Compartilhar via


Proteger o acesso a aplicações na cloud, públicas e privadas com as APIs de acesso à rede do Microsoft Graph (pré-visualização)

O Microsoft Entra Internet Access e o Microsoft Entra Private Access incluem a solução Microsoft Security Service Edge e permitem que as organizações consolidem controlos e configurem políticas unificadas de identidade e acesso à rede. O Microsoft Entra Internet Access protege o acesso ao Microsoft 365, SaaS e aplicações de Internet públicas ao proteger utilizadores, dispositivos e dados contra ameaças à Internet. Por outro lado, o Acesso Privado do Microsoft Entra protege o acesso a aplicações privadas alojadas no local ou na cloud.

Este artigo descreve as APIs de acesso à rede no Microsoft Graph que permitem os serviços Microsoft Entra Internet Access e Microsoft Entra Private Access. O Acesso Seguro Global é o termo unificador para estes dois serviços. Para obter mais informações, veja O que é o Acesso Seguro Global?

Blocos modulares das APIs de acesso à rede

As APIs de acesso à rede fornecem uma arquitetura para configurar a forma como pretende reencaminhar ou filtrar o tráfego e as respetivas regras associadas. A tabela seguinte lista as entidades principais que compõem as APIs de acesso à rede.

Entidades Descrição
forwardingProfile Determina a forma como o tráfego é encaminhado ou ignorado através dos serviços de Acesso Seguro Global. Um perfil de reencaminhamento está associado a um tipo de tráfego que pode ser o Microsoft 365, Internet ou Tráfego privado. Um perfil de reencaminhamento pode ter várias políticas de reencaminhamento. Por exemplo, o perfil de reencaminhamento do Microsoft 365 tem políticas para o Exchange Online, SharePoint Online, etc.
forwardingPolicy Define as regras para encaminhar ou ignorar o tipo de tráfego específico através dos serviços de Acesso Seguro Global. Cada política é tentada para um tipo de tráfego que pode ser o Microsoft 365, Internet ou Tráfego privado. Uma política de reencaminhamento só pode ter regras de política de reencaminhamento.
forwardingPolicyLink Representa a relação entre um perfil de reencaminhamento e uma política de reencaminhamento e mantém o estado atual da ligação.
policyRule Mantém a definição principal de um conjunto de regras de política.
remoteNetwork Representa a localização física a partir da qual os utilizadores e dispositivos se ligam para aceder às aplicações na nuvem, públicas ou privadas. Cada rede remota é composta por dispositivos e a ligação de dispositivos numa rede remota é mantida através do equipamento no local do cliente (CPE).
filteringProfile Grupos que filtram políticas, que são depois associadas a políticas de Acesso Condicional no Microsoft Entra para tirar partido de um conjunto avançado de condições de contexto de utilizador.
filteringPolicy Encapsula várias políticas configuradas por administradores, tais como políticas de filtragem de rede, prevenção de perda de dados e proteção contra ameaças.
filteringPolicLink Representa a relação entre um perfil de filtragem e uma política de filtragem e mantém o estado atual da ligação.

Integrar no processo de serviço

Para começar a utilizar os serviços de Acesso Seguro Global e as APIs de acesso à rede de suporte, tem de integrar explicitamente o serviço.

Operação Descrição
Integrar inquilino Integre os serviços Microsoft Entra Internet Access e Acesso Privado.
Verificar o estado Verifique o estado de inclusão do inquilino.

Perfis e políticas de reencaminhamento de tráfego

As SEGUINTES APIs permitem a um administrador gerir e configurar perfis de reencaminhamento. Existem três perfis predefinidos: Microsoft 365, Privado e Internet. Utilize as seguintes APIs para gerir perfis e políticas de reencaminhamento de tráfego.

Operações de exemplo Descrição
Listar perfis de reencaminhamento Liste os perfis de reencaminhamento configurados para o inquilino. Também pode obter as políticas associadas com o $expand parâmetro de consulta.
Reencaminhamento de atualizaçõesProfile Ativar ou desativar um perfil de reencaminhamento ou configurar associações como a rede remota.
Listar políticas de reencaminhamento Liste as políticas de reencaminhamento configuradas para o inquilino. Também pode obter as regras de política de reencaminhamento associadas com o $expand parâmetro de consulta.
Listar ligações de política de reencaminhamento Liste as ligações de política associadas a um perfil de reencaminhamento. Também pode obter as regras de política de reencaminhamento associadas com o $expand parâmetro de consulta.

Redes remotas

Um cenário de rede remota envolve dispositivos de utilizador ou dispositivos sem utilizador, como impressoras que estabelecem conectividade através de equipamentos no local do cliente (CPE), também conhecidos como ligações de dispositivos, numa localização física do escritório.

Utilize as seguintes APIs para gerir os detalhes de uma rede remota que integrou no serviço.

Operações de exemplo Descrição
Criar uma rede remota
Criar ligações de dispositivos para uma rede remota
Criar perfis de reencaminhamento para uma rede remota
Crie redes remotas e as respetivas ligações de dispositivo associadas e perfis de reencaminhamento.
Listar redes remotas
Listar ligações de dispositivos para uma rede remota
Listar perfis de reencaminhamento para uma rede remota
Listar redes remotas e as respetivas ligações de dispositivo associadas e perfis de reencaminhamento.

Controles de acesso

As APIs de acesso à rede fornecem um meio para gerir três tipos de definições de controlo de acesso na sua organização: acesso entre inquilinos, acesso condicional e opções de reencaminhamento. Estas definições garantem um acesso de rede seguro e eficiente para dispositivos e utilizadores no seu inquilino.

Configurações de acesso entre locatários

As definições de acesso entre inquilinos envolvem a identificação de pacotes de rede e a imposição de políticas de restrições de inquilinos (TRv2) para ajudar a impedir a transferência de dados não autorizada. Utilize o tipo de recurso crossTenantAccessSettings e as respetivas APIs associadas para gerir as definições de acesso entre inquilinos.

Definições de acesso condicional

As definições de acesso condicional nos serviços de Acesso Seguro Global envolvem ativar ou desativar a sinalização de acesso condicional para restauro e conectividade do IP de origem. A configuração determina se o recurso de destino recebe o endereço IP de origem original do cliente ou o endereço IP do serviço de Acesso Seguro Global.

Utilize o tipo de recurso conditionalAccessSettings e as APIs associadas para gerir as definições de acesso condicional.

Utilize o tipo de recurso compliantNetworkNamedLocation para garantir que os utilizadores se ligam a partir de um modelo de conectividade de rede verificado para o inquilino específico e estão em conformidade com as políticas de segurança impostas pelos administradores.

Opções de reencaminhamento

As opções de reencaminhamento permitem que os administradores ativem ou desativem a capacidade de ignorar a pesquisa de DNS na periferia e reencaminhar o tráfego do Microsoft 365 diretamente para o Front Door com o IP de destino resolvido pelo cliente. Utilize o tipo de recurso forwardingOptions e as respetivas APIs associadas para gerir as opções de reencaminhamento.

Logs de auditoria

A monitorização e auditoria de eventos no seu ambiente é fundamental para manter a segurança, a conformidade e a eficiência operacional. Os eventos de Acesso Seguro Global são registados nos registos de diretórios e os registos de início de sessão podem ser obtidos através de APIs associadas.

Relatórios e registos de tráfego

Pode navegar pelos registos de ligação de tráfego de rede para ver uma discriminação dos tipos de tráfego de rede através dos serviços de Acesso Seguro Global. Utilize o tipo de recurso networkAccessTraffic e as APIs associadas para ver registos de tráfego de rede granulares.

Também pode obter contagens resumidas de tráfego relacionado com dispositivos, utilizadores, transações e pedidos de acesso entre inquilinos através dos serviços de Acesso Seguro Global. Utilize o tipo de recurso de relatórios e as respetivas APIs associadas para ver estatísticas resumidas de tráfego de rede.

Registos de tráfego do Microsoft 365 melhorados

Os serviços de Acesso Seguro Global permitem-lhe enriquecer os registos de auditoria do Microsoft 365 com informações de tráfego de rede. Com os registos de tráfego melhorados, pode rever os dados de diagnóstico de rede, os dados de desempenho e os eventos de segurança relevantes para as aplicações do Microsoft 365. O tráfego relacionado com as três cargas de trabalho do Microsoft 365 seguintes pode ser melhorado com informações de tráfego de rede: SharePoint, Microsoft Teams e Exchange Online.

Confiança Zero

Esta funcionalidade ajuda as organizações a alinhar as respetivas identidades com os três princípios de orientação de uma arquitetura de Confiança Zero:

  • Verificar explicitamente
  • Utilizar menos privilégios
  • Assumir violação

Para saber mais sobre a Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação de Confiança Zero.