Поделиться через


Руководство по развертыванию решения Microsoft Security Service Edge для Интернет-доступ Microsoft Entra для проверки концепции трафика Майкрософт

Это руководство по развертыванию концепции (PoC) помогает развернуть решение Microsoft Security Service Edge (SSE), которое включает Интернет-доступ Microsoft Entra для Microsoft Traffic.

Обзор

Решение Microsoft Security Service Edge, ориентированное на удостоверения, объединяет элементы управления доступом к сети, удостоверениям и конечным точкам, чтобы обеспечить безопасный доступ к любому приложению или ресурсу из любого расположения, устройства или удостоверения. Он позволяет и оркестрирует управление политиками доступа для сотрудников, деловых партнеров и цифровых рабочих нагрузок. Вы можете постоянно отслеживать и настраивать доступ пользователей в режиме реального времени, если разрешения или уровни риска изменяются в частных приложениях, приложениях SaaS и конечных точках Майкрософт. В этом разделе описывается, как выполнить Интернет-доступ Microsoft Entra для проверки трафика Майкрософт в рабочей или тестовой среде.

Интернет-доступ Microsoft Entra для развертывания Microsoft Traffic

Выполните начальные действия по настройке продукта . Это включает конфигурацию Интернет-доступ Microsoft Entra для трафика Майкрософт, включение профиля пересылки трафика Майкрософт и установку клиента глобального безопасного доступа. Необходимо задать область конфигурации для конкретных тестовых пользователей и групп.

Пример сценария PoC: защита от кражи данных

Утечка данных является проблемой для всех компаний, особенно тех, которые работают в строго регулируемых отраслях, таких как правительство или финансы. С помощью исходящих элементов управления в параметрах доступа между клиентами вы можете заблокировать несанкционированные удостоверения от внешних клиентов от доступа к данным Майкрософт при использовании управляемых устройств.

Интернет-доступ Microsoft Entra для трафика Майкрософт может улучшить элементы управления защиты от потери данных (DLP), позволяя вам:

  • защита от кражи маркеров, требуя, чтобы пользователи могли получать доступ только к ресурсам Майкрософт, если они проходят через соответствующую сеть.
  • принудительно применять политики условного доступа для подключений к Microsoft Security Service Edge.
  • разверните ограничения универсального клиента версии 2, устраняя необходимость маршрутизации всего трафика пользователей через прокси-серверы, управляемые клиентом.
  • настройте ограничения клиентов, которые препятствуют пользователям получать доступ к несанкционированным внешним клиентам с любым сторонним удостоверением (например, личным или выданным внешней организацией).
  • защита от несанкционированного доступа или кражи маркеров, чтобы пользователи не могли обойти ограничения клиента путем перемещения маркеров доступа в неуправляемые устройства или сетевые расположения.

В этом разделе описывается, как обеспечить соответствующий сетевой доступ к трафику Майкрософт, защитить подключение к Microsoft Security Service Edge с помощью условного доступа и запретить внешним удостоверениям получать доступ к внешним клиентам на управляемых устройствах и (или) сетях с помощью универсальных ограничений клиента версии 2. Ограничения клиента применяются только к внешним удостоверениям; Они не применяются к удостоверениям в собственном клиенте. Чтобы управлять исходящим доступом для удостоверений собственных пользователей, используйте параметры доступа между клиентами. Настройка политики ограничений клиента в идентификаторе Microsoft Entra для блокировки доступа применяется к пользователям, которые получают внедрение заголовков заголовков клиента. Это включает только пользователей, которые направляются через прокси-серверы клиентской сети, которые внедряют заголовки, пользователи с развернутыми клиентом Глобального безопасного доступа или пользователи на устройствах Windows с включенными ограничениями заголовков клиента с помощью параметра ОС Windows. При тестировании убедитесь, что ограничения клиентов применяются службой глобального безопасного доступа, а не через прокси-серверы сети клиента или параметры Windows, чтобы избежать непреднамеренного влияния на других пользователей. Кроме того, необходимо включить сигнал условного доступа, чтобы включить параметры глобального безопасного доступа в условном доступе.

  1. Включите сигнал глобального безопасного доступа для условного доступа.

  2. Включите ограничения универсального клиента.

  3. Настройте политику ограничений клиента в Центре администрирования Microsoft Entra, чтобы заблокировать доступ ко всем внешним удостоверениям и всем приложениям.

  4. Создайте политику условного доступа, требующую соответствующей сети для доступа. Настройка соответствующего сетевого требования блокирует доступ к Office 365 Exchange Online и Office 365 SharePoint Online для тестовых пользователей в любом расположении, если они не подключаются с помощью решения Microsoft Security Service Edge. Настройте политику условного доступа следующим образом:

    1. Пользователи: выберите тестового пользователя или пилотную группу.
    2. Целевые ресурсы: выберите приложения Office 365 Exchange Online и Office 365 SharePoint Online.
    3. Условия.
    4. В параметрах "Расположения" выберите "Не настроено".
    5. Задайте для параметра Настроить значение Да.
    6. Включите Все расположения.
    7. Исключите выбранные расположения.
    8. Для выбора выберите "Нет".
    9. Выберите все расположения сети, соответствующие требованиям.
  5. Элементы управления доступом>предоставляют> доступ к выбору блока.

  6. Создайте вторую политику условного доступа, которая требует элементов управления, чтобы разрешить клиенту глобального безопасного доступа подключаться к решению SSE (например, MFA, соответствующее устройству, toU). Настройте политику условного доступа следующим образом:

    1. Пользователи: выберите тестового пользователя или пилотную группу.

    2. Целевые ресурсы:

    3. Для выбора того, к чему применяется эта политика, выберите глобальный безопасный доступ.

    4. Для выбора профилей трафика, к которые применяется эта политика, выберите трафик Майкрософт.

      Снимок экрана: параметры политики условного доступа.

  7. Элементы управления доступом предоставляют выбор> элементов управления>, которые необходимо применить, например, для многофакторной проверки подлинности.

  8. Попытайтесь войти в SharePoint Online или Exchange Online и убедиться, что вам будет предложено пройти проверку подлинности в глобальном безопасном доступе. Клиент глобального безопасного доступа использует маркеры доступа и маркеры обновления для подключения к пограничному решению службы безопасности Майкрософт. Если вы ранее подключили клиент глобального безопасного доступа, может потребоваться дождаться истечения срока действия маркера доступа (до одного часа) до того, как будет применена политика условного доступа.

    Снимок экрана: окно запроса учетных данных глобального безопасного доступа.

  9. Чтобы убедиться, что политика условного доступа была успешно применена, просмотрите журналы входа для тестового пользователя для приложения ZTNA Network Access Client — M365 .

    Снимок экрана: список окон журналов входа, на котором показана интерактивная вкладка входа пользователей.

    Снимок экрана: окно журналов входа с вкладкой условного доступа.

  10. Убедитесь, что клиент глобального безопасного доступа подключен, открыв область в правом нижнем углу и убедившись, что на значке установлен зеленый флажок.

    Снимок экрана: значок клиента глобального безопасного доступа с состоянием успешно подключенного подключения.

  11. Используйте тестового пользователя для входа в SharePoint Online или Exchange Online с помощью тестового устройства.

    1. Убедитесь, что пользователь может успешно получить доступ к ресурсу.

    2. В журналах входа убедитесь, что политика условного доступа, блокирующая доступ за пределами соответствующих сетей, указывает , что не применяется.

      Снимок экрана: строка в окне журналов входа с индикатором успешности.

      Снимок экрана: окно журналов входа, показывающее, что политика условного доступа не применяется.

  12. С другого устройства без клиента глобального безопасного доступа используйте тестовое удостоверение пользователя, чтобы попытаться войти в SharePoint Online или Exchange Online. Кроме того, вы можете щелкнуть правой кнопкой мыши клиент глобального безопасного доступа в области системы и нажать кнопку "Приостановить", а затем использовать тестовое удостоверение пользователя, чтобы попытаться войти в SharePoint Online или Exchange Online на одном устройстве.

    1. Убедитесь, что доступ заблокирован.

    2. В журналах входа убедитесь, что политика условного доступа, блокирующая доступ за пределами соответствующих сетей, была применена.

      Снимок экрана: строка в окне журналов входа с индикатором сбоя.

      Снимок экрана: окно журналов входа с вкладкой условного доступа с выделением строки, в которой столбец

  13. На тестовом устройстве с включенным клиентом глобального безопасного доступа попытайтесь войти в другой клиент Microsoft Entra с внешним удостоверением. Убедитесь, что ограничения клиента блокируют доступ.

    Снимок экрана: окно входа после отправки учетных данных с сообщением о блокировке Access.

  14. Перейдите к внешнему клиенту и перейдите к журналам входа. В журналах входа внешнего клиента убедитесь, что доступ к внешнему клиенту отображается как заблокированный и зарегистрированный.

    Снимок экрана: строка окна журналов входа, в которой столбец

    Снимок экрана: журналы входа с вкладкой

Пример сценария PoC: восстановление исходного IP-адреса

Сетевые прокси-серверы и сторонние решения SSE перезаписывают общедоступный IP-адрес устройства, что не позволяет идентификатору Microsoft Entra id использовать этот IP-адрес для политик или отчетов. Это ограничение приводит к следующим проблемам:

  • Идентификатор Microsoft Entra не может применять определенные политики условного доступа на основе расположения (например, блокировать ненадежные страны).
  • Обнаружения на основе рисков, использующие базовые расположения пользователей, ухудшаются, так как системные ограничения алгоритмов машинного обучения защиты идентификации на IP-адрес прокси-сервера. Они не могут обнаружить или обучить истинный исходный IP-адрес пользователя.
  • Операции и расследования SOC должны использовать сторонние или прокси-журналы, чтобы определить исходный ИСХОДНЫй IP-адрес, а затем сопоставить его с последующими журналами действий, что приводит к неэффективности.

В этом разделе показано, как Интернет-доступ Microsoft Entra для трафика Майкрософт преодолевает эти проблемы, сохраняя исходный IP-адрес пользователя, упрощая исследования безопасности и устраняя неполадки.

Чтобы проверить восстановление IP-адресов источника, необходимо включить сигнал глобального безопасного доступа для условного доступа. Вам нужна политика условного доступа, требующая соответствующей сети, как описано ранее в этой статье.

  1. Убедитесь, что клиент глобального безопасного доступа подключен, открыв область в правом нижнем углу и убедившись, что на значке установлен зеленый флажок. С помощью тестового удостоверения войдите в SharePoint Online или Exchange Online.

    Снимок экрана: значок клиента глобального безопасного доступа с индикатором состояния

  2. Просмотрите журнал входа для этого входа и запишите IP-адрес и расположение. Убедитесь, что соответствующая политика условного доступа не применена.

    Снимок экрана: журналы входа с вкладкой

    Снимок экрана: окно входа в журналы с вкладкой условного доступа с выделением строки, в которой столбец

  3. Установите соответствующую политику условного доступа сети в режиме только для отчетов и нажмите кнопку "Сохранить".

  4. На тестовом клиентском устройстве откройте область системы, щелкните правой кнопкой мыши значок клиента глобального безопасного доступа и выберите "Приостановить". Наведите указатель мыши на значок и убедитесь, что клиент глобального безопасного доступа больше не подключается, убедившись , что клиент глобального безопасного доступа отключен.

    Снимок экрана: меню параметров клиента глобального безопасного доступа с выделенным параметром

    Снимок экрана: значок клиента глобального безопасного доступа, показывающий как отключенный.

  5. С помощью тестового пользователя войдите в SharePoint Online или Exchange Online. Убедитесь, что вы можете успешно войти в систему и получить доступ к ресурсу.

  6. Просмотрите журнал входа для последней попытки входа.

    1. Убедитесь, что IP-адрес и расположение соответствуют указанным ранее.

    2. Убедитесь, что политика условного доступа только для отчета завершилась ошибкой, так как трафик не перенаправился через Интернет-доступ Microsoft Entra для трафика Майкрософт.

      Снимок экрана: журналы входа с вкладкой

      Снимок экрана: журналы входа с вкладкой

Next Steps

Развертывание и проверка Частный доступ Microsoft Entra Deploy и проверка Интернет-доступ Microsoft Entra