Protección del acceso a aplicaciones en la nube, públicas y privadas mediante las API de acceso a red de Microsoft Graph (versión preliminar)
Acceso a Internet de Microsoft Entra y Acceso privado de Microsoft Entra componen la solución Perímetro de servicio de seguridad de Microsoft y permiten a las organizaciones consolidar los controles y configurar la identidad unificada y la red directivas de acceso. Acceso a Internet de Microsoft Entra protege el acceso a Aplicaciones de Internet públicas, SaaS y Microsoft 365, al tiempo que protege a los usuarios, dispositivos y datos frente a amenazas de Internet. Por otro lado, Acceso privado de Microsoft Entra protege el acceso a aplicaciones privadas hospedadas en el entorno local o en la nube.
En este artículo se describen las API de acceso de red de Microsoft Graph que habilitan los servicios Acceso a Internet de Microsoft Entra y Acceso privado de Microsoft Entra. Global Secure Access es el término unificador de estos dos servicios. Para obtener más información, consulte ¿Qué es el acceso seguro global?
Bloques de creación de las API de acceso de red
Las API de acceso a la red proporcionan un marco para configurar cómo desea reenviar o filtrar el tráfico y sus reglas asociadas. En la tabla siguiente se enumeran las entidades principales que componen las API de acceso a la red.
| Entidades | Descripción |
|---|---|
| forwardingProfile | Determina cómo se enruta o omite el tráfico a través de los servicios de acceso seguro global. Un perfil de reenvío está asociado a un tipo de tráfico que puede ser Microsoft 365, Internet o tráfico privado. Un perfil de reenvío puede tener varias directivas de reenvío. Por ejemplo, el perfil de reenvío de Microsoft 365 tiene directivas para Exchange Online, SharePoint Online, etc. |
| forwardingPolicy | Define las reglas para enrutar o omitir un tipo de tráfico específico a través de los servicios de acceso seguro global. Cada directiva se intenta con un tipo de tráfico que puede ser Microsoft 365, Internet o tráfico privado. Una directiva de reenvío solo puede tener reglas de directiva de reenvío. |
| forwardingPolicyLink | Representa la relación entre un perfil de reenvío y una directiva de reenvío y mantiene el estado actual de la conexión. |
| policyRule | Mantiene la definición principal de un conjunto de reglas de directivas. |
| remoteNetwork | Representa la ubicación física desde la que los usuarios y dispositivos se conectan para acceder a las aplicaciones en la nube, públicas o privadas. Cada red remota consta de dispositivos y la conexión de los dispositivos en una red remota se mantiene a través de equipos locales del cliente (CPE). |
| filteringProfile | Grupos directivas de filtrado, que se asocian a las directivas de acceso condicional en Microsoft Entra para aprovechar un amplio conjunto de condiciones de contexto de usuario. |
| filteringPolicy | Encapsula varias directivas configuradas por los administradores, como directivas de filtrado de red, prevención de pérdida de datos y protección contra amenazas. |
| filteringPolicLink | Representa la relación entre un perfil de filtrado y una directiva de filtrado y mantiene el estado actual de la conexión. |
Incorporación al proceso de servicio
Para empezar a usar los servicios de acceso seguro global y las API de acceso de red compatibles, debe incorporarse explícitamente al servicio.
| Operación | Descripción |
|---|---|
| Incorporación de inquilino | Incorporación a los servicios de acceso privado y de Acceso a Internet de Microsoft Entra. |
| Comprobar el estado | Compruebe el estado de incorporación del inquilino. |
Directivas y perfiles de reenvío de tráfico
Las siguientes API permiten a un administrador administrar y configurar perfiles de reenvío. Hay tres perfiles predeterminados: Microsoft 365, Privado e Internet. Use las siguientes API para administrar directivas y perfiles de reenvío de tráfico.
| Operaciones de ejemplo | Descripción |
|---|---|
| Perfiles de reenvío de lista | Enumere los perfiles de reenvío configurados para el inquilino. También puede recuperar las directivas asociadas mediante el parámetro de $expand consulta. |
| Actualizar forwardingProfile | Habilite o deshabilite un perfil de reenvío o configure asociaciones como la red remota. |
| Directivas de reenvío de listas | Enumere las directivas de reenvío configuradas para el inquilino. También puede recuperar las reglas de directiva de reenvío asociadas mediante el parámetro de $expand consulta. |
| Vínculos de directiva de reenvío de listas | Enumere los vínculos de directiva asociados a un perfil de reenvío. También puede recuperar las reglas de directiva de reenvío asociadas mediante el parámetro de $expand consulta. |
Redes remotas
Un escenario de red remota implica dispositivos de usuario o dispositivos sin usuario, como impresoras que establecen conectividad a través de equipos locales del cliente (CPE), también conocidos como vínculos de dispositivo, en una ubicación de oficina física.
Use las siguientes API para administrar los detalles de una red remota que ha incorporado al servicio.
| Operaciones de ejemplo | Descripción |
|---|---|
|
Creación de una red remota Creación de vínculos de dispositivo para una red remota Creación de perfiles de reenvío para una red remota |
Cree redes remotas y sus vínculos de dispositivo y perfiles de reenvío asociados. |
|
Enumerar redes remotas Enumerar vínculos de dispositivo para una red remota Enumerar perfiles de reenvío para una red remota |
Enumera las redes remotas y sus vínculos de dispositivo y perfiles de reenvío asociados. |
Controles de acceso
Las API de acceso de red proporcionan un medio para administrar tres tipos de configuración de control de acceso dentro de la organización: acceso entre inquilinos, acceso condicional y opciones de reenvío. Esta configuración garantiza un acceso de red seguro y eficaz para dispositivos y usuarios dentro del inquilino.
Configuración del acceso entre inquilinos
La configuración de acceso entre inquilinos implica el etiquetado de paquetes de red y la aplicación de directivas de restricciones de inquilinos (TRv2) para ayudar a evitar la filtración de datos. Use el tipo de recurso crossTenantAccessSettings y sus API asociadas para administrar la configuración de acceso entre inquilinos.
Configuración de acceso condicional
La configuración de acceso condicional en los servicios de acceso seguro global implica habilitar o deshabilitar la señalización de acceso condicional para la restauración y conectividad de IP de origen. La configuración determina si el recurso de destino recibe la dirección IP de origen original del cliente o la dirección IP del servicio de acceso seguro global.
Use el tipo de recurso conditionalAccessSettings y sus API asociadas para administrar la configuración de acceso condicional.
Use el tipo de recurso compliantNetworkNamedLocation para asegurarse de que los usuarios se conectan desde un modelo de conectividad de red comprobado para su inquilino específico y que son compatibles con las directivas de seguridad aplicadas por los administradores.
Opciones de reenvío
Las opciones de reenvío permiten a los administradores habilitar o deshabilitar la capacidad de omitir la búsqueda DNS en el perímetro y reenviar el tráfico de Microsoft 365 directamente a Front Door mediante la dirección IP de destino resuelta por el cliente. Use el tipo de recurso forwardingOptions y sus API asociadas para administrar las opciones de reenvío.
Registros de auditoría
La supervisión y auditoría de eventos dentro de su entorno es fundamental para mantener la seguridad, el cumplimiento y la eficiencia operativa. Los eventos de acceso seguro global se registran en los registros de directorio y los registros de inicio de sesión se pueden recuperar mediante las API asociadas.
Registros e informes de tráfico
Puede examinar los registros de conexión de tráfico de red para ver un desglose de los tipos de tráfico de red a través de los servicios de acceso seguro global. Use el tipo de recurso networkAccessTraffic y sus API asociadas para ver registros de tráfico de red granulares.
También puede recuperar recuentos resumidos de tráfico relacionados con dispositivos, usuarios, transacciones y solicitudes de acceso entre inquilinos a través de los servicios de acceso seguro global. Use el tipo de recurso de informes y sus API asociadas para ver estadísticas de tráfico de red resumidas.
Registros de tráfico enriquecidos de Microsoft 365
Los servicios de acceso seguro global le permiten enriquecer los registros de auditoría de Microsoft 365 con información de tráfico de red. Con los registros de tráfico enriquecidos, puede revisar los datos de diagnóstico de red, los datos de rendimiento y los eventos de seguridad relevantes para las aplicaciones de Microsoft 365. El tráfico relacionado con las tres cargas de trabajo de Microsoft 365 siguientes se puede enriquecer con información de tráfico de red: SharePoint, Microsoft Teams y Exchange Online.
Confianza cero
Esta característica ayuda a las organizaciones a alinear sus inquilinos con los tres principios rectores de una arquitectura de Confianza cero:
- Comprobar de forma explícita.
- Uso de privilegios mínimos
- Asumir la vulneración.
Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de orientación de Confianza cero.