Guida alla distribuzione della soluzione Security Service Edge per il modello di verifica di Accesso a Internet Microsoft Entra per il traffico di Microsoft

Questa Guida alla distribuzione del modello di verifica consente di distribuire la soluzione Security Service Edge (SSE) di Microsoft che include l'Accesso a Internet Microsoft Entra per il traffico di Microsoft.

Panoramica

La soluzione Microsoft Security Service Edge incentrata sulle identità fa convergere i controlli di accesso alla rete, all'identità e agli endpoint in modo che sia possibile proteggere l'accesso a qualsiasi app o risorsa da qualsiasi posizione, dispositivo o identità. Consente e orchestra la gestione dei criteri di accesso per dipendenti, partner commerciali e carichi di lavoro digitali. È possibile monitorare e regolare l'accesso degli utenti in tempo reale se le autorizzazioni o il livello di rischio cambiano nelle app private, nelle app SaaS e negli endpoint di Microsoft. Questa sezione descrive come completare il modello di verifica di Accesso a Internet Microsoft Entra per il traffico di Microsoft nell'ambiente di test o produzione.

Distribuzione di Accesso a Internet Microsoft Entra per il traffico di Microsoft

Completare i passaggi per configurare il prodotto iniziale. Ciò include la configurazione di Accesso a Internet Microsoft Entra per il traffico di Microsoft, l'abilitazione del profilo di inoltro del traffico di Microsoft e l'installazione del client Accesso globale sicuro. È consigliabile definire l'ambito della configurazione per utenti e gruppi di test specifici.

Scenario di PoC di esempio: protezione dall'esfiltrazione di dati

L'esfiltrazione dei dati è una preoccupazione per tutte le aziende, in particolare quelle che operano in settori altamente regolamentati, come governo o finanza. Con i controlli in uscita nelle impostazioni di accesso tra tenant, è possibile impedire alle identità non autorizzate dai tenant esterni di accedere ai dati di Microsoft quando usano i dispositivi gestiti.

Accesso a Internet Microsoft Entra per il traffico di Microsoft può migliorare i controlli di prevenzione della perdita dei dati (DLP) consentendo di:

• proteggersi dal furto di token richiedendo agli utenti di accedere alle risorse di Microsoft solo se connessi a una rete conforme.
• applicare i criteri di accesso condizionale alle connessioni a Microsoft Security Service Edge.
• distribuire restrizioni del tenant universale v2, eliminando la necessità di instradare tutto il traffico utente attraverso proxy di rete gestiti dal cliente.
• configurare restrizioni del tenant che impediscono agli utenti di accedere a tenant esterni non autorizzati con un'identità di terze parti, ad esempio personale o rilasciata da un'organizzazione esterna.
• proteggere dall'infiltrazione o l'esfiltrazione dei token per garantire che gli utenti non possano ignorare le restrizioni del tenant spostando i token di accesso da e verso dispositivi non gestiti o percorsi di rete.

Questa sezione descrive come applicare l'accesso alla rete conforme al traffico di Microsoft, proteggere la connessione a Microsoft Security Service Edge con l'accesso condizionale e impedire alle identità esterne di accedere a tenant esterni nei dispositivi gestiti e/o nelle reti tramite restrizioni universali del tenant v2. Le restrizioni del tenant si applicano solo alle identità esterne; non si applicano alle identità all'interno del proprio tenant. Per controllare l'accesso in uscita per le identità degli utenti, usare le impostazioni di accesso tra tenant. La configurazione dei criteri di restrizioni del tenant in Microsoft Entra ID per bloccare l'accesso si applica agli utenti che ricevono l'inserimento di intestazioni delle restrizioni del tenant. Sono inclusi solo gli utenti che instradano tramite i proxy di rete dei clienti che inseriscono le intestazioni, gli utenti con client di Accesso globale sicuro distribuito o gli utenti nei dispositivi Windows con l'inserimento di intestazioni di restrizioni del tenant abilitate tramite l'impostazione del sistema operativo Windows. Quando si esegue il test, assicurarsi che le restrizioni del tenant vengano applicate dal servizio Accesso globale sicuro e non tramite i proxy di rete dei clienti o le impostazioni di Windows per evitare di influire involontariamente su altri utenti. Inoltre, è necessario abilitare la segnalazione dell'accesso condizionale per abilitare le opzioni di Accesso globale sicuro in Accesso condizionale.

1. Abilitare la segnalazione dell'Accesso globale sicuro per l'accesso condizionale.

2. Abilitare le restrizioni del tenant universale.

3. Configurare i criteri di restrizioni del tenant nell'Interfaccia di amministrazione di Microsoft Entra per bloccare l'accesso a tutte le identità esterne e a tutte le applicazioni.

4. Creare criteri di accesso condizionale che richiedono una rete conforme per l'accesso. La configurazione del requisito di rete conforme blocca l'accesso a Office 365 Exchange Online e Office 365 SharePoint Online per gli utenti di test, da qualsiasi posizione, a meno che non si connettano usando la soluzione Microsoft Security Service Edge. Configurare i criteri di accesso condizionale come descritto di seguito:

   1. Utenti: selezionare l'utente di test o un gruppo pilota.
   2. Risorse di destinazione: selezionare le applicazioni Office 365 Exchange Online e Office 365 SharePoint Online.
   3. Condizioni:
   4. In Percorsi selezionare Non configurato.
   5. Imposta Configura su Sì.
   6. Includere Tutte le località.
   7. Escludere Posizioni selezionate.
   8. Su Seleziona selezionare Nessuno.
   9. Selezionare Tutti i percorsi di rete conformi.

5. Controlli di accesso>Concedi> Selezionare Blocca accesso.

6. Creare un secondo criterio di accesso condizionale che richiede controlli per consentire al client di Accesso globale sicuro di connettersi alla soluzione SSE( ad esempio autenticazione a più fattori, dispositivo conforme, TOU). Configurare i criteri di accesso condizionale come descritto di seguito:

   1. Utenti: selezionare l'utente di test o un gruppo pilota.

   2. Risorse di destinazione:

   3. In Seleziona ciò cui si applica questo criterio, selezionare Accesso globale sicuro.

   4. In Selezionare i profili di traffico a cui si applica questo criterio, selezionare Traffico di Microsoft.

      

7. Controlli di accesso>Concedi> Selezionare i controlli da applicare, ad esempio richiedere l'autenticazione a più fattori.

8. Tentare di accedere a SharePoint Online o Exchange Online e verificare che venga richiesto di eseguire l'autenticazione all'Accesso globale sicuro. Il client di Accesso globale sicuro usa token di accesso e token di aggiornamento per connettersi alla soluzione Microsoft Security Service Edge. Se il client di Accesso globale sicuro è stato connesso in precedenza, potrebbe essere necessario attendere la scadenza del token di accesso (fino a un'ora) prima che siano applicati i criteri di accesso condizionale creati.

   

9. Per verificare che i criteri di accesso condizionale siano stati applicati correttamente, visualizzare i log di accesso dell'utente di test per l'applicazione Client di accesso alla rete ZTNA - M365.

   

   

10. Verificare che il client di Accesso globale sicuro sia connesso aprendo la barra nell'angolo in basso a destra e verificando che sia presente un segno di spunta verde sull'icona.

    

11. Usare l'utente di test per accedere a SharePoint Online o Exchange Online usando il dispositivo di test.

    1. Verificare che l'utente possa accedere correttamente alla risorsa.

    2. Nei log di accesso verificare che i criteri di accesso condizionale che bloccano l'accesso al di fuori delle reti conformi mostrino Non applicato.

       

       

12. Da un dispositivo diverso senza il client di Accesso globale sicuro, usare l'identità utente di test per tentare di accedere a SharePoint Online o Exchange Online. In alternativa, è possibile fare clic con il pulsante destro del mouse su Client Accesso globale sicuro nella barra delle applicazioni e scegliere Sospendi, quindi usare l'identità utente di test per tentare di accedere a SharePoint Online o Exchange Online nello stesso dispositivo.

    1. Verificare che l'accesso sia bloccato.

    2. Nei log di accesso verificare che siano stati applicati i criteri di accesso condizionale che bloccano l'accesso all'esterno delle reti conformi.

       

       

13. Dal dispositivo di test con il client di Accesso globale sicuro abilitato, tentare di accedere a un tenant Microsoft Entra diverso con un'identità esterna. Verificare che le restrizioni del tenant blocchino l'accesso.

    

14. Passare al tenant esterno e passare ai log di accesso. Nei log di accesso del tenant esterno verificare che l'accesso al tenant esterno venga visualizzato come bloccato e registrato.

    

    

Scenario PoC di esempio: ripristino dell'indirizzo IP di origine

I proxy di rete e le soluzioni SSE di terze parti sovrascrivono l'indirizzo IP pubblico del dispositivo di invio, che impedisce a Microsoft Entra ID di usare tale indirizzo IP per criteri o report. Questa restrizione causa i problemi seguenti:

• Microsoft Entra ID non può applicare determinati criteri di accesso condizionale basati sulla posizione, ad esempio bloccando i paesi non attendibili.
• I rilevamenti basati sui rischi che sfruttano le posizioni familiari di base di un utente diminuiscono perché il sistema limita gli algoritmi di Machine Learning di Microsoft Entra ID Protection all'indirizzo IP del proxy. Non è possibile rilevare o eseguire il training sull'indirizzo IP di origine reale dell'utente.
• Le operazioni/indagini SOC devono sfruttare i log di terze parti/proxy per determinare l'indirizzo IP di origine e quindi correlarlo con i log attività successivi, con conseguenti inefficienze.

In questa sezione viene illustrato come Accesso a Internet Microsoft Entra per il traffico di Microsoft superi questi problemi mantenendo l'indirizzo IP di origine dell'utente, semplificando le indagini sulla sicurezza e la risoluzione dei problemi.

Per testare il ripristino dell'indirizzo IP di origine, è necessario abilitare la segnalazione dell'Accesso globale sicuro per l'accesso condizionale. Sono necessari criteri di accesso condizionale che richiedono una rete conforme, come descritto in precedenza in questo articolo.

1. Verificare che il client di Accesso globale sicuro sia connesso aprendo la barra nell'angolo in basso a destra e verificando che sia presente un segno di spunta verde sull'icona. Usando l'identità di test, accedere a SharePoint Online o Exchange Online.

   

2. Visualizzare il log di accesso per questo accesso e prendere nota dell'indirizzo IP e della posizione. Verificare che i criteri di accesso condizionale di rete conformi non siano stati applicati.

   

   

3. Impostare i criteri di accesso condizionale di rete conformi sulla modalità solo report e selezionare Salva.

4. Nel dispositivo client di test aprire la barra delle applicazioni, fare clic con il pulsante destro del mouse sull'icona Client Accesso globale sicuro e selezionare Sospendi. Passare il puntatore del mouse sull'icona e verificare che il client di Accesso globale sicuro non si connetta più confermando Client di Accesso globale sicuro - Disabilitato.

   

   

5. Usando l'utente di test, accedere a SharePoint Online o Exchange Online. Verificare di essere in grado di accedere correttamente e accedere alla risorsa.

6. Visualizzare il log di accesso per l'ultimo tentativo di accesso.

   1. Verificare che l'indirizzo IP e la posizione corrispondano a quelli annotati in precedenza.

   2. Verificare che il criterio di accesso condizionale di solo report abbia avuto esito negativo perché il traffico non è stato instradato attraverso Accesso a Internet Microsoft Entra per il traffico di Microsoft.

      

      

Passaggi successivi

Distribuire e verificare la distribuzione di Accesso privato Microsoft EntraDistribuire e verificare Accesso a Internet Microsoft Entra