A Microsoft Security Service Edge megoldás üzembe helyezési útmutatója a Microsoft traffic proof of concept Microsoft Entra internet-hozzáférés-hoz
Ez a megvalósíthatósági igazolás (PoC) üzembe helyezési útmutatója segítséget nyújt a Microsoft Security Service Edge (SSE) megoldásának üzembe helyezésében, amely a Microsoft Traffic Microsoft Entra internet-hozzáférés funkcióit tartalmazza.
Áttekintés
A Microsoft identitásközpontú Security Service Edge-megoldása konvergálja a hálózati, identitás- és végponthozzáférési vezérlőket, hogy bármilyen alkalmazáshoz vagy erőforráshoz, bármilyen helyről, eszközről vagy identitásról biztosíthassa a hozzáférést. Lehetővé teszi és vezényeli a hozzáférési szabályzatok kezelését az alkalmazottak, az üzleti partnerek és a digitális számítási feladatok számára. A felhasználói hozzáférést folyamatosan monitorozhatja és módosíthatja valós időben, ha az engedélyek vagy a kockázati szint megváltozik a privát alkalmazásokban, az SaaS-alkalmazásokban és a Microsoft-végpontokban. Ez a szakasz azt ismerteti, hogyan fejezhet be Microsoft Entra internet-hozzáférés a Microsoft forgalomigazolásához az éles vagy tesztelési környezetben.
Microsoft Entra internet-hozzáférés a Microsoft Traffic üzembe helyezéséhez
Végezze el a kezdeti termék lépéseinek konfigurálását. Ez magában foglalja a Microsoft Traffic Microsoft Entra internet-hozzáférés konfigurálását, a Microsoft forgalomtovábbítási profiljának engedélyezését és a globális biztonságos hozzáférésű ügyfél telepítését. A konfigurációt adott tesztfelhasználókra és csoportokra kell korlátoznia.
Minta PoC-forgatókönyv: védelem az adatkiszivárgás ellen
Az adatszűrés minden vállalat számára aggodalomra ad okot, különösen azokra, amelyek szigorúan szabályozott iparágakban, például a közigazgatásban vagy a pénzügyekben működnek. A bérlők közötti hozzáférési beállítások kimenő vezérlőivel megakadályozhatja, hogy a külső bérlők jogosulatlan identitásai hozzáférjenek a Microsoft-adatokhoz a felügyelt eszközök használatakor.
Microsoft Entra internet-hozzáférés a Microsoft Traffic az adatveszteség-megelőzési (DLP-) vezérlők továbbfejlesztéséhez lehetővé teszi a következő lehetőségeket:
- védelmet nyújt a jogkivonatok ellopása ellen, mivel megköveteli, hogy a felhasználók csak megfelelő hálózaton keresztül férhessenek hozzá a Microsoft-erőforrásokhoz.
- feltételes hozzáférési szabályzatok kényszerítése a Microsoft Security Service Edge-hez való kapcsolatokhoz.
- univerzális bérlői korlátozások 2-es verzióban történő üzembe helyezése, így nincs szükség az összes felhasználói forgalom ügyfél által felügyelt hálózati proxykon keresztül történő átirányítására.
- konfiguráljon olyan bérlői korlátozásokat, amelyek megakadályozzák, hogy a felhasználók jogosulatlan külső bérlőkhöz férhessenek hozzá külső identitással (például személyes vagy külső szervezet által kiadott).
- védelmet nyújt a jogkivonatok behatolása/kiszivárgása ellen, hogy a felhasználók ne tudják megkerülni a bérlői korlátozásokat azáltal, hogy nem felügyelt eszközökre vagy hálózati helyekre helyezik át a hozzáférési jogkivonatokat.
Ez a szakasz bemutatja, hogyan kényszerítheti ki a megfelelő hálózati hozzáférést a Microsoft-forgalomhoz, hogyan védheti meg a Microsoft Security Service Edge-hez való kapcsolatot feltételes hozzáféréssel, és hogyan akadályozhatja meg, hogy a külső identitások a felügyelt eszközökön és/vagy hálózatokon lévő külső bérlőket elérjék a 2. v2-es univerzális bérlői korlátozások használatával. A bérlői korlátozások csak külső identitásokra vonatkoznak; ezek nem vonatkoznak a saját bérlőn belüli identitásokra. A saját felhasználói identitások kimenő hozzáférésének szabályozásához használja a bérlők közötti hozzáférési beállításokat. A Microsoft Entra ID-ben a bérlőkorlátozási szabályzat konfigurálásával letilthatja a hozzáférést, azokra a felhasználókra vonatkozik, akik megkapják a bérlőkorlátozások fejlécinjektálását. Ez csak azokat a felhasználókat foglalja magában, akik a fejléceket beszúró ügyfélhálózati proxykon, az üzembe helyezett globális biztonságos hozzáférési ügyféllel rendelkező felhasználókon vagy az engedélyezett bérlői korlátozásokkal rendelkező Windows-eszközökön lévő felhasználók fejlécinjektálásával a Windows operációs rendszer beállításain keresztül vezetnek. A tesztelés során győződjön meg arról, hogy a bérlői korlátozásokat a Globális biztonságos hozzáférés szolgáltatás érvényesíti, és ne az ügyfél hálózati proxyi vagy a Windows beállításain keresztül, hogy elkerülje a más felhasználók véletlen befolyásolását. Emellett engedélyeznie kell a feltételes hozzáférés jelzését a feltételes hozzáférés globális biztonságos hozzáférési beállításainak engedélyezéséhez.
Globális biztonságos hozzáférés jelzésének engedélyezése feltételes hozzáféréshez.
Univerzális bérlőkorlátozások engedélyezése.
A Microsoft Entra felügyeleti központban konfigurálja a bérlőkorlátozási szabályzatot az összes külső identitás és alkalmazás hozzáférésének letiltásához.
Hozzon létre egy feltételes hozzáférési szabályzatot, amely megfelelő hálózatot igényel a hozzáféréshez. A megfelelő hálózati követelmény konfigurálása letilt minden hozzáférést az Office 365 Exchange Online-hoz és az Office 365 SharePoint Online-hoz a tesztfelhasználók számára bármely helyről, kivéve, ha a Microsoft Security Service Edge-megoldásával csatlakoznak. Konfigurálja a feltételes hozzáférési szabályzatot az alábbiak szerint:
- Felhasználók: Válassza ki a tesztfelhasználót vagy egy próbacsoportot.
- Célerőforrások: Válassza ki az Office 365 Exchange Online és az Office 365 SharePoint Online alkalmazásokat.
- Feltételek:
- Helyek esetén válassza a Nincs konfigurálva lehetőséget.
- Állítsa be a Konfigurálás igen beállítást.
- Adjon meg bármilyen helyet.
- Kijelölt helyek kizárása.
- A Kiválasztás beállításnál válassza a Nincs lehetőséget.
- Válassza ki az összes megfelelő hálózati helyet.
A hozzáférés-vezérlési vezérlők>engedélyezik a> kiválasztási blokk hozzáférését.
Hozzon létre egy második feltételes hozzáférési szabályzatot, amely vezérlőket igényel ahhoz, hogy a globális biztonságos hozzáférési ügyfél csatlakozzon az SSE-megoldáshoz (például MFA, megfelelő eszköz, tou). Konfigurálja a feltételes hozzáférési szabályzatot az alábbiak szerint:
Felhasználók: Válassza ki a tesztfelhasználót vagy egy próbacsoportot.
Célerőforrások:
Válassza ki, hogy mire vonatkozik ez a szabályzat, válassza a Globális biztonságos hozzáférés lehetőséget.
Válassza ki azokat a forgalmi profilokat, amelyekre a szabályzat vonatkozik, válassza a Microsoft-forgalmat.
A hozzáférési vezérlők>megadása:> Válassza ki azokat a vezérlőket, amelyeket kényszeríteni szeretne, például többtényezős hitelesítést igényel.
Próbáljon meg bejelentkezni a SharePoint Online-ba vagy az Exchange Online-ba, és ellenőrizze, hogy a rendszer kéri-e a globális biztonságos hozzáférés hitelesítését. A globális biztonságos hozzáférési ügyfél hozzáférési jogkivonatokat és frissítési jogkivonatokat használ a Microsoft Security Service Edge-megoldásához való csatlakozáshoz. Ha korábban csatlakoztatta a globális biztonságos hozzáférési ügyfelet, előfordulhat, hogy várnia kell, amíg a hozzáférési jogkivonat lejár (akár egy órával) a létrehozott feltételes hozzáférési szabályzat alkalmazása előtt.
A feltételes hozzáférési szabályzat sikeres alkalmazásának ellenőrzéséhez tekintse meg a tesztfelhasználó bejelentkezési naplóit a ZTNA Network Access Client - M365 alkalmazáshoz.
Ellenőrizze, hogy a Global Secure Access-ügyfél csatlakoztatva van-e a jobb alsó sarokban lévő tálca megnyitásával, és ellenőrizze, hogy van-e zöld pipa az ikonon.
A tesztfelhasználóval jelentkezzen be a SharePoint Online-ba vagy az Exchange Online-ba a teszteszközével.
A globális biztonságos hozzáférési ügyfél nélküli másik eszközről a tesztfelhasználói identitás használatával próbáljon meg bejelentkezni a SharePoint Online-ba vagy az Exchange Online-ba. Másik lehetőségként kattintson a jobb gombbal a globális biztonságos hozzáférési ügyfélre a tálcán, és kattintson a Szüneteltetés gombra, majd a tesztfelhasználóidentitás használatával próbáljon meg bejelentkezni a SharePoint Online-ba vagy az Exchange Online-ba ugyanazon az eszközön.
A globális biztonságos hozzáférési ügyféllel rendelkező teszteszközön próbáljon meg bejelentkezni egy másik Microsoft Entra-bérlőbe külső identitással. Ellenőrizze, hogy a bérlői korlátozások blokkolják-e a hozzáférést.
Lépjen a külső bérlőre, és keresse meg a bejelentkezési naplóit. A külső bérlő bejelentkezési naplóiban ellenőrizze, hogy a külső bérlőhöz való hozzáférés blokkolva és naplózva jelenik-e meg.
Példa poC-forgatókönyvre: forrás IP-címének visszaállítása
A hálózati proxyk és a külső SSE-megoldások felülírják a küldő eszköz nyilvános IP-címét, ami megakadályozza, hogy a Microsoft Entra ID ezt az IP-címet szabályzatokhoz vagy jelentésekhez használja. Ez a korlátozás a következő problémákat okozza:
- A Microsoft Entra ID nem tud bizonyos helyalapú feltételes hozzáférési szabályzatokat (például a nem megbízható országok blokkolását) kikényszeríteni.
- A felhasználó alapkonfigurációját kihasználó kockázatalapú észlelések romlanak, mivel a rendszer Microsoft Entra ID-védelem gépi tanulási algoritmusokat a proxy IP-címére korlátozza. Nem tudják észlelni vagy betanítsa a felhasználó valódi forrás IP-címét.
- Az SOC-műveleteknek/vizsgálatoknak külső/proxynaplókat kell használniuk az eredeti forrás IP-cím meghatározásához, majd az azt követő tevékenységnaplókkal való korrelációhoz, ami hatékonysági hiányosságokat eredményez.
Ez a szakasz bemutatja, hogyan oldja meg a Microsoft Traffic Microsoft Entra internet-hozzáférés ezeket a problémákat a felhasználó eredeti forrás IP-címének megőrzésével, a biztonsági vizsgálatok egyszerűsítésével és a hibaelhárítással.
A forrás IP-cím visszaállításának teszteléséhez engedélyezni kell a feltételes hozzáférés globális biztonságos hozzáférés-jelzését. Olyan feltételes hozzáférési szabályzatra van szüksége, amely megfelelő hálózatot igényel a jelen cikkben ismertetett módon.
Ellenőrizze, hogy a Global Secure Access-ügyfél csatlakoztatva van-e a jobb alsó sarokban lévő tálca megnyitásával, és ellenőrizze, hogy van-e zöld pipa az ikonon. A tesztelési identitás használatával jelentkezzen be a SharePoint Online-ba vagy az Exchange Online-ba.
Tekintse meg a bejelentkezés bejelentkezési naplóját, és jegyezze fel az IP-címet és a helyet. Győződjön meg arról, hogy a megfelelő hálózati feltételes hozzáférési szabályzat nincs alkalmazva.
Állítsa a megfelelő hálózati feltételes hozzáférési szabályzatot csak jelentéskészítési módra, és válassza a Mentés lehetőséget.
A tesztügyfél-eszközön nyissa meg a tálcát, kattintson a jobb gombbal a Globális biztonságos hozzáférésű ügyfél ikonra, és válassza a Szüneteltetés lehetőséget. Vigye az egérmutatót az ikonra, és ellenőrizze, hogy a globális biztonságos hozzáférési ügyfél már nem csatlakozik-e a globális biztonságos hozzáférési ügyfél megerősítésével – letiltva.
A tesztfelhasználó használatával jelentkezzen be a SharePoint Online-ba vagy az Exchange Online-ba. Győződjön meg arról, hogy sikeresen bejelentkezhet, és hozzáférhet az erőforráshoz.
Az utolsó bejelentkezési kísérlet bejelentkezési naplójának megtekintése.
Következő lépések
Üzembe helyezés és Microsoft Entra privát hozzáférés üzembe helyezés ellenőrzése és Microsoft Entra internet-hozzáférés ellenőrzése