Включить проверку сетей на соответствие с помощью условного доступа

Организации, использующие условный доступ вместе с глобальным безопасным доступом, могут предотвратить вредоносный доступ к приложениям Майкрософт, сторонним приложениям SaaS и частным бизнес-приложениям (LoB), используя несколько условий для обеспечения защиты в глубине. Эти условия могут включать строгую аутентификацию, соответствие устройства, местоположение, и другие. Включение этих условий защищает вашу организацию от компрометации удостоверений пользователей или кражи маркеров. Глобальный безопасный доступ вводит концепцию сети, соответствующей стандартам, в условном доступе Microsoft Entra ID. Эта проверка сети обеспечивает подключение пользователей через службу глобального безопасного доступа для конкретного клиента и соответствует политикам безопасности, применяемым администраторами.

Клиент глобального безопасного доступа, установленный на устройствах или пользователях за настроенными удаленными сетями, позволяет администраторам защищать ресурсы за соответствующей сетью с расширенными элементами управления условным доступом. Эта сетевая функция упрощает администрирование политики доступа, устраняя необходимость ведения списка IP-адресов исходящего трафика и исключая требование маршрутизации трафика через VPN организации для поддержания привязки источника IP и применения политик условного доступа на основе IP. Дополнительные сведения об условном доступе см. в статье "Что такое условный доступ"?

Принудительное выполнение проверки сети на соответствие.

Применение сетевых механизмов, соответствующих требованиям, снижает риск кражи токенов и атак повторного воспроизведения. Принудительное применение контроля доступа осуществляется Microsoft Entra ID во время аутентификации пользователя. Если злоумышленник украл токен сеанса и пытается воспроизвести его с устройства, которое не подключено к совместимой сети вашей организации (например, запрашивая токен доступа с украденным токеном обновления), Entra ID немедленно отклонит запрос, и дальнейший доступ будет заблокирован. Принудительное обеспечение безопасности канала передачи данных работает со службами, интегрированными через Global Secure Access, и поддерживающими непрерывную оценку доступа (CAE), в том числе Microsoft Graph. С приложениями, поддерживающими CAE, украденные маркеры доступа, которые воспроизводящиеся за пределами соответствующей сети арендатора, будут отклонены приложением почти в режиме реального времени. Без использования расширенного контроля доступа, украденный токен доступа будет действовать до конца своего срока действия (по умолчанию — от 60 до 90 минут).

Эта проверка соответствия сети относится к арендатору, в котором она настроена. Например, если вы определяете политику условного доступа, требующую соответствия сети в contoso.com, то только пользователи с глобальным безопасным доступом или с конфигурацией удаленной сети могут передавать этот элемент управления. Пользователь из fabrikam.com не сможет соответствовать требованиям сети contoso.com.

Соответствующая сеть отличается от IPv4, IPv6 или географических расположений , которые можно настроить в Microsoft Entra. Администраторам не требуется проверять и поддерживать соответствующие сетевые IP-адреса и диапазоны, повышая уровень безопасности и минимизируя административные издержки.

Предпосылки

• Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
  • Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
  • Администратор условного доступа позволяет обеспечить сигнализацию глобального безопасного доступа в контексте условного доступа, а также создавать и взаимодействовать с политиками условного доступа и именованными местоположениями.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Известные ограничения

Подробные сведения об известных проблемах и ограничениях см. в разделе "Известные ограничения для глобального безопасного доступа".

Включение глобальной безопасной сигнализации доступа для условного доступа

Чтобы включить необходимый параметр, разрешающий проверку соответствующей сети, администратору необходимо выполнить следующие действия.

1. Войдите в Центр администрирования Microsoft Entra с учетной записью, в которой активирована роль глобального администратора безопасного доступа и администратора условного доступа .
2. Перейдите к Глобальный безопасный доступНастройкиУправление сеансамиАдаптивный доступ.
3. Выберите переключатель, чтобы включить сигнализацию CA для Entra ID (охватывающую все облачные приложения).
4. Перейдите к Защите>Условному доступу>Именованным расположениям.
   1. Убедитесь, что у вас есть расположение с именем Все соответствующие требованиям сети и типом Сетевой доступ. При необходимости организации могут пометить это расположение как доверенное.

Внимание

Если у вашей организации есть активные политики условного доступа на основе соответствующей проверки сети, а затем отключить сигнал глобального безопасного доступа в условном доступе, вы можете непреднамеренно заблокировать доступ целевых конечных пользователей к ресурсам. Если эту функцию необходимо отключить, сначала удалите все соответствующие политики условного доступа.

Защитите ваши ресурсы за сетью, соответствующей требованиям.

Соответствующая политика условного доступа сети может использоваться для защиты приложений Майкрософт и сторонних производителей, интегрированных с единым входом Entra ID. Типичная политика будет иметь грант «Блокировка» для всех сетевых расположений, кроме соответствующей сети. В следующем примере показано, как настроить этот тип политики:

1. Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора условного доступа.
2. Перейдите к Entra ID>Условному доступу.
3. Выберите команду Создать политику.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа, которые использует ваша организация.
6. В разделе "Целевые ресурсы>включить" и выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
   1. Если ваша организация регистрирует устройства в Microsoft Intune, рекомендуется исключить приложения Microsoft Intune Enrollment и Microsoft Intune из политики условного доступа, чтобы избежать циклической зависимости.
7. В разделе "Сеть".
   1. Задайте для параметра Настроить значение Да.
   2. В разделе Включить выберите Любое место.
   3. Выберите пункт Исключить, а затем место Все соответствующие сетевые локации.
8. В разделе "Элементы управления доступом":
   1. Разрешите, выберите "Блокировать доступ" и выберите "Выбрать".
9. Подтвердите параметры и задайте для параметра Включить политику значение Включить.
10. Нажмите кнопку "Создать", чтобы создать и включить вашу политику.

Примечание.

Используйте глобальный безопасный доступ вместе с политиками условного доступа, для которых требуется соответствующая сеть для всех ресурсов.

Ресурсы глобального безопасного доступа автоматически исключаются из политики условного доступа, если в политике включена соответствующая сеть . Явное исключение каких-либо ресурсов не требуется. Эти автоматические исключения необходимы, чтобы обеспечить, что клиент Global Secure Access не блокируется от доступа к необходимым ресурсам. Ниже перечислены потребности глобального безопасного доступа:

• Профили трафика глобального безопасного доступа
• Глобальная служба политики безопасного доступа (внутренняя служба)

События входа для проверки подлинности исключенных ресурсов глобального безопасного доступа отображаются в журналах входа в систему Microsoft Entra ID следующим образом:

• Интернет-ресурсы с глобальным безопасным доступом
• Приложения Майкрософт с глобальным безопасным доступом
• Все частные ресурсы с глобальным безопасным доступом
• Служба политики ZTNA

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи аварийного доступа для предотвращения блокировки из-за некорректной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учётные записи служб и субъекты-службы, такие как учётная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные служебными субъектами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаций рабочих нагрузок, чтобы определить политики, нацеленные на сервисные принципалы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Попробуйте соответствующую политику сети

1. На устройстве конечного пользователя с установленным и запущенным клиентом Global Secure Access перейдите на https://myapps.microsoft.com или любое другое приложение, в котором используется единая аутентификация с использованием Entra ID.
2. Приостановите клиент глобального безопасного доступа, щелкнув правой кнопкой мыши приложение в области Windows и выбрав "Отключить".
3. После отключения клиента Global Secure Access получите доступ к другому приложению, интегрированному с entra ID с единым входом. Например, можно попробовать войти на портал Azure. Доступ должен быть заблокирован с помощью условного доступа Entra ID.

Примечание.

Если вы уже вошли в приложение, доступ не будет прерван. Условие соответствия сети оценивается Entra ID, и если вы уже вошли в систему, возможно, у вас может быть активный сеанс с приложением. В этом сценарии проверка соответствия сети будет повторно оцениваться при следующей авторизации с помощью Entra ID, когда срок действия сеанса вашего приложения истечет.

Следующие шаги

Ограничения универсального арендатора