Sdílet prostřednictvím

Scénář nasazení Microsoft Entra – Zabezpečení internetového přístupu na základě obchodních potřeb

  • Článek

Scénáře nasazení Microsoft Entra poskytují podrobné pokyny ke kombinování a testování těchto produktů Microsoft Entra Suite:

V těchto příručkách popisujeme scénáře, které ukazují hodnotu sady Microsoft Entra Suite a jak její schopnosti spolupracují.

Přehled scénáře

V této příručce popisujeme, jak nakonfigurovat produkty Microsoft Entra Suite pro scénář, ve kterém fiktivní organizace Contoso má přísné výchozí zásady přístupu k internetu a chce řídit přístup k internetu podle obchodních požadavků.

V ukázkovém scénáři, pro který popisujeme, jak nakonfigurovat jeho řešení, vyžaduje uživatel marketingového oddělení přístup k webům sociálních sítí, které společnost Contoso zakáže všem uživatelům. Uživatelé můžou požádat o přístup v aplikaci Můj přístup. Po schválení se stanou členem skupiny, která jim udělí přístup k webům sociálních sítí.

V jiném ukázkovém scénáři a odpovídajícím řešení potřebuje analytik SOC přistupovat ke skupině vysoce rizikových internetových cílů po určitou dobu, aby bylo možné incident prošetřit. Analytik SOC může tuto žádost provést v části Můj přístup. Po schválení se stanou členem skupiny, která jim udělí přístup k vysoce rizikovým internetovým cílům.

Tyto základní kroky pro řešení Společnosti Contoso můžete replikovat, jak je popsáno v tomto scénáři.

  1. Zaregistrujte se k Microsoft Entra Suite. Povolte a nakonfigurujte Microsoft Entra Přístup k Internetu pro požadovaná nastavení sítě a zabezpečení.
  2. Nasaďte klienty Microsoft Global Secure Access na zařízeních uživatelů. Povolte Microsoft Entra Přístup k Internetu.
  3. Vytvořte zásady filtrování profilu zabezpečení a webového obsahu s omezujícími základními zásadami, které blokují konkrétní webové kategorie a cíle webu pro všechny uživatele.
  4. Vytvořte profil zabezpečení a zásady filtrování webového obsahu, které umožňují přístup k webovým stránkám sociálních sítí.
  5. Vytvořte profil zabezpečení, který umožňuje kategorii Hacking web.
  6. Pomocí Microsoft Entra ID Governance povolte uživatelům, kteří požadují přístup k balíčkům, jako jsou:
    • Uživatelé marketingového oddělení můžou požádat o přístup k webům sociálních sítí s čtvrtletní kontrolou přístupu.
    • Členové týmu SOC mohou požádat o přístup k vysoce rizikovým internetovým cílům s časovým limitem osmi hodin.
  7. Vytvořte a propojte dvě zásady podmíněného přístupu pomocí řízení relace zabezpečení globálního zabezpečeného přístupu. Vymezte působnost zásad na skupiny uživatelů pro prosazení.
  8. Ověřte, že je provoz správně povolen na základě záznamů o provozu v Globálním zabezpečeném přístupu. Ujistěte se, že uživatelé marketingového oddělení mají přístup k přístupovém balíčku na portálu Můj přístup.

Toto jsou výhody společného používání těchto řešení:

  • Přístup k internetovým cílům s nejnižšími oprávněními. Omezte přístup k internetovým prostředkům pouze na to, co uživatel potřebuje pro svou pracovní roli v rámci cyklu nástupu, přesunu a odchodu zaměstnanců. Tento přístup snižuje riziko ohrožení koncových uživatelů a zařízení.
  • Zjednodušená a jednotná správa Správa funkcí sítě a zabezpečení z jedné cloudové konzoly, což snižuje složitost a náklady na údržbu více řešení a zařízení.
  • Lepší zabezpečení a viditelnost. Vynucujte podrobné a adaptivní zásady přístupu na základě identity a kontextu uživatele a zařízení a také citlivosti a umístění aplikací a dat. Rozšířené protokoly a analýzy poskytují přehled o stavu sítě a zabezpečení, které vám umožní rychleji detekovat hrozby a reagovat na ně.
  • Vylepšené uživatelské prostředí a produktivita Zajištění rychlého a bezproblémového přístupu k potřebným aplikacím a prostředkům bez ohrožení zabezpečení nebo výkonu

Požadavky

Tato část definuje požadavky pro řešení scénáře.

Oprávnění

Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu, vyžadují role globálního správce zabezpečeného přístupu a správce aplikací.

Konfigurace zásad podmíněného přístupu vyžaduje roli Správce podmíněného přístupu nebo Správce zabezpečení. Některé funkce můžou vyžadovat více rolí.

Konfigurace zásad správného řízení identit vyžaduje alespoň roli správce zásad správného řízení identit.

Licence

K implementaci všech kroků v tomto scénáři potřebujete globální licence pro zabezpečený přístup a zásady správného řízení Microsoft Entra ID. Můžete si koupit licence nebo získat zkušební licence. Další informace o licencování globálního zabezpečeného přístupu najdete v části Licencování co je globální zabezpečený přístup.

Požadavky na uživatele a zařízení

Pokud chcete úspěšně nasadit a otestovat tento scénář, nakonfigurujte tyto požadavky:

  1. Tenant služby Microsoft Entra s licencí Microsoft Entra ID P1. Kupte si licence nebo získejte zkušební licence.
    • Jeden uživatel s alespoň rolemi globálního správce zabezpečeného přístupu a správce aplikací pro konfiguraci Microsoft Security Service Edge
    • Alespoň jeden uživatel jako testovací uživatel klienta ve vašem tenantovi
  2. Jedno klientské zařízení s Windows s touto konfigurací:
    • 64bitová verze Windows 10/11
    • Připojení k Microsoft Entra nebo hybridní připojení
    • Připojení k internetu
  3. Stáhněte a nainstalujte globálního klienta zabezpečeného přístupu na klientské zařízení. Článek globálního klienta zabezpečeného přístupu pro Windows popisuje požadavky a instalaci.

Konfigurace globálního zabezpečeného přístupu

V této části aktivujeme globální zabezpečený přístup prostřednictvím Centra pro správu Microsoft Entra. Potom nastavíme požadované počáteční konfigurace pro tento scénář.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
  2. Přejděte do Global Secure Access>Začínáme>aktivovat Global Secure Access ve vašem tenantovi. Chcete-li povolit funkce SSE, vyberte Aktivovat .
  3. Přejděte na Globální zabezpečený přístup>Připojení>Předávání přenosů. Zapněte profil privátního přístupu. Přesměrování provozu umožňuje nakonfigurovat typ síťového provozu pro tunelování přes služby řešení Microsoft Security Service Edge. Nastavte profily předávání síťového provozu pro správu typů provozu.

    • Profil přístupu Microsoft 365 je určený pro Microsoft Entra Internet Access pro Microsoft 365.

    • Profil privátního přístupu je určený pro Microsoft Entra Soukromý přístup.

    • Profil přístupu k internetu je určený pro Microsoft Entra Přístup k Internetu. Řešení Microsoft Security Service Edge zachytává provoz jenom na klientských zařízeních s instalací globálního klienta zabezpečeného přístupu.

      Snímek obrazovky s předáváním provozu zobrazující povolené řízení profilu privátního přístupu

Instalace klienta globálního zabezpečeného přístupu

Microsoft Entra Internetový přístup pro Microsoft 365 a Microsoft Entra Soukromý přístup používají klienta globálního zabezpečeného připojení na zařízeních s Windows. Tento klient získává a předává síťový provoz do řešení Microsoft Security Service Edge. Proveďte tyto kroky instalace a konfigurace:

  1. Ujistěte se, že je zařízení s Windows připojeno k Microsoft Entra nebo je hybridně připojeno.

  2. Přihlaste se k zařízení s Windows pomocí uživatele Microsoft Entra s oprávněními místního správce.

  3. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.

  4. Přejděte na Global Secure Access>Connect>stažení klienta. Vyberte Stáhnout klienta. Dokončete instalaci.

    Snímek obrazovky stahování klienta s ovládacím prvkem klienta pro stažení systému Windows

  5. Na hlavním panelu okna se klient globálního zabezpečeného přístupu nejprve zobrazí jako odpojený. Po několika sekundách po zobrazení výzvy k zadání přihlašovacích údajů zadejte přihlašovací údaje testovacího uživatele.

  6. Na hlavním panelu okna najeďte myší na ikonu globálního klienta zabezpečeného přístupu a ověřte stav Připojeno .

Vytváření skupin zabezpečení

V tomto scénáři použijeme dvě skupiny zabezpečení k přiřazení profilů zabezpečení pomocí zásad podmíněného přístupu. V Centru pro správu Microsoft Entra vytvořte skupiny zabezpečení s těmito názvy:

  • Přístup k internetu – Povolit weby sociálních sítí
  • Přístup k internetu -- Povolit hackerské weby

Nepřidávejte do těchto skupin žádné členy. Dále v tomto článku nakonfigurujeme zásady správného řízení identit tak, aby přidávaly členy na žádost.

Blokování přístupu pomocí základního profilu

V této části zablokujeme přístup k nevhodným webům pro všechny uživatele v organizaci se standardním profilem.

Vytvoření zásad standardního webového filtrování

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.

  2. Přejděte na Globální zabezpečený přístup>Bezpečnost>filtrování zásad webového obsahu>Vytvořit zásady>Konfigurace globálního filtrování obsahu.

    Snímek obrazovky se zásadami filtrování webového obsahu s červeným rámečkem, který zvýrazňuje ovládací prvek Vytvořit zásadu pro vytvoření základní zásady webového filtrování

  3. V části Vytvoření zásady>filtrování webového obsahu – Základy vyplňte tato pole:

    • Název: Základní pravidlo blokování přístupu k internetu

    • Popis: Přidání popisu

    • Akce: Blokovat

      Snímek obrazovky s podnikovými aplikacemi, vytvořením globální aplikace zabezpečeného přístupu, zásadami filtrování webového obsahu a vytvořením zásad filtrování webového obsahu

  4. Vyberte Další.

  5. V části Vytvořit pravidla zásad filtrování>webového obsahu vyberte Přidat pravidlo.

    Snímek obrazovky se zásadami filtrování webového obsahu, vytvořením zásad filtrování webového obsahu, pravidly zásad a červeným rámečkem, který zvýrazňuje ovládací prvek Přidat pravidlo

  6. V poli Přidat pravidlo vyplňte tato pole:

    • Název: Webové kategorie blokované ve výchozím nastavení
    • Typ cíle: webCategory

  7. Hledání: Vyberte následující kategorie. Potvrďte, že jsou ve vybraných položkách.

    • Alkohol a tabák

    • Trestná činnost

    • Hazardní hry

    • Hacking

    • Neplatný software

    • Sociální sítě

      Snímek obrazovky s pravidlem Aktualizovat, přidáním pravidla do své politiky, se základními blokovanými webovými kategoriemi v textovém poli Název

  8. Vyberte Přidat.

  9. Při vytváření pravidel zásad filtrování>webového obsahu potvrďte výběry.

    Snímek obrazovky podnikových aplikací, vytvoření globální aplikace zabezpečeného přístupu, zásady filtrování webového obsahu, vytvoření zásady filtrování webového obsahu, pravidla zásad

  10. Vyberte Další.

  11. Na Vytvoření zásady filtrování webového obsahu>Přehled, zkontrolujte konfiguraci vašich zásad.

  12. Vyberte Vytvořit politiku.

    Snímek obrazovky globálního zabezpečeného přístupu, profilů zabezpečení a karty Kontrola základních zásad

  13. Pokud chcete potvrdit vytváření zásad, zobrazte ho v části Správa zásad filtrování webového obsahu.

Konfigurace standardního profilu zabezpečení

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.
  2. Přejděte na Globální zabezpečený přístup>Zabezpečení>Profily zabezpečení.
  3. Vyberte Základní profil.
  4. V základní verzi nastavte stav na povolenou.
  5. Zvolte Uložit.
  6. V možnosti Upravit profil směrného plánu vyberte Zásady propojení. Vyberte Propojit politiku. Vyberte Existující zásady. Vyplňte tato pole:
    • Propojit zásadu: Vyberte Název zásady a Základní pravidlo blokování přístupu k internetu
    • Priorita: 100
    • Stav: Povoleno
  7. Vyberte Přidat.
  8. V části Vytvořit profil>Zásady propojení potvrďte, že je uvedeno pravidlo pro základní blokování přístupu k internetu.
  9. Zavřete standardní profil zabezpečení.

Povolit přístup k webům sociálních sítí

V této části vytvoříme profil zabezpečení, který umožňuje přístup k webům sociálních sítí pro uživatele, kteří o něj požádají.

Vytvoření zásad filtrování webu sociálních sítí

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.

  2. Přejděte na Global Secure Access>Zabezpečené>zásady filtrování webového obsahu> a vytvořte zásadu>. Konfigurace filtrování obsahu Global Secure Access.

    Snímek obrazovky s podnikovými aplikacemi, vytvořením globální aplikace zabezpečeného přístupu, zásadami filtrování webového obsahu a vytvořením zásad filtrování webového obsahu

  3. V části Vytvoření zásady>filtrování webového obsahu – Základy vyplňte tato pole:

    • Název: Povolit weby sociálních sítí
    • Popis: Přidání popisu
    • Akce: Povolit

  4. Vyberte Další.

  5. V části Vytvořit pravidla zásad filtrování>webového obsahu vyberte Přidat pravidlo.

  6. V poli Přidat pravidlo vyplňte tato pole:

    • Název: Sociální sítě
    • Typ cíle: webová kategorie
    • Hledat: Sociální sítě

  7. Vybrat sociální sítě

  8. Vyberte Přidat.

  9. V části Vytvořit zásady filtrování webového obsahu>Pravidla zásad vyberte Další.

  10. Na stránce Vytvoření zásady filtrování webového obsahu>Zkontrolujte zkontrolujte konfiguraci zásad.

    Snímek obrazovky s profily zabezpečení, upravit blokování na riziko, základy, profily zabezpečení, upravit základní profil, vytvořit zásadu filtrování webového obsahu

  11. Vyberte Vytvořit politiku.

  12. Pokud chcete potvrdit vytváření zásad, zobrazte ho v části Správa zásad filtrování webového obsahu.

Vytvoření profilu zásad zabezpečení sociálních sítí

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.

  2. Přejděte do Global Secure Access>Secure>profily zabezpečení. Vyberte Vytvořit profil.

    Snímek obrazovky profilů zabezpečení s červeným rámečkem se zvýrazněným ovládacím prvku Vytvořit profil

  3. Při vytváření základů profilu> vyplňte tato pole:

    • Název profilu: Povolit weby sociálních sítí
    • Popis: Přidání popisu
    • Stav: Povoleno
    • Priorita: 1000

  4. Vyberte Další.

  5. Vytvořit profil>Zásady pro propojení, vyberte Propojit zásadu.

  6. Vyberte Existující zásady.

  7. V Propojit zásadu vyplňte tato pole:

    • Název zásady: Povolit sociální sítě
    • Priorita: 1000
    • Stav: Povoleno

  8. Vyberte Přidat.

  9. V části Vytvořit zásady propojení profilu>potvrďte, že je uvedená možnost Povolit sociální sítě.

  10. Vyberte Další.

  11. Na Vytvořit profil>Revize potvrďte konfiguraci profilu.

    Snímek obrazovky s profily zabezpečení, Upravit blok ohrožení, Základy, Profily zabezpečení, Upravit základní profil, Vytvořit profil

  12. Vyberte Vytvořit profil.

Vytvoření zásad podmíněného přístupu sociálních sítí

V této části vytvoříme zásadu podmíněného přístupu, která vynucuje bezpečnostní profil Povolit sociální sítě pro uživatele požadující přístup.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte na Ochranu>Podmíněný přístup>Zásady.
  3. Vyberte Nová zásada.
  4. V nových zásadách podmíněného přístupu vyplňte tato pole:
    • Název: Přístup k internetu -- Povolit weby sociálních sítí
    • Uživatelé nebo identity úloh: Zahrnout konkrétní uživatele
    • Na co se tato zásada vztahuje? Uživatelé a skupiny
    • Zahrnout>výběr uživatelů a skupin> Uživatelé a skupiny
  5. Vyberte testovací skupinu (například Přístup k internetu – Povolit weby sociálních sítí). Zvolte Zvolit.
  6. Cílové zdroje
    • Vyberte, co se tato zásada týká> globálního zabezpečeného přístupu.
    • Vyberte profily přenosů, které tato zásada platí pro> internetový provoz.
  7. Pokud chcete udělit přístup tak, aby definovaný profil zabezpečení definoval funkce blokování, ponechte možnost Udělit ve výchozím nastavení.
  8. V relaci vyberte Použít bezpečnostní profil Global Secure Access.
  9. Vyberte Povolit sociální sítě.
  10. V Přehled podmíněného přístupu>Povolit zásadu vyberte Zapnuto.
  11. Vyberte Vytvořit.

Povolit přístup k hackerským webům

V této části vytvoříme nový bezpečnostní profil, který umožňuje přístup na hackerské stránky uživatelům, kteří o něj požádají. Uživatelé dostanou přístup po dobu osmi hodin, po které se přístup automaticky odebere.

Vytvořte zásady filtrování webu pro hacking

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.

  2. Přejděte do Globálního zabezpečeného přístupuzabezpečenézásady filtrování webového obsahu. Vytvořte zásadypro konfiguraci filtrování obsahu pomocí Globálního zabezpečeného přístupu.

    Snímek obrazovky profilů zabezpečení s červeným rámečkem se zvýrazněným ovládacím prvku Vytvořit profil

  3. V části Vytvoření zásady>filtrování webového obsahu – Základy vyplňte tato pole:

    • Název: Povolit hackerské stránky
    • Popis: Přidání popisu
    • Akce: Povolit

  4. Vyberte Další.

  5. V části Vytvořit pravidla zásad filtrování>webového obsahu vyberte Přidat pravidlo.

  6. V poli Přidat pravidlo vyplňte tato pole:

    • Název: Hackování
    • Typ cíle: webCategory
    • Hledat: Hackování, zvolit Hackování

  7. Vyberte Přidat.

  8. V části Vytvořit zásady filtrování webového obsahu>Pravidla zásad vyberte Další.

  9. Při vytváření zásad>filtrování webového obsahu Zkontrolujte konfiguraci zásad.

    Snímek obrazovky s možností Přidat pravidlo s hackingem ve vybraných položkách

  10. Vyberte Vytvořit politiku.

  11. Pokud chcete potvrdit vytváření zásad, zobrazte ho v části Správa zásad filtrování webového obsahu.

    Snímek obrazovky profilů zabezpečení a zásad filtrování webového obsahu

Vytvoření profilu zásad zabezpečení hackingu

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.

  2. Přejděte do Globálního zabezpečeného přístupu>Secure>Profilů zabezpečení. Vyberte Vytvořit profil.

    Snímek obrazovky profilů zabezpečení s červeným rámečkem se zvýrazněným ovládacím prvku Vytvořit profil

  3. Při vytváření základů profilu> vyplňte tato pole:

    • Název profilu: Povolit stránky pro hackery
    • Popis: Přidání popisu
    • Stav: Povoleno
    • Priorita: 2000

  4. Vyberte Další.

  5. V části Vytvořit profil>Zásady propojení vyberte Propojit zásadu.

  6. Vyberte Existující zásady.

  7. V dialogovém okně Propojit politiku vyplňte tato pole:

    • Název zásady: Povolit hacking
    • Priorita: 2000
    • Stav: Povoleno

  8. Vyberte Přidat.

  9. V části Vytvořit profil>Zásady odkazu potvrďte, že Povolit hacking je uvedeno.

  10. Vyberte Další.

  11. Na Vytvořit profil>Přehled potvrďte konfiguraci profilu.

    Snímek obrazovky s profily zabezpečení, Upravit blok na riziku, Základy, Profily zabezpečení, Upravit základní profil, Vytvořit profil.

  12. Vyberte Vytvořit profil.

Vytvoření zásad podmíněného přístupu týkajících se hackingu

V této části vytvoříme zásadu podmíněného přístupu, která vynucuje profil zabezpečení webů Allow Hacking pro uživatele, kteří požadují přístup.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Projděte na Ochrana>Podmíněný přístup>Zásady.
  3. Vyberte Nová zásada.
  4. V dialogovém okně Nové zásady podmíněného přístupu vyplňte tato pole:
    • Název: Přístup k internetu -- Povolit hackerské stránky
    • Uživatelé nebo identity úloh: Konkrétní uživatelé zahrnuti
    • Na co se tato zásada vztahuje? Uživatelé a skupiny
  5. Zahrnout>výběr uživatelů a skupin> Uživatelé a skupiny
  6. Vyberte testovací skupinu (například Přístup k internetu – Povolit hackingové weby) > vyberte Vybrat.
  7. Cílové zdroje
    • Vyberte, co se tato zásada týká> globálního zabezpečeného přístupu.
    • Vyberte profily přenosů, které tato zásada platí pro> internetový provoz.
  8. Pokud chcete udělit přístup tak, aby definovaný profil zabezpečení definoval funkce blokování, ponechte možnost Udělit ve výchozím nastavení.
  9. V dialogovém okně Relace vyberte Použít profil zabezpečení globálního zabezpečeného přístupu.
  10. Vyberte Povolit hackerské weby.
  11. V Přehled podmíněného přístupuPovolit zásadu vyberte Zapnuto.
  12. Vyberte Vytvořit.

Konfigurace zásad správného řízení přístupu

Pomocí následujícího postupu vytvořte katalog pro správu nároků:

  1. Přihlaste se do administračního centra Microsoft Entra jako alespoň správce správy identit.

  2. Přejděte do správy identity > správy nároků > katalogů.

  3. Vybrat nový katalog

    Snímek obrazovky s kontrolou nového přístupu, podnikové aplikace, všechny aplikace, Správa identit, nový katalog.

  4. Zadejte jedinečný název katalogu a zadejte popis. Žadateli se tyto informace zobrazí v podrobnostech přístupového balíčku (například v internetovém přístupu).

  5. Pro tento scénář vytvoříme přístupové balíčky v katalogu pro interní uživatele. Nastavte Povoleno pro externí uživatele na Ne.

    Snímek obrazovky nového katalogu s nastavením

  6. Pokud chcete přidat prostředky, přejděte do katalogu a otevřete katalog, do kterého chcete přidat prostředky. Vyberte Zdroje. Vyberte Přidat prostředky.

  7. Přidejte dvě skupiny zabezpečení, které jste vytvořili dříve (například Přístup k internetu – Povolit weby sociálních sítí a Přístup k internetu – Povolit hackingové weby).

    Snímek obrazovky se zásadami správného řízení identit, přístupem k internetu a prostředky

Vytvoření přístupových balíčků

V této části vytvoříme přístupové balíčky, které uživatelům umožňují požádat o přístup k kategoriím internetových webů, které každý profil zabezpečení definuje. Při vytváření přístupového balíčku ve správě nároků postupujte takto:

  1. Přihlaste se do administrátorského centra Microsoft Entra jako alespoň správce správy identit.

  2. Přejděte k správě identit>správě nároků>balíčku přístupu.

  3. Vyberte Nový přístupový balíček.

  4. Pro základy pojmenujte přístupový balíček (například Přístup k internetu – Povolit weby sociálních sítí). Zadejte katalog, který jste vytvořili dříve.

  5. V případě role prostředků vyberte zabezpečení, které jste přidali dříve (například Přístup k Internetu -- Povolit weby sociálních sítí).

  6. V roli vyberte Člen.

  7. V případě žádostí vyberte Pro uživatele ve vašem adresáři.

  8. Pokud chcete nastavit rozsah uživatelů, kteří můžou požádat o přístup k webům sociálních sítí, vyberte Konkrétní uživatele a skupiny a přidejte odpovídající skupinu uživatelů. V opačném případě vyberte Všechny členy.

  9. U žádostí vyberte možnost Ano pro povolení nových požadavků.

  10. Volitelné: Ve schválení určete, jestli je vyžadováno schválení, když uživatelé požadují tento přístupový balíček.

  11. V případě životního cyklu zadejte, kdy vyprší platnost přiřazení uživatele k přístupovém balíčku. Určete, zda mohou uživatelé rozšířit svá přiřazení. Pro vypršení platnosti nastavte vypršení platnosti přiřazení přístupového balíčku na Datum, Počet dní, Počet hodin nebo Nikdy.

    Snímek obrazovky s novým přístupovým balíčkem a požadavky

  12. Opakujte kroky k vytvoření nového přístupového balíčku, který umožňuje přístup k webům zaměřeným na hacking. Nakonfigurujte tato nastavení:

    • Zdroj: Přístup k Internetu -- Povolit hackerské stránky
    • Kdo si může vyžádat: členové týmu SOC
    • Životní cyklus: Nastavení počtu hodin na 8 hodin

Testování přístupu uživatelů

V této části ověříme, že uživatel nemá přístup k webům, které blokují základní profil.

  1. Přihlaste se k zařízení, na kterém jste nainstalovali klienta globálního zabezpečeného přístupu.
  2. V prohlížeči přejděte na weby, které základní profil blokuje, a ověřte blokovaný přístup. Příklad:

    1. hackthissite.org je bezplatná, bezpečná a legální platforma pro odborníky na zabezpečení, kde mohou testovat a rozvíjet dovednosti v oblasti etického hackingu. Tento web je klasifikován jako hackerský.

    2. YouTube.com je bezplatná platforma pro sdílení videa. Tento web je klasifikován jako sociální sítě.

      Snímek obrazovky se dvěma okny prohlížeče zobrazující blokovaný přístup k testovacím webům

Vyžádání přístupu k sociální síti

V této části ověříme, že uživatel marketingového oddělení může požádat o přístup k webům sociálních sítí.

  1. Přihlaste se k zařízení, na kterém jste nainstalovali klienta globálního zabezpečeného přístupu s uživatelem, který je členem marketingového týmu (nebo uživatele, který má autorizaci k vyžádání přístupu k ukázkové aplikaci Internet Access – Povolit přístupový balíček pro weby sociálních sítí).

  2. V prohlížeči ověřte blokovaný přístup k webu v kategorii sociálních sítí, kterou blokuje základní profil zabezpečení. Zkuste například získat přístup k youtube.com.

    Snímek obrazovky prohlížeče s blokovaným přístupem k testovacímu webu

  3. Přejděte na myaccess.microsoft.com. Vyberte přístupové balíčky. Vyberte Žádost pro balíček přístupu k internetu – Povolit weby sociálních sítí.

    Snímek obrazovky Můj přístup, přístupové balíčky, dostupné

  4. Zvolte Pokračovat. Vyberte Požadavek.

  5. Pokud jste nakonfigurovali schválení přístupového balíčku, přihlaste se jako schvalovatel. Přejděte na myaccess.microsoft.com. Žádost schvalte.

  6. Přihlaste se jako uživatel marketingového oddělení. Přejděte na myaccess.microsoft.com. Vyberte Historii požadavků. Ověřte stav vaší žádosti na Internetový přístup -- Povolit stránky sociálních sítí je Doručeno.

  7. Použití nových nastavení může trvat několik minut. Pokud chcete proces urychlit, klikněte pravým tlačítkem myši na ikonu Globální zabezpečený přístup v hlavním panelu systému. Vyberte Přihlásit se jako jiný uživatel. Znovu se přihlaste.

  8. Zkuste získat přístup k webům v kategorii sociálních sítí, kterou blokuje základní profil zabezpečení. Ověřte, že je můžete úspěšně procházet. Zkuste například procházet youtube.com.

    Snímek obrazovky prohlížeče zobrazující přístup k testovacímu webu

Žádost o přístup na hackerskou webovou stránku

V této části potvrzujeme, že uživatel týmu SOC může požádat o přístup k hackerským webům.

  1. Přihlaste se k zařízení, na kterém jste nainstalovali klienta globálního zabezpečeného přístupu pomocí uživatele, který je členem týmu SOC (nebo uživatele, který má oprávnění požádat o přístup k příkladu přístupového balíčku Internetový přístup - Povolit weby hackingu).

  2. V prohlížeči ověřte blokovaný přístup k webu v kategorii hackingu, kterou blokuje základní profil zabezpečení. Například hackthissite.org.

    Snímek obrazovky prohlížeče s blokovaným přístupem k testovacímu webu

  3. Projděte na myaccess.microsoft.com. Vyberte přístupové balíčky. Vyberte Žádat o přístup pro balíček přístupu Internet Access -- Povolit weby zaměřené na hacking.

  4. Zvolte Pokračovat. Vyberte Požadavek.

  5. Pokud jste nakonfigurovali schválení přístupového balíčku, přihlaste se jako schvalovatel. Přejděte na myaccess.microsoft.com. Žádost schvalte.

  6. Přihlaste se jako uživatel týmu SOC. Přejděte na myaccess.microsoft.com. Vyberte Historii požadavků. Ověřte stav vaší žádosti pro Internetový přístup – Povolit hackovací weby je doručen.

  7. Použití nových nastavení může trvat několik minut. Pokud chcete proces urychlit, klikněte pravým tlačítkem myši na ikonu Globální zabezpečený přístup v hlavním panelu systému. Vyberte Přihlásit se jako jiný uživatel. Znovu se přihlaste.

  8. Zkuste získat přístup k webům v kategorii hackingu, kterou blokuje základní profil zabezpečení. Ověřte, že je můžete úspěšně procházet. Zkuste například procházet hackthissite.org.

    Snímek obrazovky okna prohlížeče zobrazující přístup k testovacímu webu

  9. Pokud jste v předchozích krocích konfigurovali přístup na hackerské weby s počtem hodin nastaveným na 8, po osmi hodinách ověřte zablokovaný přístup na tyto weby.

Související obsah