使用 Microsoft Graph 网络访问 API (预览版) 保护对云、公共和专用应用的访问

Microsoft Entra Internet Access 和 Microsoft Entra Private Access 由 Microsoft 的安全服务 Edge 解决方案组成,使组织能够整合控制并配置统一标识和网络访问策略。 Microsoft Entra Internet Access 保护对 Microsoft 365、SaaS 和公共 Internet 应用的访问,同时保护用户、设备和数据免受 Internet 威胁。 另一方面,Microsoft Entra Private Access 保护对本地或云中托管的专用应用的访问。

本文介绍 Microsoft Graph 中启用 Microsoft Entra Internet 访问和Microsoft Entra Private Access 服务的网络访问 API。 全局安全访问是这两个服务的统一术语。 有关详细信息,请参阅 什么是全局安全访问?

网络访问 API 的构建基块

网络访问 API 提供了一个框架来配置你希望转发或筛选流量的方式及其关联规则。 下表列出了构成网络访问 API 的核心实体。

实体 说明
forwardingProfile 确定如何通过全局安全访问服务路由或绕过流量。 转发配置文件绑定到一种流量类型,该流量类型可以Microsoft 365、Internet 或专用流量。 然后,转发配置文件可以有多个转发策略。 例如,Microsoft 365 转发配置文件具有 Exchange Online、SharePoint Online 等策略。
forwardingPolicy 定义通过全局安全访问服务路由或绕过特定流量类型的规则。 每个策略都尝试使用一种流量类型,该流量类型可以Microsoft 365、Internet 或专用流量。 转发策略只能有转发策略规则。
forwardingPolicyLink 表示转发配置文件与转发策略之间的关系,并维护连接的当前状态。
policyRule 维护策略规则集的核心定义。
remoteNetwork 表示用户和设备连接以访问云、公共或专用应用的物理位置。 每个远程网络都包含设备,远程网络中设备的连接通过客户本地设备 (CPE) 进行维护。
filteringProfile 组筛选策略,这些策略随后与 Microsoft Entra 中的条件访问策略相关联,以利用一组丰富的用户上下文条件。
filteringPolicy 封装管理员配置的各种策略,例如网络筛选策略、数据丢失防护和威胁防护。
filteringPolicLink 表示筛选配置文件与筛选策略之间的关系,并维护连接的当前状态。

加入到服务过程

若要开始使用全局安全访问服务和支持网络访问 API,必须显式加入服务。

操作 说明
载入租户 加入 Microsoft Entra Internet Access 和 Private Access 服务。
检查状态 检查租户的载入状态。

流量转发配置文件和策略

以下 API 允许管理员管理和配置转发配置文件。 有三个默认配置文件:Microsoft 365、专用和 Internet。 使用以下 API 来管理流量转发配置文件和策略。

示例操作 说明
列出转发配置文件 列出为租户配置的转发配置文件。 还可以使用 $expand 查询参数检索关联的策略。
更新 forwardingProfile 启用或禁用转发配置文件或配置关联,例如远程网络。
列出转发策略 列出为租户配置的转发策略。 还可以使用 $expand 查询参数检索关联的转发策略规则。
列出转发策略链接 列出与转发配置文件关联的策略链接。 还可以使用 $expand 查询参数检索关联的转发策略规则。

远程网络

远程网络方案涉及用户设备或无用户设备(如打印机)在物理办公室位置通过客户本地设备 (CPE) (也称为设备链接)建立连接。

使用以下 API 管理已载入到服务的远程网络的详细信息。

示例操作 说明
创建远程网络
为远程网络创建设备链接
为远程网络创建转发配置文件
创建远程网络及其关联的设备链接和转发配置文件。
列出远程网络
列出远程网络的设备链接
列出远程网络的转发配置文件
列出远程网络及其关联的设备链接和转发配置文件。

访问控制

网络访问 API 提供了一种管理组织中三种访问控制设置的方法:跨租户访问、条件访问和转发选项。 这些设置可确保租户中的设备和用户进行安全高效的网络访问。

跨租户访问设置

跨租户访问设置涉及网络数据包标记和实施租户限制 (TRv2) 策略,以帮助防止数据外泄。 使用 crossTenantAccessSettings 资源类型 及其关联的 API 来管理跨租户访问设置。

条件访问设置

全局安全访问服务中的条件访问设置涉及启用或禁用用于源 IP 还原和连接的条件访问信号。 配置确定目标资源是接收客户端的原始源 IP 地址还是全局安全访问服务的 IP 地址。

使用 conditionalAccessSettings 资源类型 及其关联的 API 来管理条件访问设置。

使用 合规的NetworkNamedLocation 资源类型 ,确保用户从其特定租户的已验证网络连接模型进行连接,并符合管理员强制实施的安全策略。

转发选项

转发选项允许管理员启用或禁用跳过边缘的 DNS 查找,并使用客户端解析的目标 IP 将Microsoft 365 流量直接转发到 Front Door 的功能。 使用 forwardingOptions 资源类型 及其关联的 API 来管理转发选项。

审核日志

监视和审核环境中的事件对于维护安全性、合规性和运营效率至关重要。 全局安全访问事件记录在 目录日志 中,可以使用关联的 API 检索 登录日志

流量日志和报告

可以浏览网络流量连接日志,查看通过全局安全访问服务的网络流量类型的细目。 使用 networkAccessTraffic 资源类型 及其关联的 API 查看精细的网络流量日志。

还可以通过全局安全访问服务检索与设备、用户、事务和跨租户访问请求相关的流量汇总计数。 使用 报表资源类型 及其关联的 API 查看汇总的网络流量统计信息。

扩充Microsoft 365 个流量日志

使用全局安全访问服务,可以使用网络流量信息丰富 Microsoft 365 审核日志 。 使用扩充的流量日志,可以查看与 Microsoft 365 应用相关的网络诊断数据、性能数据和安全事件。 与以下三个 Microsoft 365 工作负载相关的流量可以使用网络流量信息进行扩充:SharePoint、Microsoft Teams 和 Exchange Online。

零信任

此功能可帮助组织将其 标识 与零信任体系结构的三个指导原则保持一致:

  • 显式验证
  • 使用最低特权
  • 假定漏洞

若要详细了解零信任以及使组织符合指导原则的其他方法,请参阅 零信任指导中心