Accès conditionnel universel via Global Secure Access
En plus d’envoyer du trafic à Accès global sécurisé global, les administrateurs peuvent utiliser des stratégies d’accès conditionnel pour sécuriser les profils de trafic. Ils peuvent mélanger et faire correspondre des contrôles selon les besoins, comme exiger une authentification multifacteur, exiger un appareil conforme ou définir un risque de connexion acceptable. L’application de ces contrôles au trafic réseau, et pas seulement aux applications cloud, permet ce que nous appelons l’accès conditionnel universel.
L’accès conditionnel sur les profils de trafic offre aux administrateurs un contrôle considérable sur leur posture de sécurité. Les administrateurs peuvent appliquer les Principes de la Confiance Zéro à l’aide d’une stratégie pour gérer l’accès au réseau. L’utilisation de profils de trafic permet une application cohérente de la stratégie. Par exemple, les applications qui ne prennent pas en charge l’authentification moderne peuvent désormais être protégées derrière un profil de trafic.
Cette fonctionnalité permet aux administrateurs d’appliquer de manière cohérente la stratégie d’accès conditionnel en fonction des profils de trafic, et pas seulement des applications ou des actions. Les administrateurs peuvent cibler des profils de trafic spécifiques tels que le profil de trafic Microsoft, les ressources privées et l’accès Internet grâce à ces stratégies. Les utilisateurs peuvent accéder à ces points de terminaison ou profils de trafic configurés uniquement lorsqu’ils satisfont aux stratégies d’accès conditionnel configurées.
Prérequis
- Les administrateurs interagissant avec les fonctionnalités d’Accès global sécurisé doivent avoir une ou plusieurs des attributions de rôles suivantes en fonction des tâches qu’ils effectuent.
- Le rôle Administrateur d’Accès global sécurisé pour gérer les fonctionnalités d’Accès global sécurisé.
- Le rôle Administrateur de l’accès conditionnel pour créer des stratégies d’accès conditionnel et interagir avec elles.
- Le produit nécessite une licence. Pour plus de détails, consultez la section sur les licences dans Qu’est-ce que l’Accès global sécurisé ?. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai gratuit.
- Nous recommandons une licence Microsoft 365 E3 pour utiliser le profil de transfert de trafic Microsoft.
Limitations connues des autorisations des tunnels
Les profils de transfert d’accès Microsoft et Internet utilisent des stratégies d’accès conditionnel Microsoft Entra ID pour autoriser l’accès à leurs tunnels dans le client Accès global sécurisé. Cela signifie que vous pouvez accorder ou bloquer l’accès aux profils de transfert de trafic Microsoft et d’accès Internet dans l’accès conditionnel. Dans certains cas, quand l’autorisation pour un tunnel n’est pas accordée, le chemin de récupération permettant de récupérer l’accès aux ressources nécessite d’accéder aux destinations sur le profil de transfert de trafic Microsoft ou d’accès Internet, en bloquant l’accès d’un utilisateur à quoi que ce soit sur sa machine.
Par exemple, si vous bloquez l’accès à la ressource cible d’accès Internet sur des appareils non conformes, vous laissez les utilisateurs d’Accès Internet Microsoft Entra dans l’impossibilité de rétablir la conformité de leurs appareils. La façon d’atténuer ce problème consiste à contourner lespoints de terminaison réseau pour Microsoft Intune et les autres destinations accessibles dans Scripts de découverte de conformité personnalisés pour Microsoft Intune. Vous pouvez effectuer cette opération dans le cadre d’un contournement personnalisé dans le profil de transfert d’accès Internet.
Autres limitations connues
- L’évaluation continue de l’accès n’est pas actuellement prise en charge pour l’accès conditionnel universel pour le trafic Microsoft.
- L’application de stratégies d’accès conditionnel au trafic d’accès privé n’est actuellement pas prise en charge. Pour modéliser ce comportement, vous pouvez appliquer une stratégie d’accès conditionnel au niveau de l’application pour les applications Accès rapide et Accès sécurisé global (Global Secure Access). Pour obtenir plus d’informations, consultez Appliquer l’accès conditionnel aux applications à accès privé.
- Le trafic Microsoft est accessible par une connectivité réseau distante sans le client Accès global sécurisé. Cependant, la stratégie d’accès conditionnel n’est pas appliquée. En d’autres termes, les stratégies d’accès conditionnel pour le trafic Microsoft de l’Accès global sécurisé sont appliquées seulement quand un utilisateur a le client de l’Accès global sécurisé.
Stratégies d’accès conditionnel
Avec l’accès conditionnel, vous pouvez activer les contrôles d’accès et les stratégies de sécurité pour le trafic réseau acquis par l’Accès Internet Microsoft Entra et l’Accès privé Microsoft Entra.
- Créez une stratégie qui cible tout le trafic Microsoft.
- Appliquez des stratégies d’accès conditionnel à vos Applications d’accès privé, telles que l’Accès rapide.
- Activez la signalisation Global Secure Access dans l’Accès conditionnel afin que l’adresse IP source soit visible dans les journaux et rapports appropriés.
Accès à Internet : Accès conditionnel universel
L’exemple suivant montre comment fonctionne l’Accès Internet Microsoft Entra lorsque vous appliquez des stratégies d’accès conditionnel universel au trafic réseau.
Remarque
La solution Security Service Edge de Microsoft comprend trois tunnels : le trafic Microsoft, l’accès Internet et l’accès privé. L’accès conditionnel universel s’applique aux tunnels d’accès à Internet et de trafic Microsoft. Il n’y a pas de prise en charge pour cibler le tunnel d’accès privé. Vous devez cibler individuellement des applications d’entreprise d’accès privé.
Le diagramme de flux suivant illustre l’accès conditionnel universel ciblant les ressources Internet et les applications Microsoft avec Accès global sécurisé.
| Étape | Description |
|---|---|
| 1 | Le client Accès global sécurisé tente de se connecter à la solution Security Service Edge de Microsoft. |
| 2 | Le client redirige vers Microsoft Entra ID pour l’authentification et l’autorisation. |
| 3 | L’utilisateur et l’appareil s’authentifient. L’authentification se produit en toute transparence lorsque l’utilisateur a un jeton d’actualisation principal valide. |
| 4 | Une fois l’utilisateur et l’appareil authentifiés, l’application de la stratégie d’accès conditionnel universel se produit. Les stratégies d’accès conditionnel universel ciblent les tunnels Microsoft et Internet établis entre le client Accès global sécurisé et Microsoft Security Service Edge. |
| 5 | Microsoft Entra ID émet le jeton d’accès pour le client Accès global sécurisé. |
| 6 | Le client Accès global sécurisé présente le jeton d’accès à Microsoft Security Service Edge. Le jeton valide. |
| 7 | Les tunnels établis entre le client Accès global sécurisé et Microsoft Security Service Edge. |
| 8 | Le trafic commence à être acquis et acheminé vers la destination via les tunnels Microsoft et accès à Internet. |
Remarque
Ciblez les applications Microsoft avec l’Accès global sécurisé pour protéger la connexion entre le client Microsoft Security Service Edge et le client Accès global sécurisé. Pour vous assurer que les utilisateurs ne peuvent pas contourner le service Microsoft Security Service Edge, créez une stratégie d’accès conditionnel qui nécessite un réseau conforme pour vos applications Microsoft 365 Entreprise.
Expérience utilisateur
Lorsque les utilisateurs se connectent à un ordinateur avec le client Global Secure Access installé, configuré et en cours d’exécution pour la première fois, ils sont invités à se connecter. Lorsque les utilisateurs tentent d’accéder à une ressource protégée par une stratégie. Comme dans l’exemple précédent, la stratégie est appliquée et ils sont invités à se connecter s’ils ne l’ont pas déjà fait. En regardant l’icône de la barre d’état système du client Global Secure Access, vous voyez un cercle rouge indiquant qu’il est déconnecté ou qu’il n’est pas en cours d’exécution.
Lorsqu’un utilisateur se connecte, le client Global Secure Access affiche un cercle vert indiquant que vous êtes connecté et que le client est en cours d’exécution.
