Universell villkorlig åtkomst via global säker åtkomst
Förutom att skicka trafik till global säker åtkomst kan administratörer använda principer för villkorsstyrd åtkomst för att skydda trafikprofiler. De kan blanda och matcha kontroller efter behov som att kräva multifaktorautentisering, kräva en kompatibel enhet eller definiera en acceptabel inloggningsrisk. Om du tillämpar dessa kontroller på nätverkstrafik kan inte bara molnprogram använda det vi kallar universell villkorlig åtkomst.
Villkorlig åtkomst på trafikprofiler ger administratörer enorm kontroll över sin säkerhetsstatus. Administratörer kan framtvinga Nolltillit principer med hjälp av principer för att hantera åtkomst till nätverket. Användning av trafikprofiler möjliggör konsekvent tillämpning av principer. Till exempel kan program som inte stöder modern autentisering nu skyddas bakom en trafikprofil.
Med den här funktionen kan administratörer konsekvent tillämpa principer för villkorsstyrd åtkomst baserat på trafikprofiler, inte bara program eller åtgärder. Administratörer kan rikta in sig på specifika trafikprofiler – Microsofts trafikprofil, privata resurser och Internetåtkomst med dessa principer. Användare kan bara komma åt dessa konfigurerade slutpunkter eller trafikprofiler när de uppfyller de konfigurerade principerna för villkorsstyrd åtkomst.
Förutsättningar
- Administratörer som interagerar med funktioner för global säker åtkomst måste ha en eller flera av följande rolltilldelningar beroende på vilka uppgifter de utför.
- Rollen Global administratör för säker åtkomst för att hantera funktionerna för global säker åtkomst.
- Administratören för villkorlig åtkomst för att skapa och interagera med principer för villkorsstyrd åtkomst.
- Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.
Begränsningar för känd tunnelauktorisering
Både profiler för vidarebefordran av Microsoft- och Internetåtkomst använder principer för villkorsstyrd åtkomst för Microsoft Entra-ID för att tillåta åtkomst till tunnlarna i den globala klienten för säker åtkomst. Det innebär att du kan bevilja eller blockera åtkomst till Microsofts profiler för vidarebefordran av trafik och Internetåtkomst i villkorsstyrd åtkomst. I vissa fall när auktorisering till en tunnel inte beviljas kräver återställningssökvägen för att få åtkomst till resurser åtkomst till mål på antingen Microsoft-trafik- eller Internetåtkomstsvidarebefordringsprofilen, vilket låser en användare från att komma åt något på sin dator.
Ett exempel är att om du blockerar åtkomsten till målresursen för Internetåtkomst på inkompatibla enheter lämnar du Microsoft Entra internetåtkomst användare som inte kan återställa sina enheter till efterlevnad. Sättet att åtgärda det här problemet är att kringgå nätverksslutpunkter för Microsoft Intune och andra mål som används i skript för anpassad efterlevnadsidentifiering för Microsoft Intune. Du kan utföra den här åtgärden som en del av anpassad förbikoppling i vidarebefordransprofilen för Internetåtkomst.
Andra kända begränsningar
- Utvärdering av kontinuerlig åtkomst stöds för närvarande inte för universell villkorlig åtkomst för Microsoft-trafik.
- Det finns för närvarande inte stöd för att tillämpa principer för villkorsstyrd åtkomst på trafik med privat åtkomst. Om du vill modellera det här beteendet kan du tillämpa en princip för villkorsstyrd åtkomst på programnivå för snabbåtkomst och globala appar för säker åtkomst. Mer information finns i Tillämpa villkorlig åtkomst på privata åtkomstappar.
- Microsoft-trafik kan nås via fjärrnätverksanslutning utan global säker åtkomstklient; men principen för villkorsstyrd åtkomst tillämpas inte. Med andra ord tillämpas principer för villkorsstyrd åtkomst för Microsoft-trafik med global säker åtkomst endast när en användare har den globala klienten för säker åtkomst.
Principer för villkorlig åtkomst
Med villkorsstyrd åtkomst kan du aktivera åtkomstkontroller och säkerhetsprinciper för nätverkstrafiken som hämtas av Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst.
- Skapa en princip som riktar sig mot all Microsoft-trafik.
- Tillämpa principer för villkorsstyrd åtkomst på dina privata åtkomstappar, till exempel Snabbåtkomst.
- Aktivera global signal för säker åtkomst i villkorsstyrd åtkomst så att källans IP-adress visas i lämpliga loggar och rapporter.
Flödesdiagram för Internetåtkomst
I följande exempel visas hur Microsoft Entra internetåtkomst fungerar när du tillämpar principer för universell villkorlig åtkomst på nätverkstrafik.
Kommentar
Microsofts Security Service Edge-lösning består av tre tunnlar: Microsoft-trafik, Internetåtkomst och privat åtkomst. Universell villkorlig åtkomst gäller för Internetåtkomst och Microsoft-trafiktunnlar. Det finns inte stöd för att rikta in sig på den privata åtkomsttunneln. Du måste rikta in dig på företagsprogram för privat åtkomst.
Följande flödesdiagram illustrerar universell villkorlig åtkomst som riktar sig till Internetresurser och Microsoft-appar med global säker åtkomst.
| Steg | Description |
|---|---|
| 1 | Global Secure Access-klienten försöker ansluta till Microsofts Security Service Edge-lösning. |
| 2 | Klienten omdirigerar till Microsoft Entra-ID för autentisering och auktorisering. |
| 3 | Användaren och enheten autentiserar. Autentisering sker sömlöst när användaren har en giltig primär uppdateringstoken. |
| 4 | När användaren och enheten har autentiserats tillämpas principen för universell villkorlig åtkomst. Principer för universell villkorlig åtkomst riktar sig mot etablerade Microsoft- och Internettunnlar mellan global säker åtkomst-klienten och Microsoft Security Service Edge. |
| 5 | Microsoft Entra-ID utfärdar åtkomsttoken för Global Secure Access-klienten. |
| 6 | Global Secure Access-klienten visar åtkomsttoken till Microsoft Security Service Edge. Token verifieras. |
| 7 | Tunnlar upprättas mellan Global Secure Access-klienten och Microsoft Security Service Edge. |
| 8 | Trafiken börjar hämtas och dirigeras till målet via Microsoft- och Internetåtkomsttunnlarna. |
Kommentar
Rikta in dig på Microsoft-appar med global säker åtkomst för att skydda anslutningen mellan Microsoft Security Service Edge och klienten global säker åtkomst. För att säkerställa att användarna inte kan kringgå Microsoft Security Service Edge-tjänsten skapar du en princip för villkorsstyrd åtkomst som kräver kompatibelt nätverk för dina Microsoft 365 Enterprise-program.
Användarupplevelse
När användare loggar in på en dator med global säker åtkomstklient installerad, konfigurerad och körs för första gången uppmanas de att logga in. När användare försöker komma åt en resurs som skyddas av en princip. Precis som i föregående exempel tillämpas principen och de uppmanas att logga in om de inte redan har gjort det. Om du tittar på systemfältets ikon för den globala säkra åtkomstklienten ser du en röd cirkel som anger att den är utloggad eller inte körs.
När en användare loggar in på den globala säkra åtkomstklienten har en grön cirkel som du är inloggad i och klienten körs.
