Acesso Seguro Global Perguntas frequentes

Se você habilitou as restrições de locatário universal e acessou o centro de administração do Microsoft Entra para um dos locatários listados como permitidos, verá um erro "Acesso negado". Adicione o sinalizador de recurso ao centro de administração do Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true. Por exemplo, você trabalha para a Contoso e permitiu listar a Fabrikam como locatária parceira. Você vê a mensagem de erro para o centro de administração do Microsoft Entra do locatário da Fabrikam. Se você recebeu a mensagem de erro "acesso negado" para este URL: https://entra.microsoft.com/ em seguida, adicione o sinalizador de recurso da seguinte maneira: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Os logins B2B só são suportados quando o utilizador está a aceder ao serviço a partir de um dispositivo associado ao Microsoft Entra. O locatário do Microsoft Entra deve corresponder às credenciais de entrada dos usuários. Por exemplo, uma pessoa trabalha na Fabrikam e está trabalhando em um projeto para a Contoso. A Contoso forneceu à pessoa um dispositivo e uma identidade Contoso, como v-Bob@contoso.com. Para acessar o Acesso Seguro Global da Contoso usando o dispositivo Contoso, a pessoa pode usar um ou Bob@Fabrikam.comv-Bob@Contoso.com. No entanto, a pessoa não pode usar o dispositivo da Fabrikam que ingressou no locatário da Fabrikam para acessar o Acesso Seguro Global da Contoso.

Os recursos do Secure Web Gateway como parte do Microsoft Entra Internet Access e outras plataformas Security Service Edge (SSE) oferecem valor avançado de segurança de rede a partir da borda da nuvem para todos os usuários que se conectam a qualquer aplicativo. A Solução SSE da Microsoft aproveita especificamente a integração profunda com o Microsoft Entra ID para trazer reconhecimento de identidade e contexto para políticas granulares de segurança de rede. Além disso, as plataformas SSE fornecem controles mais avançados e visibilidade mais profunda por meio da inspeção TLS (Transport Layer Security), permitindo que essas plataformas inspecionem e apliquem a política de segurança no pacote. As plataformas EDR (Endpoint Detection and Response), como Microsoft Defender for Endpoint fornecem valor de segurança com reconhecimento de dispositivo para dispositivos gerenciados. Essas políticas permitem que você segmente dispositivos ou grupos de dispositivos, em vez de construções de identidade baseadas no usuário. As plataformas EDR também fornecem visibilidade através de capacidades avançadas de caça. É melhor usar os controles de proteção de rede e de ponto final em conjunto para obter uma abordagem de defesa em profundidade. Se uma plataforma EDR for usada em conjunto com o Microsoft Entra Internet Access, as políticas no dispositivo da plataforma EDR serão sempre aplicadas antes de chegar à borda da nuvem, onde as políticas de acesso à Internet do Microsoft Entra são aplicadas.

Neste momento, o IPv4 é preferido em relação ao IPv6. Se encontrar problemas, desative o IPv6. Para obter mais informações, consulte IPv4 preferido.

Sim, há um conjunto de APIs do Microsoft Graph disponíveis para gerenciar aspetos do Microsoft Entra Internet Access e do Microsoft Entra Private Access. Para obter mais informações sobre essas APIs, consulte o artigo Acesso seguro a aplicativos na nuvem, públicos e privados usando APIs de acesso à rede do Microsoft Graph.

Existem duas salvaguardas para isso que existem hoje:

• Cada fluxo de rede que chega ao Conector deve vir com um token válido para um aplicativo Entra 3P. Além disso, o destino pode ser apenas um dos segmentos de aplicativo configurados neste aplicativo 3P. O túnel de rede que conecta o Conector ao nosso serviço na Nuvem precisa desse token de aplicativo para cada fluxo de rede para o Conector para que o Conector receba o tráfego. Assim, mesmo que algum engenheiro da Microsoft tentasse enviar o tráfego para o conector, sem esse token válido, esse tráfego não será entregue ao conector.
• Ao contrário do Proxy de Aplicativo, onde a comunicação entre o Conector e o serviço de back-end era uma transação https, a comunicação de rede com o Acesso Seguro Global entre o Conector e o Serviço é um túnel mTLS que usa um certificado fixo de serviço. Isso significa que, ao contrário do proxy de aplicativo, o tráfego entre nosso Serviço e o Conector não está aberto para B&I e impede ataques MiTM (Man-in-the-Middle).

Certifique-se de reverter os endereços IP BGP entre o CPE e o Global Secure Access. Por exemplo, se você especificou o endereço IP BGP local como 1.1.1.1 e o endereço IP BGP ponto a ponto como 0.0.0.0 para o CPE, troque os valores em Acesso seguro global. Assim, o endereço IP BGP local no Global Secure Access é 0.0.0.0 e o endereço IP Peer GBP é 1.1.1.1.

O Microsoft Entra Internet Access e o Microsoft Defender for Endpoint utilizam mecanismos de categorização semelhantes, com algumas diferenças distintas. O mecanismo Microsoft Entra Internet Access visa fornecer uma categorização válida de cada ponto de extremidade na Internet, enquanto o Microsoft Defender for Endpoint suporta uma lista menor de categorias de sites, focada em categorias de sites que poderiam introduzir responsabilidade para a organização que opera o ponto de extremidade. Isso significa que muitos sites não são categorizados, e uma organização que deseja permitir ou negar acesso deve criar manualmente um Indicador de Rede para o site.