Delen via


Implementatiehandleiding voor de Security Service Edge-oplossing van Microsoft voor Microsoft Entra-internettoegang voor het proof-of-concept van Microsoft Traffic

Deze PoC-implementatiehandleiding (Proof of Concept) helpt u bij het implementeren van de SSE-oplossing (Security Service Edge) van Microsoft die Microsoft Entra-internettoegang voor Microsoft-verkeer bevat.

Overzicht

Met de identiteitsgerichte Security Service Edge-oplossing van Microsoft worden netwerk-, identiteits- en eindpunttoegangsbeheer geconvergeerd, zodat u de toegang tot elke app of resource kunt beveiligen, vanaf elke locatie, elk apparaat of elke identiteit. Hiermee kunt u toegangsbeleidsbeheer voor werknemers, zakelijke partners en digitale workloads inschakelen en organiseren. U kunt gebruikerstoegang continu in realtime bewaken en aanpassen als machtigingen of risiconiveaus worden gewijzigd in uw privé-apps, SaaS-apps en Microsoft-eindpunten. In deze sectie wordt beschreven hoe u Microsoft Entra-internettoegang voltooit voor het concept van het verkeer van Microsoft in uw productie- of testomgeving.

Microsoft Entra-internettoegang voor implementatie van Microsoft Traffic

Voer de eerste productstappen configureren uit. Dit omvat de configuratie van Microsoft Entra-internettoegang voor Microsoft-verkeer, het inschakelen van het profiel voor het doorsturen van Microsoft-verkeer en het installeren van de Global Secure Access-client. U moet de configuratie beperken tot specifieke testgebruikers en -groepen.

Voorbeeld van PoC-scenario: beveiligen tegen gegevensexfiltratie

Gegevensexfiltratie is een zorg voor alle bedrijven, met name bedrijven die actief zijn in sterk gereglementeerde sectoren, zoals overheid of financiën. Met uitgaande besturingselementen in instellingen voor toegang tot meerdere tenants kunt u voorkomen dat onbevoegde identiteiten van externe tenants toegang hebben tot uw Microsoft-gegevens wanneer u uw beheerde apparaten gebruikt.

Microsoft Entra-internettoegang voor Microsoft-verkeer kan uw DLP-besturingselementen (Preventie van gegevensverlies) verbeteren door het volgende mogelijk te maken:

  • bescherming tegen diefstal van tokens door te vereisen dat gebruikers alleen toegang hebben tot Microsoft-resources als ze via een compatibel netwerk binnenkomen.
  • dwing beleid voor voorwaardelijke toegang af voor verbindingen met De Edge van De Beveiligingsservice van Microsoft.
  • universele tenantbeperkingen v2 implementeren, waardoor alle gebruikersverkeer niet meer hoeft te worden gerouteerd via door de klant beheerde netwerkproxy's.
  • tenantbeperkingen configureren die voorkomen dat gebruikers toegang krijgen tot niet-geautoriseerde externe tenants met een identiteit van derden (bijvoorbeeld persoonlijk of uitgegeven door een externe organisatie).
  • beveiliging tegen infiltratie/exfiltratie van tokens om ervoor te zorgen dat gebruikers uw tenantbeperkingen niet kunnen omzeilen door toegangstokens naar en van niet-beheerde apparaten of netwerklocaties te verplaatsen.

In deze sectie wordt beschreven hoe u compatibele netwerktoegang tot Microsoft-verkeer afdwingt, de verbinding met de edge van de Beveiligingsservice van Microsoft beveiligt met voorwaardelijke toegang en voorkomen dat externe identiteiten toegang krijgen tot externe tenants op uw beheerde apparaten en/of netwerken met behulp van universele tenantbeperkingen v2. Tenantbeperkingen zijn alleen van toepassing op externe identiteiten; ze zijn niet van toepassing op identiteiten binnen uw eigen tenant. Als u uitgaande toegang wilt beheren voor de identiteiten van uw eigen gebruikers, gebruikt u instellingen voor toegang tussen tenants. Het configureren van het beleid voor tenantbeperkingen in Microsoft Entra ID om toegang te blokkeren, is van toepassing op gebruikers die de headerinjectie van de tenantbeperkingen krijgen. Dit omvat alleen gebruikers die door klantnetwerkproxy's routeren die de headers injecteren, gebruikers met geïmplementeerde Global Secure Access Client of gebruikers op Windows-apparaten met ingeschakelde headers voor tenantbeperkingen via de windows-besturingssysteeminstelling. Zorg er bij het testen voor dat tenantbeperkingen worden afgedwongen door de Global Secure Access-service en niet via netwerkproxy's van klanten of Windows-instellingen om onbedoeld gevolgen voor andere gebruikers te voorkomen. Daarnaast moet u signalering voor voorwaardelijke toegang inschakelen om globale opties voor beveiligde toegang in te schakelen in voorwaardelijke toegang.

  1. Schakel global Secure Access signaling in voor voorwaardelijke toegang.

  2. Schakel universele tenantbeperkingen in.

  3. Configureer het beleid voor tenantbeperkingen in het Microsoft Entra-beheercentrum om de toegang voor alle externe identiteiten en alle toepassingen te blokkeren.

  4. Maak een beleid voor voorwaardelijke toegang waarvoor een compatibel netwerk is vereist voor toegang. Als u de compatibele netwerkvereiste configureert, blokkeert u alle toegang tot Office 365 Exchange Online en Office 365 SharePoint Online voor uw testgebruikers, vanaf elke locatie, tenzij ze verbinding maken met de Security Service Edge-oplossing van Microsoft. Configureer uw beleid voor voorwaardelijke toegang als volgt:

    1. Gebruikers: Selecteer uw testgebruiker of een testgroep.
    2. Doelbronnen: Selecteer de toepassingen Office 365 Exchange Online en Office 365 SharePoint Online.
    3. Voorwaarden:
    4. Selecteer Voor Locaties de optie Niet geconfigureerd.
    5. Stel Configureren in op Ja.
    6. Elke locatie opnemen.
    7. Geselecteerde locaties uitsluiten.
    8. Selecteer Geen voor Selecteren.
    9. Selecteer Alle compatibele netwerklocaties.
  5. Toegangsbesturingselementen>Verlenen> Select Block-toegang.

  6. Maak een tweede beleid voor voorwaardelijke toegang waarvoor besturingselementen zijn vereist om de Global Secure Access Client verbinding te laten maken met de SSE-oplossing (zoals MFA, compatibel apparaat, TOU). Configureer uw beleid voor voorwaardelijke toegang als volgt:

    1. Gebruikers: Selecteer uw testgebruiker of een testgroep.

    2. Doelbronnen:

    3. Als u wilt selecteren waarop dit beleid van toepassing is, selecteert u Global Secure Access.

    4. Selecteer Microsoft-verkeer als u de verkeersprofielen selecteert waarvoor dit beleid van toepassing is.

      Schermopname van beleidsopties voor voorwaardelijke toegang.

  7. Toegangsbeheer>verlenen> Selecteer de besturingselementen die u wilt afdwingen, zoals meervoudige verificatie vereisen.

  8. Probeer u aan te melden bij SharePoint Online of Exchange Online en controleer of u wordt gevraagd om u te verifiëren bij Global Secure Access. De global Secure Access Client maakt gebruik van toegangstokens en vernieuwingstokens om verbinding te maken met de Security Service Edge-oplossing van Microsoft. Als u eerder verbinding hebt gemaakt met de Global Secure Access-client, moet u mogelijk wachten tot het toegangstoken verloopt (maximaal één uur) voordat het beleid voor voorwaardelijke toegang dat u hebt gemaakt, wordt toegepast.

    Schermopname van het promptvenster referenties voor globale beveiligde toegang.

  9. Als u wilt controleren of uw beleid voor voorwaardelijke toegang is toegepast, bekijkt u de aanmeldingslogboeken voor uw testgebruiker voor de ZTNA Network Access Client - M365-toepassing .

    Schermopname van een lijst met aanmeldingslogboeken met het interactieve tabblad Gebruikersaanmelding.

    Schermopname van het venster Aanmeldingslogboeken met het tabblad Voorwaardelijke toegang.

  10. Controleer of de Global Secure Access Client is verbonden door het systeemvak in de rechterbenedenhoek te openen en te controleren of er een groen vinkje op het pictogram staat.

    Schermopname van het pictogram Global Secure Access Client met de status Verbonden.

  11. Gebruik uw testgebruiker om u aan te melden bij SharePoint Online of Exchange Online met behulp van uw testapparaat.

    1. Controleer of de gebruiker toegang heeft tot de resource.

    2. Controleer in de aanmeldingslogboeken of het beleid voor voorwaardelijke toegang waarmee de toegang buiten compatibele netwerken wordt geblokkeerd, niet is toegepast.

      Schermopname van een regel in het venster aanmeldingslogboeken met succesindicator.

      Schermopname van het aanmeldingslogboekvenster waarin wordt weergegeven dat beleid voor voorwaardelijke toegang niet is toegepast.

  12. Gebruik uw testgebruikersidentiteit vanaf een ander apparaat zonder de Global Secure Access-client om u aan te melden bij SharePoint Online of Exchange Online. U kunt ook met de rechtermuisknop op de global Secure Access-client in uw systeemvak klikken en vervolgens op Onderbreken klikken en vervolgens uw testgebruikersidentiteit gebruiken om u aan te melden bij SharePoint Online of Exchange Online op hetzelfde apparaat.

    1. Controleer of de toegang is geblokkeerd.

    2. Controleer in de aanmeldingslogboeken of het beleid voor voorwaardelijke toegang waarmee de toegang buiten compatibele netwerken wordt geblokkeerd, is toegepast.

      Schermopname van een regel in het aanmeldingslogboekvenster met foutindicator.

      Schermopname van het venster Aanmeldingslogboeken met het tabblad Voorwaardelijke toegang met een regel waarin de kolom Resultaat mislukt is.

  13. Probeer u vanaf uw testapparaat waarvoor de Global Secure Access-client is ingeschakeld, aan te melden bij een andere Microsoft Entra-tenant met een externe identiteit. Controleer of tenantbeperkingen de toegang blokkeren.

    Schermopname van het aanmeldingsvenster nadat u referenties hebt ingediend met het bericht Dat Access is geblokkeerd.

  14. Ga naar de externe tenant en navigeer naar de aanmeldingslogboeken. Controleer in de aanmeldingslogboeken van de externe tenant of de toegang tot de refererende tenant wordt weergegeven als geblokkeerd en geregistreerd.

    Schermopname van de vensterregel voor aanmeldingslogboeken waarin de kolom Resultaat mislukt is.

    Schermopname van aanmeldingslogboeken met het tabblad Basisgegevens voor een item dat aangeeft dat het beleid voor tenantbeperkingen geen toegang toestaat.

Voorbeeld van PoC-scenario: herstel van bron-IP-adres

Netwerkproxy's en SSE-oplossingen van derden overschrijven het openbare IP-adres van het verzendende apparaat, waardoor Microsoft Entra-id dit IP-adres niet kan gebruiken voor beleid of rapporten. Deze beperking veroorzaakt de volgende problemen:

  • Microsoft Entra ID kan bepaalde beleidsregels voor voorwaardelijke toegang op basis van locaties niet afdwingen (zoals het blokkeren van niet-vertrouwde landen).
  • Detecties op basis van risico's die gebruikmaken van vertrouwde locaties van een gebruiker, afnemen omdat het systeem de machine learning-algoritmen van Microsoft Entra ID Protection beperkt tot het IP-adres van uw proxy. Ze kunnen het IP-adres van de gebruiker niet detecteren of trainen.
  • SOC-bewerkingen/onderzoeken moeten gebruikmaken van externe/proxylogboeken om het oorspronkelijke bron-IP-adres te bepalen en deze vervolgens te correleren met volgende activiteitenlogboeken, wat resulteert in inefficiëntie.

In deze sectie wordt gedemonstreerd hoe Microsoft Entra-internettoegang voor Microsoft Traffic deze problemen verhelpt door het oorspronkelijke BRON-IP-adres van de gebruiker te behouden, beveiligingsonderzoeken en probleemoplossing te vereenvoudigen.

Als u het herstel van bron-IP-adressen wilt testen, moet global Secure Access-signalering voor voorwaardelijke toegang zijn ingeschakeld. U hebt een beleid voor voorwaardelijke toegang nodig waarvoor een compatibel netwerk is vereist, zoals eerder in dit artikel is beschreven.

  1. Controleer of de Global Secure Access Client is verbonden door het systeemvak in de rechterbenedenhoek te openen en te controleren of er een groen vinkje op het pictogram staat. Meld u met uw testidentiteit aan bij SharePoint Online of Exchange Online.

    Schermopname van het pictogram Global Secure Access Client met de indicator Verbonden status.

  2. Bekijk het aanmeldingslogboek voor deze aanmelding en noteer het IP-adres en de locatie. Controleer of het compatibele netwerkbeleid voor voorwaardelijke toegang niet is toegepast.

    Schermopname van aanmeldingslogboeken met het tabblad Locatie voor een item.

    Schermopname van het aanmeldingslogboekvenster met het tabblad Voorwaardelijke toegang waarin een regel wordt gemarkeerd waarin de kolom Resultaat niet wordt toegepast.

  3. Stel het beleid voor voorwaardelijke toegang van het compatibele netwerk in op de modus Alleen-rapporteren en selecteer Opslaan.

  4. Open het systeemvak op uw testclientapparaat, klik met de rechtermuisknop op het pictogram van de global Secure Access-client en selecteer Onderbreken. Beweeg de muisaanwijzer over het pictogram en controleer of de global Secure Access Client geen verbinding meer maakt door de Global Secure Access Client te bevestigen - Uitgeschakeld.

    Schermopname van het menu Opties voor global Secure Access-client met de optie Onderbreken gemarkeerd.

    Schermopname van het pictogram Global Secure Access Client dat wordt weergegeven als uitgeschakeld.

  5. Meld u met behulp van uw testgebruiker aan bij SharePoint Online of Exchange Online. Controleer of u zich kunt aanmelden en toegang hebt tot de resource.

  6. Bekijk het aanmeldingslogboek voor de laatste aanmeldingspoging.

    1. Bevestig dat het IP-adres en de locatie overeenkomen met het ip-adres en de locatie die eerder zijn genoteerd.

    2. Controleer of het beleid voor alleen voorwaardelijke toegang alleen voor rapporten is mislukt omdat het verkeer niet is gerouteerd via Microsoft Entra-internettoegang voor Microsoft-verkeer.

      Schermopname van aanmeldingslogboeken met het tabblad Locatie voor een item.

      Schermopname van aanmeldingslogboeken met het tabblad Alleen rapport voor een item met alleen rapport: Fout in de kolom Resultaat.

Volgende stappen

Microsoft Entra-privétoegang Implementeren en verifiëren en Microsoft Entra-internettoegang controleren