Aktifkan pemeriksaan jaringan yang sesuai dengan Akses Bersyarah

  • Artikel

Organisasi yang menggunakan Akses Bersyar bersama dengan pratinjau Akses Aman Global, dapat mencegah akses berbahaya ke aplikasi Microsoft, aplikasi SaaS pihak ketiga, dan aplikasi lini bisnis privat (LoB) menggunakan beberapa kondisi untuk memberikan pertahanan secara mendalam. Kondisi ini mungkin termasuk kepatuhan perangkat, lokasi, dan lainnya untuk memberikan perlindungan terhadap identitas pengguna atau pencurian token. Akses Aman Global memperkenalkan konsep jaringan yang sesuai dalam Akses Bersyar dan evaluasi akses berkelanjutan. Pemeriksaan jaringan yang sesuai ini memastikan pengguna terhubung dari model konektivitas jaringan terverifikasi untuk penyewa tertentu mereka dan mematuhi kebijakan keamanan yang diberlakukan oleh administrator.

Klien Akses Aman Global yang diinstal pada perangkat atau pengguna di belakang jaringan jarak jauh yang dikonfigurasi memungkinkan administrator untuk mengamankan sumber daya di belakang jaringan yang sesuai dengan kontrol Akses Bersyar tingkat lanjut. Fitur jaringan yang sesuai ini memudahkan administrator untuk mengelola dan memelihara, tanpa harus mempertahankan daftar semua alamat IP lokasi organisasi. Administrator tidak perlu mem-hairpin lalu lintas melalui titik keluar VPN organisasi mereka untuk memastikan keamanan.

Evaluasi Akses Berkelanjutan (CAE) dengan fitur jaringan yang sesuai saat ini didukung untuk SharePoint Online. Dengan CAE, Anda dapat menerapkan pertahanan mendalam dengan perlindungan pemutaran ulang pencurian token.

Pemeriksaan jaringan yang sesuai ini khusus untuk setiap penyewa.

  • Dengan menggunakan pemeriksaan ini, Anda dapat memastikan bahwa organisasi lain yang menggunakan layanan Akses Aman Global Microsoft tidak dapat mengakses sumber daya Anda.
    • Misalnya: Contoso dapat melindungi layanan mereka seperti Exchange Online dan SharePoint Online di balik pemeriksaan jaringan yang sesuai untuk memastikan hanya pengguna Contoso yang dapat mengakses sumber daya ini.
    • Jika organisasi lain seperti Fabrikam menggunakan pemeriksaan jaringan yang sesuai, mereka tidak akan melewati pemeriksaan jaringan contoso yang sesuai.

Jaringan yang sesuai berbeda dari lokasi IPv4, IPv6, atau geografis yang mungkin Anda konfigurasi di ID Microsoft Entra. Tidak diperlukan upkeep administrator.

Prasyarat

  • Administrator yang berinteraksi dengan fitur pratinjau Akses Aman Global harus memiliki satu atau beberapa penetapan peran berikut tergantung pada tugas yang mereka lakukan.
    • Peran Administrator Akses Aman Global untuk mengelola fitur pratinjau Akses Aman Global.
    • Administrator Akses Bersyar atau Administrator Keamanan untuk membuat dan berinteraksi dengan kebijakan Akses Bersyar dan lokasi bernama.
  • Pratinjau memerlukan lisensi Microsoft Entra ID P1. Jika diperlukan, Anda dapat membeli lisensi atau mendapatkan lisensi uji coba.
  • Untuk menggunakan profil penerusan lalu lintas Microsoft 365, lisensi Microsoft 365 E3 disarankan.

Pembatasan yang diketahui

  • Pemeriksaan jaringan yang sesuai dengan evaluasi akses berkelanjutan sekarang didukung untuk SharePoint Online.
  • Pemeriksaan jaringan yang sesuai saat ini tidak didukung untuk aplikasi akses privat.
  • Kondisi lokasi jaringan yang sesuai tidak didukung untuk perangkat yang tidak terdaftar dalam manajemen perangkat seluler (MDM). Jika Anda mengonfigurasi kebijakan Akses Bersyar menggunakan kondisi lokasi jaringan yang sesuai, pengguna dengan perangkat yang belum terdaftar MDM mungkin terpengaruh. Pengguna di perangkat ini mungkin gagal dalam pemeriksaan kebijakan Akses Bersyar, dan diblokir.
    • Pastikan Anda mengecualikan pengguna atau perangkat yang terpengaruh saat menggunakan kondisi lokasi jaringan yang sesuai.

Mengaktifkan sinyal Akses Aman Global untuk Akses Bersyarat

Untuk mengaktifkan pengaturan yang diperlukan untuk mengizinkan pemeriksaan jaringan yang sesuai, administrator harus mengambil langkah-langkah berikut.

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Akses Aman Global.
  2. Telusuri ke Akses Aman Global (Pratinjau)>Pengaturan>global Akses adaptif manajemen sesi.
  3. Pilih tombol untuk Mengaktifkan sinyal Akses Aman Global di Akses Bersyarat.
  4. Telusuri lokasi Bernama Akses>Bersayaraf Perlindungan.>
    1. Konfirmasikan bahwa Anda memiliki lokasi yang disebut Semua lokasi Jaringan yang Sesuai dengan tipe lokasi Akses Jaringan. Organisasi dapat secara opsional menandai lokasi ini sebagai tepercaya.

Cuplikan layar memperlihatkan tombol untuk mengaktifkan sinyal di Akses Bersyarat.

Perhatian

Jika organisasi Anda memiliki kebijakan Akses Bersyarat aktif berdasarkan pemeriksaan jaringan yang sesuai, dan Anda menonaktifkan sinyal Akses Aman Global di Akses Bersyarat, Anda mungkin secara tidak sengaja memblokir pengguna akhir yang ditargetkan agar tidak dapat mengakses sumber daya. Jika Anda harus menonaktifkan fitur ini, pertama-tama hapus kebijakan Akses Bersyar yang sesuai.

Lindungi sumber daya Anda di balik jaringan yang sesuai

Kebijakan Akses Bersyar jaringan yang sesuai dapat digunakan untuk melindungi sumber daya Microsoft 365 dan pihak ketiga Anda.

Contoh berikut menunjukkan jenis kebijakan ini. Selain itu, perlindungan pemutaran ulang pencurian token menggunakan CAE untuk SharePoint Online sekarang didukung.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri Ke Akses Bersyar perlindungan>.
  3. Pilih Buat kebijakan baru.
  4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
    1. Di Sertakan, pilih Semua pengguna.
    2. Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.
  6. Di bawah Sumber daya>target Sertakan, dan pilih Pilih aplikasi.
    1. Pilih Office 365 Exchange Online, dan/atau SharePoint Online Office 365, dan/atau aplikasi SaaS pihak ketiga Anda.
    2. Aplikasi cloud Office 365 tertentu di pemilih aplikasi saat ini TIDAK didukung, jadi jangan pilih aplikasi cloud ini.
  7. Di bawah Kondisi>Lokasi.
    1. Atur Konfigurasikan ke Ya.
    2. Di bawah Sertakan, pilih Lokasi apa pun.
    3. Di bawah Kecualikan, pilih Lokasi yang dipilih.
      1. Pilih lokasi Semua Lokasi Jaringan yang Sesuai.
    4. Pilih Pilih.
  8. Di bawah Kontrol akses:
    1. Berikan, pilih Blokir Akses, dan pilih Pilih.
  9. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Aktif.
  10. Pilih tombol Buat untuk dibuat untuk mengaktifkan kebijakan Anda.

Catatan

Anda dapat menggunakan profil lalu lintas Akses Aman Global bersama dengan kebijakan Akses Bersyarat yang memerlukan jaringan yang sesuai untuk Semua aplikasi cloud. Tidak ada pengecualian yang diperlukan saat menyiapkan kebijakan menggunakan lokasi Semua Lokasi Jaringan yang Sesuai dan Semua aplikasi cloud.

Profil lalu lintas dikecualikan secara internal dari penegakan Akses Bersyarat saat jaringan yang sesuai diperlukan. Pengecualian ini memungkinkan klien Akses Aman Global untuk mengakses sumber daya yang diperlukan.

Profil lalu lintas yang dikecualikan muncul di log masuk sebagai aplikasi berikut ZTNA Network Access Traffic Profile.

Pengecualian pengguna

Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:

  • Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin saat semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah pemulihan akses.
  • Akun layanan dan perwakilan layanan, seperti Akun Microsoft Entra Koneksi Sync. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
    • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu seperti ini dari kebijakan dasar.

Coba kebijakan jaringan yang sesuai

  1. Pada perangkat pengguna akhir dengan klien Akses Aman Global terinstal dan berjalan, telusuri ke https://outlook.office.com/mail/ atau https://yourcompanyname.sharepoint.com/, Anda memiliki akses ke sumber daya.
  2. Jeda klien Akses Aman Global dengan mengklik kanan aplikasi di baki Windows dan memilih Jeda.
  3. Telusuri ke https://outlook.office.com/mail/ atau https://yourcompanyname.sharepoint.com/, Anda diblokir untuk mengakses sumber daya dengan pesan kesalahan yang mengatakan Anda tidak dapat mengaksesnya sekarang.

Cuplikan layar memperlihatkan pesan kesalahan di jendela browser Anda tidak dapat mengaksesnya sekarang.

Pemecahan Masalah

Pastikan lokasi bernama baru dibuat secara otomatis menggunakan Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Cuplikan layar memperlihatkan hasil kueri Graph Explorer

Ketentuan Penggunaan

Penggunaan Anda atas pengalaman dan fitur pratinjau Akses Privat Microsoft Entra dan Akses Internet Microsoft Entra diatur oleh syarat dan ketentuan layanan online pratinjau perjanjian tempat Anda mendapatkan layanan. Pratinjau dapat tunduk pada pengurangan atau komitmen keamanan, kepatuhan, dan privasi yang berbeda, seperti yang dijelaskan lebih lanjut dalam Ketentuan Lisensi Universal untuk Layanan Online dan Adendum Perlindungan Data Produk dan Layanan Microsoft ("DPA"), dan pemberitahuan lain yang disediakan dengan Pratinjau.

Langkah berikutnya

Klien Akses Aman Global untuk Windows (pratinjau)