使用条件访问启用合规网络检查

  • 项目

使用条件访问和全局安全访问预览的组织可以使用多个条件来防止恶意访问 Microsoft 应用、第三方 SaaS 应用和专用业务线 (LoB) 应用,以提供深层防御。 这些条件可能包括设备合规性、位置等,以防止用户身份或令牌被盗。 全局安全访问在条件访问和持续访问评估中引入了合规网络这一概念。 此合规网络检查确保用户从其特定租户的已验证网络连接模型进行连接,并符合管理员强制实施的安全策略。

借助安装在设备或配置的远程网络上的全球安全访问客户端,管理员可以使用高级条件访问控制保护合规网络后面的资源。 这种合规网络功能让管理员可以更轻松地进行管理和维护,无需维护组织所有位置 IP 地址的列表。 管理员无需通过组织的 VPN 出口点来固定流量,即可确保安全性。

SharePoint Online 目前支持具有合规网络功能的连续访问评估 (CAE)。 借助 CAE,可以强制实施深度防御并提供令牌盗窃重放保护功能。

此合规网络检查特定于每个租户。

  • 使用此检查可以确保使用 Microsoft 全局安全访问服务的其他组织无法访问你的资源。
    • 例如:Contoso 可以在其合规网络检查后面保护其服务(如 Exchange Online 和 SharePoint Online)以确保只有 Contoso 用户才能访问这些资源。
    • 如果另一个组织(如 Fabrikam)使用合规网络检查,则它们不会传递 Contoso 的合规网络检查。

合规网络不同于 IPv4、IPv6 或可在 Microsoft Entra ID 中配置的地理位置。 无需管理员维护。

先决条件

  • 与全局安全访问预览功能交互的管理员必须具有以下一个或多个角色分配,具体取决于他们正在执行的任务。
    • 全局安全访问管理员角色负责管理全局安全访问预览功能。
    • 条件访问管理员安全管理员,创建条件访问策略和命名位置并与之交互。
  • 预览版需要 Microsoft Entra ID P1 许可证。 如果需要,可以购买许可证或获取试用许可证
  • 若要使用 Microsoft 365 流量转发配置文件,建议使用 Microsoft 365 E3 许可证。

已知限制

  • SharePoint Online 目前支持通过连续访问评估进行的合规网络检查。
  • 合规网络检查目前不支持专用访问应用。
  • 移动设备管理 (MDM) 中未注册的设备不支持合规的网络位置条件。 如果使用合规的网络位置条件配置条件访问策略,则尚未注册 MDM 的设备的用户可能会受到影响。 这些设备上的用户可能会通不过条件访问策略检查,并被阻止。
    • 使用合规网络位置条件时,请确保排除受影响的用户或设备。

为条件访问启用全局安全访问信号

若要启用允许合规网络检查的设置,管理员必须执行以下步骤。

  1. 全局安全访问管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“全局安全访问(预览)”>“全局设置”>“会话管理”“自适应访问”。
  3. 选择按钮,切换到“在条件访问中启用全局安全访问信号”。
  4. 浏览到“保护”>“条件访问”>“命名位置”。
    1. 确认将位置命名为“全部合规网络位置”,且位置类型为“网络访问”。 组织可以选择将此位置标记为受信任。

显示切换到在条件访问中启用信号的屏幕截图。

注意

如果组织启用了基于合规网络检查的条件访问策略,而你禁用了条件访问的全局安全访问信号,你可能会在无意中阻止目标最终用户访问资源。 如果必须禁用此功能,请先删除所有对应的条件访问策略。

保护位于合规网络后的资源

合规网络条件访问策略可用于保护 Microsoft 365 和第三方资源。

以下示例演示了这种类型的策略。 此外,现在还支持使用适用于 SharePoint Online 的 CAE 进行令牌盗窃重放保护。

  1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“条件访问”。
  3. 选择“创建新策略”。
  4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
  5. 在“分配”下,选择“用户或工作负载标识” 。
    1. 在“包括”下,选择“所有用户”。
    2. 在“排除”下,选择“用户和组”,并选择组织的紧急访问或不受限帐户
  6. 在“目标资源”>“包含”下,选择“选择应用”。
    1. 选择“Office 365 Exchange Online”和/或“Office 365 SharePoint Online”和/或任何第三方 SaaS 应用程序。
    2. 目前不支持应用选取器中的特定“Office 365”云应用,因此请勿选择此云应用。
  7. 在“条件” > “位置”下,
    1. 将“配置”设置为“是”。
    2. 在“包括”下,选择“任何位置”。
    3. 在“排除”下,选择“选定位置”。
      1. 选择“全部合规网络位置”位置。
    4. 选择“选择” 。
  8. 在“访问控制”下:
    1. 依次选择“授权”、“阻止访问”和“选择”。
  9. 确认设置,然后将“启用策略”设置为“打开”。
  10. 选择“创建”按钮来创建启用策略所需的项目。

注意

可使用“全局安全访问”流量配置文件,以及要求所有云应用都是使用合规网络的条件访问策略。 使用“所有合规网络位置”位置和“所有云应用”设置策略时,无需排除。

需要合规网络时,会从条件访问强制措施中内部排除流量配置文件。 此排除使全局安全访问客户端能够访问所需的资源。

排除的流量配置文件在登录日志中显示为以下应用程序 ZTNA 网络访问流量配置文件。

排除用户

条件访问策略是功能强大的工具,建议从策略中排除以下帐户:

  • 紧急访问帐户或不受限帐户,用于防止租户范围的帐户锁定 。 在极少数情况下,所有管理员都被锁定在租户外,紧急访问管理帐户可用于登录租户,以采取措施来恢复访问。
  • 服务帐户和服务主体,例如 Microsoft Entra Connect 同步帐户。 服务帐户是不与任何特定用户关联的非交互式帐户。 它们通常由后端服务使用,以便可以对应用程序进行编程访问,不过也会用于登录系统以进行管理。 应该排除这样的服务帐户,因为无法以编程方式完成 MFA。 范围限定为用户的条件访问策略将不会阻止由服务主体进行的调用。 对工作负载标识使用条件访问来定义面向服务主体的策略。
    • 如果组织在脚本或代码中使用这些帐户,请考虑将其替换为托管标识。 作为临时解决方法,可以从基线策略中排除这些特定的帐户。

试用合规网络策略

  1. 安装并运行全球安全访问客户端的最终用户设备上,浏览到你有权访问其资源的 https://outlook.office.com/mail/https://yourcompanyname.sharepoint.com/
  2. 右键单击 Windows 托盘中的应用程序并选择“暂停”,以暂停全球安全访问客户端。
  3. 浏览到 https://outlook.office.com/mail/https://yourcompanyname.sharepoint.com/,会阻止你访问资源,并显示一条错误消息,指出暂时无法访问

显示浏览器窗口“暂时无法访问”浏览器窗口的屏幕截图。

故障排除

验证是否已使用 Microsoft Graph 自动创建新的命名位置。

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

显示查询的 Graph Explorer 结果的屏幕截图

使用条款

使用 Microsoft Entra Private Access 和 Microsoft Entra Internet Access 预览版体验和功能时,需受到所享受的服务相应的预览版联机服务条款和条件协议的约束。 预览版可能减少或遵循不同的安全性、合规性和隐私承诺,详见联机服务的通用许可条款Microsoft 产品和服务数据保护附录(“DPA”),以及随预览版一起提供的任何其他通知。

后续步骤

适用于 Windows 的全局安全访问客户端(预览)