Globalny bezpieczny dostęp — często zadawane pytania

Jeśli włączono ograniczenia dzierżawy uniwersalnej i uzyskujesz dostęp do centrum administracyjnego firmy Microsoft Entra dla jednej z dozwolonych dzierżaw, zostanie wyświetlony błąd "Odmowa dostępu". Dodaj flagę funkcji do centrum administracyjnego firmy Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true. Na przykład pracujesz dla firmy Contoso i masz dozwoloną nazwę Fabrikam jako dzierżawę partnera. Zostanie wyświetlony komunikat o błędzie centrum administracyjnego firmy Microsoft Entra dzierżawy firmy Fabrikam. Jeśli został wyświetlony komunikat o błędzie "Odmowa dostępu" dla tego adresu URL: https://entra.microsoft.com/ dodaj flagę funkcji w następujący sposób: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Logowania B2B są obsługiwane tylko wtedy, gdy użytkownik uzyskuje dostęp do usługi z urządzenia dołączonego do firmy Microsoft Entra. Dzierżawa firmy Microsoft Entra musi być zgodna z poświadczeniami logowania użytkowników. Na przykład osoba pracuje w firmie Fabrikam i pracuje nad projektem firmy Contoso. Firma Contoso dostarczyła osobie urządzenie i tożsamość firmy Contoso, taką jak v-Bob@contoso.com. Aby uzyskać dostęp do globalnego bezpiecznego dostępu firmy Contoso przy użyciu urządzenia Contoso, osoba może użyć polecenia Bob@Fabrikam.com lub v-Bob@Contoso.com. Jednak osoba nie może użyć urządzenia Fabrikam dołączonego do dzierżawy firmy Fabrikam w celu uzyskania dostępu do globalnego bezpiecznego dostępu firmy Contoso.

Funkcje bezpiecznej bramy internetowej w ramach microsoft Entra Internet Access i innych platform SSE (Security Service Edge) zapewniają zaawansowaną wartość zabezpieczeń sieci z brzegu chmury dla wszystkich użytkowników łączących się z dowolną aplikacją. Rozwiązanie SSE firmy Microsoft wykorzystuje głęboką integrację z identyfikatorem Entra firmy Microsoft w celu zapewnienia świadomości tożsamości i kontekstu w celu uzyskania szczegółowych zasad zabezpieczeń sieci. Ponadto platformy SSE zapewniają bogatszą kontrolę i lepszą widoczność za pośrednictwem inspekcji protokołu Transport Layer Security (TLS), dzięki czemu te platformy mogą sprawdzać i wymuszać zasady zabezpieczeń w pakiecie. Platformy wykrywania i reagowania punktów końcowych (EDR), takie jak microsoft Defender for Endpoint zapewniają wartość zabezpieczeń z obsługą urządzeń zarządzanych. Te zasady umożliwiają kierowanie urządzeń lub grup urządzeń zamiast konstrukcji tożsamości opartych na użytkownikach. Platformy EDR zapewniają również widoczność za pośrednictwem zaawansowanych funkcji wyszukiwania zagrożeń. Najlepszym rozwiązaniem jest użycie zarówno mechanizmów kontroli sieci, jak i ochrony punktu końcowego w parze w celu osiągnięcia podejścia do ochrony w głębi systemu. Jeśli platforma EDR jest używana razem z programem Microsoft Entra Internet Access, zasady platformy EDR na urządzeniach będą zawsze wymuszane przed dotarciem do brzegu chmury, gdzie są wymuszane zasady dostępu do Internetu firmy Microsoft Entra.

Obecnie protokół IPv4 jest preferowany przez protokół IPv6. Jeśli wystąpią problemy, wyłącz protokół IPv6. Aby uzyskać więcej informacji, zobacz Preferowany protokół IPv4.

Tak, istnieje zestaw interfejsów API programu Microsoft Graph dostępnych do zarządzania aspektami Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra. Aby uzyskać więcej informacji na temat tych interfejsów API, zobacz artykuł Bezpieczny dostęp do chmury, publicznych i prywatnych aplikacji przy użyciu interfejsów API dostępu do sieci programu Microsoft Graph.

Istnieją dwa zabezpieczenia dla tego, które istnieją dzisiaj:

• Każdy przepływ sieciowy, który przychodzi do łącznika, musi zawierać prawidłowy token dla aplikacji Entra 3P. Ponadto miejsce docelowe może być tylko jednym z segmentów aplikacji skonfigurowanych w tej aplikacji 3P. Tunel sieciowy, który łączy łącznik z naszą usługą w chmurze, wymaga tego tokenu aplikacji dla każdego przepływu sieci do łącznika łącznika w celu odbierania ruchu. W związku z tym nawet jeśli niektórzy inżynier firmy Microsoft próbowali wysłać ruch do łącznika bez tego ważnego tokenu, ten ruch nie zostanie dostarczony do łącznika.
• W przeciwieństwie do serwera proxy aplikacji, gdzie komunikacja między łącznikiem i usługą zaplecza była transakcją https, komunikacja sieciowa z globalnym bezpiecznym dostępem między łącznikiem i usługą jest tunelem mTLS, który używa przypiętego certyfikatu usługi. Oznacza to, że w przeciwieństwie do serwera proxy aplikacji ruch między usługą a łącznikiem nie jest otwarty dla protokołu B&I i uniemożliwia atakom MiTM (Man-in-the-Middle).

Upewnij się, że adresy IP protokołu BGP są odwracane między protokołem CPE i globalnym bezpiecznym dostępem. Jeśli na przykład określono lokalny adres IP protokołu BGP jako 1.1.1.1 i równorzędny adres IP protokołu BGP jako 0.0.0.0 dla protokołu CPE, zamień wartości w globalnym bezpiecznym dostępie. Dlatego lokalny adres IP protokołu BGP w globalnym bezpiecznym dostępie to 0.0.0.0, a adres IP elementu równorzędnego GBP to 1.1.1.1.

Program Microsoft Entra Internet Access i usługa Microsoft Defender dla punktu końcowego korzystają z podobnych aparatów kategoryzacji, z kilkoma różnymi różnicami. Aparat microsoft Entra Internet Access ma na celu zapewnienie prawidłowej kategoryzacji każdego punktu końcowego w Internecie, podczas gdy usługa Microsoft Defender dla punktu końcowego obsługuje mniejszą listę kategorii witryn, koncentrując się na kategoriach witryn, które mogłyby wprowadzić odpowiedzialność dla organizacji działającej w punkcie końcowym. Oznacza to, że wiele witryn nie jest skategoryzowanych, a organizacja, która chce zezwolić na dostęp lub odmawiać dostępu, musi ręcznie utworzyć wskaźnik sieci dla lokacji.