Universele voorwaardelijke toegang via globale beveiligde toegang
Naast het verzenden van verkeer naar Global Secure Access, kunnen beheerders beleid voor voorwaardelijke toegang gebruiken om verkeersprofielen te beveiligen. Ze kunnen indien nodig besturingselementen naar behoefte aanpassen en combineren, zoals meervoudige verificatie vereisen, een compliant apparaat vereisen of een acceptabel aanmeldingsrisico definiëren. Het toepassen van deze besturingselementen op netwerkverkeer maakt niet alleen cloudtoepassingen mogelijk wat we universele voorwaardelijke toegang noemen.
Voorwaardelijke toegang voor verkeersprofielen biedt beheerders enorme controle over hun beveiligingspostuur. Beheerders kunnen Zero Trust-principes afdwingen met behulp van beleid om de toegang tot het netwerk te beheren. Het gebruik van verkeersprofielen maakt een consistente toepassing van beleid mogelijk. Toepassingen die moderne verificatie niet ondersteunen, kunnen bijvoorbeeld nu worden beveiligd achter een verkeersprofiel.
Met deze functionaliteit kunnen beheerders consistent beleid voor voorwaardelijke toegang afdwingen op basis van verkeersprofielen, niet alleen toepassingen of acties. Beheerders kunnen zich richten op specifieke verkeersprofielen: het Microsoft-verkeersprofiel, privébronnen en internettoegang met dit beleid. Gebruikers hebben alleen toegang tot deze geconfigureerde eindpunten of verkeersprofielen wanneer ze voldoen aan het geconfigureerde beleid voor voorwaardelijke toegang.
Vereisten
- Beheerders die werken met globale beveiligde toegangsfuncties , moeten een of meer van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren.
- De Globale Beveiligde Toegang-administratorrol om de functies voor globale veilige toegang te beheren.
- De beheerder voor voorwaardelijke toegang die beleidsregels voor voorwaardelijke toegang opstelt en ermee werkt.
- Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.
Bekende beperkingen voor tunnelautorisatie
Zowel de profielen voor doorsturen van Microsoft- en internettoegang maken gebruik van de voorwaardelijke toegangsbeleidsregels van Microsoft Entra ID om toegang te verlenen tot hun tunnels in de Global Secure Access-client. Dit betekent dat u toegang kunt verlenen of blokkeren tot de profielen voor het doorsturen van Microsoft-verkeer en internettoegang in voorwaardelijke toegang. In sommige gevallen wanneer autorisatie voor een tunnel niet wordt verleend, vereist het herstelpad om weer toegang te krijgen tot bronnen, dat er toegang wordt verkregen tot bestemmingen op zowel het Microsoft-verkeer als het doorsturen van het internettoegangsprofiel, waardoor een gebruiker wordt buitengesloten van toegang tot alles op zijn computer.
Een voorbeeld is als u de toegang tot de doelresource voor internettoegang op niet-compatibele apparaten blokkeert, laat u Microsoft Entra-internettoegang gebruikers hun apparaten niet kunnen terugbrengen naar naleving. De manier om dit probleem te verhelpen, is het omzeilen van netwerkeindpunten voor Microsoft Intune en andere bestemmingen die worden geopend in aangepaste nalevingsdetectiescripts voor Microsoft Intune. U kunt deze bewerking uitvoeren als onderdeel van een aangepaste bypass in het doorstuurprofiel voor internettoegang.
Andere bekende beperkingen
Deze functie heeft een of meer bekende beperkingen. Zie Bekende beperkingen voor globale beveiligde toegangvoor meer gedetailleerde informatie over de bekende problemen en beperkingen van deze functie.
Beleid voor voorwaardelijke toegang
Met voorwaardelijke toegang kunt u toegangsbeheer en beveiligingsbeleid inschakelen voor het netwerkverkeer dat is verkregen door Microsoft Entra-internettoegang en Microsoft Entra-privétoegang.
- Maak een beleid dat gericht is op al het Microsoft-verkeer.
- Pas beleid voor voorwaardelijke toegang toe op uw persoonlijke toegangs-apps, zoals Snelle toegang.
- Schakel global Secure Access-signalering in in voorwaardelijke toegang , zodat het bron-IP-adres zichtbaar is in de juiste logboeken en rapporten.
Stroomdiagram voor internettoegang
In het volgende voorbeeld ziet u hoe Microsoft Entra-internettoegang werkt wanneer u beleid voor universele voorwaardelijke toegang toepast op netwerkverkeer.
Notitie
De Security Service Edge-oplossing van Microsoft bestaat uit drie tunnels: Microsoft-verkeer, internettoegang en privétoegang. Universele voorwaardelijke toegang is van toepassing op de tunnels voor internettoegang en Microsoft-verkeer. Er is geen ondersteuning voor het richten op de Private Access Tunnel. U moet zich afzonderlijk richten op Private Access Enterprise-toepassingen.
Het volgende stroomdiagram illustreert universele voorwaardelijke toegang die is gericht op internetbronnen en Microsoft-apps met Global Secure Access.
| Stap | Omschrijving |
|---|---|
| 1 | De Global Secure Access-client probeert verbinding te maken met de Security Service Edge-oplossing van Microsoft. |
| 2 | De client wordt omgeleid naar de Microsoft Entra-id voor verificatie en autorisatie. |
| 3 | De gebruiker en het apparaat verifiëren. Verificatie vindt naadloos plaats wanneer de gebruiker een geldig primair vernieuwingstoken heeft. |
| 4 | Nadat de gebruiker en het apparaat zijn geverifieerd, wordt het afdwingen van het universele beleid voor voorwaardelijke toegang uitgevoerd. Het universele beleid voor voorwaardelijke toegang is gericht op de gevestigde Microsoft- en internettunnels tussen de global Secure Access-client en Microsoft Security Service Edge. |
| 5 | Microsoft Entra ID geeft het toegangstoken voor de Global Secure Access-client uit. |
| 6 | De Global Secure Access-client geeft het toegangstoken weer voor Microsoft Security Service Edge. Het token valideert. |
| 7 | Er worden tunnels tot stand gebracht tussen de Global Secure Access-client en Microsoft Security Service Edge. |
| 8 | Verkeer wordt verkregen en getunneld naar de bestemming via de Microsoft- en Internet Access-tunnels. |
Notitie
Richt u op Microsoft-apps met Global Secure Access om de verbinding tussen microsoft Security Service Edge en de Global Secure Access-client te beveiligen. Als u ervoor wilt zorgen dat gebruikers de Microsoft Security Service Edge-service niet kunnen omzeilen, maakt u een beleid voor voorwaardelijke toegang waarvoor een compatibel netwerk is vereist voor uw Microsoft 365 Enterprise-toepassingen.
Gebruikerservaring
Wanneer gebruikers zich voor de eerste keer aanmelden bij een computer met de geïnstalleerde, geconfigureerde en draaiende Global Secure Access-client, worden ze gevraagd om in te loggen. Wanneer gebruikers toegang proberen te krijgen tot een resource die wordt beveiligd door een beleid. Net als in het vorige voorbeeld wordt het beleid afgedwongen en wordt ze gevraagd zich aan te melden als ze dat nog niet hebben gedaan. Kijkend naar het systeemvakpictogram voor de Global Secure Access Client, ziet u een rode cirkel die aangeeft dat deze is afgemeld of niet wordt uitgevoerd.
Wanneer een gebruiker zich aanmeldt bij de Global Secure Access-client, verschijnt er een groene cirkel die aangeeft dat u bent aangemeld, en de client actief is.
