Sicherer Zugriff auf cloudbasierte, öffentliche und private Apps mithilfe von Microsoft Graph-Netzwerkzugriffs-APIs (Vorschau)
Microsoft Entra Internet Access und Microsoft Entra Private Access sind die Security Service Edge-Lösung von Microsoft und ermöglichen Es Organisationen, Kontrollen zu konsolidieren und einheitliche Identitäts- und Netzwerkzugriffsrichtlinien zu konfigurieren. Microsoft Entra Internet Access sichert den Zugriff auf Microsoft 365-, SaaS- und öffentliche Internet-Apps und schützt Gleichzeitig Benutzer, Geräte und Daten vor Internetbedrohungen. Auf der anderen Seite sichert Microsoft Entra Private Access den Zugriff auf private Apps, die lokal oder in der Cloud gehostet werden.
In diesem Artikel werden die Netzwerkzugriffs-APIs in Microsoft Graph beschrieben, die die Dienste Microsoft Entra Internet Access und Microsoft Entra Private Access aktivieren. Global Secure Access ist der vereinheitlichende Begriff für diese beiden Dienste. Weitere Informationen finden Sie unter Was ist globaler sicherer Zugriff?
Bausteine der Netzwerkzugriffs-APIs
Die Netzwerkzugriffs-APIs stellen ein Framework bereit, um zu konfigurieren, wie Sie Datenverkehr und die zugehörigen Regeln weiterleiten oder filtern möchten. In der folgenden Tabelle sind die Kernentitäten aufgeführt, aus denen die Netzwerkzugriffs-APIs bestehen.
| Entitäten | Beschreibung |
|---|---|
| forwardingProfile | Bestimmt, wie Datenverkehr über die Global Secure Access-Dienste weitergeleitet oder umgangen wird. Ein Weiterleitungsprofil ist an einen Datenverkehrstyp gebunden, der Microsoft 365-, Internet- oder Privater Datenverkehr sein kann. Ein Weiterleitungsprofil kann dann über mehrere Weiterleitungsrichtlinien verfügen. Beispielsweise verfügt das Microsoft 365-Weiterleitungsprofil über Richtlinien für Exchange Online, SharePoint Online usw. |
| forwardingPolicy | Definiert die Regeln für das Routing oder die Umgehung bestimmter Datenverkehrstypen über die Global Secure Access-Dienste. Jede Richtlinie wird mit einem Datenverkehrstyp versucht, der Microsoft 365, Internet oder Privater Datenverkehr sein kann. Eine Weiterleitungsrichtlinie kann nur Weiterleitungsrichtlinienregeln enthalten. |
| forwardingPolicyLink | Stellt die Beziehung zwischen einem Weiterleitungsprofil und einer Weiterleitungsrichtlinie dar und behält den aktuellen Zustand der Verbindung bei. |
| policyRule | Verwaltet die Kerndefinition eines Richtlinienregelsatzes. |
| remoteNetwork | Stellt den physischen Standort dar, von dem aus Benutzer und Geräte eine Verbindung herstellen, um auf die Cloud, öffentliche oder private Apps zuzugreifen. Jedes Remotenetzwerk umfasst Geräte, und die Verbindung von Geräten in einem Remotenetzwerk wird über kundenlokale Geräte (Customer-Premises Equipment, CPE) aufrechterhalten. |
| filteringProfile | Gruppenfilterrichtlinien, die dann Richtlinien für bedingten Zugriff in Microsoft Entra zugeordnet werden, um eine Vielzahl von Benutzerkontextbedingungen zu nutzen. |
| filteringPolicy | Kapselt verschiedene Richtlinien, die von Administratoren konfiguriert wurden, z. B. Netzwerkfilterrichtlinien, Verhinderung von Datenverlust und Bedrohungsschutz. |
| filteringPolicLink | Stellt die Beziehung zwischen einem Filterprofil und einer Filterrichtlinie dar und behält den aktuellen Zustand der Verbindung bei. |
Onboarding in den Dienstprozess
Um die Global Secure Access-Dienste und die unterstützenden Netzwerkzugriffs-APIs verwenden zu können, müssen Sie das Onboarding explizit in den Dienst durchführen.
| Vorgang | Beschreibung |
|---|---|
| Onboarding des Mandanten | Integrieren Sie die Dienste Microsoft Entra Internet Access und Private Access. |
| Überprüfen des Status | Überprüfen Sie den Onboardingstatus für den Mandanten. |
Profile und Richtlinien für die Datenverkehrsweiterleitung
Die folgenden APIs ermöglichen es einem Administrator, Weiterleitungsprofile zu verwalten und zu konfigurieren. Es gibt drei Standardprofile: Microsoft 365, Privat und Internet. Verwenden Sie die folgenden APIs, um Profile und Richtlinien für die Datenverkehrsweiterleitung zu verwalten.
| Beispielvorgänge | Beschreibung |
|---|---|
| Auflisten von Weiterleitungsprofilen | Listet die für den Mandanten konfigurierten Weiterleitungsprofile auf. Sie können die zugeordneten Richtlinien auch mithilfe des Abfrageparameters $expand abrufen. |
| Aktualisieren von forwardingProfile | Aktivieren oder deaktivieren Sie ein Weiterleitungsprofil oder konfigurieren Sie Zuordnungen wie das Remotenetzwerk. |
| Richtlinien für die Listenweiterleitung | Listet die für den Mandanten konfigurierten Weiterleitungsrichtlinien auf. Sie können auch die zugeordneten Weiterleitungsrichtlinienregeln mithilfe des $expand Abfrageparameters abrufen. |
| Links zur Weiterleitungsrichtlinie auflisten | Listen Sie die Richtlinienlinks auf, die einem Weiterleitungsprofil zugeordnet sind. Sie können auch die zugeordneten Weiterleitungsrichtlinienregeln mithilfe des $expand Abfrageparameters abrufen. |
Remotenetzwerke
Ein Remotenetzwerkszenario umfasst Benutzergeräte oder geräte ohne Benutzer wie Drucker, die eine Verbindung über kundenlokale Geräte (Customer-Premises Equipment, CPE), auch als Geräteverbindungen bezeichnet, an einem physischen Bürostandort herstellen.
Verwenden Sie die folgenden APIs, um die Details eines Remotenetzwerks zu verwalten, das Sie in den Dienst integriert haben.
| Beispielvorgänge | Beschreibung |
|---|---|
|
Erstellen eines Remotenetzwerks Erstellen von Gerätelinks für ein Remotenetzwerk Erstellen von Weiterleitungsprofilen für ein Remotenetzwerk |
Erstellen Sie Remotenetzwerke und die zugehörigen Gerätelinks und Weiterleitungsprofile. |
|
Auflisten von Remotenetzwerken Auflisten von Gerätelinks für ein Remotenetzwerk Auflisten von Weiterleitungsprofilen für ein Remotenetzwerk |
Auflisten von Remotenetzwerken und den zugehörigen Gerätelinks und Weiterleitungsprofilen. |
Zugriffssteuerung
Die Netzwerkzugriffs-APIs bieten eine Möglichkeit zum Verwalten von drei Arten von Zugriffssteuerungseinstellungen in Ihrer Organisation: mandantenübergreifender Zugriff, bedingter Zugriff und Weiterleitungsoptionen. Diese Einstellungen stellen sicheren und effizienten Netzwerkzugriff für Geräte und Benutzer in Ihrem Mandanten sicher.
Mandantenübergreifende Zugriffseinstellungen
Mandantenübergreifende Zugriffseinstellungen umfassen das Tagging von Netzwerkpaketen und die Erzwingung von Richtlinien für Mandanteneinschränkungen (TRv2), um die Datenexfiltration zu verhindern. Verwenden Sie den Ressourcentyp crossTenantAccessSettings und die zugehörigen APIs, um mandantenübergreifende Zugriffseinstellungen zu verwalten.
Einstellungen für bedingten Zugriff
Die Einstellungen für bedingten Zugriff in den Global Secure Access Services umfassen das Aktivieren oder Deaktivieren der Signalisierung für bedingten Zugriff für die Wiederherstellung und Konnektivität der Quell-IP. Die Konfiguration bestimmt, ob die Zielressource die ursprüngliche Quell-IP-Adresse des Clients oder die IP-Adresse des Global Secure Access-Diensts empfängt.
Verwenden Sie den Ressourcentyp conditionalAccessSettings und die zugehörigen APIs, um Einstellungen für bedingten Zugriff zu verwalten.
Verwenden Sie den Ressourcentyp compliantNetworkNamedLocation , um sicherzustellen, dass Benutzer über ein überprüftes Netzwerkkonnektivitätsmodell für ihren spezifischen Mandanten eine Verbindung herstellen und den von Administratoren erzwungenen Sicherheitsrichtlinien entsprechen.
Weiterleitungsoptionen
Mit Weiterleitungsoptionen können Administratoren die Möglichkeit aktivieren oder deaktivieren, die DNS-Suche am Edge zu überspringen und Microsoft 365-Datenverkehr direkt an Front Door weiterzuleiten, indem sie die vom Client aufgelöste Ziel-IP-Adresse verwenden. Verwenden Sie den Ressourcentyp forwardingOptions und die zugehörigen APIs, um Weiterleitungsoptionen zu verwalten.
Überwachungsprotokolle
Die Überwachung und Überwachung von Ereignissen in Ihrer Umgebung ist für die Aufrechterhaltung von Sicherheit, Compliance und betrieblicher Effizienz von entscheidender Bedeutung. Die Global Secure Access-Ereignisse werden in den Verzeichnisprotokollen protokolliert, und Anmeldeprotokolle können mithilfe der zugehörigen APIs abgerufen werden.
Datenverkehrsprotokolle und -berichte
Sie können die Verbindungsprotokolle für den Netzwerkdatenverkehr durchsuchen, um eine Aufschlüsselung der Arten von Netzwerkdatenverkehr über die Global Secure Access-Dienste anzuzeigen. Verwenden Sie den Ressourcentyp networkAccessTraffic und die zugehörigen APIs, um präzise Protokolle für Netzwerkdatenverkehr anzuzeigen.
Sie können auch die zusammengefasste Anzahl des Datenverkehrs im Zusammenhang mit Geräten, Benutzern, Transaktionen und mandantenübergreifenden Zugriffsanforderungen über die Global Secure Access-Dienste abrufen. Verwenden Sie den Ressourcentyp reports und die zugehörigen APIs, um zusammengefasste Netzwerkdatenverkehrsstatistiken anzuzeigen.
Angereicherte Microsoft 365-Datenverkehrsprotokolle
Mit den Global Secure Access-Diensten können Sie die Microsoft 365-Überwachungsprotokolle mit Informationen zum Netzwerkdatenverkehr anreichern. Mit angereicherten Datenverkehrsprotokollen können Sie Netzwerkdiagnosedaten, Leistungsdaten und Sicherheitsereignisse überprüfen, die für Microsoft 365-Apps relevant sind. Datenverkehr, der sich auf die folgenden drei Microsoft 365-Workloads bezieht, kann mit Informationen zum Netzwerkdatenverkehr angereichert werden: SharePoint, Microsoft Teams und Exchange Online.
Zero Trust
Dieses Feature hilft Organisationen, ihre Identitäten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Gehe von einem Verstoß aus
Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre Organisation an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.