Включение совместимых сетевых проверка с условным доступом

Организации, использующие условный доступ вместе с предварительной версией Глобального безопасного доступа, могут предотвратить вредоносный доступ к приложениям Майкрософт, сторонним приложениям SaaS и частным бизнес-приложениям (LoB), используя несколько условий для обеспечения защиты. Эти условия могут включать соответствие устройств, расположение и многое другое, чтобы обеспечить защиту от кражи удостоверений пользователей или маркеров. Global Secure Access представляет концепцию соответствующей сети в рамках условного доступа и оценки непрерывного доступа. Это совместимое сетевое проверка гарантирует, что пользователи подключаются из проверенной модели сетевого подключения для конкретного клиента и соответствуют политикам безопасности, применяемым администраторами.

Клиент глобального безопасного доступа, установленный на устройствах или пользователях за настроенными удаленными сетями, позволяет администраторам защищать ресурсы за соответствующей сетью с расширенными элементами управления условным доступом. Эта сетевая функция упрощает управление и обслуживание администраторов, не сохраняя список всех IP-адресов организации. Администратор istrator не требуется прикрепить трафик через VPN-исходящий трафик своей организации, чтобы обеспечить безопасность.

Оценка непрерывного доступа (CAE) с соответствующей сетевой функцией в настоящее время поддерживается для SharePoint Online. С помощью CAE можно применить защиту в глубине защиты с помощью защиты от кражи маркеров.

Эта соответствующая сеть проверка зависит от каждого клиента.

• С помощью этой проверка вы можете убедиться, что другие организации, использующие службы Глобального безопасного доступа Майкрософт, не могут получить доступ к вашим ресурсам.
  • Например, Contoso может защитить такие службы, как Exchange Online и SharePoint Online за их совместимыми сетевыми проверка, чтобы обеспечить доступ только к этим ресурсам пользователям Contoso.
  • Если другая организация, например Fabrikam, использовала соответствующую сеть проверка, они не будут передавать соответствующие сети компании Contoso проверка.

Соответствующая сеть отличается от IPv4, IPv6 или географических расположений , которые можно настроить в идентификаторе Microsoft Entra. Не требуется хранение администратора.

Необходимые компоненты

• Администратор istrator, взаимодействующие с Функции предварительной версии глобального безопасного доступа должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
  • Роль глобального безопасного доступа Администратор istrator для управления функциями предварительной версии Global Secure Access.
  • Условный доступ Администратор istrator или security Администратор istrator для создания и взаимодействия с политиками условного доступа и именованных расположений.
• Для предварительной версии требуется лицензия Microsoft Entra ID P1. При необходимости вы можете приобрести лицензии или получить пробные лицензии.
• Чтобы использовать профиль пересылки трафика Microsoft 365, рекомендуется лицензия Microsoft 365 E3.

Известные ограничения

• Совместимые сетевые проверка с оценкой непрерывного доступа теперь поддерживаются для SharePoint Online.
• Совместимые сетевые проверка в настоящее время не поддерживаются для приложений приватного доступа.
• Условие соответствующего сетевого расположения не поддерживается для устройств, которые не зарегистрированы в службе управления мобильными устройствами (MDM). Если вы настраиваете политику условного доступа с помощью соответствующего условия сетевого расположения, пользователи с устройствами, которые еще не зарегистрированы MDM, могут быть затронуты. Пользователи на этих устройствах могут завершиться ошибкой политики условного доступа проверка и блокироваться.
  • Убедитесь, что вы исключите затронутых пользователей или устройств при использовании соответствующего условия сетевого расположения.

Включение сигнала глобального безопасного доступа для условного доступа

Чтобы включить необходимый параметр для разрешения соответствующего сетевого проверка, администратор должен выполнить следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator глобального безопасного доступа.
2. Перейдите к глобальному безопасному доступу (предварительная версия)>Глобальный доступ к управлениюсеансами>адаптивным доступом.
3. Выберите переключатель, чтобы включить сигнал глобального безопасного доступа в условном доступе.
4. Перейдите к именованным расположениям условного доступа>защиты>.
   1. Убедитесь, что у вас есть расположение с именем "Все соответствующие сетевые расположения " с типом "Сетевой доступ". Организации могут при необходимости пометить это расположение как доверенное.

Внимание

Если у вашей организации есть активные политики условного доступа на основе соответствующих сетевых проверка, и вы отключите сигнал глобального безопасного доступа в условном доступе, вы можете непреднамеренно блокировать доступ конечных пользователей к ресурсам. Если эту функцию необходимо отключить, сначала удалите все соответствующие политики условного доступа.

Защита ресурсов за соответствующей сетью

Соответствующая политика условного доступа к сети может использоваться для защиты ресурсов Microsoft 365 и сторонних производителей.

В следующем примере показан этот тип политики. Кроме того, теперь поддерживается защита воспроизведения маркеров с помощью CAE для SharePoint Online.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к условному доступу к защите>.
3. Выберите команду Создать политику.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа, которые использует ваша организация.
6. В разделе "Включить целевые ресурсы>" и выберите "Выбрать приложения".
   1. Выберите Office 365 Exchange Online и (или) Office 365 SharePoint Online и (или) любой из сторонних приложений SaaS.
   2. Конкретное облачное приложение Office 365 в средства выбора приложений сейчас не поддерживается, поэтому не выбирайте это облачное приложение.
7. Выберите Условия>Расположение.
   1. Задайте для параметра Настроить значение Да.
   2. В разделе Включить выберите Любое место.
   3. В разделе "Исключить" выберите выбранные расположения.
      1. Выберите расположение всех соответствующих сетевых расположений.
   4. Выберите Выбрать.
8. В разделе "Элементы управления доступом":
   1. Предоставьте, выберите "Блокировать доступ" и нажмите кнопку "Выбрать".
9. Подтвердите параметры и задайте для параметра Включить политику значение Включить.
10. Нажмите кнопку "Создать", чтобы создать политику.

Примечание.

Профили трафика global Secure Access можно использовать вместе с политикой условного доступа, требующей соответствующей сети для всех облачных приложений. При настройке политики при настройке политики не требуется использовать расположение всех соответствующих сетевых расположений и все облачные приложения.

Профили трафика внутренне исключаются из принудительного применения условного доступа, если требуется соответствующая сеть. Это исключение позволяет клиенту глобального безопасного доступа получить доступ к необходимым ресурсам.

Профиль трафика, исключенный, отображается в журналах входа в качестве следующего приложения ZTNA Network Access Traffic Profile.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать учетную запись администратора для аварийного доступа, чтобы войти в систему арендатора и восстановить доступ.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Подключение. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, область пользователям. Используйте условный доступ для удостоверений рабочей нагрузки для определения политик, предназначенных для субъектов-служб.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.

Попробуйте соответствующую политику сети

1. На устройстве конечного пользователя с установленным и запущенным клиентом Глобального безопасного доступа перейдите к ресурсам или https://yourcompanyname.sharepoint.com/получитеhttps://outlook.office.com/mail/ доступ к ресурсам.
2. Приостанавливать клиент глобального безопасного доступа, щелкнув правой кнопкой мыши приложение в области Windows и выбрав "Приостановить".
3. https://outlook.office.com/mail/ Перейдите к ресурсам или https://yourcompanyname.sharepoint.com/заблокировали доступ к ресурсам с сообщением об ошибке, которое говорит, что вы не можете получить доступ к этому прямо сейчас.

Устранение неполадок

Убедитесь, что новое именованное расположение было автоматически создано с помощью Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Условия использования

Использование Частный доступ Microsoft Entra и Интернет-доступ Microsoft Entra предварительных версий и функций регулируется условиями предварительной версии веб-службы соглашений, в соответствии с которыми вы получили услуги. Предварительные версии могут быть подвержены снижению или другим обязательствам по обеспечению безопасности, соответствия требованиям и конфиденциальности, как описано далее в условиях универсального лицензионного соглашения для веб-служб и надстройки защиты данных Майкрософт (DPA) и других уведомлениях, предоставляемых предварительной версией.

Следующие шаги

Клиент глобального безопасного доступа для Windows (предварительная версия)