Povolení kontroly sítě kompatibilní s podmíněným přístupem

Organizace, které používají podmíněný přístup spolu s globálním zabezpečeným přístupem, můžou zabránit škodlivému přístupu k aplikacím Microsoftu, aplikacím SaaS třetích stran a soukromým podnikovým aplikacím (LoB) s využitím více podmínek, které poskytují hloubkovou ochranu. Tyto podmínky můžou zahrnovat dodržování předpisů zařízením, umístění a další informace o ochraně před identitou uživatele nebo krádeží tokenů. Globální zabezpečený přístup představuje koncept kompatibilní sítě v rámci podmíněného přístupu Microsoft Entra ID. Tato kontrola vyhovující sítě zajišťuje, že se uživatelé připojují z ověřeného modelu síťového připojení pro konkrétního tenanta a splňují zásady zabezpečení vynucené správci.

Globální klient zabezpečeného přístupu nainstalovaný na zařízeních nebo uživatelích za nakonfigurovanými vzdálenými sítěmi umožňuje správcům zabezpečit prostředky za kompatibilní sítí pomocí pokročilých řízení podmíněného přístupu. Tato síťová funkce vyhovující předpisům usnadňuje správcům správu zásad přístupu, aniž by museli udržovat seznam výchozích IP adres. Tím se odebere požadavek na přenosy vlasů prostřednictvím sítě VPN organizace.

Dodržování předpisů vynucování kontroly sítě

Dodržování předpisů vynucování sítě probíhá v rovině ověřování (obecně dostupné) a v rovině dat (Preview). Vynucování roviny ověřování provádí ID Microsoft Entra v době ověřování uživatele. Vynucení roviny dat funguje se službami, které podporují průběžné vyhodnocování přístupu (CAE) – aktuálně Exchange Online a SharePoint Online. S CAE můžete vynutit hloubkovou ochranu pomocí ochrany proti krádeži tokenů.

Tato kontrola sítě dodržující předpisy je specifická pro každého tenanta.

• Pomocí této kontroly můžete zajistit, aby k vašim prostředkům nemohly přistupovat jiné organizace, které používají globální služby zabezpečeného přístupu Microsoftu.
  • Contoso může například chránit své služby, jako je Exchange Online a SharePoint Online, za kontrolou sítě dodržující předpisy, aby k těmto prostředkům měli přístup jenom uživatelé společnosti Contoso.
  • Pokud jiná organizace, jako je Fabrikam, používala kompatibilní kontrolu sítě, neprošla by kontrolou sítě vyhovující předpisům společnosti Contoso.

Kompatibilní síť se liší od IPv4, IPv6 nebo geografických umístění , která můžete nakonfigurovat v Microsoft Entra. Správci nemusí kontrolovat a udržovat kompatibilní síťové IP adresy a rozsahy, posílit stav zabezpečení a minimalizovat průběžnou administrativní režii.

Požadavky

• Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu , musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí.
  • Role globálního správce zabezpečeného přístupu pro správu funkcí globálního zabezpečeného přístupu.
  • Správce podmíněného přístupu pro vytváření a interakci se zásadami podmíněného přístupu a pojmenovanými umístěními
• Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
• Pokud chcete použít profil přesměrování provozu Microsoftu, doporučuje se licence Microsoftu 365 E3.

Známá omezení

• Dodržování předpisů vynucování roviny dat v rovině sítě (Preview) s průběžným vyhodnocením přístupu se podporuje pro SharePoint Online a Exchange Online.
• Povolení signálu podmíněného přístupu globálního zabezpečeného přístupu umožňuje signalizovat jak pro rovinu ověřování (Microsoft Entra ID), tak pro signalizaci roviny dat (Preview). V současné době není možné tato nastavení povolit samostatně.
• U aplikací privátního přístupu se v současné době nepodporuje kontrola kompatibilní se sítí.
• Podmínka kompatibilního síťového umístění není podporovaná pro zařízení, která nejsou zaregistrovaná ve správě mobilních zařízení (MDM). Pokud nakonfigurujete zásadu podmíněného přístupu pomocí podmínky kompatibilního síťového umístění, můžou to mít vliv na uživatele se zařízeními, která ještě nejsou zaregistrovaná v MDM. Uživatelům na těchto zařízeních může selhat kontrola zásad podmíněného přístupu a blokování.
  • Ujistěte se, že při použití podmínky kompatibilního síťového umístění vyloučíte ovlivněné uživatele nebo zařízení.

Povolení globálního zabezpečeného přístupu pro podmíněný přístup

Pokud chcete povolit požadované nastavení, aby se povolila kontrola vyhovující sítě, musí správce provést následující kroky.

1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
2. Přejděte do globálního>globálního nastavení globálního nastavení>řízení relace řízení relace.
3. Výběrem přepínače povolte signalizaci certifikační autority pro ID Entra (pokrývající všechny cloudové aplikace). Tím se automaticky povolí signalizace CAE pro Office 365 (Preview).
4. Přejděte k pojmenovaným umístěním> podmíněného přístupu ochrany.>
   1. Ověřte, že máte umístění s názvem Všechna vyhovující síťová umístění s typem umístění Přístup k síti. Organizace můžou volitelně označit toto umístění jako důvěryhodné.

Upozornění

Pokud má vaše organizace aktivní zásady podmíněného přístupu na základě kontroly kompatibilní sítě a zakážete globální signalizaci zabezpečeného přístupu v podmíněném přístupu, můžete neúmyslně zablokovat přístup k prostředkům cílovým koncovým uživatelům. Pokud tuto funkci musíte zakázat, nejprve odstraňte všechny odpovídající zásady podmíněného přístupu.

Ochrana prostředků za sítí dodržující předpisy

Zásady podmíněného přístupu v síti se dají použít k ochraně aplikací Microsoftu a třetích stran. Typická zásada bude mít udělení bloku pro všechna síťová umístění s výjimkou vyhovující sítě. Následující příklad ukazuje kroky konfigurace tohoto typu zásad:

1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
2. Přejděte k podmíněnému přístupu k ochraně>.
3. Vyberte Vytvořit novou zásadu.
4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Možnost Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
6. V části Cílové prostředky>Zahrnout a vyberte Vybrat aplikace.
   1. Zvolte Office 365 Exchange Online a/nebo Office 365 SharePoint Online a/nebo některou z vašich aplikací SaaS třetích stran.
   2. Konkrétní cloudová aplikace Office 365 ve výběru aplikace se v současné době nepodporuje, takže tuto cloudovou aplikaci nevybírejte.
7. Za podmínek>umístění.
   1. Nastavte možnost Konfigurovat na hodnotu Ano.
   2. V části Zahrnout vyberte Libovolné umístění.
   3. V části Vyloučit vyberte Vybraná umístění.
      1. Vyberte umístění Všech kompatibilních síťových umístění.
   4. Zvolte Zvolit.
8. V části Řízení přístupu:
   1. Udělte, vyberte Blokovat přístup a vyberte Vybrat.
9. Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.
10. Výběrem tlačítka Vytvořit vytvořte zásadu.

Poznámka:

Můžete použít profily přenosů globálního zabezpečeného přístupu spolu se zásadami podmíněného přístupu, které vyžadují vyhovující síť pro všechny cloudové aplikace. Při nastavování zásady s použitím umístění umístění v síti kompatibilních se všemi cloudovými aplikacemi není nutné žádné vyloučení.

Při vyžadování vyhovující sítě se automaticky vyloučují z vynucení podmíněného přístupu ověřování do globálních profilů přenosů zabezpečeného přístupu. Toto vyloučení umožňuje klientovi globálního zabezpečeného přístupu přistupovat k požadovaným prostředkům pro spuštění a ověření uživatele.

Události přihlášení pro ověřování vyloučených profilů přenosů zabezpečeného přístupu se zobrazují v protokolech přihlašování k Microsoft Entra ID jako "ZTNA Network Access Traffic Profile".

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu tísňového volání se dá použít k přihlášení k tenantovi a provést kroky pro obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Účty služeb, jako jsou tyto, by se měly vyloučit, protože vícefaktorové ověřování není možné dokončit programově. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze základních zásad.

Vyzkoušení zásad sítě vyhovujících předpisům

1. Na zařízení koncového uživatele s nainstalovaným a spuštěným klientem globálního zabezpečeného přístupu přejděte k https://outlook.office.com/mail/ prostředkům nebo https://yourcompanyname.sharepoint.com/k němu máte přístup.
2. Pozastavte klienta globálního zabezpečeného přístupu tak, že kliknete pravým tlačítkem myši na aplikaci na hlavním panelu Windows a vyberete Pozastavit.
3. Přejděte na https://outlook.office.com/mail/ stránku nebo https://yourcompanyname.sharepoint.com/, máte zablokovaný přístup k prostředkům s chybovou zprávou s informací , že k tomu teď nemáte přístup.

Řešení problému

Ověřte, že se nové pojmenované umístění automaticky vytvořilo pomocí Microsoft Graphu.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Další kroky

Omezení univerzálního tenanta