Hodnocení univerzálního průběžného přístupu (Preview)
Universal Continuous Access Evaluation (CAE) je funkce platformy globálního zabezpečeného přístupu (GSA), která spolupracuje s ID Microsoft Entra, aby se zajistilo, že se při každém navázání připojení k novému prostředku aplikace ověří přístup k hraniční síti GSA. Univerzální certifikační autorita chrání přístupové tokeny GSA před krádeží a přehráním. Univerzální certifikační autorita odvolá a znovu vyhodnotí síťový přístup téměř v reálném čase, kdykoli Id Entra zjistí změny identity. Tradiční cae ID Entra vyžaduje, aby každá úloha přijala speciální knihovny a je omezená pouze na aplikace první strany. Univerzální cae rozšiřuje výhody CAE na všechny aplikace, ke kterým přistupuje globální zabezpečený přístup, aniž by aplikace vyžadovala, aby byla služba CAE informována.
Výhody univerzální cae
Tady je několik příkladů, jak Univerzální certifikační autorita pro vaši organizaci přináší výhody, když Entra ID zjistí změnu identity a aktivuje CAE téměř v reálném čase:
- Privátní přístup – relace uživatele přes Vzdálenou plochu, přístup k souborovým serverům a přístup ke všem soukromým prostředkům chráněným privátním přístupem se přeruší, což snižuje riziko exfiltrace dat odcházejícím zaměstnancem nebo škodlivou aktivitou insider.
- Přístup k internetu – přístup uživatele ke všem internetovým prostředkům, včetně služeb, které můžou obsahovat firemní data, jako jsou služby sdílení souborů jiných společností než Microsoft a nástroje pro spolupráci společnosti, se přeruší, což snižuje riziko exfiltrace dat odcházejícím zaměstnancem.
- Služby Microsoftu – zatímco mnoho služby Microsoft již nativně používá CAE, existují některé aplikace, které ne. V případě univerzální cae se přístup uživatelů k aplikacím Microsoftu přeruší bez ohledu na povědomí o caE aplikace.
- Před povolením připojení ke službám pomocí GSA můžete vyžadovat, aby vaši uživatelé byli v konkrétních sítích a zabránili tak přesunu do jiné sítě i po počátečním ověření tunelu. Když v tomto scénáři uživatel změní sítě, přístup k síti přes GSA se znovu vyhodnotí a zásady podmíněného přístupu založené na umístění se znovu zhodnotí.
- Volitelný režim striktního vynucení nakonfigurovaný v podmíněném přístupu chrání před krádeží nebo přehráním přístupových tokenů GSA. Pokud se při opětovném přehrání tokenu pokusíte použít jinou IP adresu, než je původní IP adresa použitá při ověřování, zablokuje se přístup k síti.
Jak to funguje
Globální zabezpečený přístup spoléhá na přístupové tokeny Entra ID k ověření v tunelech služby (provoz Microsoftu, Přístup k internetu a profily předávání přenosů privátního přístupu). Přístupové tokeny jsou platné mezi 60 a 90 minutami. Před vypršením platnosti přístupového tokenu používá klient GSA obnovovací token Entra ID k získání nového přístupového tokenu.
Podle specifikace OAuth2 jsou přístupové tokeny platné, dokud nevypršela platnost. Když například zakážete uživatelský účet, id Entra zneplatní obnovovací tokeny okamžitě, ale vypršení platnosti přístupových tokenů GSA trvá až 90 minut.
Při univerzální certifikační autoritě se změny identity uživatele předávají globálnímu zabezpečenému přístupu téměř v reálném čase. I když je přístupový token stále platný, globální zabezpečený přístup pošle koncovému uživateli výzvu k zadání zvláštních deklarací identity, která vyžaduje opětovné ověření uživatele. Pokud uživatel nemůže dokončit ověřovací výzvu entra ID, přístup k síti prostřednictvím GSA je zablokovaný. Univerzální certifikační autorita zkracuje časový interval mezi změnou stavu účtu Id Entra a vyžaduje, aby se uživatel znovu ověřil, což snižuje riziko exfiltrace dat odcházejícím zaměstnancem.
Signály MICROSOFT Entra ID, které aktivují opětovné ověření univerzální certifikační autority
Globální zabezpečený přístup umožňuje přijímat signály z ID Entra téměř v reálném čase pro následující události:
- Uživatelský účet se odstraní nebo zakáže.
- Heslo pro uživatele se změní nebo resetuje.
- Pro uživatele je povolené vícefaktorové ověřování.
- Správce explicitně odvolá všechny obnovovací tokeny pro uživatele.
- Vysoké riziko uživatele zjištěné službou Microsoft Entra ID Protection
Po přijetí události zabezpečení klient globálního zabezpečeného přístupu vyzve uživatele k opětovnému ověření. Pokud je opětovné ověření úspěšné, obnoví se síťové připojení uživatele k prostředkům chráněným globálním zabezpečeným přístupem.
Režim striktního vynucení
V režimu striktního vynucování služba Universal CAE okamžitě zastaví přístup, pokud zásady podmíněného přístupu nepovolují IP adresu zjištěnou poskytovatelem prostředků. Tato možnost představuje nejvyšší způsob zabezpečení vynucení umístění caE a vyžaduje, aby správci pochopili směrování požadavků na ověřování a přístup ve svém síťovém prostředí. Pokud je povolené přísné vynucování, je přístup ke službám globálního zabezpečeného přístupu možný jenom v případě, že se vaši uživatelé připojují ke službě GSA z rozsahů IP adres autorizovaných vaší organizací.
Zakázání univerzální certifikační autority
Podmíněný přístup Entra ID se dá použít k řízení chování caE ve vašem tenantovi. Ve výchozím nastavení je caE zapnutá pro všechny aplikace, které ji podporují. CaE můžete zakázat v tenantovi Entra ID, který zakáže CAE pro všechny služby, včetně globálního zabezpečeného přístupu. Pokud chcete ve svém tenantovi zakázat caE, postupujte podle pokynů v dokumentaci k podmíněnému přístupu.
Poznámka:
Univerzální cae je oportunistický, pokud není v podmíněném přístupu povolený volitelný režim striktního vynucení a použitý u identit úloh GSA. Ve výchozím nastavení se podporovaní klienti globálního zabezpečeného přístupu pokusí získat přístupový token CAE z ID Entra. Pokud se token CAE nedá získat z ID Entra (například kvůli nepodporované verzi klienta), vydá se běžný přístupový token. S náhradním chováním by nemělo být nutné zakázat Univerzální cae.
Známá omezení
Tato funkce má jedno nebo více známých omezení. Podrobnější informace o známých problémech a omezeních této funkce najdete v tématu Známá omezení globálního zabezpečení přístupu.