Global Secure Access 入门
全局安全访问作为 Microsoft 的安全服务边缘,是 Microsoft Entra 管理中心的集中位置,可在其中配置和管理这些功能。 许多功能和设置同时适用于 Microsoft Entra 专用访问和 Microsoft Entra Internet 访问。 一些功能特定于两者之一。
本指南可帮助你开始首次配置这两种服务。
先决条件
与全局安全访问功能交互的管理员必须具有全局安全访问管理员角色。 一些功能可能还需要其他角色。
若要遵循最低特权零信任原则,请考虑使用 Privileged Identity Management (PIM) 即时激活特权角色分配。
产品需要经过许可。 有关详细信息,请参阅什么是全球安全访问的许可部分。 如果需要,可以购买许可证或获取试用许可证。 要使用 Microsoft 流量转发配置文件,建议使用 Microsoft 365 E3 许可证。 正式发布后,Microsoft Entra 专用访问和 Microsoft Entra Internet 访问可能需要不同的许可证。
全局安全访问的某些功能可能存在限制,相关文章中对此进行了定义。
访问 Microsoft Entra 管理中心
全局安全访问是 Microsoft Entra 管理中心中的区域,可以在其中配置和管理 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问。
如果遇到访问问题,请参阅此有关租户限制的常见问题解答。
Microsoft Entra 互联网访问
Microsoft Entra Internet 访问可隔离 Microsoft 应用程序和资源(例如 Exchange Online 和 SharePoint Online)的流量。 用户可以通过连接到全局安全访问客户端或通过远程网络(例如在分支机构位置)来访问这些资源。
安装客户端以获取 Microsoft 365 流量
完成这四个步骤后,在 Windows 设备上安装了全局安全访问客户端的用户可以从任何地方安全地访问 Microsoft 资源。 条件访问策略要求用户在访问 Exchange Online 和 SharePoint Online 时使用全局安全访问客户端或配置的远程网络。
创建远程网络、应用条件访问并查看日志
完成这些可选步骤后,如果用户通过你创建的远程网络进行连接且满足添加到条件访问策略中的条件,则无需全局安全访问客户端即可连接到 Microsoft 服务。
Microsoft Entra 专用访问
Microsoft Entra 专用访问提供安全、零信任的访问解决方案,无需 VPN 即可访问内部资源。 配置快速访问并启用专用访问流量转发配置文件以指定要通过 Microsoft Entra 专用访问路由的网站和应用程序。 此时,必须在最终用户设备上安装全局安全访问客户端才能使用 Microsoft Entra 专用访问,因此本节包含该步骤。
配置对主要专用资源的快速访问
设置快速访问,以便使用 Microsoft Entra 专用访问更广泛地访问网络。
完成这四个步骤后,在 Windows 设备上安装了全局安全访问客户端的用户即可通过快速访问应用和专用网络连接器连接到主要资源。
配置全局安全访问应用程序以实现每个应用程序对专用资源的访问
使用 Microsoft Entra 专用访问创建特定的专用应用,以实现对专用访问资源的精细分段访问。
完成这些步骤后,在 Windows 设备上安装了全局安全访问客户端的用户即可通过全局安全访问应用和专用网络连接器连接到专用资源。
可选:
后续步骤
若要开始使用 Microsoft Entra Internet 访问,请首先启用 Microsoft 流量转发配置文件。
若要开始使用 Microsoft Entra 专用访问,请首先为快速访问应用配置专用网络连接器组。