什么是 Global Secure Access?

重要

全球安全访问的某些功能目前以预览版提供。 有关 beta 版本、预览版或其他尚未正式发布的版本的功能所适用的法律条款,请参阅产品条款

人们工作的方式发生了变化。 现在,人们不再囿于传统的办公室,而是在几乎任何地方工作。 随着应用程序和数据移动到云中,需要为现代员工提供标识感知、云交付的网络外围。 这种新的网络安全类别被称为安全服务边缘 (SSE)。

Microsoft Entra Internet 访问和 Microsoft Entra 专用访问由 Microsoft 的安全服务边缘 (SSE) 解决方案组成。 全球安全访问是 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问使用的统一术语。 全局安全访问是 Microsoft Entra 管理中心的统一位置。 全球安全访问建立在零信任的核心原则基础上,使用最小特权、进行显式验证,并假设存在违规行为。

全球安全访问解决方案的示意图,描绘了标识和远程网络如何通过服务连接到 Microsoft 资源、专用资源和公共资源。

Microsoft 的安全服务边缘 (SSE) 解决方案

Microsoft Entra Internet 访问和 Microsoft Entra 专用访问再加上 Microsoft Defender for Cloud Apps(我们以 SaaS 安全为中心的云访问安全代理 [CASB]),采用独特的方式构建成为一种涵盖网络、标识和终结点访问控制的解决方案,让你能够在任何地方安全地访问任何应用或资源。 在这些全球安全访问产品的加持下,Microsoft Entra ID 简化了访问和策略管理,并支持员工、业务合作伙伴和数字工作负载访问业务流程。 即使权限或风险级别发生变化,你也可实时地持续监视和调整用户访问权限。

有了全球安全访问功能,可通过一个统一的门户更轻松地推出和管理访问控制功能。 全球安全访问功能由 Microsoft 的广域网提供,覆盖 140 多个区域和 190 多个网络边缘位置。 这个专用网络是全球最大的网络之一,使组织能够以最佳方式无缝、安全地将用户和设备连接到公共和专用资源。 有关当前接入点的列表,请参阅“全球安全访问接入点”一文

Microsoft Entra Internet 访问

Microsoft Entra Internet 访问可保护对 Microsoft 服务、SaaS 和公共 Internet 应用的访问,同时保护用户、设备和数据免受 Internet 威胁。 除了快速无缝地访问 Microsoft 365 应用,还有一流的安全性和可见性。 可通过 Microsoft Entra Internet 访问中以标识为中心、设备感知且云交付的安全 Web 网关 (SWG) 安全地访问公共 Internet 应用。

关键功能

  • 从桌面客户端或远程网络(例如分支位置)获取网络流量。 与非 Microsoft SSE 解决方案并排部署。 用户感知型公共 Internet 流量转发配置文件。 预填充 Microsoft 365 流量转发配置文件。
  • 利用丰富的上下文感知(用户、设备、位置、风险和合规性策略),同时通过与条件访问集成来应用网络安全策略。 保护用户对公共 Internet 的访问,同时利用 Microsoft 的云交付、标识感知 SWG 解决方案。
  • 启用 Web 内容筛选,根据 web 内容类别和 FQDN 域名来规范对 Internet 目标的访问。
  • 通过与条件访问会话控件集成,为所有 Internet 目标应用通用条件访问策略,即使未与Microsoft Entra ID 联合也是如此。
  • 通过对租户的合规网络检查(内置于条件访问中),防止被盗令牌的重放。 避免通过固定用户和降低工作效率来实现基于位置的安全检查。 此外,还防止针对 SaaS 应用程序的 SSE 绕过。
  • 应用通用租户限制,防止数据外泄到未授权的外部租户或个人帐户。
  • 在条件访问策略、Microsoft Entra ID 保护风险检测和 Entra ID 登录日志中还原原始用户源 IP。
  • 详细的网络流量日志(包括强制性策略详细信息)。 多种仪表板,例如用户、设备和终结点之间的关系映射、跨租户访问和使用中的顶级网络目标。

Microsoft Entra 专用访问

通过 Microsoft Entra 专用访问,用户无论是在办公室还是远程工作,都能安全访问专用的公司资源。 Microsoft Entra 专用访问基于 Microsoft Entra 应用程序代理的功能构建,并将访问权限扩展到任何专用资源、端口和协议。

远程用户无需 VPN,即可从任何设备和网络跨混合和多云环境、专用网络和数据中心连接到专用应用。 该服务提供基于条件访问策略的按应用自适应访问,实现比 VPN 更精细的安全性。

关键功能

  • 基于零信任原则访问一系列 IP 地址和/或完全限定的域名 (FQDN),无需旧的 VPN。 此功能称为快速访问。
  • 传输控制协议 (TCP) 和用户数据报协议 (UDP) 应用程序的按应用访问。
  • 通过深度条件访问集成实现旧应用身份验证的现代化。
  • 通过从桌面客户端获取网络流量并与现有非 Microsoft SSE 解决方案并排部署,提供无缝的最终用户体验。

许可概述

Microsoft Entra Internet 访问和 Microsoft Entra 专用访问现已正式发布。 使用 Internet 访问功能需要 Microsoft Entra Internet 访问许可证,并且使用专用访问功能需要 Microsoft Entra 专用访问许可证。 这两个许可证均在 Microsoft Entra 套件中提供。 若要详细了解许可成本和Microsoft Entra 套件,请参阅 Microsoft Entra 计划和定价。 若要详细了解如何购买单个许可证,请参阅许可页面的“Microsoft Entra 套件独立产品”选项卡。

使用 Microsoft Entra 专用访问和 Microsoft Entra Internet 访问的先决条件是 Microsoft Entra ID P1 或 Microsoft Entra ID P2。

重要

Microsoft Entra 专用访问和 Microsoft Entra Internet 访问的许可实施将于 2024 年 10 月 1 日开始推出。 这是继 2024 年 7 月 1 日正式版后推出的 90 天试用期。

远程网络许可

虽然我们仍在确定远程网络的许可模型,但我们希望为你提供最新的指导和建议,以确保你的 Microsoft 流量部署获得最佳性能。 Microsoft 建议为 1250 个用户的 Microsoft 流量提供 250 Mbps 带宽。 如果使用量超出建议的限制,可能会收取额外的费用。 若要了解有关远程网络的详细信息,请参阅如何使用全球安全访问创建远程网络

后续步骤