Global Secure Access 入门
全局安全访问(预览版)作为 Microsoft 的安全服务边缘,是 Microsoft Entra 管理中心的集中位置,可在其中配置和管理这些功能。 许多功能和设置同时适用于 Microsoft Entra 专用访问和 Microsoft Entra Internet 访问。 一些功能特定于两者之一。
本指南可帮助你开始首次配置这两种服务。
先决条件
与全局安全访问预览版功能交互的管理员必须具有全局安全访问管理员角色。 一些功能可能还需要其他角色。
若要遵循最低特权零信任原则,请考虑使用 Privileged Identity Management (PIM) 即时激活特权角色分配。
预览版需要 Microsoft Entra ID P1 许可证。 如果需要,可以购买许可证或获取试用许可证。 若要使用 Microsoft 365 流量转发配置文件,建议使用 Microsoft 365 E3 许可证。 正式发布后,Microsoft Entra 专用访问和 Microsoft Entra Internet 访问可能需要不同的许可证。
全局安全访问预览版的某些功能可能存在限制,相关文章中对此进行了定义。
访问 Microsoft Entra 管理中心
全局安全访问(预览版)是 Microsoft Entra 管理中心中的区域,可以在其中配置和管理 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问。
如果遇到访问问题,请参阅此有关租户限制的常见问题解答。
Microsoft Entra 互联网访问
Microsoft Entra Internet 访问可隔离 Microsoft 365 应用程序和资源(例如 Exchange Online 和 SharePoint Online)的流量。 用户可以通过连接到全局安全访问客户端或通过远程网络(例如在分支机构位置)来访问这些资源。
安装客户端以访问 Microsoft 365 流量
完成这四个步骤后,在 Windows 设备上安装了全局安全访问客户端的用户可以从任何地方安全地访问 Microsoft 365 资源。 条件访问策略要求用户在访问 Exchange Online 和 SharePoint Online 时使用全局安全访问客户端或配置的远程网络。
创建远程网络、应用条件访问并查看日志
完成这些可选步骤后,如果用户通过你创建的远程网络进行连接且满足添加到条件访问策略中的条件,则无需全局安全访问客户端即可连接到 Microsoft 365 服务。
Microsoft Entra 专用访问
Microsoft Entra 专用访问提供安全、零信任的访问解决方案,无需 VPN 即可访问内部资源。 配置快速访问并启用专用访问流量转发配置文件以指定要通过 Microsoft Entra 专用访问路由的网站和应用程序。 此时,必须在最终用户设备上安装全局安全访问客户端才能使用 Microsoft Entra 专用访问,因此本节包含该步骤。
配置对主要专用资源的快速访问
设置快速访问,以便使用 Microsoft Entra 专用访问更广泛地访问网络。
完成这四个步骤后,在 Windows 设备上安装了全局安全访问客户端的用户即可通过快速访问应用和专用网络连接器连接到主要资源。
配置全局安全访问应用程序以实现每个应用程序对专用资源的访问
使用 Microsoft Entra 专用访问创建特定的专用应用,以实现对专用访问资源的精细分段访问。
完成这些步骤后,在 Windows 设备上安装了全局安全访问客户端的用户即可通过全局安全访问应用和专用网络连接器连接到专用资源。
可选:
使用条款
使用 Microsoft Entra Private Access 和 Microsoft Entra Internet Access 预览版体验和功能时,需受到所享受的服务相应的预览版联机服务条款和条件协议的约束。 预览版可能减少或遵循不同的安全性、合规性和隐私承诺,详见联机服务的通用许可条款和 Microsoft 产品和服务数据保护附录(“DPA”),以及随预览版一起提供的任何其他通知。
后续步骤
若要开始使用 Microsoft Entra Internet 访问,请首先启用 Microsoft 365 流量转发配置文件。
若要开始使用 Microsoft Entra 专用访问,请首先为快速访问应用配置专用网络连接器组。