Часто задаваемые вопросы о глобальном безопасном доступе

Если вы включили ограничения универсального клиента и обращаетесь к Центру администрирования Microsoft Entra для одного из разрешенных клиентов, вы увидите ошибку "Доступ запрещен". Добавьте флаг компонента в Центр администрирования Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true Например, вы работаете в Компании Contoso и разрешаете использовать Fabrikam в качестве клиента партнера. Появится сообщение об ошибке для центра администрирования Microsoft Entra клиента Fabrikam. Если вы получили сообщение об ошибке "отказано в доступе" для этого URL-адреса: https://entra.microsoft.com/ добавьте флаг компонента следующим образом: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

Имена входа B2B поддерживаются только в том случае, если пользователь обращается к службе с устройства, присоединенного к Microsoft Entra. Клиент Microsoft Entra должен соответствовать учетным данным входа пользователей. Например, человек работает в Fabrikam и работает над проектом компании Contoso. Компания Contoso предоставила пользователю устройство и удостоверение Contoso, например v-Bob@contoso.com. Чтобы получить доступ к глобальному безопасному доступу Contoso с помощью устройства Contoso, пользователь может использовать либо Bob@Fabrikam.comv-Bob@Contoso.com. Однако пользователь не может использовать устройство Fabrikam, присоединенное к клиенту Fabrikam, для доступа к глобальному безопасному доступу Contoso.

Возможности безопасного веб-шлюза в рамках Microsoft Entra Internet Access и других платформ SSE службы безопасности обеспечивают расширенное значение безопасности сети из облачного края для всех пользователей, подключающихся к любому приложению. Решение Microsoft SSE специально использует глубокую интеграцию с идентификатором Microsoft Entra, чтобы обеспечить осведомленность о удостоверении и контексте в детализированных политиках безопасности сети. Кроме того, платформы SSE предоставляют более широкие элементы управления и более глубокую видимость с помощью проверки протокола TLS, что позволяет этим платформам проверять и применять политику безопасности в пакете. Платформы обнаружения конечных точек и реагирования (EDR), такие как Microsoft Defender для конечной точки, обеспечивают значение безопасности с учетом устройств для управляемых устройств. Эти политики позволяют нацеливать устройства или группы устройств, а не создавать пользовательские конструкции удостоверений. Платформы EDR также обеспечивают видимость с помощью расширенных возможностей охоты. Лучше всего использовать элементы управления защиты сети и конечных точек в тандеме для обеспечения глубокой защиты. Если платформа EDR используется вместе с Microsoft Entra Internet Access, политики платформы EDR на устройстве всегда будут применяться, прежде чем достичь облачного края, где применяются политики Microsoft Entra Internet Access.

В настоящее время IPv4 предпочтителен по сравнению с IPv6. При возникновении проблем отключите IPv6. Дополнительные сведения см. в разделе IPv4, предпочитаемом.

Да, существует набор API Microsoft Graph, доступный для управления аспектами Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra. Дополнительные сведения об этих API см. в статье "Безопасный доступ к облачным, общедоступным и частным приложениям с помощью API доступа к сети Microsoft Graph".

Существует две гарантии для этого, которые существуют сегодня:

• Каждый сетевой поток, поступающий в соединитель, должен иметь допустимый маркер для приложения Entra 3P. Кроме того, назначение может быть только одним из сегментов приложений, настроенных в этом приложении 3P. Сетевой туннель, который подключает соединитель к нашей службе в облаке, требуется этот маркер приложения для каждого сетевого потока к соединителю для получения трафика. Таким образом, даже если некоторые инженеры Майкрософт пытались отправить трафик в соединитель без этого допустимого маркера, этот трафик не будет доставлен в соединитель.
• В отличие от прокси приложения, где обмен данными между соединителем и серверной службой был транзакцией https, сетевое взаимодействие с глобальным безопасным доступом между соединителем и службой — это туннель mTLS, использующий закрепленный сертификат службы. Это означает, что, в отличие от прокси приложения, трафик между службой и соединителем не открыт для B&I и предотвращает атаки MiTM (Man-in-the-Middle).

Убедитесь, что вы измените IP-адреса BGP между CPE и глобальным безопасным доступом. Например, если вы указали IP-адрес локальной BGP как 1.1.1.1 и IP-адрес BGP однорангового BGP как 0.0.0.0 для CPE, а затем замените значения в глобальном безопасном доступе. Поэтому IP-адрес локальной BGP в глобальном безопасном доступе — 0.0.0.0, а IP-адрес однорангового IP-адреса — 1.1.1.1.

Microsoft Entra Internet Access и Microsoft Defender для конечной точки используют аналогичные механизмы классификации с несколькими различиями. Подсистема Microsoft Entra Internet Access направлена на обеспечение допустимой классификации каждой конечной точки в Интернете, а Microsoft Defender для конечной точки поддерживает меньший список категорий сайтов, ориентированных на категории сайтов, которые могут привести к ответственности за организацию, которая управляет конечной точкой. Это означает, что многие сайты не классифицируются, и организация, желающая разрешить или запретить доступ, должна вручную создать индикатор сети для сайта.