Share via

A megfelelő hálózatellenőrzés engedélyezése feltételes hozzáféréssel

  • Cikk

A feltételes hozzáférést a Globális biztonságos hozzáférés előzetes verzióval együtt használó szervezetek megakadályozhatják a Microsoft-alkalmazásokhoz, a külső SaaS-alkalmazásokhoz és a privát üzletági (LoB-) alkalmazásokhoz való rosszindulatú hozzáférést, és több feltételt használnak a részletes védelem biztosításához. Ilyen feltételek lehetnek például az eszközmegfeleltség, a hely és egyebek, amelyek védelmet nyújtanak a felhasználói identitással vagy a jogkivonat-lopással szemben. A globális biztonságos hozzáférés a Feltételes hozzáférésen belül bevezeti a megfelelő hálózat fogalmát és a folyamatos hozzáférés-kiértékelést. Ez a megfelelőhálózat-ellenőrzés biztosítja, hogy a felhasználók egy ellenőrzött hálózati csatlakozási modellből csatlakozzanak az adott bérlőjükhöz, és megfeleljenek a rendszergazdák által kikényszerített biztonsági szabályzatoknak.

A konfigurált távoli hálózatok mögötti eszközökre vagy felhasználókra telepített globális biztonságos hozzáférési ügyfél lehetővé teszi a rendszergazdák számára, hogy speciális feltételes hozzáférés-vezérlőkkel biztonságossá tegye a megfelelő hálózat mögötti erőforrásokat. Ez a megfelelő hálózati funkció megkönnyíti a rendszergazdák számára a felügyeletét és karbantartását anélkül, hogy egy szervezet összes helyének IP-címét meg kellene őriznie. Rendszergazda istratoroknak nem kell a szervezetÜK VPN-kimenő pontjain áthaladó forgalmat a biztonság érdekében hajtaniuk.

A SharePoint Online jelenleg a megfelelő hálózati funkcióval rendelkező folyamatos hozzáférés-kiértékelést (CAE) támogatja. A CAE-vel a jogkivonat-lopások visszajátszásának védelmével részletes védelmet kényszeríthet ki.

Ez a megfelelő hálózatellenőrzés minden bérlőre vonatkozik.

  • Ezzel az ellenőrzéssel biztosíthatja, hogy a Microsoft globális biztonságos hozzáférési szolgáltatásait használó más szervezetek ne férhessenek hozzá az erőforrásokhoz.
    • Például: A Contoso megvédheti az olyan szolgáltatásaikat, mint az Exchange Online és a SharePoint Online a megfelelő hálózati ellenőrzés mögött, hogy csak a Contoso-felhasználók férhessenek hozzá ezekhez az erőforrásokhoz.
    • Ha egy másik szervezet, például a Fabrikam megfelelő hálózatellenőrzést használna, akkor nem felelnek meg a Contoso megfelelő hálózatellenőrzésének.

A megfelelő hálózat eltér a Microsoft Entra-ban konfigurálható IPv4-, IPv6- vagy földrajzi helyekétől. Nincs szükség rendszergazdai fenntartásra.

Előfeltételek

  • Rendszergazda kultátorok, akik A globális biztonságos hozzáférés előzetes verziójának funkcióinak az elvégzett feladatoktól függően legalább egy szerepkör-hozzárendeléssel kell rendelkezniük.
  • Az előzetes verzióhoz Microsoft Entra ID P1-licenc szükséges. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.
  • A Microsoft 365 adattovábbítási profil használatához microsoft 365 E3-licenc használata ajánlott.

Ismert korlátozások

  • A SharePoint Online mostantól támogatja a folyamatos hozzáférés-értékeléssel rendelkező megfelelő hálózatellenőrzést.
  • A privát hozzáférésű alkalmazások esetében jelenleg nem támogatott a megfelelő hálózatellenőrzés.
  • A megfelelő hálózati helyfeltétel nem támogatott a mobileszköz-kezelésben (MDM) nem regisztrált eszközök esetében. Ha feltételes hozzáférési szabályzatot konfigurál a megfelelő hálózati helyfeltételek használatával, az MDM-ben még nem regisztrált eszközökkel rendelkező felhasználók is érintettek lehetnek. Előfordulhat, hogy az ezeken az eszközökön lévő felhasználók nem ellenőrzik a feltételes hozzáférési szabályzatot, és le lesznek tiltva.
    • Győződjön meg arról, hogy a megfelelő hálózati helyfeltétel használatakor kizárja az érintett felhasználókat vagy eszközöket.

Globális biztonságos hozzáférés jelzésének engedélyezése feltételes hozzáféréshez

A megfelelő hálózatellenőrzés engedélyezéséhez szükséges beállítás engedélyezéséhez a rendszergazdának meg kell tennie a következő lépéseket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális biztonságos hozzáférésű Rendszergazda istratorként.
  2. Keresse meg a Globális biztonságos hozzáférés (előzetes verzió)>Globális beállítások>munkamenet-kezelésadaptív hozzáférését.
  3. Válassza ki a kapcsolót a Globális biztonságos hozzáférés jelzésének engedélyezése érdekében a Feltételes hozzáférés alatt.
  4. Keresse meg a Védelmi>feltételes hozzáférés>nevesített helyeket.
    1. Győződjön meg arról, hogy rendelkezik az Összes megfelelő hálózati hely nevű hellyel, amelynek helytípusa Hálózati hozzáférés. A szervezetek opcionálisan megbízhatóként jelölhetik meg ezt a helyet.

Képernyőkép a jelzés engedélyezésére vonatkozó kapcsolóról a feltételes hozzáférésben.

Figyelemfelhívás

Ha a szervezet a megfelelő hálózatellenőrzésen alapuló aktív feltételes hozzáférési szabályzatokkal rendelkezik, és letiltja a globális biztonságos hozzáférés jelzését a feltételes hozzáférésben, véletlenül letilthatja, hogy a megcélzott végfelhasználók hozzáférjenek az erőforrásokhoz. Ha le kell tiltania ezt a funkciót, először törölje a megfelelő feltételes hozzáférési szabályzatokat.

Az erőforrások védelme a megfelelő hálózat mögött

A megfelelő hálózati feltételes hozzáférési szabályzat a Microsoft 365- és külső erőforrások védelmére használható.

Az alábbi példa az ilyen típusú szabályzatot mutatja be. Emellett a Jogkivonat-lopás visszajátszás elleni védelem a SharePoint Online-hoz készült CAE használatával már támogatott.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat létrehozása lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
  6. A Célerőforrások>belefoglalása területen válassza az Alkalmazások kiválasztása lehetőséget.
    1. Válassza az Office 365 Exchange Online és/vagy az Office 365 SharePoint Online és/vagy a külső SaaS-alkalmazások bármelyikét.
    2. Az alkalmazásválasztóban található adott Office 365-felhőalkalmazás jelenleg NEM támogatott, ezért ne válassza ezt a felhőalkalmazást.
  7. Feltételek szerinti >hely.
    1. Állítsa be a konfigurálást igen értékre.
    2. A Belefoglalás csoportban válassza a Bármely hely lehetőséget.
    3. A Kizárás csoportban válassza a Kijelölt helyek lehetőséget.
      1. Válassza ki a Minden megfelelő hálózati hely lehetőséget .
    4. Válassza a lehetőséget.
  8. A Hozzáférés-vezérlések csoportban:
    1. Adja meg, válassza a Hozzáférés letiltása, majd a Kiválasztás lehetőséget.
  9. Erősítse meg a beállításokat, és állítsa be a Házirend engedélyezése beállítást.
  10. A szabályzat engedélyezéséhez válassza a Létrehozás gombot.

Feljegyzés

Globális biztonságos hozzáférésű adatforgalmi profilokat és feltételes hozzáférési szabályzatokat is használhat, amelyek minden felhőalkalmazás számára megfelelő hálózatot igényelnek. Nincs szükség kizárásra az összes megfelelő hálózati hely és minden felhőalkalmazás használatával történő házirend beállításakor.

A forgalmi profilok belsőleg ki vannak zárva a feltételes hozzáférés kényszerítéséből, ha megfelelő hálózatra van szükség. Ez a kizárás lehetővé teszi, hogy a globális biztonságos hozzáférésű ügyfél hozzáférjen a szükséges erőforrásokhoz.

A kizárt forgalmi profil a bejelentkezési naplókban a következő alkalmazásként jelenik meg: ZTNA Network Access Traffic Profile.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem végezhető el programozott módon. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

A megfelelő hálózati szabályzat kipróbálás

  1. Egy olyan végfelhasználói eszközön, amelyen a Global Secure Access-ügyfél telepítve van és fut, tallózással https://outlook.office.com/mail/ vagy https://yourcompanyname.sharepoint.com/az erőforrásokhoz való hozzáféréssel rendelkezik.
  2. A Global Secure Access-ügyfél szüneteltetése: kattintson a jobb gombbal az alkalmazásra a Windows tálcán, és válassza a Szüneteltetés lehetőséget.
  3. Keresse meg vagy https://outlook.office.com/mail/https://yourcompanyname.sharepoint.com/tiltsa le az erőforrások elérését egy hibaüzenettel, amely szerint jelenleg nem fér hozzá.

Képernyőkép a hibaüzenetről a böngészőablakban: Ez jelenleg nem érhető el.

Hibaelhárítás

Ellenőrizze, hogy az új névvel ellátott hely automatikusan létre lett-e hozva a Microsoft Graph használatával.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Képernyőkép a Graph Explorer lekérdezési eredményeiről

Használati Feltételek

A Microsoft Entra privát hozzáférés és Microsoft Entra internet-hozzáférés előzetes verziójú szolgáltatások és szolgáltatások használatára az előzetes verziójú online szolgáltatási feltételek vonatkoznak, amelyek alapján a szolgáltatásokat beszerezte. Az előzetes verziókra kisebb vagy eltérő biztonsági, megfelelőségi és adatvédelmi kötelezettségvállalások vonatkozhatnak, amint azt az online szolgáltatásokra vonatkozó általános licencfeltételek, valamint a Microsoft Termékek és szolgáltatások adatvédelmi bővítménye ("DPA") és az előzetes verzióval kapcsolatos egyéb közlemények is ismertetik.

Következő lépések

A Windows globális biztonságos hozzáférési ügyfele (előzetes verzió)