Оценка универсального непрерывного доступа (предварительная версия)

Универсальная оценка непрерывного доступа (CAE) — это функция платформы глобального безопасного доступа (GSA), которая работает вместе с идентификатором Microsoft Entra, чтобы гарантировать, что доступ к краю GSA проверяется каждый раз, когда устанавливается подключение к новому ресурсу приложения. Универсальный ЦС защищает маркеры доступа GSA от кражи и воспроизведения. Универсальный ЦС отменяет и отменяет доступ к сети практически в режиме реального времени, когда идентификатор Записи обнаруживает изменения удостоверения. Для использования традиционного ЦС ID Entra необходимо, чтобы каждая рабочая нагрузка применяла специальные библиотеки и ограничивается только сторонними приложениями. Универсальный ЦС расширяет преимущества ЦС для любого приложения, доступ к которому имеет глобальный безопасный доступ, не требуя, чтобы приложение было осведомлено о ЦС.

Преимущества универсального ЦС

Ниже приведены некоторые примеры того, как универсальная ЦС обеспечивает преимущества вашей организации при обнаружении идентификатора записи и активации CAE в практически в режиме реального времени:

• Частный доступ — сеанс пользователя через удаленный рабочий стол, доступ к файловых серверам и доступ ко всем частным ресурсам, защищенным приватным доступом, прерывается, что снижает риск кражи данных у уходящего сотрудника или вредоносной инсайдерской деятельности.
• Доступ к Интернету — доступ пользователей ко всем интернет-ресурсам, включая службы, которые могут содержать корпоративные данные, такие как службы общего доступа к файлам, а также средства совместной работы компании, сокращают риск кражи данных у уходящего сотрудника.
• Службы Майкрософт — в то время как многие службы Майкрософт уже используют CAE в собственном коде, существуют некоторые приложения, которые не используются. При использовании универсального ЦС доступ пользователя к приложениям Майкрософт прерывается независимо от осведомленности приложения о ЦС.
• Вы можете требовать, чтобы пользователи были в определенных сетях, прежде чем разрешить им подключаться к службам с помощью GSA, предотвращая перемещение в другую сеть даже после первоначальной проверки подлинности туннеля. В этом сценарии, когда пользователь изменяет сети, сетевой доступ через GSA повторно выполняется и политики условного доступа на основе расположения переоценены.
• Необязательный режим строгого применения, настроенный в условном доступе, защищает от кражи и воспроизведения маркеров доступа GSA. Если воспроизведение маркера пытается использовать другой IP-адрес, отличный от исходного IP-адреса, используемого во время проверки подлинности, сетевой доступ блокируется.

Принцип работы

Глобальный безопасный доступ использует маркеры доступа к идентификаторам записи для проверки подлинности в туннелях служб (трафик Майкрософт, Интернет-доступ и профили пересылки трафика частного доступа). Маркеры доступа допустимы в диапазоне от 60 до 90 минут. Перед истечением срока действия маркера доступа клиент GSA использует маркер обновления идентификатора записи для получения нового маркера доступа.

В спецификации OAuth2 маркеры доступа действительны до истечения срока действия. Например, при отключении учетной записи пользователя Entra ID делает токены обновления недействительными немедленно, но срок действия маркеров доступа GSA истекает до 90 минут.

При использовании универсального ЦС изменения удостоверения пользователя передаются в глобальный безопасный доступ практически в режиме реального времени. Несмотря на то, что маркер доступа по-прежнему действителен, Global Secure Access отправляет специальный вызов утверждений пользователю, требуя повторной проверки подлинности пользователя. Если пользователь не может завершить проверку подлинности идентификатора Записи, доступ к сети через GSA блокируется. Универсальный ЦС сокращает интервал времени между изменением состояния учетной записи идентификатора Записи и требует повторной проверки подлинности пользователя, что снижает риск кражи данных у уходящего сотрудника.

Идентификатор Microsoft Entra ID сигналов, которые активируют повторную проверку подлинности универсального ЦС

Глобальный безопасный доступ включен для получения сигналов от идентификатора Entra в режиме почти в режиме реального времени для следующих событий:

• удаление или отключение учетной записи пользователя;
• изменение или сброс пароля пользователя;
• Многофакторная проверка подлинности включена для пользователя
• явный отзыв всех маркеров обновления для пользователя администратором;
• Высокий риск пользователя, обнаруженный Защита идентификации Microsoft Entra

После получения события безопасности клиент Global Secure Access предложит пользователю повторно пройти проверку подлинности. Если повторная проверка подлинности выполнена успешно, сетевое подключение пользователя к ресурсам, защищенным глобальным безопасным доступом, восстанавливается.

Строгий режим принудительного применения

В режиме строгого применения универсальный ЦС немедленно останавливает доступ, если IP-адрес, обнаруженный поставщиком ресурсов, не разрешен политикой условного доступа. Этот параметр является самым высоким модальность безопасности применения расположения ЦС И требует, чтобы администраторы понимали маршрутизацию запросов проверки подлинности и доступа в своей сетевой среде. Если включено строгое применение, доступ к службам Global Secure Access возможен только в том случае, если пользователи подключаются к службе GSA из диапазонов IP-адресов, авторизованных вашей организацией.

Отключение универсального ЦС

Условный доступ к идентификатору записи можно использовать для управления поведением ЦС в клиенте. По умолчанию CAE включен для всех приложений, поддерживающих его. Вы можете отключить CAE в клиенте идентификатора записи, который отключит CAE для всех служб, включая глобальный безопасный доступ. Чтобы отключить CAE в клиенте, выполните действия, описанные в документации по условному доступу .

Примечание.

Универсальный ЦС является оппортунистическим, если необязательный режим строгого применения включен в условном доступе и применяется к удостоверениям рабочей нагрузки GSA. По умолчанию поддерживаемые клиенты глобального безопасного доступа будут пытаться получить маркер доступа CAE из идентификатора записи. Если маркер CAE не может быть получен из идентификатора записи (например, из-за неподдерживаемой версии клиента), будет выдан обычный маркер доступа. При резервном поведении не должно быть необходимости отключить универсальный ЦС.

Известные ограничения

Эта функция имеет одно или несколько известных ограничений. Для получения более подробной информации об известных проблемах и ограничениях этой функции см. Известные ограничения глобального безопасного доступа.

Связанный контент

• Оценка непрерывного доступа в Microsoft Entra
• Элементы управления сеансами в политике условного доступа
• Принудительное применение строгого расположения для оценки непрерывного доступа в идентификаторе Microsoft Entra
• Клиент глобального безопасного доступа для Windows