Guia de implantação da solução Security Service Edge da Microsoft para o Microsoft Entra Internet Access for Microsoft Prova de conceito de trânsito
Este Guia de Implantação de Prova de Conceito (PoC) ajuda você a implantar a solução Security Service Edge (SSE) da Microsoft que apresenta o Microsoft Entra Internet Access for Microsoft Traffic.
Descrição geral
A solução Security Service Edge centrada em identidade da Microsoft converge controles de acesso de rede, identidade e ponto final para que você possa proteger o acesso a qualquer aplicativo ou recurso, de qualquer local, dispositivo ou identidade. Ele permite e orquestra o gerenciamento de políticas de acesso para funcionários, parceiros de negócios e cargas de trabalho digitais. Você pode monitorar e ajustar continuamente o acesso do usuário em tempo real se as permissões ou o nível de risco forem alterados em seus aplicativos privados, aplicativos SaaS e pontos de extremidade da Microsoft. Esta seção descreve como concluir a prova de conceito de tráfego do Microsoft Entra Internet Access for Microsoft em seu ambiente de produção ou teste.
Microsoft Entra Internet Access para implantação do Microsoft Traffic
Conclua as etapas iniciais de configuração do produto . Isso inclui a configuração do Microsoft Entra Internet Access for Microsoft Traffic, habilitando o perfil de encaminhamento de tráfego da Microsoft e instalando o cliente Global Secure Access. Você deve definir o escopo de sua configuração para usuários e grupos de teste específicos.
Cenário PoC de exemplo: proteger contra exfiltração de dados
A exfiltração de dados é uma preocupação para todas as empresas, especialmente aquelas que operam em setores altamente regulamentados, como governo ou finanças. Com controles de saída nas configurações de acesso entre locatários, você pode impedir que identidades não autorizadas de locatários estrangeiros acessem seus dados da Microsoft ao usar seus dispositivos gerenciados.
O Microsoft Entra Internet Access for Microsoft Traffic pode melhorar seus controles de Prevenção de Perda de Dados (DLP), permitindo que você:
- proteja-se contra roubo de token exigindo que os usuários só possam acessar os recursos da Microsoft se vierem através de uma rede compatível.
- impor políticas de Acesso Condicional em conexões com o Security Service Edge da Microsoft.
- Implante restrições universais de locatário v2, eliminando a necessidade de rotear todo o tráfego de usuários por meio de proxies de rede gerenciados pelo cliente.
- Configure restrições de locatário que impeçam os usuários de acessar locatários externos não autorizados com qualquer identidade de terceiros (por exemplo, pessoal ou emitida por uma organização externa).
- Proteja-se contra infiltração/exfiltração de tokens para garantir que os usuários não possam ignorar suas restrições de locatário movendo tokens de acesso de e para dispositivos não gerenciados ou locais de rede.
Esta seção descreve como impor o acesso de rede compatível ao tráfego da Microsoft, proteger a conexão com o Security Service Edge da Microsoft com Acesso Condicional e impedir que identidades externas acessem locatários externos em seus dispositivos gerenciados e/ou redes usando restrições universais de locatário v2. As restrições de locatário aplicam-se apenas a identidades externas; eles não se aplicam a identidades dentro do seu próprio inquilino. Para controlar o acesso de saída para as identidades de seus próprios usuários, use as configurações de acesso entre locatários. Configurar a política de restrições de locatário na ID do Microsoft Entra para bloquear o acesso aplica-se aos usuários que recebem a injeção de cabeçalho de restrições de locatário. Isso inclui apenas usuários que roteiam através de proxies de rede do cliente que injetam os cabeçalhos, usuários com Cliente de Acesso Seguro Global implantado ou usuários em dispositivos Windows com restrições de locatário habilitadas injeção de cabeçalho por meio da configuração do sistema operacional Windows. Ao testar, certifique-se de que as restrições de locatário sejam impostas pelo serviço de Acesso Seguro Global e não por meio de proxies de rede do cliente ou configurações do Windows para evitar afetar involuntariamente outros usuários. Além disso, você precisa habilitar a sinalização de Acesso Condicional para habilitar as opções de Acesso Seguro Global no Acesso Condicional.
Habilite a sinalização de Acesso Seguro Global para Acesso Condicional.
Crie uma política de Acesso Condicional que exija uma rede compatível para acesso. A configuração do requisito de rede compatível bloqueia todo o acesso ao Office 365 Exchange Online e ao Office 365 SharePoint Online para seus usuários de teste, de qualquer local, a menos que eles se conectem usando a Solução de Borda do Serviço de Segurança da Microsoft. Configure sua política de Acesso Condicional da seguinte maneira:
- Usuários: Selecione seu usuário de teste ou um grupo piloto.
- Recursos de destino: selecione os aplicativos Office 365 Exchange Online e Office 365 SharePoint Online.
- Condições:
- Em Locais, selecione Não configurado.
- Alterne Configurar para Sim.
- Inclua qualquer local.
- Excluir locais selecionados.
- Em Selecionar, selecione Nenhum.
- Selecione Todos os locais de rede compatíveis.
Controles>de acesso Conceder Selecione > Bloquear acesso.
Crie uma segunda política de Acesso Condicional que exija controles para permitir que o Cliente de Acesso Seguro Global se conecte à solução SSE (como MFA, dispositivo compatível, TOU). Configure sua política de Acesso Condicional da seguinte maneira:
Usuários: Selecione seu usuário de teste ou um grupo piloto.
Recursos de destino:
Em Selecione a que esta política se aplica, selecione Acesso Seguro Global.
Em Selecione os perfis de tráfego aos quais esta política se aplica, selecione Tráfego da Microsoft.
Controles>de acesso Conceder> Selecione os controles que você deseja impor, como exigir autenticação multifator.
Tente entrar no SharePoint Online ou no Exchange Online e verifique se você foi solicitado a se autenticar no Acesso Seguro Global. O Cliente Global de Acesso Seguro usa tokens de acesso e tokens de atualização para se conectar à Solução de Borda do Serviço de Segurança da Microsoft. Se você tiver conectado anteriormente o Cliente de Acesso Seguro Global, talvez seja necessário aguardar que o token de acesso expire (até uma hora) antes que a política de Acesso Condicional que você criou seja aplicada.
Para verificar se sua política de Acesso Condicional foi aplicada com êxito, exiba os logs de entrada do usuário de teste para o aplicativo ZTNA Network Access Client - M365 .
Valide se o Global Secure Access Client está conectado abrindo a bandeja no canto inferior direito e verificando se há uma verificação verde no ícone.
Use seu usuário de teste para entrar no SharePoint Online ou no Exchange Online usando seu dispositivo de teste.
A partir de um dispositivo diferente sem o Cliente de Acesso Seguro Global, utilize a sua identidade de utilizador de teste para tentar iniciar sessão no SharePoint Online ou no Exchange Online. Como alternativa, você pode clicar com o botão direito do mouse no Cliente Global de Acesso Seguro na bandeja do sistema, clicar em Pausar e usar sua identidade de usuário de teste para tentar entrar no SharePoint Online ou no Exchange Online no mesmo dispositivo.
No seu dispositivo de teste com o Cliente Global de Acesso Seguro ativado, tente entrar em um locatário diferente do Microsoft Entra com uma identidade externa. Confirme se as restrições de locatário bloqueiam o acesso.
Vá para o locatário externo e navegue até seus logs de entrada. Nos logs de entrada do locatário externo, confirme se o acesso ao locatário estrangeiro aparece como bloqueado e conectado.
Cenário PoC de exemplo: restauração do endereço IP de origem
Proxies de rede e soluções SSE de terceiros substituem o endereço IP público do dispositivo de envio, o que impede que o Microsoft Entra ID possa usar esse endereço IP para políticas ou relatórios. Essa restrição causa os seguintes problemas:
- A ID do Microsoft Entra não pode impor determinadas políticas de Acesso Condicional baseadas em localização (como o bloqueio de países não confiáveis).
- As deteções baseadas em risco que aproveitam os locais familiares da linha de base de um usuário se degradam porque o sistema limita os algoritmos de aprendizado de máquina do Microsoft Entra ID Protection ao endereço IP do proxy. Eles não podem detetar ou treinar no verdadeiro endereço IP de origem do usuário.
- As operações/investigações de SOC devem aproveitar logs de terceiros/proxy para determinar o IP de origem original e, em seguida, correlacioná-lo com logs de atividades subsequentes, resultando em ineficiências.
Esta seção demonstra como o Microsoft Entra Internet Access for Microsoft Traffic supera esses problemas preservando o endereço IP de origem original do usuário, simplificando as investigações de segurança e a solução de problemas.
Para testar a restauração do endereço IP de origem, a sinalização de Acesso Seguro Global para Acesso Condicional deve ser habilitada. Você precisa de uma política de Acesso Condicional que exija uma rede compatível, conforme descrito anteriormente neste artigo.
Valide se o Global Secure Access Client está conectado abrindo a bandeja no canto inferior direito e verificando se há uma verificação verde no ícone. Usando sua identidade de teste, entre no SharePoint Online ou no Exchange Online.
Veja o registo de início de sessão para este início de sessão e anote o endereço IP e a localização. Confirme se a política de Acesso Condicional de rede compatível não foi aplicada.
Defina a política de Acesso Condicional de rede compatível para o modo somente relatório e selecione Salvar.
No dispositivo cliente de teste, abra a bandeja do sistema, clique com o botão direito do mouse no ícone Cliente Global de Acesso Seguro e selecione Pausar. Passe o cursor sobre o ícone e verifique se o Cliente de Acesso Seguro Global não se conecta mais confirmando Cliente de Acesso Seguro Global -- Desativado.
Usando seu usuário de teste, entre no SharePoint Online ou no Exchange Online. Confirme se consegue iniciar sessão com êxito e aceder ao recurso.
Exiba o log de entrada da última tentativa de login.
Passos Seguintes
Implantar e verificar o Microsoft Entra Private AccessImplantar e verificar o Microsoft Entra Internet Access