Vanliga frågor och svar om global säker åtkomst

Om du har aktiverat begränsningar för universell klientorganisation och har åtkomst till administrationscentret för Microsoft Entra för en av de tillåtna klientorganisationer som visas visas felet "Åtkomst nekad". Lägg till funktionsflaggan i administrationscentret för Microsoft Entra: ?feature.msaljs=true&exp.msaljsexp=true. Du arbetar till exempel för Contoso och du har angett Fabrikam som en partnerklientorganisation. Du ser felmeddelandet för Fabrikam-klientorganisationens Administrationscenter för Microsoft Entra. Om du fick felmeddelandet "åtkomst nekad" för den här URL:en lägger https://entra.microsoft.com/ du till funktionsflaggan på följande sätt: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

B2B-inloggningar stöds endast när användaren kommer åt tjänsten från en enhet som är Microsoft Entra-ansluten. Microsoft Entra-klientorganisationen måste matcha användarnas inloggningsuppgifter. En person arbetar till exempel på Fabrikam och arbetar med ett projekt för Contoso. Contoso gav personen en enhet och en Contoso-identitet, till exempel v-Bob@contoso.com. Om du vill komma åt Contosos globala säkra åtkomst med hjälp av Contoso-enheten kan personen använda antingen Bob@Fabrikam.com eller v-Bob@Contoso.com. Personen kan dock inte använda Fabrikam-enheten som är ansluten till Fabrikam-klientorganisationen för att få åtkomst till Contosos globala säkra åtkomst.

Säkra Web Gateway-funktioner som en del av Microsoft Entra Internet Access och andra SSE-plattformar (Security Service Edge) levererar avancerade nätverkssäkerhetsvärden från molngränsen för alla användare som ansluter till alla program. Microsofts SSE-lösning utnyttjar specifikt djup integrering med Microsoft Entra-ID för att ge identitets- och kontextmedvetenhet till detaljerade nätverkssäkerhetsprinciper. Dessutom ger SSE-plattformar rikare kontroller och djupare synlighet via TLS-inspektion (Transport Layer Security), vilket gör det möjligt för dessa plattformar att inspektera och tillämpa säkerhetsprinciper på paketet. EDR-plattformar (Endpoint Detection and Response) som Microsoft Defender för Endpoint tillhandahålla enhetsmedveten säkerhetsvärde för hanterade enheter. Med de här principerna kan du rikta in dig på enheter eller enhetsgrupper i stället för användarbaserade identitetskonstruktioner. EDR-plattformar ger också synlighet via avancerade jaktfunktioner. Det är bäst att använda både nätverks- och slutpunktsskyddskontroller tillsammans för att uppnå ett djupgående skydd. Om en EDR-plattform används tillsammans med Microsoft Entra Internet Access tillämpas EDR-plattformens principer på enheten alltid innan de når molngränsen, där Microsoft Entra Internet Access-principer tillämpas.

För närvarande föredras IPv4 framför IPv6. Om du stöter på problem inaktiverar du IPv6. Mer information finns i Önskad IPv4.

Ja, det finns en uppsättning Microsoft Graph-API:er tillgängliga för att hantera aspekter av Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst. Mer information om dessa API:er finns i artikeln Skydda åtkomst till molnbaserade, offentliga och privata appar med hjälp av API:er för nätverksåtkomst i Microsoft Graph.

Det finns två skyddsmekanismer för detta som finns i dag:

• Varje nätverksflöde som kommer till anslutningsappen måste ha en giltig token för en Entra 3P-app. Dessutom kan målet bara vara ett av de appsegment som konfigurerats i den här 3P-appen. Nätverkstunneln som ansluter anslutningsappen till vår tjänst i molnet behöver den här apptoken för varje nätverksflöde till anslutningsappen för att anslutningsappen ska ta emot trafiken. Även om vissa Microsoft-tekniker skulle försöka skicka trafiken till anslutningsappen, utan den här giltiga token, levereras inte den här trafiken till anslutningsappen.
• Till skillnad från App Proxy, där kommunikationen mellan Connector och serverdelstjänsten var en https-transaktion, är nätverkskommunikationen med global säker åtkomst mellan anslutningsprogram och tjänst en mTLS-tunnel som använder ett tjänstfäst certifikat. Det innebär att trafiken mellan vår tjänst och anslutningsapp, till skillnad från appproxy, inte är öppen för B-&I och förhindrar MiTM-attacker (Man-in-the-Middle).

Se till att du återställer BGP IP-adresserna mellan CPE och global säker åtkomst. Om du till exempel har angett den lokala BGP IP-adressen som 1.1.1.1 och Peer BGP IP-adressen som 0.0.0.0 för CPE, byter du sedan värdena i Global säker åtkomst. Den lokala BGP-IP-adressen i Global Säker åtkomst är alltså 0.0.0.0 och Peer GBP IP-adressen är 1.1.1.1.

Microsoft Entra Internet Access och Microsoft Defender för Endpoint använder båda liknande kategoriseringsmotorer, med några distinkta skillnader. Microsoft Entra Internet Access-motorn syftar till att tillhandahålla en giltig kategorisering av varje slutpunkt på Internet, medan Microsoft Defender för Endpoint stöder en mindre lista över webbplatskategorier som fokuserar på kategorier av webbplatser som kan medföra ansvar för den organisation som driver slutpunkten. Det innebär att många webbplatser inte kategoriseras, och en organisation som vill tillåta eller neka åtkomst måste manuellt skapa en nätverksindikator för webbplatsen.