编辑

通过

全球安全访问常见问题解答

  • 常见问题解答

与属于全球安全访问的 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问相关的常见问题解答。

常见平台问题

尝试访问我有权访问的租户时收到错误。

如果已启用通用租户限制,并访问允许列表中的某个租户的 Microsoft Entra 管理中心,则可能会看到“拒绝访问”错误。 将功能标志添加到 Microsoft Entra 管理中心:?feature.msaljs=true&exp.msaljsexp=true。 例如,你为 Contoso 工作,并且将 Fabrikam 作为合作伙伴租户加入允许列表。 你会看到 Fabrikam 租户的 Microsoft Entra 管理中心的错误消息。 如果收到 URL https://entra.microsoft.com/ 的“拒绝访问”错误消息,请添加功能标志,如下所示:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

全球安全访问是否允许 B2B 登录?

仅当用户从已加入 Microsoft Entra 的设备访问服务时,才支持 B2B 登录。 Microsoft Entra 租户必须与用户登录凭据匹配。 例如,一个人在 Fabrikam 工作,正在为 Contoso 处理一个项目。 Contoso 为其提供了设备和 Contoso 标识,例如 v-Bob@contoso.com。 要使用 Contoso 设备访问 Contoso 的全球安全访问,该人员可以使用 Bob@Fabrikam.comv-Bob@Contoso.com。 但是,其无法使用已联接 Fabrikam 租户的 Fabrikam 设备来访问 Contoso 的全球安全访问。

安全服务边缘(SSE)与终结点检测和响应(EDR)平台之间的区别是什么?

作为 Microsoft Entra Internet Access 和其他安全服务边缘(SSE)平台的一部分,安全 Web 网关功能为连接到任何应用程序的所有用户提供云边缘的高级网络安全价值。 Microsoft的 SSE 解决方案专门利用与 Microsoft Entra ID 的深度集成,使标识和上下文感知细化网络安全策略。 此外,SSE 平台通过传输层安全性(TLS)检查提供更丰富的控件和更深入的可见性,使这些平台能够检查和强制执行数据包上的安全策略。 终结点检测和响应(EDR)平台(例如 Microsoft Defender for Endpoint 为托管设备提供设备感知安全价值。 这些策略允许你以设备或设备组为目标,而不是基于用户的标识构造。 EDR 平台还通过高级搜寻功能提供可见性。 最好同时使用网络和终结点保护控制来实现深度防御方法。 如果将 EDR 平台与 Microsoft Entra Internet Access 一起使用,则会在到达云边缘之前始终强制实施 EDR 平台的设备策略,其中Microsoft Entra Internet Access 策略强制执行。

全球安全访问是否支持 IPv6?

目前,IPv4 优先于 IPv6。 如果遇到问题,请禁用 IPv6。 有关详细信息,请参阅首选的 IPv4

是否可以使用 Microsoft Graph API 管理全球安全访问?

是,有一组 Microsoft Graph API 可用于管理 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问的各个方面。 有关这些 API 的详细信息,请参阅使用 Microsoft Graph 网络访问 API 保护对云、公共和专用应用的访问一文。

专用访问

我们如何保证没有Microsoft工程师(或假装是工程师)可以拨打客户应用程序之一的电话?

目前存在两个安全措施:

  • 连接器的每个网络流都必须具有 Entra 3P 应用的有效令牌。 此外,目标只能是此 3P 应用中配置的应用段之一。 将连接器连接到云中的服务的网络隧道需要此应用令牌,以便连接器能够接收流量的每个网络流。 因此,即使一些Microsoft工程师尝试将流量发送到连接器,如果没有此有效令牌,此流量也不会传递到连接器。
  • 与应用代理不同,连接器与后端服务之间的通信是 https 事务,连接器和服务之间的全局安全访问的网络通信是使用服务固定证书的 mTLS 隧道。 这意味着,与应用代理不同,服务与连接器之间的流量对于 B&I 不开放,并阻止 MiTM(中间人)攻击。

远程网络

我配置了客户本地设备 (CPE) 和全球安全访问,但两者未连接。 我指定了本地和对等边界网关协议 (BGP) IP 地址,但连接无效。

确保已反转 CPE 与全球安全访问之间的 BGP IP 地址。 例如,如果为 CPE 将本地 BGP IP 地址指定为 1.1.1.1,将对等 BGP IP 地址指定为 0.0.0.0,则需要在全球安全访问中交换这些值。 所以,全球安全访问中的本地 BGP IP 地址为 0.0.0.0,对等 GBP IP 地址为 1.1.1.1。

上网

Microsoft Entra Internet Access Web 类别与 Microsoft Defender for Endpoint Web 类别之间的区别是什么?

Microsoft Entra Internet Access 和 Microsoft Defender for Endpoint 都利用类似的分类引擎,但存在一些不同的差异。 Microsoft Entra Internet 访问引擎旨在提供 Internet 上每个终结点的有效分类,而 Microsoft Defender for Endpoint 支持较小的网站类别列表,重点介绍可能对运行终结点的组织造成责任的网站类别。 这意味着许多网站未分类,希望允许或拒绝访问的组织必须手动为站点创建网络指示器。