Udostępnij za pośrednictwem

Używanie zarządzania upoważnieniami i globalnego bezpiecznego dostępu w celu ograniczenia dostępu pracowników do aplikacji w chmurze

Pakiet Microsoft Entra Suite zapewnia możliwości zarządzania osobami, które mogą uzyskiwać dostęp do ograniczonych witryn internetowych. Microsoft Entra Internet Access chroni dostęp do aplikacji SaaS oraz zarządzanie uprawnieniami umożliwia organizacjom zarządzanie cyklem życia tożsamości i dostępu na dużą skalę poprzez automatyzację przepływów pracy dotyczących żądań dostępu, przypisywania dostępu, przeglądów i wygasania.

W tym scenariuszu skonfigurowano globalny bezpieczny dostęp i dostęp warunkowy, aby zablokować dostęp do określonej nieautoryzowanej witryny internetowej, takiej jak niesankowana aplikacja sztucznej inteligencji, przy użyciu zarządzania uprawnieniami w celu zapewnienia zarządzanego dostępu użytkownikom, którzy powinni być wykluczeni z zasad. Ten scenariusz jest przeznaczony dla aplikacji generatywnej sztucznej inteligencji i innych aplikacji internetowych, które nie obsługują aprowizacji ani federacji z Microsoft Entra.

Zrzut ekranu przedstawiający diagram przedstawiający ograniczanie oprogramowania jako aplikacji usługi przy użyciu dostępu warunkowego i globalnego bezpiecznego dostępu.

Zrzut ekranu diagramu przedstawiającego udzielanie zarządzanego oprogramowania jako usługi typu aplikacja, korzystając z Dostępu Warunkowego i Globalnego Bezpiecznego Dostępu.

Wymagania wstępne

Aby ukończyć ten scenariusz, musisz mieć następujące wymagania wstępne w dzierżawie Microsoft Entra:

  • Microsoft Entra Suite oraz Microsoft Entra ID Governance wraz z Microsoft Global Secure Access
  • Wymagane role: Administrator Dostępu Warunkowego, Administrator Ładu Tożsamości i Globalny Administrator Bezpiecznego Dostępu
  • Urządzenie dołączone do usługi Microsoft Entra ID, na którym można zainstalować klienta globalnego bezpiecznego dostępu.

Krok 1. Konfigurowanie globalnego bezpiecznego dostępu

Jeśli nie skonfigurowano jeszcze globalnego bezpiecznego dostępu, należy najpierw go skonfigurować. Odwiedź stronę Wprowadzenie do globalnego bezpiecznego dostępu , aby zapoznać się z przewodnikiem krok po kroku. Cztery kroki obejmują:

  1. Włącz profil internetowego dostępu i profil przekazywania ruchu firmy Microsoft.

  2. Zainstaluj i skonfiguruj globalnego klienta bezpiecznego dostępu na urządzeniach użytkowników końcowych.

Krok 2. Utwórz politykę globalnego filtrowania zawartości internetowej w ramach Bezpiecznego Dostępu

W tym kroku utworzysz zasady filtrowania zawartości internetowej globalnego bezpiecznego dostępu, aby zablokować dostęp do określonej witryny internetowej. Zobacz jak skonfigurować filtrowanie treści internetowych w Global Secure Access.

  1. Zidentyfikuj domenę internetową, do której chcesz ograniczyć dostęp, i zdefiniuj proces uzyskiwania dostępu przez użytkowników, którzy są blokowani. W poniższym przewodniku użyjemy grupy zabezpieczeń, aby zapewnić użytkownikom dostęp.

  2. Przejdź do sekcji Zasady filtrowania zawartości w ramach Global Secure Access Secure Web i wybierz opcję Utwórz zasady.

  3. Wybierz nazwę zasad i wybierz pozycję Blokuj jako akcję.

  4. Na karcie Reguły zasad wybierz pozycję "Dodaj regułę". Wybierz nazwę, wybierz wartość "fqdn" w polu Typ miejsca docelowego i wprowadź lokalizację docelową, którą chcesz zablokować. Wybierz pozycję Dodaj.

  5. Przejrzyj i utwórz politykę.

  1. Przejdź do pozycji Globalne profile zabezpieczeń bezpiecznego > dostępu > i wybierz pozycję Utwórz profil.

  2. Wybierz nazwę profilu, pozostaw wartość "enabled" w polu State (Stan) i wybierz pozycję Priority (Priorytet).

  3. Na karcie Zasady łączenia wybierz pozycję "Połącz zasady" i wybierz zasady filtrowania zawartości internetowej.

Krok 4. Tworzenie grupy zabezpieczeń dla wykluczonych użytkowników

  1. Przejdź do pozycji Grupy i wybierz pozycję Nowa grupa.

  2. Wybierz pozycję Typ grupy Zabezpieczenia, wprowadź nazwę grupy i pozostaw członkostwo jako Przypisane.

  3. Utwórz grupę.

Krok 5. Konfigurowanie zasad dostępu warunkowego

Po skonfigurowaniu globalnego bezpiecznego dostępu należy utworzyć zasady dostępu warunkowego , aby ograniczyć dostęp do określonej witryny internetowej.

  1. Przejdź do pozycji Ochrona > Zasady dostępu warunkowego > i wybierz pozycję Nowa zasada.

  2. Wybierz nazwę zasad.

  3. W obszarze Użytkownicy wybierz kartę Dołączanie i wybierz pozycję Wszyscy użytkownicy. Wybierz kartę Wykluczanie, wybierz pozycję Użytkownicy i grupy, a następnie wybierz grupę utworzoną w kroku 4, która jest używana jako grupa wyjątków do zasad.

  4. W obszarze Zasoby docelowe wybierz pozycję Wszystkie zasoby internetowe z globalnym bezpiecznym dostępem.

  5. W obszarze Sesja wybierz pozycję Użyj profilu zabezpieczeń Global Secure Access, a następnie wybierz nazwę profilu zabezpieczeń, który utworzyłeś w kroku 3.

  6. W sekcji Włączanie zasad wybierz opcję Włącz lub pozostaw w trybie tylko do raportowania na potrzeby testowania.

  7. Zapisz zasady.

Krok 6. Tworzenie pakietu dostępu do zarządzania upoważnieniami w celu zapewnienia zarządzanego dostępu do ograniczonego zasobu

Ostatnim krokiem w scenariuszu jest utworzenie pakietu dostępu zawierającego grupę zabezpieczeń określoną w kroku 4. Użytkownicy przypisani do tego pakietu dostępu są przypisani do tej grupy i są wyklucz z ustanowionych zasad filtrowania zawartości internetowej.

Podobnie jak w przypadku innych pakietów dostępu, należy utworzyć zasady z regułami określającymi, kto może zażądać pakietu, kto musi zatwierdzić i jego cykl życia. Dowiedz się więcej na stronie Tworzenie pakietu dostępu w zarządzaniu upoważnieniami.

Krok 7. Testowanie scenariusza

Po wykonaniu poprzednich kroków możesz przystąpić do testowania scenariusza.

  1. Na urządzeniu połączonym z Microsoft Entra ID spróbuj odwiedzić stronę zablokowaną w kroku 2. Powinno się pojawić doświadczenie blokady dla wszystkich przeglądarek z błędem przeglądarki wyświetlającym się jako zwykły tekst dla ruchu HTTP oraz błędem przeglądarki "Resetowanie połączenia" dla ruchu HTTPS.

  2. W obszarze zarządzania upoważnieniami przypisz pakiet dostępu utworzony w kroku 5 do użytkownika, który jest zalogowany na urządzeniu dołączonym do identyfikatora Entra firmy Microsoft. Spowoduje to przypisanie użytkownika do pakietu dostępu, który zapewnia dostęp do grupy zabezpieczeń utworzonej w kroku 4. Przed ukończeniem zadania należy wykonać wszystkie wymagane zatwierdzenia.

  3. Na urządzeniu połączonym z Microsoft Entra ID spróbuj odwiedzić stronę zablokowaną w kroku 2. Teraz powinno być możliwe uzyskanie dostępu do witryny.

Uwaga / Notatka

Zastosowanie globalnych zasad bezpiecznego dostępu może potrwać do 60 minut.

Treści powiązane