人們工作的方式改變了。 人們現在幾乎可以在任何地方工作,而不是只在傳統辦公室工作。 當應用程式和數據移至雲端時,現代化的勞動力需要具備身分識別感知功能的雲端交付網路邊界。 這個新的網路安全性類別稱為安全性服務邊緣 (SSE)。
Microsoft 的安全性服務邊緣 (SSE) 解決方案,是由 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取所組成。 全球安全存取是用於 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取的統一詞彙。 全球安全存取是 Microsoft Entra 系統管理中心的統一位置。 全球安全存取是以零信任的核心準則為基礎,採用最低權限、明確驗證和假想缺口的準則所建置。
Microsoft 安全服務邊緣 (SSE) 解決方案
Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取,再加上我們以 SaaS 安全性為焦點的雲端存取安全性代理程式 (CASB)「適用於雲端的 Microsoft Defender 應用程式」,是以獨一無二方式所建置的解決方案,可將網路、身分識別和端點存取控制融合在一起,讓您可以從任何地方安全地存取任何應用程式或資源。 透過這些新增的全球安全存取產品,Microsoft Entra ID 可簡化存取原則管理,並為員工、商務合作夥伴和數位工作負載提供存取協調流程。 如果權限或風險層級出現變更,您可以持續監視並即時調整使用者存取權。
全球安全存取功能可透過整合式入口網站簡化存取控制功能的推出和管理。 這些功能是從 Microsoft 廣域網路提供,其橫跨超過 140 個區域和超過 190 個網路邊緣位置。 作為全世界最大的私人網路之一,其可讓組織順暢且安全地將使用者和裝置連線到公用和私人資源。 如需目前存在點的清單,請參閱 全域安全存取存在點一文。
Microsoft Entra 網際網路存取
Microsoft Entra Internet Access 可保護使用身分識別型安全 Web 網關 (SWG) 來存取因特網和 SaaS 應用程式,封鎖威脅、不安全的內容和惡意流量。
主要功能
- 使用以使用者為中心的網路流量轉送設定檔,從桌面客戶端或遠端網路(例如分支位置)取得網路流量。
- 詳細的網路流量日誌(包括強制執行政策的詳細資訊)。 儀表板可用於顯示使用者、裝置和端點之間的關聯對應、跨租用戶存取,以及熱門網路目的地的使用情況。
- 使用豐富的內容感知(使用者、裝置、位置、風險和合規性原則),同時透過與條件式存取整合來套用網路安全策略。 保護使用者對公用網際網路的存取,同時利用 Microsoft 的 SWG 解決方案,其能感知身分識別且由雲端傳遞。
- 啟用網路內容篩選,根據其網頁內容類別和/或 FQDN-網域名稱來規範對網際網路目的地的存取。
- 透過與條件式存取工作階段控制項的整合,即使未與 Microsoft Entra ID 同盟,也可為所有網際網路目的地套用通用的條件式存取原則。
Microsoft Entra 針對 Microsoft 服務的網際網路存取
Microsoft entra Internet Access for Microsoft 服務可增強 Microsoft Entra ID 功能,並直接連線到支援的Microsoft服務、改善安全性、效能和復原能力。
主要功能
- 直接使用預先填入的Microsoft流量轉送設定檔,從桌面用戶端或遠端網路(例如分支位置)連線到Microsoft服務。
- 透過要求每個使用 Microsoft Entra ID 整合的應用程式都必須進行符合規範的網路檢查,以簡化 Microsoft Entra ID 條件式存取政策的設定。
- 套用通用租使用者限制,以降低數據外洩給未經授權的外部租用戶或個人帳戶的風險。
- 透過恢復 Microsoft Entra ID 登入記錄的來源 IP,提高威脅偵測的準確性。
- Microsoft流量的詳細網路流量記錄(包括強制執行的政策詳細資訊)。 儀表板可用於顯示使用者、裝置和端點之間的關聯對應、跨租用戶存取,以及熱門網路目的地的使用情況。
Microsoft Entra 私密存取
Microsoft Entra 私人存取能讓您的使用者 (無論是在辦公室或從遠端工作) 安全地存取您的私人公司資源。 Microsoft Entra 私人存取是以 Microsoft Entra 應用程式 Proxy 的功能為基礎所建置,並能將存取延伸至任何私人資源、連接埠和通訊協定。
遠端使用者在不使用 VPN 的情況下,從任何裝置和網路連線到位於混合式和多雲端環境、私人網路和資料中心上的私人應用程式。 此服務會根據條件式存取原則提供個別應用程式自適性存取,以提供比 VPN 更細微的安全性。
主要功能
- 零信任型存取一系列 IP 位址和/或完整網域名稱,且不需要舊版 VPN。 這項功能稱為「快速存取」。
- 每個應用程式的傳輸控制協定 (TCP) 和使用者資料協定 (UDP) 存取權。
- 使用深度條件式存取整合將舊版應用程式驗證現代化。
- 透過從桌面用戶端取得網路流量,並與現有的非 Microsoft SSE 解決方案並排部署,以提供順暢的終端使用者體驗。
授權概觀
Microsoft Entra Internet Access、Microsoft Entra Internet Access for Microsoft 服務,而 Microsoft Entra Private Access 現已正式推出。
- Microsoft Entra Internet Access 功能包含在 Microsoft Entra Suite 授權和獨立版中。 Microsoft Entra Internet Access 可協助您安全地存取所有因特網和 SaaS 應用程式。
- Microsoft Entra Private Access 功能包含在 Microsoft Entra Suite 授權和獨立版中。 Microsoft Entra Private Access 使用零信任網路存取 (ZTNA) 解決方案來提升網路安全性。
- Microsoft entra Internet Access for Microsoft services 功能包含在 Microsoft Entra ID P1 或 Microsoft Entra ID P2 授權中。 Microsoft entra Internet Access for Microsoft 服務可增強 Microsoft Entra ID 功能,並直接連線到支援的Microsoft服務、改善安全性、效能和復原能力。
使用 Microsoft Entra 私人存取和 Microsoft Entra 網際網路存取的必要條件是 Microsoft Entra ID P1 或 Microsoft Entra ID P2。
若要深入了解授權成本和 Microsoft Entra Suite,請參閱 Microsoft Entra 方案與定價。 若要深入瞭解購買個人授權,請參閱授權頁面的 [Microsoft Entra Suite 獨立產品] 索引標籤。
重要
Microsoft Entra 私人存取和 Microsoft Entra 網際網路存取的授權強制執行將於 2024 年 10 月 1 日開始實行。 執行措施遵循於 2024 年 7 月 1 日開放一般供應開始的 90 天試用期。
功能比較數據表
| 特徵 / 功能 | Entra P1/P2 授權 - Microsoft流量概況 | 因特網存取授權* - 因特網存取配置檔 | 私人存取授權* - 私人存取帳戶配置 |
|---|---|---|---|
| Windows 用戶端 | ✅ | ✅ | ✅ |
| macOS 用戶端 | ✅ | ✅ | ✅ |
| 行動用戶端 (iOS, Android) | ✅ | ✅ | ✅ |
| 流量記錄 | ✅ | ✅ | ✅ |
| 遠端網路 (分支連線能力) | ✅ | ✅ | |
| 全域租戶限制 | ✅ | ||
| 網路合規性檢查 | ✅ | ||
| 原始 IP 復原 | ✅ | ||
| Microsoft 365 擴充記錄 | ✅ | ||
| 通用條件式存取 (CA) | ✅ | ✅ | |
| 上下文感知網路安全性 | ✅ | ||
| Web 類別篩選 | ✅ | ||
| 完整合格域名(FQDN)過濾 | ✅ | ||
| 通用連續存取評估 (CAE) | ✅ | ✅ | ✅ |
| 以身分識別為中心的 ZTNA 取代 VPN | ✅ | ||
| 快速存取 | ✅ | ||
| 應用程式搜尋 | ✅ | ||
| 私人網域名稱系統 (DNS) | ✅ | ||
| 所有私人應用程式的單一登錄 | ✅ | ||
| Marketplace 供應狀況 | ✅ | ||
| 私有網絡連接器多雲端支援 | ✅ |
*包含在Microsoft Entra Suite 中
遠端網路授權
遠端網路(分支連線)功能包含在 Microsoft Entra ID P1 授權中,用於 Microsoft 流量;以及即將推出的 Microsoft Entra Internet Access 授權中,用於網際網路流量。 您必須擁有至少 50 個來自 Microsoft Entra ID P1 和 Microsoft Entra Internet Access 的授權,才能啟用遠端網路連線。 如需配置多少頻寬的詳細資訊,請參閱 瞭解遠端網路連線能力。 若要深入瞭解遠端網路,請參閱 如何使用全域安全存取建立遠端網路。