Compatibele netwerkcontrole met voorwaardelijke toegang inschakelen

  • Artikel

Organisaties die voorwaardelijke toegang samen met de preview-versie van Global Secure Access gebruiken, kunnen schadelijke toegang tot Microsoft-apps, SaaS-apps van derden en privé Line-Of-Business-apps (LoB) voorkomen met behulp van meerdere voorwaarden om diepgaande verdediging te bieden. Deze voorwaarden omvatten mogelijk apparaatcompatibiliteit, locatie en meer om bescherming te bieden tegen identiteits- of tokendiefstal van gebruikers. Global Secure Access introduceert het concept van een compatibel netwerk binnen voorwaardelijke toegang en continue toegangsevaluatie. Deze compatibele netwerkcontrole zorgt ervoor dat gebruikers verbinding maken vanuit een geverifieerd netwerkconnectiviteitsmodel voor hun specifieke tenant en voldoen aan het beveiligingsbeleid dat door beheerders wordt afgedwongen.

Met de Global Secure Access Client die is geïnstalleerd op apparaten of gebruikers achter geconfigureerde externe netwerken, kunnen beheerders resources achter een compatibel netwerk beveiligen met geavanceerde besturingselementen voor voorwaardelijke toegang. Deze compatibele netwerkfunctie maakt het eenvoudiger voor beheerders om te beheren en te onderhouden, zonder dat ze een lijst met alle IP-adressen van locaties van een organisatie hoeven te onderhouden. Beheer istrators hoeven geen verkeer te hairpinen via de VPN-uitgangspunten van hun organisatie om de beveiliging te waarborgen.

Continue toegangsevaluatie (CAE) met de compatibele netwerkfunctie wordt momenteel ondersteund voor SharePoint Online. Met CAE kunt u diepgaande verdediging afdwingen met beveiliging tegen diefstal van tokens.

Deze compatibele netwerkcontrole is specifiek voor elke tenant.

  • Met deze controle kunt u ervoor zorgen dat andere organisaties die gebruikmaken van de global Secure Access-services van Microsoft geen toegang hebben tot uw resources.
    • Bijvoorbeeld: Contoso kan hun services zoals Exchange Online en SharePoint Online beveiligen achter hun compatibele netwerkcontrole om ervoor te zorgen dat alleen Contoso-gebruikers toegang hebben tot deze resources.
    • Als een andere organisatie zoals Fabrikam een compatibele netwerkcontrole gebruikte, zou deze de netwerkcontrole van Contoso niet doorgeven.

Het compatibele netwerk verschilt van IPv4, IPv6 of geografische locaties die u in Microsoft Entra-id kunt configureren. Er is geen beheerdersbeheer vereist.

Vereisten

  • Beheer istrators die interactie hebben met De preview-functies van Global Secure Access moeten een of meer van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren.
  • Voor de preview is een Licentie voor Microsoft Entra ID P1 vereist. Indien nodig kunt u licenties kopen of proeflicenties krijgen.
  • Als u het Microsoft 365-profiel voor het doorsturen van verkeer wilt gebruiken, wordt een Microsoft 365 E3-licentie aanbevolen.

Bekende beperkingen

  • Compatibele netwerkcontrole met continue toegangsevaluatie wordt nu ondersteund voor SharePoint Online.
  • Compatibele netwerkcontrole wordt momenteel niet ondersteund voor privétoegangs-apps.
  • De compatibele netwerklocatievoorwaarde wordt niet ondersteund voor apparaten die niet zijn ingeschreven bij Mobile Device Management (MDM). Als u beleid voor voorwaardelijke toegang configureert met behulp van de voorwaarde voor de compatibele netwerklocatie, kunnen gebruikers met apparaten die nog niet bij MDM zijn ingeschreven, worden beïnvloed. Gebruikers op deze apparaten kunnen de beleidscontrole voor voorwaardelijke toegang mislukken en worden geblokkeerd.
    • Zorg ervoor dat u de betrokken gebruikers of apparaten uitsluit wanneer u de compatibele netwerklocatievoorwaarde gebruikt.

Global Secure Access signaling inschakelen voor voorwaardelijke toegang

Als u de vereiste instelling wilt inschakelen om de compatibele netwerkcontrole toe te staan, moet een beheerder de volgende stappen uitvoeren.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als een global Secure Access Beheer istrator.
  2. Blader naar Globale beveiligde toegang (preview)>Algemene instellingen>SessiebeheerAdaptieve toegang.
  3. Selecteer de wisselknop om global Secure Access-signalering in te schakelen in voorwaardelijke toegang.
  4. Blader naar >voorwaardelijke toegang>tot benoemde locaties voor beveiliging.
    1. Bevestig dat u een locatie hebt met de naam Alle compatibele netwerklocaties met locatietype Netwerktoegang. Organisaties kunnen deze locatie desgewenst markeren als vertrouwd.

Schermopname van de wisselknop om signalering in te schakelen in voorwaardelijke toegang.

Let op

Als uw organisatie actieve beleidsregels voor voorwaardelijke toegang heeft op basis van compatibele netwerkcontrole en u global Secure Access-signalering uitschakelt in voorwaardelijke toegang, kunt u onbedoeld voorkomen dat doelgebruikers toegang hebben tot de resources. Als u deze functie moet uitschakelen, moet u eerst alle bijbehorende beleidsregels voor voorwaardelijke toegang verwijderen.

Uw resources beveiligen achter het compatibele netwerk

Het conforme netwerkbeleid voor voorwaardelijke toegang kan worden gebruikt om uw Microsoft 365- en externe resources te beveiligen.

In het volgende voorbeeld ziet u dit type beleid. Bovendien wordt beveiliging tegen het opnieuw afspelen van tokens met CAE voor SharePoint Online ondersteund.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
  2. Blader naar voorwaardelijke toegang voor beveiliging>.
  3. Selecteer Nieuw beleid maken.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Onder Uitsluiten selecteert u Gebruikers en groepen en kiest u de noodtoegangs- of 'break glass'-accounts van uw organisatie.
  6. Selecteer onder Doelbronnen>Opnemen en selecteer Apps selecteren.
    1. Kies Office 365 Exchange Online en/of Office 365 SharePoint Online en/of een van uw SaaS-apps van derden.
    2. De specifieke Office 365-cloud-app in de appkiezer wordt momenteel NIET ondersteund, dus selecteer deze cloud-app niet.
  7. Bij Voorwaarden>Locatie.
    1. Stel Configureren in op Ja.
    2. Selecteer bij Opnemen de optie Elke locatie.
    3. Selecteer onder Uitsluiten de geselecteerde locaties.
      1. Selecteer de locatie alle compatibele netwerklocaties .
    4. Selecteer Selecteren.
  8. Onder Besturingselementen voor toegang:
    1. Verlenen, toegang blokkeren en selecteren selecteren.
  9. Controleer uw instellingen en stel Beleid inschakelen in op Aan.
  10. Selecteer de knop Maken om uw beleid in te schakelen.

Notitie

U kunt globale beveiligingstoegangsprofielen gebruiken, samen met een beleid voor voorwaardelijke toegang dat een compatibel netwerk vereist voor alle cloud-apps. Er is geen uitsluiting vereist bij het instellen van een beleid met behulp van de locatie van alle compatibele netwerklocaties en alle cloud-apps.

Verkeersprofielen worden intern uitgesloten van afdwinging van voorwaardelijke toegang wanneer een compatibel netwerk is vereist. Met deze uitsluiting kan de Global Secure Access-client toegang krijgen tot de vereiste resources.

Het uitgesloten verkeersprofiel wordt weergegeven in de aanmeldingslogboeken als het volgende ZTNA-netwerktoegangsprofiel.

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:

  • noodtoegangaccounts of break glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders uitgesloten van uw tenant, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden bij de tenant om stappen te ondernemen om de toegang te herstellen.
  • Serviceaccounts en service-principals, zoals het Microsoft Entra-Verbinding maken-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een bepaalde gebruiker. Ze worden normaal gesproken gebruikt door back-endservices die programmatische toegang tot toepassingen toestaan, maar worden ook gebruikt om u aan te melden bij systemen voor administratieve doeleinden. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden voltooid. Aanroepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workloadidentiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
    • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten. Als tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

Uw conforme netwerkbeleid proberen

  1. Op een apparaat van eindgebruikers waarop de Global Secure Access-client is geïnstalleerd en wordt uitgevoerd, bladert u naar https://outlook.office.com/mail/ of https://yourcompanyname.sharepoint.com/hebt u toegang tot resources.
  2. Pauzeer de Global Secure Access-client door met de rechtermuisknop op de toepassing in het Windows-systeemvak te klikken en Onderbreken te selecteren.
  3. Blader naar https://outlook.office.com/mail/ of https://yourcompanyname.sharepoint.com/, u bent geblokkeerd voor toegang tot resources met een foutbericht met de mededeling dat u dit op dit moment niet kunt openen.

Schermopname van het foutbericht in het browservenster U kunt dit nu niet openen.

Probleemoplossing

Controleer of de nieuwe benoemde locatie automatisch is gemaakt met Behulp van Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Schermopname van Graph Explorer-resultaten van query

Gebruiksvoorwaarden

Uw gebruik van de Microsoft Entra-privétoegang en Microsoft Entra-internettoegang preview-ervaringen en -functies is onderhevig aan de voorwaarden van de online online servicevoorwaarden van de overeenkomst(en) waaronder u de services hebt verkregen. Previews kunnen onderhevig zijn aan verminderde of andere verplichtingen op het gebied van beveiliging, naleving en privacy, zoals verder wordt uitgelegd in de universele licentievoorwaarden voor onlineservices en de Microsoft-gegevensbeschermingstoevoeging ('DPA') en eventuele andere kennisgevingen die bij de preview worden geleverd.

Volgende stappen

De globale Secure Access-client voor Windows (preview)