Avaliação Universal de Acesso Contínuo (Pré-visualização)
A Avaliação Universal de Acesso Contínuo (CAE) é um recurso de plataforma do Global Secure Access (GSA) que funciona em conjunto com o Microsoft Entra ID para garantir que o acesso à borda GSA seja validado sempre que uma conexão com um novo recurso de aplicativo for estabelecida. O CAE Universal protege os tokens de acesso GSA contra roubo e reprodução. O Universal CAE revoga e revalida o acesso à rede quase em tempo real sempre que o Entra ID deteta alterações na identidade. O Entra ID CAE tradicional exige que cada carga de trabalho adote bibliotecas especiais e é limitado apenas a aplicativos primários. O CAE Universal estende os benefícios do CAE a qualquer aplicativo acessado com o Global Secure Access, sem exigir que o aplicativo tenha conhecimento de CAE.
Nota
O CAE Universal está atualmente sendo implantado e estará disponível para todos os clientes Windows de Acesso Seguro Global até 31 de dezembro de 2024.
Benefícios do CAE Universal
Aqui estão alguns exemplos de como o CAE Universal beneficia sua organização quando o Entra ID deteta uma alteração de identidade e aciona o CAE quase em tempo real:
- Acesso privado - a sessão do usuário via Área de Trabalho Remota, o acesso a servidores de arquivos e o acesso a todos os recursos privados protegidos pelo Acesso Privado são interrompidos, reduzindo o risco de exfiltração de dados por um funcionário que sai ou atividade interna maliciosa.
- Acesso à Internet - o acesso do usuário a todos os recursos da Internet, incluindo serviços que podem conter dados da empresa, como serviços de compartilhamento de arquivos que não são da Microsoft e ferramentas de colaboração da empresa, é interrompido, reduzindo o risco de exfiltração de dados por um funcionário que está de saída.
- Serviços Microsoft - embora muitos serviços da Microsoft já usem o CAE nativamente, há alguns aplicativos que não usam. Com o Universal CAE, o acesso do usuário aos aplicativos da Microsoft é interrompido, independentemente do conhecimento do CAE pelo aplicativo.
- Pode exigir que os seus utilizadores estejam em redes específicas antes de poderem ligar-se a serviços com a GSA, impedindo a mudança para uma rede diferente, mesmo após a autenticação inicial do túnel. Neste cenário, quando o utilizador altera redes, o acesso à rede através do GSA é reautenticado e as políticas de Acesso Condicional baseadas na localização são reavaliadas.
- O modo de Imposição Estrita opcional, configurado em Acesso Condicional, protege contra roubo/reprodução de tokens de acesso GSA. Se a repetição do token for tentada a partir de um endereço IP diferente do endereço IP original usado durante a autenticação, o acesso à rede será bloqueado.
Como funciona
O Global Secure Access depende de tokens de acesso do Entra ID para autenticar nos túneis de serviço (tráfego da Microsoft, acesso à Internet e perfis de encaminhamento de tráfego do Private Access). Os tokens de acesso são válidos entre 60 e 90 minutos. Antes da expiração do token de acesso, o cliente GSA usa o token de atualização do Entra ID para obter um novo token de acesso.
De acordo com a especificação OAuth2, os tokens de acesso são válidos até expirarem. Por exemplo, quando você desabilita uma conta de usuário, o Entra ID invalida os tokens de atualização imediatamente, mas leva até 90 minutos para que os tokens de acesso GSA expirem.
Com o Universal CAE, as alterações na identidade do usuário são comunicadas ao Global Secure Access quase em tempo real. Embora o token de acesso ainda seja válido, o Global Secure Access envia um desafio de declarações especiais de volta ao usuário final, exigindo que o usuário se autentique novamente. Se o utilizador não conseguir concluir o desafio de autenticação do Entra ID, o acesso à rede através do GSA é bloqueado. O CAE Universal reduz a janela de tempo entre a mudança de estado da conta do Entra ID e a exigência de que o usuário se autentique novamente, reduzindo o risco de exfiltração de dados por um funcionário que sai.
Sinais de ID do Microsoft Entra que acionam a reautenticação CAE Universal
O Global Secure Access está habilitado para receber sinais do Entra ID quase em tempo real para os seguintes eventos:
- A conta de utilizador é eliminada ou desativada
- A palavra-passe de um utilizador é alterada ou reposta
- A autenticação multifator está habilitada para o usuário
- O administrador revoga explicitamente todos os tokens de atualização de um usuário
- Alto risco de usuário detetado pelo Microsoft Entra ID Protection
Ao receber o evento de segurança, o cliente Global Secure Access solicitará que o usuário se autentique novamente. Se a reautenticação for bem-sucedida, a conectividade de rede do usuário com recursos protegidos pelo Acesso Seguro Global será restaurada.
Modo de aplicação rigorosa
Com o modo de Imposição Estrita, o CAE Universal interrompe imediatamente o acesso se o endereço IP detetado pelo provedor de recursos não for permitido pela política de Acesso Condicional. Essa opção é a modalidade de segurança mais alta da imposição de local CAE e requer que os administradores entendam o roteamento de solicitações de autenticação e acesso em seu ambiente de rede. Quando a aplicação rigorosa está ativada, o acesso aos serviços de Acesso Seguro Global só é possível quando os utilizadores estão a ligar-se ao serviço GSA a partir de intervalos de endereços IP autorizados pela sua organização.
Desativando o CAE Universal
O Acesso Condicional do Entra ID pode ser usado para controlar o comportamento do CAE em seu locatário. Por padrão, o CAE está ativado para todos os aplicativos que oferecem suporte a ele. Você pode desativar o CAE em seu locatário do Entra ID, o que desabilitará o CAE para todos os serviços, incluindo o Acesso Seguro Global. Para desativar o CAE em seu locatário, siga as etapas na documentação do Acesso Condicional
Nota
O CAE Universal é oportunista, a menos que o modo opcional de Imposição Estrita esteja habilitado no Acesso Condicional e aplicado às identidades de carga de trabalho do GSA. Por padrão, os clientes de Acesso Seguro Global suportados tentarão obter um token de acesso CAE do Entra ID. Se o token CAE não puder ser obtido do Entra ID (por exemplo, devido à versão do cliente não suportada), um token de acesso regular será emitido. Com o comportamento de fallback, não deve haver necessidade de desativar o CAE Universal.
Limitações conhecidas
- Somente as versões do Windows do cliente Global Secure Access, começando com a versão 1.8.239.0, estão cientes do Universal CAE. Outros clientes usam tokens de acesso regulares.
- O Entra ID emite tokens de curta duração para o Global Secure Access. O tempo de vida do token de acesso CAE universal é entre 60 e 90 minutos, com suporte para revogação quase em tempo real.
- Demora aproximadamente 2 a 5 minutos para que o sinal Entra ID chegue ao cliente Global Secure Access e solicite que o usuário se autentique novamente
- O usuário tem um período de carência de 2 minutos após receber um evento CAE para concluir a reautenticação. Após 2 minutos, os fluxos de rede existentes através do GSA são interrompidos até que o utilizador inicie sessão com êxito no cliente GSA.