Veelgestelde vragen over globale beveiligde toegang

Als u universele tenantbeperkingen hebt ingeschakeld en toegang hebt tot het Microsoft Entra-beheercentrum voor een van de toegestane tenants, ziet u de foutmelding 'Toegang geweigerd'. Voeg de functievlag toe aan het Microsoft Entra-beheercentrum: ?feature.msaljs=true&exp.msaljsexp=true. U werkt bijvoorbeeld voor Contoso en u hebt Fabrikam als partnertenant toegestaan. U ziet het foutbericht voor het Microsoft Entra-beheercentrum van de Fabrikam-tenant. Als u het foutbericht 'Toegang geweigerd' voor deze URL hebt ontvangen, https://entra.microsoft.com/ voegt u de functievlag als volgt toe: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

B2B-aanmeldingen worden alleen ondersteund wanneer de gebruiker toegang heeft tot de service vanaf een apparaat dat lid is van Microsoft Entra. De Microsoft Entra-tenant moet overeenkomen met de aanmeldingsreferenties van gebruikers. Een persoon werkt bijvoorbeeld bij Fabrikam en werkt aan een project voor Contoso. Contoso heeft de persoon een apparaat en een Contoso-identiteit opgegeven, zoals v-Bob@contoso.com. Als u toegang wilt krijgen tot de globale beveiligde toegang van Contoso met behulp van het Contoso-apparaat, kan de persoon deze gebruiken Bob@Fabrikam.com of v-Bob@Contoso.com. De persoon kan echter niet het Fabrikam-apparaat gebruiken dat is gekoppeld aan de Fabrikam-tenant om toegang te krijgen tot de globale beveiligde toegang van Contoso.

Beveiligde webgatewaymogelijkheden als onderdeel van Microsoft Entra Internet Access en andere SSE-platformen (Security Service Edge) bieden geavanceerde netwerkbeveiligingswaarde vanaf de cloudrand voor alle gebruikers die verbinding maken met elke toepassing. De SSE-oplossing van Microsoft maakt specifiek gebruik van diepgaande integratie met Microsoft Entra ID om identiteits- en contextbewustheid te bieden aan gedetailleerd netwerkbeveiligingsbeleid. Daarnaast bieden SSE-platformen uitgebreidere besturingselementen en diepere zichtbaarheid via TLS-inspectie (Transport Layer Security), zodat deze platforms beveiligingsbeleid op het pakket kunnen inspecteren en afdwingen. EDR-platformen (Endpoint Detection and Response), zoals Microsoft Defender voor Eindpunt apparaatbewuste beveiligingswaarde bieden voor beheerde apparaten. Met deze beleidsregels kunt u zich richten op apparaten of apparaatgroepen, in plaats van op gebruikers gebaseerde identiteitsconstructies. EDR-platformen bieden ook zichtbaarheid via geavanceerde opsporingsmogelijkheden. Het is het beste om zowel besturingselementen voor netwerk- als eindpuntbeveiliging te gebruiken om een diepgaande verdediging te bereiken. Als een EDR-platform samen met Microsoft Entra Internet Access wordt gebruikt, wordt het beleid op het EDR-platform op het apparaat altijd afgedwongen voordat het cloudrandpunt wordt bereikt, waarbij microsoft Entra Internet Access-beleid wordt afgedwongen.

Op dit moment heeft IPv4 de voorkeur boven IPv6. Als u problemen ondervindt, schakelt u IPv6 uit. Zie IPv4 preferred voor meer informatie.

Ja, er is een set Microsoft Graph-API's beschikbaar voor het beheren van aspecten van Microsoft Entra-internettoegang en Microsoft Entra-privétoegang. Zie het artikel Beveiligde toegang tot cloud-, openbare en privé-apps met behulp van Microsoft Graph-netwerktoegang-API's voor meer informatie over deze API's.

Er zijn twee waarborgen voor dit bestaan:

• Elke netwerkstroom die bij de connector hoort, moet worden geleverd met een geldig token voor een Entra 3P-app. Bovendien kan de bestemming slechts één van de app-segmenten zijn die in deze 3P-app zijn geconfigureerd. De netwerktunnel die de connector verbindt met onze service in de cloud heeft dit app-token nodig voor elke netwerkstroom naar de connector voor de connector om het verkeer te ontvangen. Dus zelfs als sommige Microsoft-technicus het verkeer naar de connector wilde verzenden, zonder dit geldige token, wordt dit verkeer niet bezorgd bij de connector.
• In tegenstelling tot app-proxy, waarbij de communicatie tussen connector en back-endservice een https-transactie was, is de netwerkcommunicatie met Global Secure Access tussen Connector en Service een mTLS-tunnel die gebruikmaakt van een door de service vastgemaakt certificaat. Dit betekent dat, in tegenstelling tot app-proxy, het verkeer tussen onze service en connector niet open is voor B&I en miTM-aanvallen (Man-in-the-Middle) voorkomt.

Zorg ervoor dat u de BGP-IP-adressen tussen cpe en globale beveiligde toegang omkert. Als u bijvoorbeeld het lokale BGP-IP-adres hebt opgegeven als 1.1.1.1 en het IP-adres van de peer-BGP als 0.0.0.0 voor de CPE, wisselt u de waarden in Global Secure Access. Het lokale BGP-IP-adres in Global Secure Access is dus 0.0.0.0 en het IP-adres van peer-GBP is 1.1.1.1.

Microsoft Entra Internet Access en Microsoft Defender voor Eindpunt maken beide gebruik van vergelijkbare categorisatie-engines, met enkele verschillende verschillen. De Microsoft Entra Internet Access-engine is erop gericht om een geldige categorisatie van elk eindpunt op internet te bieden, terwijl Microsoft Defender voor Eindpunt ondersteuning biedt voor een kleinere lijst met sitecategorieën, gericht op categorieën sites die aansprakelijkheid kunnen veroorzaken voor de organisatie die het eindpunt beheert. Dit betekent dat veel sites niet zijn gecategoriseerd en dat een organisatie die toegang wil toestaan of weigeren, handmatig een netwerkindicator voor de site moet maken.