Udostępnij za pośrednictwem

Przewodnik wdrażania rozwiązania Security Service Edge firmy Microsoft dla Dostęp do Internetu Microsoft Entra weryfikacji ruchu firmy Microsoft

  • Artykuł

Ten przewodnik wdrażania weryfikacji koncepcji (PoC) pomaga wdrożyć rozwiązanie Microsoft Security Service Edge (SSE), które zawiera Dostęp do Internetu Microsoft Entra dla ruchu firmy Microsoft.

Omówienie

Oparte na tożsamościach rozwiązanie Security Service Edge firmy Microsoft konweruje kontrolę dostępu do sieci, tożsamości i punktu końcowego, dzięki czemu można zabezpieczyć dostęp do dowolnej aplikacji lub zasobu z dowolnej lokalizacji, urządzenia lub tożsamości. Umożliwia ona i organizuje zarządzanie zasadami dostępu dla pracowników, partnerów biznesowych i obciążeń cyfrowych. Możesz stale monitorować i dostosowywać dostęp użytkowników w czasie rzeczywistym, jeśli uprawnienia lub poziom ryzyka zmieniają się w prywatnych aplikacjach, aplikacjach SaaS i punktach końcowych firmy Microsoft. W tej sekcji opisano sposób ukończenia Dostęp do Internetu Microsoft Entra weryfikacji ruchu firmy Microsoft w środowisku produkcyjnym lub testowym.

Dostęp do Internetu Microsoft Entra dla wdrożenia ruchu firmy Microsoft

Wykonaj kroki konfigurowania początkowego produktu . Obejmuje to konfigurację Dostęp do Internetu Microsoft Entra dla ruchu firmy Microsoft, włączenie profilu przekazywania ruchu firmy Microsoft i zainstalowanie klienta globalnego bezpiecznego dostępu. Należy określić zakres konfiguracji dla określonych użytkowników testowych i grup.

Przykładowy scenariusz weryfikacji koncepcji: ochrona przed eksfiltracją danych

Eksfiltracja danych jest problemem dla wszystkich firm, zwłaszcza tych, które działają w wysoce regulowanych branżach, takich jak instytucje rządowe lub finansowe. Za pomocą kontrolek ruchu wychodzącego w ustawieniach dostępu między dzierżawami można zablokować nieautoryzowane tożsamości z obcych dzierżaw dostępu do danych firmy Microsoft podczas korzystania z urządzeń zarządzanych.

Dostęp do Internetu Microsoft Entra dla ruchu firmy Microsoft można ulepszyć mechanizmy kontroli ochrony przed utratą danych (DLP), umożliwiając:

  • ochrona przed kradzieżą tokenów przez wymaganie od użytkowników dostępu do zasobów firmy Microsoft tylko w przypadku przejścia przez zgodną sieć.
  • wymuszanie zasad dostępu warunkowego na połączeniach z przeglądarką Microsoft Security Service Edge.
  • wdrażanie uniwersalnych ograniczeń dzierżawy w wersji 2, eliminując konieczność kierowania całego ruchu użytkowników przez serwery proxy sieci zarządzanej przez klienta.
  • Skonfiguruj ograniczenia dzierżawy, które uniemożliwiają użytkownikom uzyskiwanie dostępu do nieautoryzowanych dzierżaw zewnętrznych przy użyciu dowolnej tożsamości innej firmy (na przykład osobistej lub wystawionej przez organizację zewnętrzną).
  • ochrona przed infiltracją/eksfiltracją tokenu w celu zapewnienia, że użytkownicy nie mogą pominąć ograniczeń dzierżawy, przenosząc tokeny dostępu do i z niezarządzanych urządzeń lub lokalizacji sieciowych.

W tej sekcji opisano sposób wymuszania zgodnego dostępu sieciowego do ruchu firmy Microsoft, ochrony połączenia z przeglądarką Microsoft Security Service Edge przy użyciu dostępu warunkowego oraz zapobiegania uzyskiwaniu dostępu do dzierżaw zewnętrznych na urządzeniach zarządzanych i/lub sieciach przy użyciu ograniczeń dzierżawy uniwersalnej w wersji 2. Ograniczenia dzierżawy dotyczą tylko tożsamości zewnętrznych; nie mają zastosowania do tożsamości w ramach własnej dzierżawy. Aby kontrolować dostęp wychodzący dla tożsamości własnych użytkowników, użyj ustawień dostępu między dzierżawami. Konfigurowanie zasad ograniczeń dzierżawy w identyfikatorze Entra firmy Microsoft w celu blokowania dostępu dotyczy użytkowników, którzy otrzymują wstrzyknięcie nagłówka ograniczeń dzierżawy. Dotyczy to tylko użytkowników, którzy kierują się przez serwery proxy sieci klienta, które wstrzykiwają nagłówki, użytkowników z wdrożonym globalnym klientem bezpiecznego dostępu lub użytkowników na urządzeniach z systemem Windows z włączonymi ograniczeniami dzierżawy za pośrednictwem ustawienia systemu operacyjnego Windows. Podczas testowania upewnij się, że ograniczenia dzierżawy są wymuszane przez globalną usługę bezpiecznego dostępu, a nie za pośrednictwem serwerów proxy sieci klienta lub ustawień systemu Windows, aby uniknąć przypadkowego wpływu na innych użytkowników. Ponadto należy włączyć sygnalizowanie dostępu warunkowego, aby włączyć globalne opcje bezpiecznego dostępu w dostępie warunkowym.

  1. Włącz globalne sygnalizowanie bezpiecznego dostępu dla dostępu warunkowego.

  2. Włącz ograniczenia dzierżawy uniwersalnej.

  3. Skonfiguruj zasady ograniczeń dzierżawy w centrum administracyjnym firmy Microsoft Entra, aby zablokować dostęp dla wszystkich tożsamości zewnętrznych i wszystkich aplikacji.

  4. Utwórz zasady dostępu warunkowego, które wymagają zgodnej sieci w celu uzyskania dostępu. Skonfigurowanie zgodnego wymagania sieciowego blokuje cały dostęp do usług Office 365 Exchange Online i Office 365 SharePoint Online dla użytkowników testowych z dowolnej lokalizacji, chyba że łączą się przy użyciu rozwiązania Microsoft Security Service Edge. Skonfiguruj zasady dostępu warunkowego w następujący sposób:

    1. Użytkownicy: wybierz użytkownika testowego lub grupę pilotażową.
    2. Zasoby docelowe: wybierz aplikacje usługi Office 365 Exchange Online i Office 365 SharePoint Online.
    3. Warunki:
    4. W obszarze Lokalizacje wybierz pozycję Nieskonfigurowane.
    5. Przełącz pozycję Konfiguruj na tak.
    6. Uwzględnij dowolną lokalizację.
    7. Wyklucz wybrane lokalizacje.
    8. W obszarze Wybierz wybierz pozycję Brak.
    9. Wybierz pozycję Wszystkie zgodne lokalizacje sieciowe.

  5. Kontrolki>dostępu Udziel wybierz> pozycję Blokuj dostęp.

  6. Utwórz drugie zasady dostępu warunkowego, które wymagają kontroli, aby umożliwić globalnemu klientowi bezpiecznego dostępu łączenie się z rozwiązaniem SSE (np. uwierzytelnianie wieloskładnikowe, zgodne urządzenie, toU). Skonfiguruj zasady dostępu warunkowego w następujący sposób:

    1. Użytkownicy: wybierz użytkownika testowego lub grupę pilotażową.

    2. Zasoby docelowe:

    3. W obszarze Wybierz, do czego mają zastosowanie te zasady, wybierz pozycję Globalny bezpieczny dostęp.

    4. W obszarze Wybierz profile ruchu, do których mają zastosowanie te zasady, wybierz pozycję Ruch firmy Microsoft.

      Zrzut ekranu przedstawiający opcje zasad dostępu warunkowego.

  7. Kontrolki>dostępu Udziel wybierz> kontrolki, które mają być wymuszane, takie jak wymaganie uwierzytelniania wieloskładnikowego.

  8. Spróbuj zalogować się do usługi SharePoint Online lub Exchange Online i sprawdzić, czy zostanie wyświetlony monit o uwierzytelnienie w globalnym bezpiecznym dostępie. Globalny klient bezpiecznego dostępu używa tokenów dostępu i tokenów odświeżania w celu nawiązania połączenia z rozwiązaniem microsoft Security Service Edge. Jeśli wcześniej połączono klienta globalnego bezpiecznego dostępu, może być konieczne poczekanie na wygaśnięcie tokenu dostępu (do jednej godziny) przed zastosowaniem utworzonych zasad dostępu warunkowego.

    Zrzut ekranu przedstawiający okno monitu o poświadczenia bezpiecznego dostępu globalnego.

  9. Aby sprawdzić, czy zasady dostępu warunkowego zostały pomyślnie zastosowane, wyświetl dzienniki logowania użytkownika testowego dla aplikacji ZTNA Network Access Client — M365 .

    Zrzut ekranu przedstawiający listę okna dzienników logowania z wyświetloną kartą interaktywną logowania użytkownika.

    Zrzut ekranu przedstawiający okno dzienników logowania z kartą Dostęp warunkowy.

  10. Sprawdź, czy klient globalnego bezpiecznego dostępu jest połączony, otwierając zasobnik w prawym dolnym rogu i sprawdzając, czy na ikonie znajduje się zielony znacznik wyboru.

    Zrzut ekranu przedstawiający ikonę Globalnego klienta bezpiecznego dostępu z wyświetlonym pomyślnym stanem Połączono.

  11. Użyj użytkownika testowego, aby zalogować się do usługi SharePoint Online lub Exchange Online przy użyciu urządzenia testowego.

    1. Upewnij się, że użytkownik może pomyślnie uzyskać dostęp do zasobu.

    2. W dziennikach logowania upewnij się, że zasady dostępu warunkowego blokujące dostęp poza zgodnymi sieciami wskazują, że nie zastosowano.

      Zrzut ekranu przedstawiający wiersz w oknie dzienników logowania przedstawiający wskaźnik powodzenia.

      Zrzut ekranu przedstawiający okno dzienników logowania pokazujące, że zasady dostępu warunkowego nie są stosowane.

  12. Z innego urządzenia bez globalnego klienta bezpiecznego dostępu użyj tożsamości użytkownika testowego, aby spróbować zalogować się do usługi SharePoint Online lub Exchange Online. Alternatywnie możesz kliknąć prawym przyciskiem myszy klienta globalnego bezpiecznego dostępu w pasku zadań systemu i kliknąć przycisk Wstrzymaj, a następnie użyć tożsamości użytkownika testowego, aby spróbować zalogować się do usługi SharePoint Online lub Exchange Online na tym samym urządzeniu.

    1. Upewnij się, że dostęp jest zablokowany.

    2. W dziennikach logowania upewnij się, że zastosowano zasady dostępu warunkowego blokujące dostęp poza zgodnymi sieciami.

      Zrzut ekranu przedstawiający wiersz w oknie dzienników logowania przedstawiający wskaźnik niepowodzenia.

      Zrzut ekranu przedstawiający okno dzienników logowania z kartą Dostęp warunkowy z wyróżnioną linią, w której kolumna Wynik to Niepowodzenie.

  13. Na urządzeniu testowym z włączonym klientem globalnego bezpiecznego dostępu spróbuj zalogować się do innej dzierżawy firmy Microsoft Entra przy użyciu tożsamości zewnętrznej. Upewnij się, że ograniczenia dzierżawy blokują dostęp.

    Zrzut ekranu przedstawiający okno logowania po przesłaniu poświadczeń z komunikatem Access jest zablokowany.

  14. Przejdź do dzierżawy zewnętrznej i przejdź do dzienników logowania. W dziennikach logowania dzierżawy zewnętrznej upewnij się, że dostęp do dzierżawy zagranicznej jest wyświetlany jako zablokowany i zarejestrowany.

    Zrzut ekranu przedstawiający wiersz okna dzienników logowania, w którym kolumna Wynik to Niepowodzenie.

    Zrzut ekranu przedstawiający dzienniki logowania z kartą Informacje podstawowe dla elementu wskazującego przyczynę niepowodzenia zasad ograniczeń dzierżawy, które nie zezwalają na dostęp.

Przykładowy scenariusz weryfikacji koncepcji: przywracanie źródłowego adresu IP

Serwery proxy sieci i rozwiązania SSE innych firm zastępują publiczny adres IP urządzenia wysyłającego, co uniemożliwia usłudze Microsoft Entra ID korzystanie z tego adresu IP dla zasad lub raportów. To ograniczenie powoduje następujące problemy:

  • Identyfikator Entra firmy Microsoft nie może wymuszać niektórych zasad dostępu warunkowego opartego na lokalizacji (takich jak blokowanie niezaufanych krajów).
  • Wykrycia oparte na ryzyku, które wykorzystują znane lokalizacje punktu odniesienia użytkownika, mają obniżoną wydajność, ponieważ limity systemu Ochrona tożsamości Microsoft Entra algorytmy uczenia maszynowego do adresu IP serwera proxy. Nie mogą wykrywać ani trenować na rzeczywistym źródłowym adresie IP użytkownika.
  • Operacje SOC/badania muszą korzystać z dzienników innych firm/serwerów proxy w celu określenia oryginalnego źródłowego adresu IP, a następnie skorelować je z kolejnymi dziennikami aktywności, co powoduje nieefektywność.

W tej sekcji pokazano, jak Dostęp do Internetu Microsoft Entra dla ruchu firmy Microsoft rozwiązuje te problemy, zachowując oryginalny źródłowy adres IP użytkownika, upraszczając badanie zabezpieczeń i rozwiązywanie problemów.

Aby przetestować przywracanie źródłowego adresu IP, należy włączyć globalne sygnalizowanie bezpiecznego dostępu dla dostępu warunkowego. Potrzebujesz zasad dostępu warunkowego, które wymagają zgodnej sieci zgodnie z opisem we wcześniejszej sekcji tego artykułu.

  1. Sprawdź, czy klient globalnego bezpiecznego dostępu jest połączony, otwierając zasobnik w prawym dolnym rogu i sprawdzając, czy na ikonie znajduje się zielony znacznik wyboru. Korzystając z tożsamości testowej, zaloguj się do usługi SharePoint Online lub Exchange Online.

    Zrzut ekranu przedstawiający ikonę Globalnego klienta bezpiecznego dostępu z wyświetlonym wskaźnikiem Stanu połączenia.

  2. Wyświetl dziennik logowania dla tego logowania i zanotuj adres IP i lokalizację. Upewnij się, że nie zastosowano zgodnych zasad dostępu warunkowego sieci.

    Zrzut ekranu przedstawiający dzienniki logowania z kartą Lokalizacja dla elementu.

    Zrzut ekranu przedstawiający okno dzienników logowania z kartą Dostęp warunkowy z wyróżnioną linią, w której kolumna Wynik nie jest stosowana.

  3. Ustaw zgodne zasady dostępu warunkowego sieci na tryb tylko do raportu i wybierz pozycję Zapisz.

  4. Na urządzeniu klienckim testowym otwórz zasobnik systemu, kliknij prawym przyciskiem myszy ikonę Globalnego klienta bezpiecznego dostępu i wybierz pozycję Wstrzymaj. Umieść kursor na ikonie i sprawdź, czy globalny klient bezpiecznego dostępu nie łączy się już, potwierdzając , że globalny klient bezpiecznego dostępu — wyłączony.

    Zrzut ekranu przedstawiający menu Opcji globalnego klienta bezpiecznego dostępu z wyróżnioną opcją Wstrzymaj.

    Zrzut ekranu przedstawiający ikonę globalnego klienta bezpiecznego dostępu wyświetlaną jako wyłączoną.

  5. Za pomocą użytkownika testowego zaloguj się do usługi SharePoint Online lub Exchange Online. Upewnij się, że możesz pomyślnie zalogować się i uzyskać dostęp do zasobu.

  6. Wyświetl dziennik logowania dla ostatniej próby logowania.

    1. Upewnij się, że adres IP i lokalizacja są zgodne z wcześniej zanotowanymi.

    2. Upewnij się, że zasady dostępu warunkowego tylko do raportu nie powiodły się, ponieważ ruch nie był kierowany przez Dostęp do Internetu Microsoft Entra dla ruchu firmy Microsoft.

      Zrzut ekranu przedstawiający dzienniki logowania z kartą Lokalizacja dla elementu.

      Zrzut ekranu przedstawiający dzienniki logowania z kartą Tylko raport dla elementu z tylko raportem: niepowodzenie w kolumnie Wynik.

Następne kroki

Wdrażanie i weryfikowanie Dostęp Prywatny Microsoft Entra Deploy i weryfikowanie Dostęp do Internetu Microsoft Entra