Включение проверки соответствующих сетей с помощью условного доступа
Организации, использующие условный доступ вместе с глобальным безопасным доступом, могут предотвратить вредоносный доступ к приложениям Майкрософт, сторонним приложениям SaaS и частным бизнес-приложениям (LoB), используя несколько условий для обеспечения защиты. Эти условия могут включать соответствие устройств, расположение и многое другое, чтобы обеспечить защиту от кражи удостоверений пользователей или маркеров. Глобальный безопасный доступ представляет концепцию соответствующей сети в условном доступе Microsoft Entra ID. Эта проверка соответствующей сети гарантирует, что пользователи подключаются из проверенной модели сетевого подключения для конкретного клиента и соответствуют политикам безопасности, применяемым администраторами.
Клиент глобального безопасного доступа, установленный на устройствах или пользователях за настроенными удаленными сетями, позволяет администраторам защищать ресурсы за соответствующей сетью с расширенными элементами управления условным доступом. Эта сетевая функция упрощает управление политиками доступа администраторами без необходимости поддерживать список IP-адресов исходящего трафика. Это удаляет требование к закреплению трафика через VPN организации.
Принудительное применение проверки сети соответствия требованиям
Соответствие требованиям сетевого применения снижает риск кражи и воспроизведения маркеров. Соблюдение требований к сети выполняется на плоскости проверки подлинности (общедоступная версия) и на плоскости данных (предварительная версия). Принудительное применение плоскости проверки подлинности выполняется идентификатором Microsoft Entra во время проверки подлинности пользователя. Если злоумышленник украл токен сеанса и пытается воспроизвести его с устройства, которое не подключено к соответствующей сети вашей организации (например, запрашивая маркер доступа с украденным маркером обновления), идентификатор записи немедленно отклонит запрос, а дальнейший доступ будет заблокирован. Принудительное применение плоскости данных работает со службами, поддерживающими оценку непрерывного доступа (CAE) — в настоящее время только SharePoint Online. С приложениями, поддерживающими CAE, украденные маркеры доступа, которые воспроизводится за пределами соответствующей сети клиента, будут отклонены приложением практически в режиме реального времени. Без ЦС, украденный маркер доступа будет длиться до полного времени существования (по умолчанию 60–90 минут).
Эта проверка сети соответствует каждому клиенту.
- С помощью этой проверки можно убедиться, что другие организации, использующие службы Глобального безопасного доступа Майкрософт, не могут получить доступ к вашим ресурсам.
- Например, Компания Contoso может защитить свои службы, такие как Exchange Online и SharePoint Online, после проверки соответствующих сетей, чтобы обеспечить доступ только к этим ресурсам пользователям Contoso.
- Если другая организация, например Fabrikam, использовала соответствующую проверку сети, она не пройдет проверку сети, совместимой с Contoso.
Соответствующая сеть отличается от IPv4, IPv6 или географических расположений , которые можно настроить в Microsoft Entra. Администраторы не требуют проверки и поддержания совместимых сетевых IP-адресов и диапазонов, укрепления состояния безопасности и минимизации текущих административных расходов.
Необходимые компоненты
- Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
- Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
- Администратор условного доступа для создания и взаимодействия с политиками условного доступа и именованных расположений.
- Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
Известные ограничения
- Для SharePoint Online и Exchange Online поддерживается принудительное применение плоскости данных проверки сети (предварительная версия) с помощью непрерывной оценки доступа.
- Включение сигнала условного доступа глобального безопасного доступа позволяет сигнализировать как для плоскости проверки подлинности (идентификатор Microsoft Entra ID), так и для сигнала плоскости данных (предварительная версия). В настоящее время невозможно включить эти параметры отдельно.
- Проверка сети, совместимая с соответствием, в настоящее время не поддерживается для приложений приватного доступа.
Включение сигнала глобального безопасного доступа для условного доступа
Чтобы включить необходимый параметр, разрешающий проверку соответствующей сети, администратору необходимо выполнить следующие действия.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к функции управления сеансами>>глобального безопасного доступа.>
- Выберите переключатель, чтобы включить сигнал ЦС для идентификатора записи (охватывающий все облачные приложения). Это позволит автоматически включить сигнал CAE для Office 365 (предварительная версия).
- Перейдите к именованным расположениям условного доступа>защиты>.
- Убедитесь, что у вас есть расположение Все расположения соответствующей сети с типом расположения Сетевой доступ. При необходимости организации могут пометить это расположение как доверенное.
Внимание
Если у вашей организации есть активные политики условного доступа на основе соответствующей проверки сети, и вы отключите сигнал глобального безопасного доступа в условном доступе, вы можете непреднамеренно блокировать доступ конечных пользователей к ресурсам. Если эту функцию необходимо отключить, сначала удалите все соответствующие политики условного доступа.
Защита ресурсов за соответствующей сетью
Соответствующая политика условного доступа сети может использоваться для защиты приложений Майкрософт и сторонних производителей. Типичная политика предоставляет "Блокировать" для всех сетевых расположений, кроме соответствующих сетей. В следующем примере показано, как настроить этот тип политики:
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к условному доступу к защите>.
- Выберите команду Создать политику.
- Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе Включить выберите Все пользователи.
- В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа, которые использует ваша организация.
- В разделе "Целевые ресурсы>включить" и выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
- Если ваша организация регистрирует устройства в Microsoft Intune, рекомендуется исключить приложения , зарегистрированные в Microsoft Intune , и Microsoft Intune из политики условного доступа, чтобы избежать циклической зависимости.
- В разделе "Сеть".
- Задайте для параметра Настроить значение Да.
- В разделе Включить выберите Любое место.
- В разделе "Исключить" выберите расположение всех соответствующих сетевых расположений .
- В разделе "Элементы управления доступом":
- Предоставьте, выберите "Блокировать доступ" и нажмите кнопку "Выбрать".
- Подтвердите параметры и задайте для параметра Включить политику значение Включить.
- Нажмите кнопку "Создать", чтобы создать политику.
Примечание.
Используйте глобальный безопасный доступ вместе с политиками условного доступа, для которых требуется соответствующая сеть для всех ресурсов.
Ресурсы глобального безопасного доступа автоматически исключаются из политики условного доступа, если в политике включена соответствующая сеть . Явное исключение ресурсов не требуется. Эти автоматические исключения необходимы, чтобы гарантировать, что клиент глобального безопасного доступа не блокирует доступ к необходимым ресурсам. Ниже перечислены потребности глобального безопасного доступа:
- Профили трафика глобального безопасного доступа
- Глобальная служба политики безопасного доступа (внутренняя служба)
События входа для проверки подлинности исключенных ресурсов глобального безопасного доступа отображаются в журналах входа в систему Microsoft Entra ID следующим образом:
- Интернет-ресурсы с глобальным безопасным доступом
- Приложения Майкрософт с глобальным безопасным доступом
- Все частные ресурсы с глобальным безопасным доступом
- Служба политики ZTNA
Пользовательские исключения
Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:
- Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
- Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
- Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
- Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.
Попробуйте соответствующую политику сети
- На устройстве конечного пользователя с установленным и запущенным клиентом Глобального безопасного доступа перейдите к ресурсам или
https://yourcompanyname.sharepoint.com/
получитеhttps://outlook.office.com/mail/ доступ к ресурсам. - Приостанавливать клиент глобального безопасного доступа, щелкнув правой кнопкой мыши приложение в области Windows и выбрав "Приостановить".
- https://outlook.office.com/mail/ Перейдите к ресурсам или
https://yourcompanyname.sharepoint.com/
заблокировали доступ к ресурсам с сообщением об ошибке, которое говорит, что вы не можете получить доступ к этому прямо сейчас.
Устранение неполадок
Убедитесь, что новое именованное расположение было автоматически создано с помощью Microsoft Graph.
GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations