Guía de implementación de soluciones de Microsoft Security Service Edge para la prueba de concepto de Acceso a Internet de Microsoft Entra para Microsoft Traffic
Esta guía de implementación de prueba de concepto (PoC) le ayuda a implementar la solución Microsoft Security Service Edge (SSE) que incluye Microsoft Entra Internet Access para Microsoft Traffic.
Información general
La solución Security Service Edge centrada en la identidad de Microsoft converge los controles de acceso de red, identidad y punto de conexión para que puedas proteger el acceso a cualquier aplicación o recurso, desde cualquier ubicación, dispositivo o identidad. Permite y organiza la administración de directivas de acceso para empleados, asociados empresariales y cargas de trabajo digitales. Puede supervisar y ajustar continuamente el acceso de los usuarios en tiempo real si cambian los permisos o el nivel de riesgo de las aplicaciones privadas, aplicaciones SaaS y puntos de conexión de Microsoft. En esta sección se describe cómo completar la prueba de concepto de Acceso a Internet de Microsoft Entra para Microsoft Traffic en su entorno de producción o de prueba.
Implementación de Acceso a Internet de Microsoft Entra para Microsoft Traffic
Complete los pasos de Configuración del producto inicial. Esto incluye la configuración de Acceso a Internet de Microsoft Entra para Microsoft Traffic, lo que permite el perfil de reenvío de tráfico de Microsoft e instala el cliente de Acceso seguro global. Debe definir el ámbito de la configuración a grupos y usuarios de prueba específicos.
Escenario de PoC de ejemplo: protección contra la filtración de datos
La filtración de datos es una preocupación para todas las empresas, especialmente aquellas que operan en sectores altamente regulados, como la Administración Pública o las finanzas. Con los controles salientes en configuración de acceso entre inquilinos, puede impedir que las identidades no autorizadas de los inquilinos externos accedan a los datos de Microsoft al usar los dispositivos administrados.
Acceso a Internet de Microsoft Entra para Microsoft Traffic puede mejorar los controles de prevención de pérdida de datos (DLP) al permitirle:
- protegerse contra el robo de tokens al requerir a los usuarios que solo puedan acceder a los recursos de Microsoft si lo hacen a través de una red compatible.
- aplicar directivas de acceso condicional en las conexiones a Microsoft Security Service Edge.
- implementar restricciones de cuenta empresarial universales v2, lo que elimina la necesidad de enrutar todo el tráfico de usuario a través de servidores proxy de red administrada por el cliente.
- configurar restricciones de cuenta empresarial que impidan que los usuarios accedan a cuentas empresariales externas no autorizadas con cualquier identidad de terceros (por ejemplo, personal o emitido por una organización externa).
- proteger contra la infiltración o filtración de tokens para asegurarse de que los usuarios no pueden omitir las restricciones de cuenta empresarial al mover tokens de acceso hacia y desde dispositivos no administrados o ubicaciones de red.
En esta sección se describe cómo aplicar el acceso de red compatible a Microsoft Traffic, proteger la conexión a Microsoft Security Service Edge con acceso condicional y evitar que las identidades externas accedan a inquilinos externos en los dispositivos administrados o redes mediante restricciones de inquilino universal v2. Las restricciones de cuentas empresariales solo se aplican a las identidades externas; no se aplican a identidades dentro de tu propia cuenta empresarial. Para controlar el acceso saliente para las identidades de sus propios usuarios, usa la configuración de acceso entre cuentas empresariales. La configuración de la directiva de restricciones de inquilinos en Microsoft Entra ID para bloquear el acceso se aplica a los usuarios que obtienen la inserción de encabezados de restricciones de cuenta empresarial. Esto solo incluye usuarios que se enrutan a través de servidores proxy de red del cliente que insertan los encabezados, los usuarios con el cliente de Acceso global seguro implementado o los usuarios en dispositivos Windows con la inserción de encabezados de restricciones de cuenta empresarial habilitadas a través de la configuración del sistema operativo Windows. Al realizar pruebas, asegúrate de que el servicio Acceso global seguro aplica restricciones de cuenta empresarial y no a través de servidores proxy de red del cliente o la configuración de Windows para evitar que otros usuarios afecten involuntariamente. Además, debe habilitar la señalización de acceso condicional para habilitar las opciones de Acceso global seguro en el acceso condicional.
Habilita la señalización de Acceso global seguro para acceso condicional.
Cree una directiva de acceso condicional que requiera una red conforme para el acceso. La configuración del requisito de red compatible bloquea todo el acceso a Office 365 Exchange Online y Office 365 SharePoint Online para los usuarios de prueba, desde cualquier ubicación, a menos que se conecten mediante la solución Microsoft Security Service Edge. Configura la directiva de acceso condicional de esta forma:
- Usuarios: selecciona el usuario de prueba o un grupo piloto.
- Recursos de destino: selecciona las aplicaciones Office 365 Exchange Online y Office 365 SharePoint Online.
- Condiciones:
- En Ubicaciones, selecciona No configurado.
- Establezca Configurar en Sí.
- Incluya Cualquier ubicación.
- Excluye Ubicaciones seleccionadas.
- En Seleccionar, elige Ninguna.
- Selecciona Todas las ubicaciones de red conformes.
Controles de acceso>Conceder> Selecciona Bloquear acceso.
Crea una segunda directiva de acceso condicional que requiera controles para permitir que el cliente de Acceso global seguro se conecte a la solución SSE (como MFA, dispositivo conforme, TOU). Configura la directiva de acceso condicional de esta forma:
Usuarios: selecciona el usuario de prueba o un grupo piloto.
Recursos de destino:
En Seleccione a qué se aplica esta directiva, seleccione Acceso seguro global.
En Seleccionar los perfiles de tráfico a los que se aplica esta directiva, seleccione Microsoft Traffic.
Controles de acceso>Conceder> Selecciona los controles que deseas aplicar, como requerir autenticación multifactor.
Intenta iniciar sesión en SharePoint Online o Exchange Online y comprueba que se te pide que te autentiques en Acceso global seguro. El cliente de acceso seguro global usa tokens de acceso y tokens de actualización para conectarse a la solución Microsoft Security Service Edge. Si anteriormente ha conectado el cliente de Acceso global seguro, es posible que tenga que esperar a que expire el token de acceso (hasta una hora) antes de que se aplique la directiva de acceso condicional que creó.
Para comprobar que la Directiva de acceso condicional se ha aplicado correctamente, ve los registros de inicio de sesión del usuario de prueba para la aplicación ZTNA Network Access Client - M365.
Comprueba que el cliente de Acceso global seguro está conectado al abrir la bandeja en la esquina inferior derecha y verificar que hay una comprobación verde en el icono.
Usa el usuario de prueba para iniciar sesión en SharePoint Online o Exchange Online con el dispositivo de prueba.
Desde otro dispositivo sin el cliente de Acceso global seguro, usa la identidad de usuario de prueba para intentar iniciar sesión en SharePoint Online o Exchange Online. Como alternativa, puede hacer clic con el botón derecho en el cliente de Acceso global seguro en la bandeja del sistema y hacer clic en Pausa y, a continuación, usar la identidad de usuario de prueba para intentar iniciar sesión en SharePoint Online o Exchange Online en el mismo dispositivo.
Desde el dispositivo de prueba con el cliente de acceso seguro global habilitado, intente iniciar sesión en otro inquilino de Microsoft Entra con una identidad externa. Confirma que las restricciones de cuenta empresarial bloquean el acceso.
Ve a la cuenta empresarial externa y consulta tus registros de inicio de sesión. En los registros de inicio de sesión de la cuenta empresarial externa, confirma que el acceso a la cuenta empresarial externa se muestra como bloqueada y registrada.
Escenario de PoC de ejemplo: restauración de direcciones IP de origen
Las soluciones SSE y servidores proxy de red sobrescriben la dirección IP pública del dispositivo de envío, lo que impide que Microsoft Entra ID pueda usar esa dirección IP para directivas o informes. Esta restricción provoca los siguientes problemas:
- Microsoft Entra ID no puede aplicar determinadas directivas de acceso condicional basadas en ubicación (como bloquear países que no son de confianza).
- Las detecciones basadas en riesgos que sacan provecho de las ubicaciones conocidas de línea base de un usuario se degradan porque el sistema limita los algoritmos de aprendizaje automático de Protección de id. de Microsoft Entra a la dirección IP del proxy. No pueden detectar ni entrenar en la dirección IP de origen verdadera del usuario.
- Las operaciones o investigaciones de SOC deben sacar provecho de los registros de proxy o de terceros para determinar la dirección IP de origen original y, a continuación, correlacionarla con los registros de actividad posteriores, lo que da lugar a ineficacias.
En esta sección se muestra cómo Acceso a Internet de Microsoft Entra para Microsoft Traffic supera estos problemas conservando la dirección IP de origen original del usuario, simplificando las investigaciones de seguridad y la solución de problemas.
Para probar la restauración de la dirección IP de origen, se debe habilitar la señalización de Acceso global seguro para el acceso condicional. Necesitas una directiva de acceso condicional que requiera una red conforme, como se ha descrito anteriormente en este artículo.
Comprueba que el cliente de Acceso global seguro está conectado al abrir la bandeja en la esquina inferior derecha y verificar que hay una comprobación verde en el icono. Con la identidad de prueba, inicia sesión en SharePoint Online o Exchange Online.
Ve el registro de inicio de sesión de este acceso y anota la dirección IP y la ubicación. Confirma que no se ha aplicado la directiva de acceso condicional de red conforme.
Establece la directiva de acceso condicional de red conforme en modo de solo informe y seleccione Guardar.
En tu dispositivo cliente de prueba, haz clic con el botón derecho en el icono Cliente de Acceso global seguro en la bandeja del sistema y selecciona Pausar. Mantén el puntero sobre el icono y comprueba que el cliente de Acceso global seguro ya no se conecta al confirmar el cliente de Acceso global seguro: deshabilitado.
Con el usuario de prueba, inicia sesión en SharePoint Online o Exchange Online. Confirma que puedes iniciar sesión y acceder correctamente al recurso.
Ve el registro de inicio de sesión para el último intento de acceso.
Pasos siguientes
Implementación y comprobación de Microsoft Entra Private AccessImplementación y comprobación de Microsoft Entra Internet Access