezpečeným přístupem
  • Aplikace Microsoftu s globálním zabezpečeným přístupem
  • Všechny privátní prostředky s globálním zabezpečeným přístupem
  • Služba zásad ZTNA

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

  • Nouzový přístup nebo účty pro nouzový přístup (break-glass) k zabránění uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
  • Služební účty a principály služby, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na servisní principály.
    • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.

Vyzkoušejte svou síťovou politiku vyhovující předpisům

  1. Na zařízení koncového uživatele s nainstalovaným a spuštěným klientem Global Secure Access přejděte na nebo k jiné aplikaci, která ve vašem tenantovi používá jednotné přihlašování Entra ID.
  2. Pozastavte klienta globálního zabezpečeného přístupu tak, že kliknete pravým tlačítkem myši na aplikaci na hlavním panelu Windows a vyberete Zakázat.
  3. Po zakázání klienta globálního zabezpečeného přístupu přejděte k jiné aplikaci integrované s jednotným přihlašováním s Id Entra. Můžete se například pokusit přihlásit k webu Azure Portal. Vaše přístup by měl být blokován Podmíněným přístupem Entra ID.

Poznámka:

Pokud jste už přihlášení k aplikaci, přístup se nepřeruší. Podmínku vyhovující sítě vyhodnocuje Entra ID a pokud jste již přihlášeni, můžete mít existující relaci s aplikací. V tomto scénáři se kontrola souladu sítě znovu vyhodnotí, až bude příště vyžadováno přihlášení k ID Entra po vypršení platnosti relace vaší aplikace.

Snímek obrazovky s chybovou zprávou v okně prohlížeče, ke které teď nemáte přístup

Další kroky

Omezení všeobecných nájemců