Perguntas frequentes sobre o Acesso Seguro Global

Se você habilitou restrições universais de locatário e acessará o Centro de administração do Microsoft Entra para um dos locatários listados em permissão, verá um erro "Acesso negado". Adicione o sinalizador de recurso ao centro de administração do Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true. Por exemplo, você trabalha para a Contoso e permitiu listar a Fabrikam como um locatário parceiro. Você verá a mensagem de erro para o centro de administração do Microsoft Entra do locatário da Fabrikam. Se você recebeu a mensagem de erro "acesso negado" para esse URL: https://entra.microsoft.com/, adicione o sinalizador de recurso da seguinte forma: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Logons B2B só têm suporte quando o usuário está acessando o serviço de um dispositivo ingressado no Microsoft Entra. O locatário do Microsoft Entra deve corresponder às credenciais de entrada dos usuários. Por exemplo, uma pessoa trabalha na Fabrikam e está trabalhando em um projeto para a Contoso. A Contoso forneceu à pessoa um dispositivo e uma identidade da Contoso, como v-Bob@contoso.com. Para acessar o Acesso Seguro Global da Contoso usando o dispositivo Contoso, a pessoa pode usar Bob@Fabrikam.com ou v-Bob@Contoso.com. No entanto, a pessoa não pode usar o dispositivo Fabrikam que está associado ao locatário da Fabrikam para acessar o Acesso Seguro Global da Contoso.

Recursos seguros do Gateway da Web como parte do Microsoft Entra Internet Access e outras plataformas do SSE (Security Service Edge) fornecem valor avançado de segurança de rede da borda da nuvem para todos os usuários que se conectam a qualquer aplicativo. A Solução SSE da Microsoft aproveita especificamente a integração profunda com a ID do Microsoft Entra para trazer reconhecimento de identidade e contexto para políticas de segurança de rede granulares. Além disso, as plataformas SSE fornecem controles mais avançados e visibilidade mais profunda por meio da Inspeção TLS (Transport Layer Security), permitindo que essas plataformas inspecionem e imponham a política de segurança no pacote. Plataformas de Detecção e Resposta de Ponto de Extremidade (EDR), como Microsoft Defender para Ponto de Extremidade fornecem valor de segurança com reconhecimento de dispositivo para dispositivos gerenciados. Essas políticas permitem que você direcione dispositivos ou grupos de dispositivos, em vez de constructos de identidade baseados no usuário. As plataformas EDR também fornecem visibilidade por meio de recursos avançados de busca. É melhor usar os controles de proteção de rede e de ponto de extremidade em conjunto para obter uma abordagem de defesa detalhada. Se uma plataforma EDR for usada junto com o Microsoft Entra Internet Access, as políticas no dispositivo da plataforma EDR sempre serão impostas antes de chegar à borda da nuvem, em que as políticas do Microsoft Entra Internet Access são impostas.

No momento, o IPv4 é preferido em relação ao IPv6. Se você encontrar problemas, desabilite o IPv6. Para obter mais informações, confira IPV4 preferido.

Sim. Há um conjunto de APIs do Microsoft Graph disponíveis para gerenciar aspectos do Acesso à Internet do Microsoft Entra e do Acesso Privado do Microsoft Entra. Para obter mais informações sobre essas APIs, consulte o artigo Proteger o acesso a aplicativos de nuvem, públicos e privados usando APIs de acesso à rede do Microsoft Graph.

Há duas salvaguardas para isso que existem hoje:

• Cada fluxo de rede que chega ao Conector deve vir com um token válido para um aplicativo Entra 3P. Além disso, o destino pode ser apenas um dos segmentos de aplicativo configurados neste aplicativo 3P. O túnel de rede que conecta o Conector ao nosso serviço na nuvem precisa desse token de aplicativo para que cada fluxo de rede para o Conector para o Conector receba o tráfego. Assim, mesmo que algum engenheiro da Microsoft tente enviar o tráfego para o Conector, sem esse token válido, esse tráfego não será entregue ao Conector.
• Ao contrário do Proxy de Aplicativo, em que a comunicação entre o Conector e o serviço de back-end era uma transação https, a comunicação de rede com o Acesso Seguro Global entre o Conector e o Serviço é um túnel mTLS que usa um certificado fixado por serviço. Isso significa que, ao contrário do proxy de aplicativo, o tráfego entre nosso Serviço e Conector não está aberto para o B&I e impede ataques MiTM (Man-in-the-Middle).

Certifique-se de reverter os endereços IP BGP entre o CPE e o Acesso Seguro Global. Por exemplo, se você especificou o endereço IP BGP local como 1.1.1.1 e o endereço IP BGP par como 0.0.0.0 para o CPE, alterne os valores no Acesso Seguro Global. Portanto, o endereço IP BGP local no Acesso Seguro Global é 0.0.0.0 e o endereço IP de par BGP é 1.1.1.1.

O Microsoft Entra Internet Access e o Microsoft Defender para Ponto de Extremidade aproveitam mecanismos de categorização semelhantes, com algumas diferenças distintas. O mecanismo do Microsoft Entra Internet Access tem como objetivo fornecer uma categorização válida de cada ponto de extremidade na Internet, enquanto o Microsoft Defender para Ponto de Extremidade dá suporte a uma lista menor de categorias de site, focada em categorias de sites que podem introduzir responsabilidade para a organização que opera o ponto de extremidade. Isso significa que muitos sites não são categorizados e uma organização que deseja permitir ou negar acesso deve criar manualmente um Indicador de Rede para o site.