通过全局安全访问实现通用条件访问

除了将流量发送到全球安全访问外，管理员还可以使用条件访问策略来保护流量配置文件。 他们可以根据需要混合和匹配控制措施，例如要求多重身份验证、要求使用合规设备或定义可接受的登录风险。 将这些控制措施应用于网络流量而不仅是云应用程序可以实现我们所说的通用条件访问。

流量配置文件上的条件访问为管理员提供了对其安全状况的巨大控制。 管理员可以通过使用策略强制执行零信任原则来管理对网络的访问。 使用流量配置文件可以一致地应用策略。 例如，不支持新式身份验证的应用程序现在可以通过流量配置文件受到保护。

此功能使管理员能够基于流量配置文件一致地强制实施条件访问策略，而不仅仅是应用程序或操作。 使用这些策略时，管理员可以将特定的流量配置文件（例如 Microsoft 流量配置文件、私有资源和 Internet 访问）作为目标。 用户只有在满足配置的条件访问策略时，才能访问这些配置的终结点或流量配置文件。

先决条件

• 与全球安全访问功能交互的管理员必须具有以下一个或多个角色分配，具体取决于他们正在执行的任务。
  • 全球安全访问管理员角色，管理全球安全访问功能。
  • 条件访问管理员，创建条件访问策略并与之交互。
• 产品需要经过许可。 有关详细信息，请参阅什么是全球安全访问的许可部分。 如果需要，可以购买许可证或获取试用许可证。
• 要使用 Microsoft 流量转发配置文件，建议使用 Microsoft 365 E3 许可证。

已知隧道授权限制

在全球安全访问客户端中，Microsoft 和 Internet 访问转发配置文件都使用 Microsoft Entra ID 条件访问策略来授权访问它们的隧道。 这意味着，你可以在条件访问中授予或阻止对 Microsoft 流量和 Internet 访问转发配置文件的访问权限。 在某些情况下，如果未授予对隧道的授权，则重新获得资源访问权限的恢复路径需要访问 Microsoft 流量或 Internet 访问转发配置文件中的目标，导致用户被锁定，无法访问其计算机上的任何内容。

例如，如果你阻止在不合规的设备上访问 Internet 访问目标资源，则会导致 Microsoft Entra Internet 访问用户无法使其设备恢复为合规。 缓解此问题的方法是绕过 Microsoft Intune 的网络终结点，以及在 Microsoft Intune 的自定义合规性发现脚本中访问的任何其他目标。 可以在 Internet 访问转发配置文件中的自定义绕过中执行此操作。

其他已知限制

• 当前不支持对 Microsoft 流量的通用条件访问进行持续访问评估。
• 目前不支持将条件访问策略应用于专用访问流量。 若要为此行为建模，可以在应用程序级别对“快速访问”应用和“全局安全访问”应用使用条件访问策略。 有关详细信息，请参阅将条件访问应用于专用访问应用。
• 无需全局安全访问客户端即可通过远程网络连接访问 Microsoft 流量；但是，不会强制实施条件访问策略。 换句话说，仅当用户具有全局安全访问客户端时，才会强制执行全局安全访问 Microsoft 流量的条件访问策略。

条件访问策略

使用条件访问，可以为 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问获取的网络流量启用访问控制和安全策略。

• 创建针对所有 Microsoft 流量的策略。
• 将条件访问策略应用于专用访问应用，例如快速访问。
• 启用条件访问中的全局安全访问信号，以便源 IP 地址在相应的日志和报表中可见。

用户体验

当用户首次登录已安装、配置并运行全局安全访问客户端的计算机时，系统会提示他们登录。 当用户尝试访问受策略保护的资源时。 与前面的示例一样，会强制实施策略，如果未登录，系统会提示登录。 查看全局安全访问客户端的系统托盘图标，会看到一个红色圆圈，指示已注销或未运行。

当用户登录全局安全访问客户端后，会显示一个绿色圆圈，表示已登录，客户端已在运行。

后续步骤

• 启用源 IP 还原
• 为 Microsoft 流量创建条件访问策略
• 为专用访问应用创建条件访问策略