Pertanyaan yang sering diajukan tentang Akses Aman Global

Tanya jawab umum terkait Akses Internet Microsoft Entra dan Akses Privat Microsoft Entra, yang merupakan bagian dari Akses Aman Global.

Pertanyaan platform umum

Saya menerima kesalahan saat mencoba mengakses penyewa yang dapat saya akses.

Jika Anda mengaktifkan pembatasan penyewa universal dan mengakses pusat admin Microsoft Entra untuk salah satu penyewa terdaftar yang diizinkan, Anda akan melihat kesalahan "Akses ditolak". Tambahkan bendera fitur ke pusat admin Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true. Misalnya, Anda bekerja untuk Contoso dan Anda telah mengizinkan Fabrikam terdaftar sebagai penyewa mitra. Anda melihat pesan kesalahan untuk pusat admin Microsoft Entra penyewa Fabrikam. Jika Anda menerima pesan kesalahan "akses ditolak" untuk URL ini: https://entra.microsoft.com/ maka tambahkan bendera fitur sebagai berikut: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Apakah Akses Aman Global mengizinkan login B2B?

Login B2B hanya didukung saat pengguna mengakses layanan dari perangkat yang bergabung dengan Microsoft Entra. Penyewa Microsoft Entra harus cocok dengan kredensial masuk pengguna. Misalnya, seseorang bekerja di Fabrikam dan sedang mengerjakan proyek untuk Contoso. Contoso memberi orang perangkat dan identitas Contoso, seperti v-Bob@contoso.com. Untuk mengakses Akses Aman Global Contoso menggunakan perangkat Contoso, orang tersebut dapat menggunakan atau Bob@Fabrikam.comv-Bob@Contoso.com. Namun, orang tersebut tidak dapat menggunakan perangkat Fabrikam yang bergabung ke penyewa Fabrikam untuk mengakses Akses Aman Global Contoso.

Apa perbedaan antara platform Security Service Edge (SSE) dan Endpoint Detection and Response (EDR)?

Kemampuan Gateway Web Aman sebagai bagian dari Microsoft Entra Internet Access dan platform Security Service Edge (SSE) lainnya memberikan nilai keamanan jaringan tingkat lanjut dari tepi cloud untuk semua pengguna yang terhubung ke aplikasi apa pun. Solusi SSE Microsoft secara khusus memanfaatkan integrasi mendalam dengan ID Microsoft Entra untuk menghadirkan kesadaran identitas dan konteks terhadap kebijakan keamanan jaringan terperinci. Selain itu, platform SSE memberikan kontrol yang lebih kaya dan visibilitas yang lebih dalam melalui Inspeksi Keamanan Lapisan Transportasi (TLS), memungkinkan platform ini untuk memeriksa dan menegakkan kebijakan keamanan pada paket. Platform Deteksi dan Respons Titik Akhir (EDR) seperti Pertahanan Microsoft untuk Titik Akhir memberikan nilai keamanan sadar perangkat untuk perangkat terkelola. Kebijakan ini memungkinkan Anda menargetkan perangkat atau grup perangkat, bukan konstruksi identitas berbasis pengguna. Platform EDR juga memberikan visibilitas melalui kemampuan berburu tingkat lanjut. Yang terbaik adalah menggunakan kontrol perlindungan jaringan dan titik akhir secara bersamaan untuk mencapai pendekatan pertahanan secara mendalam. Jika platform EDR digunakan bersama dengan Microsoft Entra Internet Access, kebijakan di perangkat platform EDR akan selalu diberlakukan sebelum mencapai tepi cloud, tempat kebijakan Akses Internet Microsoft Entra diberlakukan.

Apakah Akses Aman Global mendukung IPv6?

Saat ini, IPv4 lebih disukai daripada IPv6. Jika Anda mengalami masalah, nonaktifkan IPv6. Untuk informasi selengkapnya, lihat IPv4 pilihan.

Dapatkah saya mengelola Akses Aman Global dengan MICROSOFT Graph API?

Ya, ada sekumpulan API Microsoft Graph yang tersedia untuk mengelola aspek Akses Internet Microsoft Entra dan Akses Privat Microsoft Entra. Untuk informasi selengkapnya tentang API ini, lihat artikel Mengamankan akses ke aplikasi cloud, publik, dan privat menggunakan API akses jaringan Microsoft Graph.

Akses Privat

Bagaimana kami memastikan tidak ada teknisi Microsoft (atau seseorang yang berpura-pura menjadi salah satu) yang dapat melakukan panggilan ke salah satu aplikasi pelanggan?

Ada dua perlindungan untuk ini yang ada saat ini:

• Autentikasi dan otorisasi dilakukan untuk semua Skenario Akses Privat. Setiap alur jaringan yang masuk ke Konektor harus dilengkapi dengan token yang valid untuk aplikasi Entra 3P. Selain itu, tujuan hanya dapat menjadi salah satu segmen aplikasi yang dikonfigurasi di aplikasi 3P ini. Terowongan jaringan yang menghubungkan Konektor ke layanan kami di Cloud memerlukan token aplikasi ini untuk setiap alur jaringan ke Konektor agar Konektor menerima lalu lintas. Dengan demikian, bahkan jika beberapa teknisi Microsoft mencoba mengirim lalu lintas ke Konektor, tanpa token yang valid ini, lalu lintas ini tidak akan dikirimkan ke Konektor.
• Komunikasi antara Konektor dan Infrastruktur cloud Akses Privat dengan Akses Aman Global dienkripsi dan diautentikasi menggunakan terowongan TLS yang menggunakan sertifikat yang disematkan layanan. Ini berarti bahwa lalu lintas antara Layanan dan Konektor kami tidak terbuka untuk B&I dan mencegah serangan MiTM (Man-in-the-Middle).

Jaringan jarak jauh

Saya mengonfigurasi peralatan lokal pelanggan (CPE) dan Akses Aman Global, tetapi keduanya tidak tersambung. Saya menentukan alamat IP Local and Peer Border Gateway Protocol (BGP), tetapi koneksi tidak berfungsi.

Pastikan Anda membalikkan alamat IP BGP antara CPE dan Akses Aman Global. Misalnya, jika Anda menentukan alamat IP BGP Lokal sebagai 1.1.1.1 dan alamat IP BGP Peer sebagai 0.0.0.0 untuk CPE, maka tukar nilai di Akses Aman Global. Jadi alamat IP BGP Lokal di Akses Aman Global adalah 0.0.0.0 dan alamat IP GBP Serekan adalah 1.1.1.1.

Akses Internet

Apa perbedaan antara kategori web Microsoft Entra Internet Access dan kategori web Pertahanan Microsoft untuk Titik Akhir?

Microsoft Entra Internet Access dan Pertahanan Microsoft untuk Titik Akhir keduanya memanfaatkan mesin kategorisasi serupa, dengan beberapa perbedaan yang berbeda. Mesin Microsoft Entra Internet Access bertujuan untuk menyediakan kategorisasi yang valid dari setiap titik akhir di internet, sementara Pertahanan Microsoft untuk Titik Akhir mendukung daftar kategori situs yang lebih kecil, berfokus pada kategori situs yang dapat memperkenalkan tanggung jawab untuk organisasi yang mengoperasikan titik akhir. Ini berarti bahwa banyak situs tidak dikategorikan, dan organisasi yang ingin mengizinkan atau menolak akses harus membuat Indikator Jaringan untuk situs secara manual.

Tanya jawab umum terkait Akses Internet Microsoft Entra dan Akses Privat Microsoft Entra, yang merupakan bagian dari Akses Aman Global.

Jika Anda mengaktifkan pembatasan penyewa universal dan mengakses pusat admin Microsoft Entra untuk salah satu penyewa terdaftar yang diizinkan, Anda akan melihat kesalahan "Akses ditolak". Tambahkan bendera fitur ke pusat admin Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true. Misalnya, Anda bekerja untuk Contoso dan Anda telah mengizinkan Fabrikam terdaftar sebagai penyewa mitra. Anda melihat pesan kesalahan untuk pusat admin Microsoft Entra penyewa Fabrikam. Jika Anda menerima pesan kesalahan "akses ditolak" untuk URL ini: https://entra.microsoft.com/ maka tambahkan bendera fitur sebagai berikut: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Login B2B hanya didukung saat pengguna mengakses layanan dari perangkat yang bergabung dengan Microsoft Entra. Penyewa Microsoft Entra harus cocok dengan kredensial masuk pengguna. Misalnya, seseorang bekerja di Fabrikam dan sedang mengerjakan proyek untuk Contoso. Contoso memberi orang perangkat dan identitas Contoso, seperti v-Bob@contoso.com. Untuk mengakses Akses Aman Global Contoso menggunakan perangkat Contoso, orang tersebut dapat menggunakan atau Bob@Fabrikam.comv-Bob@Contoso.com. Namun, orang tersebut tidak dapat menggunakan perangkat Fabrikam yang bergabung ke penyewa Fabrikam untuk mengakses Akses Aman Global Contoso.

Kemampuan Gateway Web Aman sebagai bagian dari Microsoft Entra Internet Access dan platform Security Service Edge (SSE) lainnya memberikan nilai keamanan jaringan tingkat lanjut dari tepi cloud untuk semua pengguna yang terhubung ke aplikasi apa pun. Solusi SSE Microsoft secara khusus memanfaatkan integrasi mendalam dengan ID Microsoft Entra untuk menghadirkan kesadaran identitas dan konteks terhadap kebijakan keamanan jaringan terperinci. Selain itu, platform SSE memberikan kontrol yang lebih kaya dan visibilitas yang lebih dalam melalui Inspeksi Keamanan Lapisan Transportasi (TLS), memungkinkan platform ini untuk memeriksa dan menegakkan kebijakan keamanan pada paket. Platform Deteksi dan Respons Titik Akhir (EDR) seperti Pertahanan Microsoft untuk Titik Akhir memberikan nilai keamanan sadar perangkat untuk perangkat terkelola. Kebijakan ini memungkinkan Anda menargetkan perangkat atau grup perangkat, bukan konstruksi identitas berbasis pengguna. Platform EDR juga memberikan visibilitas melalui kemampuan berburu tingkat lanjut. Yang terbaik adalah menggunakan kontrol perlindungan jaringan dan titik akhir secara bersamaan untuk mencapai pendekatan pertahanan secara mendalam. Jika platform EDR digunakan bersama dengan Microsoft Entra Internet Access, kebijakan di perangkat platform EDR akan selalu diberlakukan sebelum mencapai tepi cloud, tempat kebijakan Akses Internet Microsoft Entra diberlakukan.

Saat ini, IPv4 lebih disukai daripada IPv6. Jika Anda mengalami masalah, nonaktifkan IPv6. Untuk informasi selengkapnya, lihat IPv4 pilihan.

Ya, ada sekumpulan API Microsoft Graph yang tersedia untuk mengelola aspek Akses Internet Microsoft Entra dan Akses Privat Microsoft Entra. Untuk informasi selengkapnya tentang API ini, lihat artikel Mengamankan akses ke aplikasi cloud, publik, dan privat menggunakan API akses jaringan Microsoft Graph.

Ada dua perlindungan untuk ini yang ada saat ini:

• Autentikasi dan otorisasi dilakukan untuk semua Skenario Akses Privat. Setiap alur jaringan yang masuk ke Konektor harus dilengkapi dengan token yang valid untuk aplikasi Entra 3P. Selain itu, tujuan hanya dapat menjadi salah satu segmen aplikasi yang dikonfigurasi di aplikasi 3P ini. Terowongan jaringan yang menghubungkan Konektor ke layanan kami di Cloud memerlukan token aplikasi ini untuk setiap alur jaringan ke Konektor agar Konektor menerima lalu lintas. Dengan demikian, bahkan jika beberapa teknisi Microsoft mencoba mengirim lalu lintas ke Konektor, tanpa token yang valid ini, lalu lintas ini tidak akan dikirimkan ke Konektor.
• Komunikasi antara Konektor dan Infrastruktur cloud Akses Privat dengan Akses Aman Global dienkripsi dan diautentikasi menggunakan terowongan TLS yang menggunakan sertifikat yang disematkan layanan. Ini berarti bahwa lalu lintas antara Layanan dan Konektor kami tidak terbuka untuk B&I dan mencegah serangan MiTM (Man-in-the-Middle).

Pastikan Anda membalikkan alamat IP BGP antara CPE dan Akses Aman Global. Misalnya, jika Anda menentukan alamat IP BGP Lokal sebagai 1.1.1.1 dan alamat IP BGP Peer sebagai 0.0.0.0 untuk CPE, maka tukar nilai di Akses Aman Global. Jadi alamat IP BGP Lokal di Akses Aman Global adalah 0.0.0.0 dan alamat IP GBP Serekan adalah 1.1.1.1.

Microsoft Entra Internet Access dan Pertahanan Microsoft untuk Titik Akhir keduanya memanfaatkan mesin kategorisasi serupa, dengan beberapa perbedaan yang berbeda. Mesin Microsoft Entra Internet Access bertujuan untuk menyediakan kategorisasi yang valid dari setiap titik akhir di internet, sementara Pertahanan Microsoft untuk Titik Akhir mendukung daftar kategori situs yang lebih kecil, berfokus pada kategori situs yang dapat memperkenalkan tanggung jawab untuk organisasi yang mengoperasikan titik akhir. Ini berarti bahwa banyak situs tidak dikategorikan, dan organisasi yang ingin mengizinkan atau menolak akses harus membuat Indikator Jaringan untuk situs secara manual.