Universal Continuous Access Evaluation (preview)
Universal Continuous Access Evaluation (CAE) is een platformfunctie van GSA (Global Secure Access) die samen met Microsoft Entra ID werkt om ervoor te zorgen dat de toegang tot de GSA-rand wordt gevalideerd telkens wanneer een verbinding met een nieuwe toepassingsresource tot stand wordt gebracht. Universal CAE beschermt de GSA-toegangstokens tegen diefstal en herhaling. Universele CAE trekt de netwerktoegang in bijna realtime in en wordt opnieuw gevalideerd wanneer de Entra-id wijzigingen in de identiteit detecteert. Traditionele Entra ID CAE vereist dat elke workload speciale bibliotheken in gebruik neemt en alleen is beperkt tot toepassingen van derden. Universal CAE breidt de voordelen van CAE uit naar elke toepassing die wordt geopend met Global Secure Access, zonder dat de toepassing op de hoogte moet zijn van CAE.
Voordelen van Universal CAE
Hier volgen enkele voorbeelden van de voordelen van universal CAE voor uw organisatie wanneer Entra ID een identiteitswijziging detecteert en CAE in bijna realtime activeert:
- Privétoegang: de sessie van de gebruiker via Extern bureaublad, toegang tot bestandsservers en toegang tot alle privéresources die worden beveiligd door Privétoegang, wordt onderbroken, waardoor het risico op gegevensexfiltratie wordt verminderd door een vertrekkende werknemer of schadelijke insider-activiteit.
- Internettoegang: de toegang van de gebruiker tot alle internetbronnen, inclusief services die bedrijfsgegevens kunnen bevatten, zoals services voor het delen van bestanden van niet-Microsoft en hulpprogramma's voor samenwerking van bedrijven, wordt onderbroken, waardoor het risico op gegevensexfiltratie door een vertrekkende werknemer wordt verminderd.
- Microsoft-services: hoewel veel Microsoft-services CAE al systeemeigen gebruiken, zijn er enkele toepassingen die dat niet doen. Met Universal CAE wordt de toegang van gebruikers tot Microsoft-toepassingen onderbroken, ongeacht de kennis van de toepassing van CAE.
- U kunt vereisen dat uw gebruikers zich op specifieke netwerken bevinden voordat ze verbinding mogen maken met services met GSA, waardoor de verplaatsing naar een ander netwerk wordt voorkomen, zelfs na de eerste tunnelverificatie. Wanneer de gebruiker in dit scenario netwerken wijzigt, wordt netwerktoegang via GSA opnieuw geverifieerd en worden beleid voor voorwaardelijke toegang op basis van locatie opnieuw geëvalueerd.
- Optionele strikte afdwingingsmodus, geconfigureerd in voorwaardelijke toegang, beschermt tegen tokendiefstal/herhaling van GSA-toegangstokens. Als het opnieuw afspelen van het token wordt geprobeerd vanaf een ander IP-adres dan het oorspronkelijke IP-adres dat tijdens de verificatie wordt gebruikt, wordt netwerktoegang geblokkeerd.
Hoe het werkt
Global Secure Access is afhankelijk van Entra ID-toegangstokens voor verificatie bij de servicetunnels (Profielen voor het doorsturen van verkeer via Microsoft-verkeer, internettoegang en privétoegang). Toegangstokens zijn tussen 60 en 90 minuten geldig. Voordat het toegangstoken verloopt, gebruikt de GSA-client het vernieuwingstoken entra-id om een nieuw toegangstoken te verkrijgen.
Op basis van de OAuth2-specificatie zijn toegangstokens geldig totdat ze zijn verlopen. Wanneer u bijvoorbeeld een gebruikersaccount uitschakelt, worden vernieuwingstokens door Entra ID onmiddellijk ongeldig, maar het duurt maximaal 90 minuten voordat de GSA-toegangstokens verlopen.
Met Universal CAE worden wijzigingen in de gebruikersidentiteit in bijna realtime doorgegeven aan Global Secure Access. Hoewel het toegangstoken nog steeds geldig is, verzendt Global Secure Access een speciale claimuitdaging terug naar de eindgebruiker, waardoor de gebruiker opnieuw moet verifiëren. Als de gebruiker de verificatievraag entra-id niet kan voltooien, wordt netwerktoegang via GSA geblokkeerd. Universal CAE verkort het tijdvenster tussen de statuswijziging van het Entra ID-account en vereist dat de gebruiker zich opnieuw verifieert, waardoor het risico op gegevensexfiltratie door een vertrekkende werknemer wordt verminderd.
Microsoft Entra ID-signalen die herauthenticatie van Universal CAE activeren
Global Secure Access is ingeschakeld voor het ontvangen van signalen van entra-id in bijna realtime voor de volgende gebeurtenissen:
- Gebruikersaccount wordt verwijderd of uitgeschakeld
- Wachtwoord voor een gebruiker wordt gewijzigd of opnieuw ingesteld
- Meervoudige verificatie is ingeschakeld voor de gebruiker
- Beheerder trekt alle vernieuwingstokens voor een gebruiker expliciet in
- Hoog gebruikersrisico gedetecteerd door Microsoft Entra ID Protection
Wanneer de beveiligingsgebeurtenis wordt ontvangen, wordt de gebruiker door de Global Secure Access-client gevraagd om zich opnieuw te verifiëren. Als de herverificatie is geslaagd, wordt de netwerkverbinding van de gebruiker met resources die worden beveiligd door Global Secure Access hersteld.
Strikte afdwingingsmodus
Met de modus Strikte afdwinging stopt Universal CAE onmiddellijk de toegang als het IP-adres dat is gedetecteerd door de resourceprovider niet is toegestaan door beleid voor voorwaardelijke toegang. Deze optie is de hoogste beveiligingsmodaliteit van het afdwingen van CAE-locaties en vereist dat beheerders de routering van verificatie- en toegangsaanvragen in hun netwerkomgeving begrijpen. Wanneer strikte afdwinging is ingeschakeld, is toegang tot de Global Secure Access-services alleen mogelijk wanneer uw gebruikers verbinding maken met de GSA-service vanuit IP-adresbereiken die zijn geautoriseerd door uw organisatie.
Universele CAE uitschakelen
Voorwaardelijke toegang van Entra-id kan worden gebruikt om cae-gedrag in uw tenant te beheren. CAE is standaard ingeschakeld voor alle toepassingen die deze ondersteunen. U kunt CAE uitschakelen in uw Entra ID-tenant, waardoor CAE wordt uitgeschakeld voor alle services, waaronder Global Secure Access. Als u CAE in uw tenant wilt uitschakelen, volgt u de stappen in de documentatie voor voorwaardelijke toegang
Notitie
Universele CAE is opportunistisch, tenzij de optionele strikte afdwingingsmodus is ingeschakeld in voorwaardelijke toegang en wordt toegepast op de GSA-workloadidentiteiten. Standaard proberen ondersteunde Global Secure Access-clients een CAE-toegangstoken op te halen van entra-id. Als het CAE-token niet kan worden verkregen uit de Entra-id (bijvoorbeeld vanwege de niet-ondersteunde clientversie), wordt er een normaal toegangstoken uitgegeven. Met het terugvalgedrag hoeft u Universal CAE niet uit te schakelen.
Bekende beperkingen
Deze functie heeft een of meer bekende beperkingen. Zie Bekende beperkingen voor globale beveiligde toegangvoor meer gedetailleerde informatie over de bekende problemen en beperkingen van deze functie.