Saiba mais sobre o Acesso Condicional Universal para Acesso Global Seguro
Além de enviarem o tráfego para Acesso Global Seguro, os administradores podem utilizar as políticas de acesso condicional para proteger os perfis de tráfego. Eles podem misturar e combinar controles conforme necessário, como exigir autenticação multifator, exigir um dispositivo compatível ou definir um risco de entrada aceitável. A aplicação desses controles ao tráfego de rede, não apenas aos aplicativos em nuvem, permite o que chamamos de Acesso Condicional universal.
O Acesso Condicional em perfis de tráfego fornece aos administradores um enorme controle sobre sua postura de segurança. Os administradores podem impor princípios de Confiança Zero usando a política para gerenciar o acesso à rede. O uso de perfis de tráfego permite a aplicação consistente da política. Por exemplo, aplicativos que não oferecem suporte à autenticação moderna agora podem ser protegidos por trás de um perfil de tráfego.
Essa funcionalidade permite que os administradores imponham consistentemente a política de Acesso Condicional com base em perfis de tráfego, não apenas aplicativos ou ações. Os administradores podem direcionar essas políticas a perfis de tráfego específicos: ao perfil de tráfego da Microsoft, a recursos privados e ao acesso à Internet. Os usuários podem acessar esses pontos de extremidade ou perfis de tráfego configurados somente quando satisfazem as políticas de Acesso Condicional configuradas.
Pré-requisitos
- Os administradores que interagem com recursos de Acesso Global Seguro devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estiverem executando.
- A função Administrador do Acesso Global Seguro permite gerenciar os recursos de Acesso Global Seguro.
- O Administrador do Acesso Condicional para criar e interagir com as políticas de Acesso Condicional.
- O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é Acesso Global Seguro. Se necessário, você poderá adquirir licenças ou obter licenças de avaliação.
Limitações conhecidas de autorização de túnel
Ambos os perfis de encaminhamento de acesso à Internet e da Microsoft usam as políticas de Acesso Condicional do Microsoft Entra ID para autorizar o acesso aos túneis no Cliente de Acesso Global Seguro. Isso significa que você pode Conceder ou Bloquear o acesso aos perfis de encaminhamento de acesso à Internet e de tráfego da Microsoft no Acesso Condicional. Em alguns casos, quando a autorização para um túnel não for concedida, o caminho de recuperação para recuperar o acesso aos recursos exigirá acessar os destinos no perfil de encaminhamento de acesso à Internet ou no tráfego da Microsoft, bloqueando um usuário de acessar qualquer recurso no computador.
Por exemplo, se você bloquear o acesso ao recurso de destino de acesso à Internet em dispositivos sem conformidade, os usuários de Acesso à Internet do Microsoft Entra não poderão trazer seus dispositivos de volta à conformidade. A maneira de mitigar esse problema é fazer bypass dos pontos de extremidade de rede do Microsoft Intune, assim como dos destinos acessados nos Scripts de descoberta de conformidade personalizados para o Microsoft Intune. É possível executar essa operação como parte do bypass personalizado no Perfil de encaminhamento de acesso à Internet.
Outras limitações conhecidas
- Atualmente, não há suporte para a avaliação contínua de acesso para tráfego de acesso condicional universal da Microsoft.
- Atualmente, não há suporte para a aplicação de políticas de acesso condicional ao tráfego de Acesso Privado. Para modelar esse comportamento, você pode aplicar uma política de Acesso Condicional no nível do aplicativo para aplicativos de Acesso Rápido e Acesso Global Seguro. Para obter mais informações, confira Aplicar políticas de Acesso Condicional a aplicativos de Acesso Privado.
- O tráfego da Microsoft pode ser acessado por meio da conectividade de rede remota sem o Cliente de Acesso Global Seguro; no entanto, a política de Acesso Condicional não é imposta. Em outras palavras, as políticas de Acesso Condicional para o tráfego da Microsoft de Acesso Global Seguro são impostas quando um usuário tem o cliente de Acesso Global Seguro.
Políticas de acesso condicional
Com o Acesso Condicional, você pode habilitar controles de acesso e políticas de segurança para o tráfego de rede adquirido pelo Microsoft Entra Internet Access e pelo Microsoft Entra Private Access.
- Crie uma política direcionada a todo o tráfego da Microsoft.
- Aplicar políticas de Acesso Condicional a aplicativos de Acesso rápido privado.
- Habilite a sinalização de Acesso Global Seguro no Acesso Condicional para que o endereço IP de origem fique visível nos logs e relatórios apropriados.
Diagrama de fluxo do Internet Access
O exemplo a seguir demonstra como o Acesso à Internet do Microsoft Entra funciona quando você aplica políticas de Acesso Condicional Universal ao tráfego de rede.
Observação
A solução de Borda do Serviço de Segurança da Microsoft é composta por três túneis: tráfego da Microsoft, Acesso à Internet e Acesso Privado. O Acesso Condicional Universal aplica-se aos túneis de tráfego do Acesso à Internet e da Microsoft. Não há suporte para direcionar o túnel de Acesso Privado. Você deve direcionar individualmente aos Aplicativos Empresariais de Acesso Privado.
O diagrama de fluxo a seguir ilustra o Acesso Condicional Universal direcionado a recursos da Internet e aplicativos da Microsoft com o Acesso Seguro Global.
Etapa | Descrição |
---|---|
1 | O cliente do Acesso Global Seguro tenta se conectar à solução do Perímetro de Serviço de Segurança da Microsoft. |
2 | O cliente redireciona para o Microsoft Entra ID para autenticação e autorização. |
3 | O usuário e o dispositivo se autenticam. A autenticação ocorre perfeitamente quando o usuário tem um Token de Atualização Primário válido. |
4 | Após a autenticação do usuário e do dispositivo, ocorre a imposição da política de Acesso Condicional Universal. As políticas de Acesso Condicional Universal destinam-se aos túneis da Microsoft e da Internet estabelecidos entre o cliente de Acesso Seguro Global e o Perímetro de Serviço de Segurança da Microsoft. |
5 | O Microsoft Entra ID emite o token de acesso para o cliente de Acesso Seguro Global. |
6 | O cliente de Acesso Seguro Global apresenta o token de acesso ao Perímetro de Serviço de Segurança da Microsoft. O token é validado. |
7 | Os túneis estabelecem entre o cliente do Acesso Seguro Global e o Perímetro de Serviço de Segurança da Microsoft. |
8 | O tráfego começa a ser adquirido e encapsulado até o destino por meio dos túneis da Microsoft e do Acesso à Internet. |
Observação
Direcione aplicativos da Microsoft com o Acesso Seguro Global para proteger a conexão entre o Perímetro de Serviço de Segurança da Microsoft e o cliente do Acesso Seguro Global. Para garantir que os usuários não possam ignorar o serviço Perímetro de Serviço de Segurança da Microsoft, crie uma política de Acesso Condicional que exija uma rede em conformidade para seus aplicativos Microsoft 365 Enterprise.
Experiência do usuário
Quando os usuários entram em uma máquina com o Acesso Global Seguro Client instalado, configurado e em execução pela primeira vez, eles são solicitados a entrar. Quando os usuários tentam acessar um recurso protegido por uma política. Como no exemplo anterior, a política é imposta e eles são solicitados a entrar se ainda não o fizeram. Olhando para o ícone da bandeja do sistema para o Cliente de Acesso Seguro Global, você verá um círculo vermelho indicando que ele está desconectado ou não está em execução.
Quando um usuário entra noCliente de Acesso Seguro Global tem um círculo verde que você está conectado e o cliente está em execução.