Udostępnij za pośrednictwem


Włączanie zgodnej kontroli sieci przy użyciu dostępu warunkowego

Organizacje korzystające z dostępu warunkowego wraz z globalnym bezpiecznym dostępem mogą uniemożliwić złośliwy dostęp do aplikacji firmy Microsoft, aplikacji SaaS innych firm i prywatnych aplikacji biznesowych (LoB) przy użyciu wielu warunków w celu zapewnienia dogłębnej ochrony. Te warunki mogą obejmować zgodność urządzenia, lokalizację i nie tylko w celu zapewnienia ochrony przed tożsamością użytkownika lub kradzieżą tokenu. Globalny bezpieczny dostęp wprowadza koncepcję zgodnej sieci w ramach dostępu warunkowego microsoft Entra ID. Ta kontrola zgodnej sieci gwarantuje, że użytkownicy nawiązują połączenie ze zweryfikowanego modelu łączności sieciowej dla ich określonej dzierżawy i zachowują zgodność z zasadami zabezpieczeń egzekwowanymi przez administratorów.

Globalny klient bezpiecznego dostępu zainstalowany na urządzeniach lub użytkownikach za skonfigurowanymi sieciami zdalnymi umożliwia administratorom zabezpieczanie zasobów za zgodną siecią z zaawansowanymi mechanizmami kontroli dostępu warunkowego. Ta zgodna funkcja sieci ułatwia administratorom zarządzanie zasadami dostępu bez konieczności obsługi listy adresów IP ruchu wychodzącego. Eliminuje to wymaganie odpinania ruchu przez sieć VPN organizacji.

Wymuszanie zgodnego sprawdzania sieci

Zgodne wymuszanie sieci zmniejsza ryzyko kradzieży tokenu/ataków odtwarzania. Zgodne wymuszanie sieci odbywa się na płaszczyźnie uwierzytelniania (ogólnie dostępnej) i na płaszczyźnie danych (wersja zapoznawcza). Wymuszanie płaszczyzny uwierzytelniania jest wykonywane przez identyfikator Entra firmy Microsoft w momencie uwierzytelniania użytkownika. Jeśli atakujący ukradł token sesji i spróbuje odtworzyć go z urządzenia, które nie jest połączone ze zgodną siecią organizacji (na przykład żądanie tokenu dostępu ze skradzionym tokenem odświeżania), identyfikator Entra natychmiast odmówi żądania, a dalszy dostęp zostanie zablokowany. Wymuszanie płaszczyzny danych współpracuje z usługami obsługującymi ciągłą ocenę dostępu (CAE) — obecnie tylko sharePoint Online. W przypadku aplikacji obsługujących caE skradzione tokeny dostępu, które są odtwarzane poza zgodną siecią dzierżawy, zostaną odrzucone przez aplikację w czasie niemal rzeczywistym. Bez caE skradzionego tokenu dostępu będzie trwać do pełnego okresu istnienia (domyślnie 60–90 minut).

To zgodne sprawdzanie sieci jest specyficzne dla każdej dzierżawy.

  • Korzystając z tego sprawdzania, możesz upewnić się, że inne organizacje korzystające z globalnych usług bezpiecznego dostępu firmy Microsoft nie mogą uzyskać dostępu do zasobów.
    • Na przykład: Firma Contoso może chronić swoje usługi, takie jak Exchange Online i SharePoint Online za ich zgodnym sprawdzaniem sieci, aby upewnić się, że tylko użytkownicy firmy Contoso mogą uzyskiwać dostęp do tych zasobów.
    • Jeśli inna organizacja, na przykład Fabrikam, korzystała ze zgodnej kontroli sieci, nie przekaże zgodnej kontroli sieci firmy Contoso.

Zgodna sieć różni się od lokalizacji IPv4, IPv6 lub geograficznych, które można skonfigurować w usłudze Microsoft Entra. Administratorzy nie są zobowiązani do przeglądania i utrzymywania zgodnych adresów IP sieci/zakresów, wzmacniania stanu zabezpieczeń i minimalizowania bieżących obciążeń administracyjnych.

Wymagania wstępne

  • Administratorzy korzystający z funkcji globalnego bezpiecznego dostępu muszą mieć co najmniej jedno z następujących przypisań ról w zależności od wykonywanych zadań.
    • Rola Administratora globalnego bezpiecznego dostępu do zarządzania funkcjami globalnego bezpiecznego dostępu.
    • Administrator dostępu warunkowego do tworzenia zasad dostępu warunkowego i ich interakcji z nazwanymi lokalizacjami.
  • Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.

Znane ograniczenia

  • Zgodne wymuszanie płaszczyzny danych sprawdzania sieci (wersja zapoznawcza) z ciągłą oceną dostępu jest obsługiwane w przypadku usług SharePoint Online i Exchange Online.
  • Włączenie sygnału globalnego bezpiecznego dostępu warunkowego umożliwia sygnalizowanie zarówno dla płaszczyzny uwierzytelniania (Microsoft Entra ID) i sygnału płaszczyzny danych (wersja zapoznawcza). Obecnie nie można włączyć tych ustawień oddzielnie.
  • Sprawdzanie zgodnej sieci nie jest obecnie obsługiwane w przypadku aplikacji dostępu prywatnego.

Włączanie globalnego sygnalizowania bezpiecznego dostępu dla dostępu warunkowego

Aby włączyć wymagane ustawienie w celu umożliwienia sprawdzenia sieci pod kątem zgodności, administrator musi wykonać następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
  2. Przejdź do pozycji Global Secure Access Settings>Management Adaptacyjny dostęp do zarządzania sesjami.>>
  3. Wybierz przełącznik Włącz signaling urzędu certyfikacji dla identyfikatora entra (obejmujące wszystkie aplikacje w chmurze). Spowoduje to automatyczne włączenie sygnału CAE dla usługi Office 365 (wersja zapoznawcza).
  4. Przejdź do pozycji Ochrona>dostępu>warunkowego nazwanych lokalizacji.
    1. Potwierdź, że masz lokalizację o nazwie Wszystkie zgodne lokalizacje sieciowe z typem lokalizacji Dostęp do sieci. Organizacje mogą opcjonalnie oznaczyć tę lokalizację jako zaufaną.

Zrzut ekranu przedstawiający przełącznik umożliwiający włączenie sygnalizowania w dostępie warunkowym.

Uwaga

Jeśli twoja organizacja ma aktywne zasady dostępu warunkowego na podstawie zgodnej kontroli sieci i wyłączysz globalne sygnalizowanie bezpiecznego dostępu w dostępie warunkowym, możesz przypadkowo zablokować docelowym użytkownikom końcowym dostęp do zasobów. Jeśli musisz wyłączyć tę funkcję, najpierw usuń wszystkie odpowiednie zasady dostępu warunkowego.

Ochrona zasobów za zgodną siecią

Zgodne zasady dostępu warunkowego sieci mogą służyć do ochrony aplikacji firmy Microsoft i innych firm. Typowe zasady będą miały przyznanie "Blokuj" dla wszystkich lokalizacji sieciowych z wyjątkiem zgodnej sieci. W poniższym przykładzie przedstawiono kroki konfigurowania tego typu zasad:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy, a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
  6. W obszarze Zasoby docelowe>uwzględnij i wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze").
    1. Jeśli Twoja organizacja rejestruje urządzenia w usłudze Microsoft Intune, zaleca się wykluczenie aplikacji z rejestracji w usłudze Microsoft Intune i usługi Microsoft Intune z zasad dostępu warunkowego, aby uniknąć zależności cyklicznej.
  7. W obszarze Sieć.
    1. Ustaw pozycję Konfiguruj na Wartość Tak.
    2. W obszarze Dołącz wybierz pozycję Dowolna lokalizacja.
    3. W obszarze Wyklucz wybierz lokalizację Wszystkie zgodne lokalizacje sieciowe.
  8. W obszarze Kontrola dostępu:
    1. Udziel, wybierz pozycję Blokuj dostęp, a następnie wybierz pozycję Wybierz.
  9. Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
  10. Wybierz przycisk Utwórz, aby utworzyć, aby włączyć zasady.

Uwaga

Użyj globalnego bezpiecznego dostępu wraz z zasadami dostępu warunkowego, które wymagają zgodnej sieci dla wszystkich zasobów.

Globalne zasoby bezpiecznego dostępu są automatycznie wykluczane z zasad dostępu warunkowego po włączeniu zgodnej sieci w zasadach. Nie jest wymagane jawne wykluczenie zasobów. Te automatyczne wykluczenia są wymagane, aby upewnić się, że klient globalnego bezpiecznego dostępu nie ma dostępu do potrzebnych zasobów. Zasoby globalnego bezpiecznego dostępu są następujące:

  • Globalne profile ruchu bezpiecznego dostępu
  • Globalna usługa zasad bezpiecznego dostępu (usługa wewnętrzna)

Zdarzenia logowania na potrzeby uwierzytelniania wykluczonych globalnych zasobów bezpiecznego dostępu są wyświetlane w dziennikach logowania identyfikatora Entra firmy Microsoft jako:

  • Zasoby internetowe z globalnym bezpiecznym dostępem
  • Aplikacje firmy Microsoft z globalnym bezpiecznym dostępem
  • Wszystkie zasoby prywatne z globalnym bezpiecznym dostępem
  • Usługa zasad ZTNA

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wypróbuj zgodne zasady sieciowe

  1. Na urządzeniu użytkownika końcowego z zainstalowanym i uruchomionym klientem globalnego bezpiecznego dostępu przejdź do https://outlook.office.com/mail/ lub https://yourcompanyname.sharepoint.com/, masz dostęp do zasobów.
  2. Wstrzymaj klienta globalnego bezpiecznego dostępu, klikając prawym przyciskiem myszy aplikację na pasku zadań systemu Windows i wybierając pozycję Wstrzymaj.
  3. Przejdź do https://outlook.office.com/mail/ lub https://yourcompanyname.sharepoint.com/, nie możesz uzyskać dostępu do zasobów z komunikatem o błędzie informującym, że nie możesz uzyskać dostępu do tego w tej chwili.

Zrzut ekranu przedstawiający komunikat o błędzie w oknie przeglądarki Nie można uzyskać dostępu do tego teraz.

Rozwiązywanie problemów

Sprawdź, czy nowa nazwana lokalizacja została utworzona automatycznie przy użyciu programu Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Zrzut ekranu przedstawiający wyniki zapytania w Eksploratorze programu Graph

Następne kroki

Ograniczenia dzierżawy uniwersalnej