Domande frequenti su Accesso sicuro globale

Se sono state abilitate le restrizioni universali del tenant e si accede all'interfaccia di amministrazione di Microsoft Entra per uno dei tenant consentiti elencati, viene visualizzato un errore "Accesso negato". Aggiungere il flag di funzionalità all'interfaccia di amministrazione di Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true. Ad esempio, si lavora per Contoso e Fabrikam è stato consentito come tenant partner. Viene visualizzato il messaggio di errore per l'interfaccia di amministrazione di Microsoft Entra del tenant di Fabrikam. Se viene visualizzato il messaggio di errore "Accesso negato" per questo URL: https://entra.microsoft.com/ aggiungere il flag di funzionalità come indicato di seguito: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Gli account di accesso B2B sono supportati solo quando l'utente accede al servizio da un dispositivo aggiunto a Microsoft Entra. Il tenant di Microsoft Entra deve corrispondere alle credenziali di accesso degli utenti. Ad esempio, una persona lavora in Fabrikam e sta lavorando a un progetto per Contoso. Contoso ha fornito alla persona un dispositivo e un'identità Contoso, ad esempio v-Bob@contoso.com. Per accedere all'accesso sicuro globale di Contoso tramite il dispositivo Contoso, la persona può usare Bob@Fabrikam.com o v-Bob@Contoso.com. Tuttavia, la persona non può usare il dispositivo Fabrikam aggiunto al tenant di Fabrikam per accedere all'accesso sicuro globale di Contoso.

Funzionalità del gateway Web sicuro come parte di Microsoft Entra Internet Access e altre piattaforme SSE (Security Service Edge) offrono un valore avanzato per la sicurezza di rete dal cloud edge per tutti gli utenti che si connettono a qualsiasi applicazione. La soluzione SSE di Microsoft sfrutta in modo specifico l'integrazione approfondita con Microsoft Entra ID per portare identità e contesto a criteri di sicurezza di rete granulari. Inoltre, le piattaforme SSE offrono controlli più avanzati e visibilità più approfondita tramite l'ispezione TLS (Transport Layer Security), consentendo a queste piattaforme di controllare e applicare i criteri di sicurezza nel pacchetto. Piattaforme EDR (Endpoint Detection and Response) come Microsoft Defender per endpoint forniscono un valore di sicurezza compatibile con i dispositivi gestiti. Questi criteri consentono di specificare come destinazione i dispositivi o i gruppi di dispositivi, anziché i costrutti di identità basati sull'utente. Le piattaforme EDR offrono anche visibilità tramite funzionalità di ricerca avanzate. È consigliabile usare sia i controlli di rete che di endpoint protection insieme per ottenere un approccio di difesa approfondito. Se una piattaforma EDR viene usata insieme a Microsoft Entra Internet Access, i criteri on-device della piattaforma EDR verranno sempre applicati prima di raggiungere il cloud edge, in cui vengono applicati i criteri di Accesso Internet di Microsoft Entra.

Al momento, IPv4 è preferibile rispetto a IPv6. Se si verificano problemi, disabilitare IPv6. Per altre informazioni, vedere IPv4 preferito.

Sì, è disponibile un set di API Microsoft Graph per gestire gli aspetti di Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra. Per altre informazioni su queste API, vedere l'articolo Proteggere l'accesso alle app cloud, pubbliche e private usando le API di accesso alla rete Microsoft Graph.

Esistono attualmente due misure di sicurezza:

• Ogni flusso di rete che arriva al connettore deve essere fornito con un token valido per un'app Entra 3P. Inoltre, la destinazione può essere solo uno dei segmenti di app configurati in questa app 3P. Il tunnel di rete che connette il connettore al servizio nel cloud richiede questo token dell'app per ogni flusso di rete al connettore per ricevere il traffico. Pertanto, anche se alcuni tecnici Microsoft tentavano di inviare il traffico al connettore, senza questo token valido, questo traffico non verrà recapitato al connettore.
• A differenza del proxy dell'app, in cui la comunicazione tra il connettore e il servizio back-end era una transazione https, la comunicazione di rete con l'accesso sicuro globale tra il connettore e il servizio è un tunnel mTLS che usa un certificato aggiunto al servizio. Ciò significa che, a differenza del proxy dell'app, il traffico tra il servizio e il connettore non è aperto per B&I e impedisce attacchi MiTM (Man-in-the-Middle).

Assicurarsi di invertire gli indirizzi IP BGP tra CPE e Accesso sicuro globale. Ad esempio, se è stato specificato l'indirizzo IP BGP locale come 1.1.1.1 e l'indirizzo IP BGP peer come 0.0.0.0 per cpe, scambiare i valori in Accesso sicuro globale. L'indirizzo IP BGP locale in Accesso sicuro globale è quindi 0.0.0.0 e l'indirizzo IP peer GBP è 1.1.1.1.

Microsoft Entra Internet Access e Microsoft Defender per endpoint sfruttano entrambi motori di categorizzazione simili, con alcune differenze distinte. Il motore di Microsoft Entra Internet Access mira a fornire una categorizzazione valida di ogni endpoint su Internet, mentre Microsoft Defender per endpoint supporta un elenco più piccolo di categorie di siti, incentrato sulle categorie di siti che potrebbero introdurre responsabilità per l'organizzazione che gestisce l'endpoint. Ciò significa che molti siti non sono classificati e un'organizzazione che desidera consentire o negare l'accesso deve creare manualmente un indicatore di rete per il sito.