Nejčastější dotazy k globálnímu zabezpečenému přístupu

Pokud jste povolili omezení univerzálního tenanta a získali přístup do Centra pro správu Microsoft Entra pro některé z povolených tenantů, zobrazí se chyba Odepření přístupu. Přidejte příznak funkce do Centra pro správu Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true. Pracujete například pro Společnost Contoso a vy jste povolili uvedení společnosti Fabrikam jako partnerského tenanta. Zobrazí se chybová zpráva centra pro správu Microsoft Entra tenanta Fabrikam. Pokud se pro tuto adresu URL zobrazila chybová zpráva o odepření přístupu: https://entra.microsoft.com/ Pak přidejte příznak funkce následujícím způsobem: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Přihlášení B2B se podporují jenom v případech, kdy uživatel přistupuje ke službě ze zařízení připojeného k Microsoft Entra. Tenant Microsoft Entra musí odpovídat přihlašovacím údajům uživatelů. Například osoba pracuje ve společnosti Fabrikam a pracuje na projektu pro Společnost Contoso. Společnost Contoso poskytla osobě zařízení a identitu společnosti Contoso, například v-Bob@contoso.com. Pokud chcete získat přístup k globálnímu zabezpečenému přístupu společnosti Contoso pomocí zařízení Contoso, může osoba použít buď Bob@Fabrikam.com nebo v-Bob@Contoso.com. Tato osoba ale nemůže použít zařízení Fabrikam, které je připojené k tenantovi Fabrikam pro přístup k globálnímu zabezpečenému přístupu společnosti Contoso.

Funkce zabezpečené webové brány v rámci platformy Microsoft Entra Internet Access a dalších platforem SSE (Security Service Edge) poskytují pokročilé hodnoty zabezpečení sítě z cloudového hraničního zařízení pro všechny uživatele, kteří se připojují k libovolné aplikaci. Řešení SSE od Microsoftu konkrétně využívá hlubokou integraci s Microsoft Entra ID k zajištění povědomí o identitě a kontextu k podrobným zásadám zabezpečení sítě. Kromě toho platformy SSE poskytují bohatší kontroly a hlubší viditelnost prostřednictvím kontroly protokolu TLS (Transport Layer Security), která těmto platformám umožňuje kontrolovat a vynucovat zásady zabezpečení paketu. Platformy detekce koncových bodů a reakce (EDR), jako je Microsoft Defender for Endpoint poskytují hodnotu zabezpečení zařízení pro spravovaná zařízení. Tyto zásady umožňují cílit na zařízení nebo skupiny zařízení místo konstruktorů identit založených na uživatelích. Platformy EDR také poskytují přehled prostřednictvím pokročilých možností proaktivního vyhledávání. Nejlepší je používat ovládací prvky ochrany sítě i koncových bodů společně, abyste dosáhli hloubkového přístupu k ochraně. Pokud se platforma EDR používá společně s Microsoft Entra Internet Accessem, zásady platformy EDR na zařízení se vždy vynucují před dosažením cloudového hraničního zařízení, kde se vynucují zásady Microsoft Entra Internet Accessu.

V tuto chvíli se protokol IPv4 upřednostňuje před protokolem IPv6. Pokud narazíte na problémy, zakažte protokol IPv6. Další informace najdete v tématu Upřednostňovaný protokol IPv4.

Ano, pro správu aspektů Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup je k dispozici sada rozhraní Microsoft Graph API. Další informace o těchto rozhraních API najdete v článku Zabezpečení přístupu ke cloudovým, veřejným a privátním aplikacím pomocí rozhraní API pro přístup k síti v Microsoft Graphu.

Dnes existují dvě záruky:

• Ověřování a autorizace se provádí pro všechny scénáře privátního přístupu. Každý tok sítě, který přichází do konektoru, musí mít platný token pro aplikaci Entra 3P. Kromě toho může být cílem pouze jeden z segmentů aplikace nakonfigurovaných v této aplikaci 3P. Síťový tunel, který konektor propojí s naší službou v cloudu, potřebuje tento token aplikace pro každý síťový tok do konektoru, aby konektor přijímal provoz. I když se tedy nějaký technik Microsoftu pokusil odeslat provoz do konektoru bez tohoto platného tokenu, tento provoz se do konektoru nedoručí.
• Komunikace mezi cloudovou infrastrukturou konektoru a privátního přístupu s globálním zabezpečeným přístupem se šifruje a ověřuje pomocí tunelů TLS, které používají certifikát připnutý službou. To znamená, že provoz mezi naší službou a konektorem není otevřený pro B&I a zabraňuje útokům MiTM (Man-in-the-Middle).

Nezapomeňte obrátit IP adresy protokolu BGP mezi CPE a globálním zabezpečeným přístupem. Pokud jste například zadali místní IP adresu protokolu BGP jako 1.1.1.1 a IP adresu protokolu BGP partnerského uzlu jako 0.0.0.0 pro CPE, prohoďte hodnoty v globálním zabezpečeném přístupu. Místní IP adresa protokolu BGP v globálním zabezpečeném přístupu je tedy 0.0.0.0 a IP adresa partnerského uzlu GBP je 1.1.1.1.

Microsoft Entra Internet Access a Microsoft Defender for Endpoint využívají podobné moduly kategorizace s několika odlišnými rozdíly. Cílem modulu Microsoft Entra Internet Access je poskytnout platnou kategorizaci každého koncového bodu na internetu, zatímco Microsoft Defender pro koncový bod podporuje menší seznam kategorií webů zaměřený na kategorie webů, které by mohly zavádět odpovědnost za organizaci, která provozuje koncový bod. To znamená, že mnoho webů není zařazeno do kategorií a organizace, která chce povolit nebo odepřít přístup, musí pro lokalitu ručně vytvořit indikátor sítě.