Megosztás a következőn keresztül:


A Microsoft Security Service Edge megoldás üzembe helyezési útmutatója a Microsoft traffic proof of concept Microsoft Entra internet-hozzáférés-hoz

Ez a megvalósíthatósági igazolás (PoC) üzembe helyezési útmutatója segítséget nyújt a Microsoft Security Service Edge (SSE) megoldásának üzembe helyezésében, amely a Microsoft Traffic Microsoft Entra internet-hozzáférés funkcióit tartalmazza.

Áttekintés

A Microsoft identitásközpontú Security Service Edge-megoldása konvergálja a hálózati, identitás- és végponthozzáférési vezérlőket, hogy bármilyen alkalmazáshoz vagy erőforráshoz, bármilyen helyről, eszközről vagy identitásról biztosíthassa a hozzáférést. Lehetővé teszi és vezényeli a hozzáférési szabályzatok kezelését az alkalmazottak, az üzleti partnerek és a digitális számítási feladatok számára. A felhasználói hozzáférést folyamatosan monitorozhatja és módosíthatja valós időben, ha az engedélyek vagy a kockázati szint megváltozik a privát alkalmazásokban, az SaaS-alkalmazásokban és a Microsoft-végpontokban. Ez a szakasz azt ismerteti, hogyan fejezhet be Microsoft Entra internet-hozzáférés a Microsoft forgalomigazolásához az éles vagy tesztelési környezetben.

Microsoft Entra internet-hozzáférés a Microsoft Traffic üzembe helyezéséhez

Végezze el a kezdeti termék lépéseinek konfigurálását. Ez magában foglalja a Microsoft Traffic Microsoft Entra internet-hozzáférés konfigurálását, a Microsoft forgalomtovábbítási profiljának engedélyezését és a globális biztonságos hozzáférésű ügyfél telepítését. A konfigurációt adott tesztfelhasználókra és csoportokra kell korlátoznia.

Minta PoC-forgatókönyv: védelem az adatkiszivárgás ellen

Az adatszűrés minden vállalat számára aggodalomra ad okot, különösen azokra, amelyek szigorúan szabályozott iparágakban, például a közigazgatásban vagy a pénzügyekben működnek. A bérlők közötti hozzáférési beállítások kimenő vezérlőivel megakadályozhatja, hogy a külső bérlők jogosulatlan identitásai hozzáférjenek a Microsoft-adatokhoz a felügyelt eszközök használatakor.

Microsoft Entra internet-hozzáférés a Microsoft Traffic az adatveszteség-megelőzési (DLP-) vezérlők továbbfejlesztéséhez lehetővé teszi a következő lehetőségeket:

  • védelmet nyújt a jogkivonatok ellopása ellen, mivel megköveteli, hogy a felhasználók csak megfelelő hálózaton keresztül férhessenek hozzá a Microsoft-erőforrásokhoz.
  • feltételes hozzáférési szabályzatok kényszerítése a Microsoft Security Service Edge-hez való kapcsolatokhoz.
  • univerzális bérlői korlátozások 2-es verzióban történő üzembe helyezése, így nincs szükség az összes felhasználói forgalom ügyfél által felügyelt hálózati proxykon keresztül történő átirányítására.
  • konfiguráljon olyan bérlői korlátozásokat, amelyek megakadályozzák, hogy a felhasználók jogosulatlan külső bérlőkhöz férhessenek hozzá külső identitással (például személyes vagy külső szervezet által kiadott).
  • védelmet nyújt a jogkivonatok behatolása/kiszivárgása ellen, hogy a felhasználók ne tudják megkerülni a bérlői korlátozásokat azáltal, hogy nem felügyelt eszközökre vagy hálózati helyekre helyezik át a hozzáférési jogkivonatokat.

Ez a szakasz bemutatja, hogyan kényszerítheti ki a megfelelő hálózati hozzáférést a Microsoft-forgalomhoz, hogyan védheti meg a Microsoft Security Service Edge-hez való kapcsolatot feltételes hozzáféréssel, és hogyan akadályozhatja meg, hogy a külső identitások a felügyelt eszközökön és/vagy hálózatokon lévő külső bérlőket elérjék a 2. v2-es univerzális bérlői korlátozások használatával. A bérlői korlátozások csak külső identitásokra vonatkoznak; ezek nem vonatkoznak a saját bérlőn belüli identitásokra. A saját felhasználói identitások kimenő hozzáférésének szabályozásához használja a bérlők közötti hozzáférési beállításokat. A Microsoft Entra ID-ben a bérlőkorlátozási szabályzat konfigurálásával letilthatja a hozzáférést, azokra a felhasználókra vonatkozik, akik megkapják a bérlőkorlátozások fejlécinjektálását. Ez csak azokat a felhasználókat foglalja magában, akik a fejléceket beszúró ügyfélhálózati proxykon, az üzembe helyezett globális biztonságos hozzáférési ügyféllel rendelkező felhasználókon vagy az engedélyezett bérlői korlátozásokkal rendelkező Windows-eszközökön lévő felhasználók fejlécinjektálásával a Windows operációs rendszer beállításain keresztül vezetnek. A tesztelés során győződjön meg arról, hogy a bérlői korlátozásokat a Globális biztonságos hozzáférés szolgáltatás érvényesíti, és ne az ügyfél hálózati proxyi vagy a Windows beállításain keresztül, hogy elkerülje a más felhasználók véletlen befolyásolását. Emellett engedélyeznie kell a feltételes hozzáférés jelzését a feltételes hozzáférés globális biztonságos hozzáférési beállításainak engedélyezéséhez.

  1. Globális biztonságos hozzáférés jelzésének engedélyezése feltételes hozzáféréshez.

  2. Univerzális bérlőkorlátozások engedélyezése.

  3. A Microsoft Entra felügyeleti központban konfigurálja a bérlőkorlátozási szabályzatot az összes külső identitás és alkalmazás hozzáférésének letiltásához.

  4. Hozzon létre egy feltételes hozzáférési szabályzatot, amely megfelelő hálózatot igényel a hozzáféréshez. A megfelelő hálózati követelmény konfigurálása letilt minden hozzáférést az Office 365 Exchange Online-hoz és az Office 365 SharePoint Online-hoz a tesztfelhasználók számára bármely helyről, kivéve, ha a Microsoft Security Service Edge-megoldásával csatlakoznak. Konfigurálja a feltételes hozzáférési szabályzatot az alábbiak szerint:

    1. Felhasználók: Válassza ki a tesztfelhasználót vagy egy próbacsoportot.
    2. Célerőforrások: Válassza ki az Office 365 Exchange Online és az Office 365 SharePoint Online alkalmazásokat.
    3. Feltételek:
    4. Helyek esetén válassza a Nincs konfigurálva lehetőséget.
    5. Állítsa be a Konfigurálás igen beállítást.
    6. Adjon meg bármilyen helyet.
    7. Kijelölt helyek kizárása.
    8. A Kiválasztás beállításnál válassza a Nincs lehetőséget.
    9. Válassza ki az összes megfelelő hálózati helyet.
  5. A hozzáférés-vezérlési vezérlők>engedélyezik a> kiválasztási blokk hozzáférését.

  6. Hozzon létre egy második feltételes hozzáférési szabályzatot, amely vezérlőket igényel ahhoz, hogy a globális biztonságos hozzáférési ügyfél csatlakozzon az SSE-megoldáshoz (például MFA, megfelelő eszköz, tou). Konfigurálja a feltételes hozzáférési szabályzatot az alábbiak szerint:

    1. Felhasználók: Válassza ki a tesztfelhasználót vagy egy próbacsoportot.

    2. Célerőforrások:

    3. Válassza ki, hogy mire vonatkozik ez a szabályzat, válassza a Globális biztonságos hozzáférés lehetőséget.

    4. Válassza ki azokat a forgalmi profilokat, amelyekre a szabályzat vonatkozik, válassza a Microsoft-forgalmat.

      Képernyőkép a feltételes hozzáférési szabályzat beállításairól.

  7. A hozzáférési vezérlők>megadása:> Válassza ki azokat a vezérlőket, amelyeket kényszeríteni szeretne, például többtényezős hitelesítést igényel.

  8. Próbáljon meg bejelentkezni a SharePoint Online-ba vagy az Exchange Online-ba, és ellenőrizze, hogy a rendszer kéri-e a globális biztonságos hozzáférés hitelesítését. A globális biztonságos hozzáférési ügyfél hozzáférési jogkivonatokat és frissítési jogkivonatokat használ a Microsoft Security Service Edge-megoldásához való csatlakozáshoz. Ha korábban csatlakoztatta a globális biztonságos hozzáférési ügyfelet, előfordulhat, hogy várnia kell, amíg a hozzáférési jogkivonat lejár (akár egy órával) a létrehozott feltételes hozzáférési szabályzat alkalmazása előtt.

    Képernyőkép a Global Secure Access hitelesítő adatainak parancssori ablakáról.

  9. A feltételes hozzáférési szabályzat sikeres alkalmazásának ellenőrzéséhez tekintse meg a tesztfelhasználó bejelentkezési naplóit a ZTNA Network Access Client - M365 alkalmazáshoz.

    Képernyőkép a bejelentkezési naplók ablakának listájáról, amelyen a Felhasználói bejelentkezések interaktív lap látható.

    Képernyőkép a bejelentkezési naplók ablakáról, amelyen a Feltételes hozzáférés lap látható.

  10. Ellenőrizze, hogy a Global Secure Access-ügyfél csatlakoztatva van-e a jobb alsó sarokban lévő tálca megnyitásával, és ellenőrizze, hogy van-e zöld pipa az ikonon.

    Képernyőkép a Globális biztonságos hozzáférésű ügyfél ikonról, amelyen a sikeres csatlakoztatott állapot látható.

  11. A tesztfelhasználóval jelentkezzen be a SharePoint Online-ba vagy az Exchange Online-ba a teszteszközével.

    1. Ellenőrizze, hogy a felhasználó sikeresen hozzáfér-e az erőforráshoz.

    2. A bejelentkezési naplókban győződjön meg arról, hogy a megfelelő hálózatokon kívüli hozzáférést letiltó feltételes hozzáférési szabályzat nem alkalmazható.

      Képernyőkép a bejelentkezési naplók ablakának egy soráról, amelyen a sikerességjelző látható.

      Képernyőkép a bejelentkezési naplók ablakáról, amelyen az látható, hogy a feltételes hozzáférési szabályzat nincs alkalmazva.

  12. A globális biztonságos hozzáférési ügyfél nélküli másik eszközről a tesztfelhasználói identitás használatával próbáljon meg bejelentkezni a SharePoint Online-ba vagy az Exchange Online-ba. Másik lehetőségként kattintson a jobb gombbal a globális biztonságos hozzáférési ügyfélre a tálcán, és kattintson a Szüneteltetés gombra, majd a tesztfelhasználóidentitás használatával próbáljon meg bejelentkezni a SharePoint Online-ba vagy az Exchange Online-ba ugyanazon az eszközön.

    1. Ellenőrizze, hogy a hozzáférés le van-e tiltva.

    2. A bejelentkezési naplókban győződjön meg arról, hogy a feltételes hozzáférési szabályzat letiltotta a megfelelő hálózatokon kívüli hozzáférést.

      Képernyőkép a bejelentkezési naplók ablakának egy soráról, amelyen a hibajelző látható.

      Képernyőkép a bejelentkezési naplók ablakáról, amelyen a Feltételes hozzáférés lap egy olyan sort emel ki, ahol az Eredmény oszlop hibás.

  13. A globális biztonságos hozzáférési ügyféllel rendelkező teszteszközön próbáljon meg bejelentkezni egy másik Microsoft Entra-bérlőbe külső identitással. Ellenőrizze, hogy a bérlői korlátozások blokkolják-e a hozzáférést.

    Képernyőkép a bejelentkezési ablakról a hitelesítő adatok elküldése után, amely azt mutatja, hogy az Access blokkolva van.

  14. Lépjen a külső bérlőre, és keresse meg a bejelentkezési naplóit. A külső bérlő bejelentkezési naplóiban ellenőrizze, hogy a külső bérlőhöz való hozzáférés blokkolva és naplózva jelenik-e meg.

    Képernyőkép a bejelentkezési naplók ablaksoráról, ahol az Eredmény oszlop hibás.

    Képernyőkép a bejelentkezési naplókról, amelyek egy elem Alapszintű információ lapját jelenítik meg, amely azt jelzi, hogy a bérlőkorlátozási szabályzat nem engedélyezi a hozzáférést.

Példa poC-forgatókönyvre: forrás IP-címének visszaállítása

A hálózati proxyk és a külső SSE-megoldások felülírják a küldő eszköz nyilvános IP-címét, ami megakadályozza, hogy a Microsoft Entra ID ezt az IP-címet szabályzatokhoz vagy jelentésekhez használja. Ez a korlátozás a következő problémákat okozza:

  • A Microsoft Entra ID nem tud bizonyos helyalapú feltételes hozzáférési szabályzatokat (például a nem megbízható országok blokkolását) kikényszeríteni.
  • A felhasználó alapkonfigurációját kihasználó kockázatalapú észlelések romlanak, mivel a rendszer Microsoft Entra ID-védelem gépi tanulási algoritmusokat a proxy IP-címére korlátozza. Nem tudják észlelni vagy betanítsa a felhasználó valódi forrás IP-címét.
  • Az SOC-műveleteknek/vizsgálatoknak külső/proxynaplókat kell használniuk az eredeti forrás IP-cím meghatározásához, majd az azt követő tevékenységnaplókkal való korrelációhoz, ami hatékonysági hiányosságokat eredményez.

Ez a szakasz bemutatja, hogyan oldja meg a Microsoft Traffic Microsoft Entra internet-hozzáférés ezeket a problémákat a felhasználó eredeti forrás IP-címének megőrzésével, a biztonsági vizsgálatok egyszerűsítésével és a hibaelhárítással.

A forrás IP-cím visszaállításának teszteléséhez engedélyezni kell a feltételes hozzáférés globális biztonságos hozzáférés-jelzését. Olyan feltételes hozzáférési szabályzatra van szüksége, amely megfelelő hálózatot igényel a jelen cikkben ismertetett módon.

  1. Ellenőrizze, hogy a Global Secure Access-ügyfél csatlakoztatva van-e a jobb alsó sarokban lévő tálca megnyitásával, és ellenőrizze, hogy van-e zöld pipa az ikonon. A tesztelési identitás használatával jelentkezzen be a SharePoint Online-ba vagy az Exchange Online-ba.

    Képernyőkép a Globális biztonságos hozzáférésű ügyfél ikonról, amelyen a Csatlakoztatott állapotjelző látható.

  2. Tekintse meg a bejelentkezés bejelentkezési naplóját, és jegyezze fel az IP-címet és a helyet. Győződjön meg arról, hogy a megfelelő hálózati feltételes hozzáférési szabályzat nincs alkalmazva.

    Képernyőkép a bejelentkezési naplókról, amelyeken egy elem Hely lapja látható.

    Képernyőkép a bejelentkezési naplók ablakáról, amelyen a Feltételes hozzáférés lap kiemel egy sort, ahol az Eredmény oszlop nincs alkalmazva.

  3. Állítsa a megfelelő hálózati feltételes hozzáférési szabályzatot csak jelentéskészítési módra, és válassza a Mentés lehetőséget.

  4. A tesztügyfél-eszközön nyissa meg a tálcát, kattintson a jobb gombbal a Globális biztonságos hozzáférésű ügyfél ikonra, és válassza a Szüneteltetés lehetőséget. Vigye az egérmutatót az ikonra, és ellenőrizze, hogy a globális biztonságos hozzáférési ügyfél már nem csatlakozik-e a globális biztonságos hozzáférési ügyfél megerősítésével – letiltva.

    Képernyőkép a Globális biztonságos hozzáférésű ügyfél beállításai menüről, amelyen a Szüneteltetés lehetőség van kiemelve.

    Képernyőkép a Globális biztonságos hozzáférésű ügyfél ikonról, amely letiltottként jelenik meg.

  5. A tesztfelhasználó használatával jelentkezzen be a SharePoint Online-ba vagy az Exchange Online-ba. Győződjön meg arról, hogy sikeresen bejelentkezhet, és hozzáférhet az erőforráshoz.

  6. Az utolsó bejelentkezési kísérlet bejelentkezési naplójának megtekintése.

    1. Ellenőrizze, hogy az IP-cím és a hely megegyezik-e a korábban feljegyzettekkel.

    2. Győződjön meg arról, hogy a csak jelentésalapú feltételes hozzáférési szabályzat meghiúsult volna, mivel a forgalom nem a Microsoft Traffic Microsoft Entra internet-hozzáférés haladt át.

      Képernyőkép a bejelentkezési naplókról, amelyeken egy elem Hely lapja látható.

      Képernyőkép a bejelentkezési naplókról, amelyeken egy csak jelentéssel rendelkező elem Csak jelentés lapja látható: Hiba az Eredmény oszlopban.

Következő lépések

Üzembe helyezés és Microsoft Entra privát hozzáférés üzembe helyezés ellenőrzése és Microsoft Entra internet-hozzáférés ellenőrzése