Co to jest globalny bezpieczny dostęp?
Ważny
Niektóre funkcje globalnego bezpiecznego dostępu są obecnie dostępne w wersji zapoznawczej. Zapoznaj się z warunkami prawnymi dotyczącymi produktów , które mają zastosowanie do funkcji w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Sposób, w jaki ludzie pracują, zmienili się. Zamiast pracować w tradycyjnych biurach, ludzie pracują teraz z niemal dowolnego miejsca. W przypadku aplikacji i danych przenoszonych do chmury potrzebny jest obwód sieci z obsługą tożsamości dostarczany przez chmurę dla nowoczesnych pracowników. Ta nowa kategoria zabezpieczeń sieci nosi nazwę Security Service Edge (SSE).
Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra składają się na rozwiązanie Microsoft Security Service Edge (SSE). Globalny bezpieczny dostęp to jednoczący termin używany zarówno dla Dostęp do Internetu Microsoft Entra, jak i Dostęp Prywatny Microsoft Entra. Globalny bezpieczny dostęp to ujednolicona lokalizacja w centrum administracyjnym firmy Microsoft Entra. Globalny bezpieczny dostęp opiera się na podstawowych zasadach zero trust do korzystania z najniższych uprawnień, weryfikowania jawnego i zakładania naruszenia.
Rozwiązanie Microsoft Security Service Edge (SSE)
Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra — w połączeniu z Microsoft Defender dla Chmury Aplikacje, nasz skoncentrowany na zabezpieczeniach SaaS Broker zabezpieczeń w chmurze (CASB) — są unikatowo tworzone jako rozwiązanie, które konwerguruje kontrolę dostępu do sieci, tożsamości i punktów końcowych, dzięki czemu można zabezpieczyć dostęp do dowolnej aplikacji lub zasobu z dowolnego miejsca. Dzięki dodaniu tych produktów globalnego bezpiecznego dostępu identyfikator Firmy Microsoft upraszcza zarządzanie zasadami dostępu i umożliwia orkiestrację dostępu dla pracowników, partnerów biznesowych i obciążeń cyfrowych. Możesz stale monitorować i dostosowywać dostęp użytkowników w czasie rzeczywistym, jeśli uprawnienia lub poziom ryzyka ulegnie zmianie.
Funkcje globalnego bezpiecznego dostępu usprawniają wdrażanie i zarządzanie możliwościami kontroli dostępu za pomocą ujednoliconego portalu. Te funkcje są dostarczane z sieci rozległej firmy Microsoft obejmującej ponad 140 regionów i 190 lokalizacji brzegowych sieci. Ta sieć prywatna, która jest jedną z największych na świecie, umożliwia organizacjom optymalne łączenie użytkowników i urządzeń z zasobami publicznymi i prywatnymi bezproblemowo i bezpiecznie. Aby uzyskać listę bieżących punktów obecności, zobacz artykuł Global Secure Access points of presence (Globalne punkty bezpiecznego dostępu do obecności).
Dostęp do Internetu Microsoft Entra
Dostęp do Internetu Microsoft Entra zabezpiecza dostęp do usługi firmy Microsoft, SaaS i publicznych aplikacji internetowych, jednocześnie chroniąc użytkowników, urządzenia i dane przed zagrożeniami internetowymi. Najlepsze w klasie zabezpieczenia i widoczność oraz szybki i bezproblemowy dostęp do aplikacji platformy Microsoft 365. Bezpieczny dostęp do publicznych aplikacji internetowych za pośrednictwem opartej na tożsamościach, z obsługą urządzeń, bezpiecznej bramy internetowej (SWG) dostarczanej przez chmurę Dostęp do Internetu Microsoft Entra.
Kluczowe funkcje
- Uzyskiwanie ruchu sieciowego z klienta pulpitu lub z sieci zdalnej, takiej jak lokalizacja gałęzi. Wdrażanie równoległe z rozwiązaniami SSE firmy innej niż Microsoft. Profil przesyłania dalej publicznego ruchu internetowego obsługujący użytkownika. Wstępnie wypełniony profil przekazywania ruchu platformy Microsoft 365.
- Korzystaj z rozbudowanej świadomości kontekstowej (użytkownika, urządzenia, lokalizacji, ryzyka i zasad zgodności) podczas stosowania zasad zabezpieczeń sieci za pośrednictwem integracji z dostępem warunkowym. Ochrona dostępu użytkowników do publicznego Internetu przy użyciu rozwiązania SWG z obsługą tożsamości dostarczanego przez firmę Microsoft w chmurze.
- Włącz filtrowanie zawartości internetowej, aby regulować dostęp do miejsc docelowych w Internecie na podstawie ich kategorii zawartości internetowej i/lub nazw domen FQDN.
- Stosowanie uniwersalnych zasad dostępu warunkowego dla wszystkich miejsc docelowych w Internecie, nawet jeśli nie są federacyjne z identyfikatorem Entra firmy Microsoft, dzięki integracji z kontrolkami sesji dostępu warunkowego.
- Zapobiegaj odtwarzaniu skradzionych tokenów przy użyciu zgodnego sprawdzania sieci dla dzierżawy (wbudowanego w dostęp warunkowy). Unikaj konieczności przypinania włosów użytkowników, jednocześnie obniżając produktywność w celu osiągnięcia kontroli zabezpieczeń opartych na lokalizacji. Zapobiegaj również pomijaniu funkcji SSE dla aplikacji SaaS.
- Stosowanie uniwersalnych ograniczeń dzierżawy w celu zapobiegania eksfiltracji danych nieautoryzowanym dzierżawcom zagranicznym lub kontam osobistym.
- Przywróć oryginalny źródłowy adres IP użytkownika w zasadach dostępu warunkowego, Ochrona tożsamości Microsoft Entra wykrycia ryzyka i dzienniki logowania identyfikatora Entra.
- Szczegółowe dzienniki ruchu sieciowego (w tym szczegóły wymuszonych zasad). Pulpity nawigacyjne, takie jak mapy relacji między użytkownikami, urządzeniami i punktami końcowymi, dostęp między dzierżawami i najlepsze używane miejsca docelowe sieci.
Dostęp Prywatny Microsoft Entra
Dostęp Prywatny Microsoft Entra zapewnia użytkownikom — zarówno w biurze, jak i pracy zdalnej — zabezpieczony dostęp do prywatnych, firmowych zasobów. Dostęp Prywatny Microsoft Entra opiera się na możliwościach serwera proxy aplikacji Firmy Microsoft Entra i rozszerza dostęp do dowolnego zasobu prywatnego, portu i protokołu.
Użytkownicy zdalni łączą się z aplikacjami prywatnymi w środowiskach hybrydowych i wielochmurowych, sieciach prywatnych i centrach danych z dowolnego urządzenia i sieci bez konieczności używania sieci VPN. Usługa oferuje dostęp adaptacyjny dla aplikacji oparty na zasadach dostępu warunkowego, aby uzyskać bardziej szczegółowe zabezpieczenia niż sieć VPN.
Kluczowe funkcje
- Dostęp oparty na zerowym zaufaniu do zakresu adresów IP i/lub w pełni kwalifikowanych nazw domen (FQDN) bez konieczności używania starszej sieci VPN. Ta funkcja jest znana jako Szybki dostęp.
- Dostęp dla aplikacji dla aplikacji dla aplikacji protokołu Transmission Control Protocol (TCP) i aplikacji protokołu UDP (User Datagram Protocol).
- Modernizuj starsze uwierzytelnianie aplikacji przy użyciu głębokiej integracji dostępu warunkowego.
- Zapewnij bezproblemowe środowisko użytkownika końcowego, uzyskując ruch sieciowy z klienta klasycznego i wdrażając równolegle z istniejącymi rozwiązaniami SSE firmy innej niż Microsoft.
Omówienie licencjonowania
Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra są teraz ogólnie dostępne. Korzystanie z funkcji dostępu do Internetu wymaga licencji Dostęp do Internetu Microsoft Entra i korzystania z funkcji dostępu prywatnego wymaga licencji Dostęp Prywatny Microsoft Entra. Obie licencje są dostępne w ramach pakietu Microsoft Entra Suite. Aby dowiedzieć się więcej o kosztach licencjonowania i pakiecie Microsoft Entra Suite, zobacz Microsoft Entra Plans & Pricing (Plany i cennik firmy Microsoft). Aby dowiedzieć się więcej na temat zakupu indywidualnej licencji, zobacz kartę Produktów autonomicznych pakietu Microsoft Entra Suite na stronie licencjonowania.
Wymagania wstępne dotyczące używania Dostęp Prywatny Microsoft Entra i Dostęp do Internetu Microsoft Entra to Microsoft Entra ID P1 lub Microsoft Entra ID P2.
Ważny
Wymuszanie licencjonowania dla Dostęp Prywatny Microsoft Entra i Dostęp do Internetu Microsoft Entra rozpocznie się 1 października 2024 r. Jest to po 90-dniowym okresie próbnym, który rozpoczął się od ogólnej dostępności 1 lipca 2024 r.
Licencjonowanie sieci zdalnej
Mimo że nadal określamy model licencjonowania dla sieci zdalnych, chcemy udostępnić Najbardziej aktualne wskazówki i zalecenia, aby zapewnić optymalną wydajność wdrożenia ruchu firmy Microsoft. Firma Microsoft zaleca przepustowość 250 Mb/s dla ruchu 1250 użytkowników firmy Microsoft. W przypadkach użycia przekraczających zalecane limity mogą być naliczane dodatkowe opłaty. Aby dowiedzieć się więcej na temat sieci zdalnych, zobacz Jak utworzyć sieć zdalną za pomocą globalnego bezpiecznego dostępu.