Включение проверки соответствующих сетей с помощью условного доступа

Организации, использующие условный доступ вместе с глобальным безопасным доступом, могут предотвратить вредоносный доступ к приложениям Майкрософт, сторонним приложениям SaaS и частным бизнес-приложениям (LoB), используя несколько условий для обеспечения защиты. Эти условия могут включать соответствие устройств, расположение и многое другое, чтобы обеспечить защиту от кражи удостоверений пользователей или маркеров. Глобальный безопасный доступ представляет концепцию соответствующей сети в условном доступе Microsoft Entra ID. Эта проверка соответствующей сети гарантирует, что пользователи подключаются из проверенной модели сетевого подключения для конкретного клиента и соответствуют политикам безопасности, применяемым администраторами.

Клиент глобального безопасного доступа, установленный на устройствах или пользователях за настроенными удаленными сетями, позволяет администраторам защищать ресурсы за соответствующей сетью с расширенными элементами управления условным доступом. Эта сетевая функция упрощает управление политиками доступа администраторами без необходимости поддерживать список IP-адресов исходящего трафика. Это удаляет требование к закреплению трафика через VPN организации.

Принудительное применение проверки сети соответствия требованиям

Соответствие требованиям сетевого применения снижает риск кражи и воспроизведения маркеров. Соблюдение требований к сети выполняется на плоскости проверки подлинности (общедоступная версия) и на плоскости данных (предварительная версия). Принудительное применение плоскости проверки подлинности выполняется идентификатором Microsoft Entra во время проверки подлинности пользователя. Если злоумышленник украл токен сеанса и пытается воспроизвести его с устройства, которое не подключено к соответствующей сети вашей организации (например, запрашивая маркер доступа с украденным маркером обновления), идентификатор записи немедленно отклонит запрос, а дальнейший доступ будет заблокирован. Принудительное применение плоскости данных работает со службами, поддерживающими оценку непрерывного доступа (CAE) — в настоящее время только SharePoint Online. С приложениями, поддерживающими CAE, украденные маркеры доступа, которые воспроизводится за пределами соответствующей сети клиента, будут отклонены приложением практически в режиме реального времени. Без ЦС, украденный маркер доступа будет длиться до полного времени существования (по умолчанию 60–90 минут).

Эта проверка сети соответствует каждому клиенту.

• С помощью этой проверки можно убедиться, что другие организации, использующие службы Глобального безопасного доступа Майкрософт, не могут получить доступ к вашим ресурсам.
  • Например, Компания Contoso может защитить свои службы, такие как Exchange Online и SharePoint Online, после проверки соответствующих сетей, чтобы обеспечить доступ только к этим ресурсам пользователям Contoso.
  • Если другая организация, например Fabrikam, использовала соответствующую проверку сети, она не пройдет проверку сети, совместимой с Contoso.

Соответствующая сеть отличается от IPv4, IPv6 или географических расположений , которые можно настроить в Microsoft Entra. Администраторы не требуют проверки и поддержания совместимых сетевых IP-адресов и диапазонов, укрепления состояния безопасности и минимизации текущих административных расходов.

Необходимые компоненты

• Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
  • Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
  • Администратор условного доступа для создания и взаимодействия с политиками условного доступа и именованных расположений.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
• Чтобы использовать профиль пересылки трафика Майкрософт, рекомендуется использовать лицензию Microsoft 365 E3.

Известные ограничения

• Для SharePoint Online и Exchange Online поддерживается принудительное применение плоскости данных проверки сети (предварительная версия) с помощью непрерывной оценки доступа.
• Включение сигнала условного доступа глобального безопасного доступа позволяет сигнализировать как для плоскости проверки подлинности (идентификатор Microsoft Entra ID), так и для сигнала плоскости данных (предварительная версия). В настоящее время невозможно включить эти параметры отдельно.
• Проверка сети, совместимая с соответствием, в настоящее время не поддерживается для приложений приватного доступа.

Включение сигнала глобального безопасного доступа для условного доступа

Чтобы включить необходимый параметр, разрешающий проверку соответствующей сети, администратору необходимо выполнить следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
2. Перейдите к функции управления сеансами>>глобального безопасного доступа.>
3. Выберите переключатель, чтобы включить сигнал ЦС для идентификатора записи (охватывающий все облачные приложения). Это позволит автоматически включить сигнал CAE для Office 365 (предварительная версия).
4. Перейдите к именованным расположениям условного доступа>защиты>.
   1. Убедитесь, что у вас есть расположение Все расположения соответствующей сети с типом расположения Сетевой доступ. При необходимости организации могут пометить это расположение как доверенное.

Внимание

Если у вашей организации есть активные политики условного доступа на основе соответствующей проверки сети, и вы отключите сигнал глобального безопасного доступа в условном доступе, вы можете непреднамеренно блокировать доступ конечных пользователей к ресурсам. Если эту функцию необходимо отключить, сначала удалите все соответствующие политики условного доступа.

Защита ресурсов за соответствующей сетью

Соответствующая политика условного доступа сети может использоваться для защиты приложений Майкрософт и сторонних производителей. Типичная политика предоставляет "Блокировать" для всех сетевых расположений, кроме соответствующих сетей. В следующем примере показано, как настроить этот тип политики:

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к условному доступу к защите>.
3. Выберите команду Создать политику.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа, которые использует ваша организация.
6. В разделе "Целевые ресурсы>включить" и выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
   1. Если ваша организация регистрирует устройства в Microsoft Intune, рекомендуется исключить приложения , зарегистрированные в Microsoft Intune , и Microsoft Intune из политики условного доступа, чтобы избежать циклической зависимости.
7. В разделе "Сеть".
   1. Задайте для параметра Настроить значение Да.
   2. В разделе Включить выберите Любое место.
   3. В разделе "Исключить" выберите расположение всех соответствующих сетевых расположений .
8. В разделе "Элементы управления доступом":
   1. Предоставьте, выберите "Блокировать доступ" и нажмите кнопку "Выбрать".
9. Подтвердите параметры и задайте для параметра Включить политику значение Включить.
10. Нажмите кнопку "Создать", чтобы создать политику.

Примечание.

Используйте глобальный безопасный доступ вместе с политиками условного доступа, для которых требуется соответствующая сеть для всех ресурсов.

Ресурсы глобального безопасного доступа автоматически исключаются из политики условного доступа, если в политике включена соответствующая сеть . Явное исключение ресурсов не требуется. Эти автоматические исключения необходимы, чтобы гарантировать, что клиент глобального безопасного доступа не блокирует доступ к необходимым ресурсам. Ниже перечислены потребности глобального безопасного доступа:

• Профили трафика глобального безопасного доступа
• Глобальная служба политики безопасного доступа (внутренняя служба)

События входа для проверки подлинности исключенных ресурсов глобального безопасного доступа отображаются в журналах входа в систему Microsoft Entra ID следующим образом:

• Интернет-ресурсы с глобальным безопасным доступом
• Приложения Майкрософт с глобальным безопасным доступом
• Все частные ресурсы с глобальным безопасным доступом
• Служба политики ZTNA

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Попробуйте соответствующую политику сети

1. На устройстве конечного пользователя с установленным и запущенным клиентом Глобального безопасного доступа перейдите к ресурсам или https://yourcompanyname.sharepoint.com/получитеhttps://outlook.office.com/mail/ доступ к ресурсам.
2. Приостанавливать клиент глобального безопасного доступа, щелкнув правой кнопкой мыши приложение в области Windows и выбрав "Приостановить".
3. https://outlook.office.com/mail/ Перейдите к ресурсам или https://yourcompanyname.sharepoint.com/заблокировали доступ к ресурсам с сообщением об ошибке, которое говорит, что вы не можете получить доступ к этому прямо сейчас.

Устранение неполадок

Убедитесь, что новое именованное расположение было автоматически создано с помощью Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Следующие шаги

Ограничения универсального клиента