什么是 Global Secure Access?
人们工作的方式发生了变化。 现在,人们不再囿于传统的办公室,而是在几乎任何地方工作。 随着应用程序和数据移动到云中,需要为现代员工提供标识感知、云交付的网络外围。 这种新的网络安全类别被称为安全服务边缘 (SSE)。
Microsoft Entra Internet 访问和 Microsoft Entra 专用访问由 Microsoft 的安全服务边缘 (SSE) 解决方案组成。 全球安全访问是 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问使用的统一术语。 全局安全访问是 Microsoft Entra 管理中心的统一位置。 全球安全访问建立在零信任的核心原则基础上,使用最小特权、进行显式验证,并假设存在违规行为。
Microsoft 的安全服务边缘 (SSE) 解决方案
Microsoft Entra Internet 访问和 Microsoft Entra 专用访问再加上 Microsoft Defender for Cloud Apps(我们以 SaaS 安全为中心的云访问安全代理 [CASB]),采用独特的方式构建成为一种涵盖网络、标识和终结点访问控制的解决方案,让你能够在任何地方安全地访问任何应用或资源。 在这些全球安全访问产品的加持下,Microsoft Entra ID 简化了访问和策略管理,并支持员工、业务合作伙伴和数字工作负载访问业务流程。 即使权限或风险级别发生变化,你也可实时地持续监视和调整用户访问权限。
有了全球安全访问功能,可通过一个统一的门户更轻松地推出和管理访问控制功能。 全球安全访问功能由 Microsoft 的广域网提供,覆盖 140 多个区域和 190 多个网络边缘位置。 这个专用网络是全球最大的网络之一,使组织能够以最佳方式无缝、安全地将用户和设备连接到公共和专用资源。 有关当前接入点的列表,请参阅“全球安全访问接入点”一文。
Microsoft Entra Internet 访问
Microsoft Entra Internet Access 保护对所有 Internet 和 SaaS 应用及资源的访问,并通过以标识为中心的安全 Web 网关(SWG),保障您的组织免受互联网威胁、恶意网络流量,以及来自不安全或不合规内容的风险。
关键功能
- 使用用户感知 Internet 流量转发配置文件,从桌面客户端或远程网络(如分支位置)获取网络流量。
- 互联网流量的详细网络日志(包括强制执行的策略详情)。 多种仪表板,例如用户、设备和终结点之间的关系映射、跨租户访问和使用中的顶级网络目标。
- 利用丰富的上下文感知(用户、设备、位置、风险和合规性策略),同时通过与条件访问集成来应用网络安全策略。 保护用户对公共 Internet 的访问,同时利用 Microsoft 的云交付、标识感知 SWG 解决方案。
- 启用 Web 内容筛选,根据 web 内容类别和 FQDN 域名来规范对 Internet 目标的访问。
- 通过与条件访问会话控件集成,为所有 Internet 目标应用通用条件访问策略,即使未与Microsoft Entra ID 联合也是如此。
适用于 Microsoft 服务的 Microsoft Entra Internet 访问
Microsoft Entra Internet Access 为 Microsoft 服务提供直接连接,以增强 Microsoft Entra ID 的功能,从而提高安全性、性能和复原能力。
主要功能
- 使用预先填充的 Microsoft 流量转发配置文件,从桌面客户端或远程网络(如分支位置)直接连接到 Microsoft 服务。
- 通过要求对具有 Microsoft Entra ID 条件访问的任何Microsoft Entra ID 集成应用程序进行合规网络检查来简化条件访问策略配置。
- 应用通用租户限制,以减少向未经授权的外国租户或个人帐户外泄数据的风险。
- 使用源 IP 还原提高Microsoft Entra ID 登录日志的威胁检测的准确性。
- Microsoft 流量的详细网络流量日志(包括强制性策略详细信息)。 多种仪表板,例如用户、设备和终结点之间的关系映射、跨租户访问和使用中的顶级网络目标。
Microsoft Entra 专用访问
通过 Microsoft Entra 专用访问,用户无论是在办公室还是远程工作,都能安全访问专用的公司资源。 Microsoft Entra 专用访问基于 Microsoft Entra 应用程序代理的功能构建,并将访问权限扩展到任何专用资源、端口和协议。
远程用户无需 VPN,即可从任何设备和网络跨混合和多云环境、专用网络和数据中心连接到专用应用。 该服务提供基于条件访问策略的按应用自适应访问,实现比 VPN 更精细的安全性。
关键功能
- 基于零信任原则访问一系列 IP 地址和/或完全限定的域名 (FQDN),无需旧的 VPN。 此功能称为快速访问。
- 传输控制协议 (TCP) 和用户数据报协议 (UDP) 应用程序的按应用访问。
- 通过深度条件访问集成实现旧应用身份验证的现代化。
- 通过从桌面客户端获取网络流量并与现有非 Microsoft SSE 解决方案并排部署,提供无缝的最终用户体验。
许可概述
Microsoft Entra Internet Access、用于 Microsoft 服务的 Microsoft Entra Internet Access 和 Microsoft Entra Private Access 现已正式发布。
- Microsoft Entra Internet Access 功能包含在 Microsoft Entra Suite 许可证和独立版中。 Microsoft Entra Internet Access 可帮助你保护对所有 Internet 和 SaaS 应用程序的访问。
- Microsoft Entra Private Access 功能包含在 Microsoft Entra Suite 许可证和独立版中。 Microsoft Entra Private Access 使用零信任网络访问(ZTNA)解决方案提升网络安全。
- Microsoft entra Internet Access for Microsoft services 功能包含在 Microsoft Entra ID P1 或 Microsoft Entra ID P2 许可证中。 适用于 Microsoft 服务的 Microsoft Entra Internet 访问增强了 Microsoft Entra ID 功能,可直接连接到受支持的 Microsoft 服务,提高了安全性、性能和复原能力。
使用 Microsoft Entra 专用访问和 Microsoft Entra Internet 访问的先决条件是 Microsoft Entra ID P1 或 Microsoft Entra ID P2。
若要详细了解许可成本和Microsoft Entra 套件,请参阅 Microsoft Entra 计划和定价。 若要详细了解如何购买单个许可证,请参阅许可页面的“Microsoft Entra 套件独立产品”选项卡。
重要
Microsoft Entra 专用访问和 Microsoft Entra Internet 访问的许可实施将于 2024 年 10 月 1 日开始推出。 这是继 2024 年 7 月 1 日正式版后推出的 90 天试用期。
远程网络许可
适用于 Microsoft 流量的 Microsoft Entra ID P1 许可证和适用于 Internet 流量的 Microsoft Entra Internet 访问许可证(即将推出)都包含远程网络(分支连接)功能。 必须总共至少包含来自 Microsoft Entra ID P1 和 Microsoft Entra Internet Access 的 50 个许可证,才能启用远程网络连接。 有关分配带宽量的详细信息,请参阅 了解远程网络连接。 若要了解有关远程网络的详细信息,请参阅如何使用全球安全访问创建远程网络。