Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zusätzlich zum Senden von Datenverkehr über globalen sicheren Zugriff können Administratoren Richtlinien für bedingten Zugriff verwenden, um Datenverkehrsprofile zu schützen. Sie können Steuerelemente nach Bedarf kombinieren und abgleichen, indem sie z. B. die mehrstufige Authentifizierung oder ein kompatibles Gerät fordern bzw. ein akzeptables Anmelderisiko definieren. Das Anwenden dieser Steuerelemente auf den Netzwerkdatenverkehr und nicht nur auf Cloudanwendungen ermöglicht den sogenannten universellen bedingten Zugriff.
Bedingter Zugriff auf Datenverkehrsprofile bietet Fachkräften in der IT-Verwaltung enorme Kontrolle über ihren Sicherheitsstatus. Fachkräfte in der IT-Verwaltung können mithilfe der Richtlinie Zero Trust-Prinzipien durchsetzen, um den Zugriff auf das Netzwerk zu verwalten. Die Verwendung von Datenverkehrsprofilen ermöglicht eine konsistente Anwendung der Richtlinie. Beispielsweise können Anwendungen, die die moderne Authentifizierung nicht unterstützen, jetzt hinter einem Datenverkehrsprofil geschützt werden.
Mit dieser Funktionalität ermöglicht es Administratoren, die Richtlinie für bedingten Zugriff konsistent basierend auf Datenverkehrsprofilen und nicht nur auf Anwendungen oder Aktionen durchzusetzen. Administratoren haben mit diesen Richtlinien Zugriff auf bestimmte Datenverkehrsprofile wie das Microsoft-Datenverkehrsprofil, private Ressourcen und Internetzugriff. Benutzer können nur auf diese konfigurierten Endpunkte oder Datenverkehrsprofile zugreifen, wenn sie die konfigurierten Richtlinien für bedingten Zugriff erfüllen.
Voraussetzungen
- Administratoren, die Features des globalen sicheren Zugriffs verwenden, müssen abhängig von den durch sie ausgeführten Aufgaben über die folgenden Rollenzuweisungen verfügen.
- Die Rolle „Administrator für globalen sicheren Zugriff“ zum Verwalten der Features des globalen sicheren Zugriffs.
- Die Rolle Administrierende Person für bedingten Zugriff zum Erstellen und Interagieren mit Richtlinien für bedingten Zugriff.
- Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
Bekannte Einschränkungen bei der Tunnelautorisierung
Die Weiterleitungsprofile sowohl für Microsoft als auch für Internetzugriff verwenden Microsoft Entra ID-Richtlinien für bedingten Zugriff, um den Zugriff auf ihre Tunnel im Client für globalen sicheren Zugriff zu autorisieren. Dies bedeutet, dass Sie den Zugriff auf Weiterleitungsprofile für Microsoft-Datenverkehr und Internetzugriff in bedingtem Zugriff gewähren oder blockieren können. In einigen Fällen, wenn die Autorisierung für einen Tunnel nicht gewährt wird, erfordert der Wiederherstellungspfad zum Wiedererlangen des Zugriffs auf Ressourcen den Zugriff auf Ziele entweder im Weiterleitungsprofil des Microsoft-Datenverkehrs oder im Internetzugriff, wodurch ein Benutzer vom Zugriff auf alles auf seinem Computer ausgeschlossen wird.
Ein Beispiel: Wenn Sie den Zugriff auf die Zielressource für den Internetzugriff auf nicht kompatiblen Geräten blockieren, können Benutzer des Microsoft Entra-Internetzugriffs ihre Geräte nicht wieder in die Konformität bringen. Die Möglichkeit, dieses Problem zu beheben, besteht darin, Netzwerkendpunkte für Microsoft Intune und alle anderen Ziele zu umgehen, auf die in benutzerdefinierten Compliance-Ermittlungsskripts für Microsoft Intune zugegriffen wird. Sie können diesen Vorgang als Teil der benutzerdefinierten Umgehung im Internetzugriff-Weiterleitungsprofil ausführen.
Andere bekannte Einschränkungen
Ausführliche Informationen zu bekannten Problemen und Einschränkungen finden Sie unter "Bekannte Einschränkungen für den globalen sicheren Zugriff".
Richtlinien für bedingten Zugriff
Mit bedingtem Zugriff können Sie Zugriffssteuerungen und Sicherheitsrichtlinien für den von Microsoft Entra-Internetzugriff und Microsoft Entra-Privatzugriff erworbenen Netzwerkdatenverkehr aktivieren.
- Erstellen Sie eine Richtlinie für den gesamten Microsoft-Datenverkehr.
- Wenden Sie Richtlinien für den bedingten Zugriff auf Ihre Apps für den Privatzugriff an, z. B. Schnellzugriff.
- Aktivieren Sie die Wiederherstellung der IP-Quelle für den globalen sicheren Zugriff , damit die IP-Quelladresse in den entsprechenden Protokollen und Berichten sichtbar ist.
Flussdiagramm für Internetzugriff
Das folgende Beispiel zeigt, wie Microsoft Entra Internet Access funktioniert, wenn Sie Richtlinien für den universellen bedingten Zugriff auf Netzwerkdatenverkehr anwenden.
Hinweis
Die Microsoft Security Service Edge-Lösung besteht aus drei Tunneln: Microsoft-Datenverkehr, Internetzugriff und Privatzugriff. Universaler bedingter Zugriff gilt für Internetzugriffs- und Microsoft-Datenverkehrstunnel. Es gibt keine Unterstützung für das Ziel des Tunnels für den Privatzugriff. Sie müssen Private Access Enterprise-Anwendungen einzeln als Ziel festlegen.
Das folgende Flussdiagramm veranschaulicht den universellen bedingten Zugriff auf Internetressourcen und Microsoft-Apps mit globalem sicheren Zugriff.
| Schritt | Beschreibung |
|---|---|
| 1 | Der Client für globalen sicheren Zugriff versucht, eine Verbindung mit der Security Service Edge-Lösung von Microsoft herzustellen. |
| 2 | Der Client leitet zur Authentifizierung und Autorisierung zu Microsoft Entra ID um. |
| 3 | Der Benutzer und das Gerät authentifizieren sich. Die Authentifizierung erfolgt nahtlos, wenn der Benutzer über ein gültiges primäres Aktualisierungstoken verfügt. |
| 4 | Nach der Authentifizierung von Benutzer und Gerät wird die Richtlinie für universellen bedingten Zugriff durchgesetzt. Richtlinien für den universellen bedingten Zugriff zielen auf die etablierten Microsoft- und Internettunnel zwischen dem Client für globalen sicheren Zugriff und Microsoft Security Service Edge ab. |
| 5 | Microsoft Entra ID gibt das Zugriffstoken für den Client für globalen sicheren Zugriff aus. |
| 6 | Der Client für globalen sicheren Zugriff stellt das Zugriffstoken für Microsoft Security Service Edge dar. Das Token bestätigt sich. |
| 7 | Tunnel werden zwischen dem Client für globalen sicheren Zugriff und Microsoft Security Service Edge erstellt. |
| 8 | Der Datenverkehr beginnt erfasst zu werden und wird über den Microsoft- und Internetzugriffstunnel zum Ziel getunnelt. |
Hinweis
Richten Sie Microsoft-Apps mit globalem sicherem Zugriff ein, um die Verbindung zwischen Microsoft Security Service Edge und dem Client für globalen sicheren Zugriff zu schützen. Um sicherzustellen, dass Benutzer den Microsoft Security Service Edge-Dienst nicht umgehen können, erstellen Sie eine Richtlinie für bedingten Zugriff, die ein kompatibles Netzwerk für Ihre Microsoft 365 Enterprise-Anwendungen erfordert.
Benutzerfreundlichkeit
Wenn sich Benutzer bei einem Computer anmelden, auf dem der Client für globalen sicheren Zugriff installiert bzw. konfiguriert ist und zum ersten Mal ausgeführt wird, werden sie aufgefordert, sich anzumelden. Wenn Benutzer versuchen, auf eine Ressource zuzugreifen, die durch eine Richtlinie geschützt ist Wie im vorherigen Beispiel wird die Richtlinie erzwungen, und sie werden aufgefordert sich anzumelden, wenn dies noch nicht geschehen ist. Beim Betrachten des Systemtray-Symbols für den Global Secure Access Client sehen Sie einen roten Kreis, der darauf hinweist, dass er abgemeldet ist oder nicht ausgeführt wird.
Wenn sich ein Benutzer beim Global Secure Access Client anmeldet, signalisiert ein grüner Kreis, dass Sie angemeldet sind und der Client ausgeführt wird.
