适用于 Microsoft 流量的 Microsoft Entra Internet 访问概念证明的 Microsoft 安全服务边缘解决方案部署指南
本概念证明 (PoC) 部署指南可帮助你部署 Microsoft 的安全服务边缘 (SSE) 解决方案,该解决方案具有适用于 Microsoft 流量的 Microsoft Entra Internet 访问功能。
概述
Microsoft 以标识为中心的安全服务边缘解决方案聚合了网络、标识和端点访问控制,以便从任何位置、设备或标识安全访问任何应用或资源。 它为员工、业务合作伙伴和数字工作负载启用和编排访问策略管理。 如果专用应用、SaaS 应用和 Microsoft 终结点的权限或风险级别发生更改,你可以持续实时监视和调整用户访问。 本部分介绍如何在生产或测试环境中完成适用于 Microsoft 流量的 Microsoft Entra Internet 访问概念证明。
适用于 Microsoft 流量的 Microsoft Entra Internet 访问部署
完成配置初始产品步骤。 这包括配置适用于 Microsoft 流量的 Microsoft Entra Internet 访问、启用 Microsoft 流量转发配置文件以及安装全球安全访问客户端。 应将配置范围限定为特定的测试用户和组。
示例 PoC 方案:保护以防止数据外泄
数据外泄是所有公司的担忧,尤其是在政府或金融等高度监管的行业运营的公司。 利用跨租户访问设置中的出站控制,你可以在使用托管设备时阻止外部租户的未经授权的标识访问你的 Microsoft 数据。
适用于 Microsoft 流量的 Microsoft Entra Internet 访问可以增强数据丢失防护 (DLP) 控制,其方法是使你能够:
- 通过要求用户只能通过合规网络访问 Microsoft 资源来防止令牌被盗。
- 在与 Microsoft 安全服务边缘的连接上强制实施条件访问策略。
- 部署通用租户限制 v2,使得无需通过客户托管的网络代理路由所有用户流量。
- 配置租户限制,防止用户使用任何第三方标识(例如个人或外部组织颁发)访问未经授权的外部租户。
- 通过将访问令牌移入或移出非托管设备或网络位置,来防止令牌渗透/外泄,确保用户无法绕过租户限制。
本部分介绍如何强制实施对 Microsoft 流量的合规网络访问、使用条件访问保护 Microsoft 安全服务边缘的连接,以及通过使用通用租户限制 v2 阻止外部标识访问受管理设备和/或网络上的外部租户。 租户限制仅适用于外部标识;它们不适用于你自己的租户中的标识。 若要控制自己的用户标识的出站访问,请使用跨租户访问设置。 在 Microsoft Entra ID 中配置租户限制策略以阻止访问适用于获取租户限制标头注入的用户。 这仅包括通过注入标头的客户网络代理进行路由的用户、具有已部署的全球安全访问的用户,或者 Windows 设备上通过 Windows OS 设置启用了租户限制标头注入的用户。 测试时,请确保全球安全访问服务强制实施租户限制,而不是通过客户网络代理或 Windows 设置强制实施,以避免无意中影响其他用户。 此外还需要启用条件访问信号,以在条件访问中启用全球安全访问选项。
创建要求合规网络才能进行访问的条件访问策略。 配置合规网络要求会阻止测试用户从任何位置对 Office 365 Exchange Online 和 Office 365 SharePoint Online 进行任何访问,除非他们使用 Microsoft 安全服务边缘解决方案进行连接。 按以下操作配置条件访问策略:
- 用户:选择测试用户或试点组。
- 目标资源:选择“Office 365 Exchange Online”和“Office 365 SharePoint Online”应用程序。
- 条件:
- 在“位置”下,选择“未配置”。
- 将“配置”切换为“是” 。
- 包括:“任何位置”。
- 排除“所选位置”。
- 对于“选择”,请选择“无”。
- 选择“所有合规网络位置”。
“访问控制”>“授予”> 选择“阻止访问”。
创建第二个条件访问策略,该策略需要控制,以允许全球安全访问客户端连接到 SSE 解决方案(例如 MFA、合规设备、TOU)。 按以下操作配置条件访问策略:
用户:选择测试用户或试点组。
目标资源:
对于“选择此策略的适用对象”,请选择“全球安全访问”。
对于“选择此策略适用的流量配置文件”,请选择“Microsoft 流量”。
“访问控制”>“授予”>选择想要强制实施的控件,例如要求多重身份验证。
尝试登录到 SharePoint Online 或 Exchange Online,并验证是否提示用户向全球安全访问进行身份验证。 全局安全访问客户端使用访问令牌和刷新令牌连接到 Microsoft 的安全服务边缘解决方案。 如果之前已连接全球安全访问客户端,则可能需要等待访问令牌过期(最多一小时),然后才能应用所创建的条件访问策略。
若要验证条件访问策略是否已成功应用,请查看“ZTNA 网络访问客户端 - M365”应用程序的测试用户的登录日志。
通过打开右下角的托盘并验证图标上是否有绿色复选标记,验证全球安全访问客户端是否已连接。
使用测试设备,通过测试用户登录到 SharePoint Online 或 Exchange Online。
从没有全球安全访问客户端的其他设备,使用测试用户标识尝试登录到 SharePoint Online 或 Exchange Online。 或者,可以右键单击系统托盘中的全球安全访问客户端并单击“暂停”,然后使用测试用户标识尝试在同一设备上登录到 SharePoint Online 或 Exchange Online。
在启用了全局安全访问客户端的测试设备中,尝试使用外部标识登录到其他 Microsoft Entra 租户。 确认租户限制阻止访问。
转到外部租户并导航到其登录日志。 在外部租户的登录日志中,确认对外部租户的访问显示为已阻止和已记录。
示例 PoC 方案:源 IP 地址还原
网络代理和第三方 SSE 解决方案会覆盖发送设备的公共 IP 地址,从而阻止 Microsoft Entra ID 将该 IP 地址用于策略或报告。 此限制会导致以下问题:
- Microsoft Entra ID 无法强制实施某些基于位置的条件访问策略(例如阻止不受信任的国家/地区)。
- 利用用户基线熟悉位置的基于风险的检测会降级,因为系统会将 Microsoft Entra ID 保护机器学习算法限制为代理的 IP 地址。 它们无法检测或训练用户的真实源 IP 地址。
- SOC 操作/调查必须利用第三方/代理日志来确定原始源 IP,然后将其与后续活动日志相关联,从而导致了效率低下。
本部分演示了适用于 Microsoft 流量的 Microsoft Entra Internet 访问如何通过保留用户的原始源 IP 地址、简化安全调查和进行故障排除来克服这些问题。
若要测试源 IP 地址还原,必须启用条件访问的全球安全访问信号。 需要一个条件访问策略,该策略需要如本文前面所述的合规网络。
通过打开右下角的托盘并验证图标上是否有绿色复选标记,验证全球安全访问客户端是否已连接。 使用测试标识登录到 SharePoint Online 或 Exchange Online。
查看此登录的登录日志,并记下 IP 地址和位置。 确认未应用合规的网络条件访问策略。
将合规的网络条件访问策略设置为仅限报告模式,然后选择“保存”。
在测试客户端设备上,打开系统托盘,右键单击“全球安全访问客户端”图标,然后选择“暂停”。 将鼠标悬停在图标上,并确认“全球安全访问客户端 – 已禁用”,从而验证全球安全访问客户端已不再连接。
使用测试用户登录到 SharePoint Online 或 Exchange Online。 确认能够成功登录并访问资源。
查看上次登录尝试的登录日志。