Microsoft Entra 部署案例 - 根據商務需求保護網際網路存取

Microsoft Entra 部署案例提供如何結合及測試這些 Microsoft Entra Suite 產品的詳細指導:

• Microsoft Entra ID Protection
• Microsoft Entra ID 控管
• Microsoft Entra 驗證識別碼 (進階功能)
• Microsoft Entra 網際網路存取
• Microsoft Entra 私人存取技術

在這些指南中，我們會描述顯示 Microsoft Entra Suite 值及其功能如何一起運作的案例。

• Microsoft Entra 部署案例簡介
• Microsoft Entra 部署案例 - 所有應用程式的員工及來賓入職、身分識別與存取生命周期治理
• Microsoft Entra 部署案例 - 使用每個應用程式的 MFA 將內部部署應用程式的遠端存取現代化

案例概觀

在本指南中，透過具有嚴格的預設網際網路存取原則的虛構組織 Contoso 為例，我們會說明如何設定 Microsoft Entra Suite 產品，並需要根據商務需求控制網際網路存取。

在說明如何設定解決方案的範例案例中，行銷部門使用者需要存取 Contoso 禁止所有使用者的社交網站。 使用者可以在 [我的存取] 中要求存取權。 經過核准，他們成為授與他們存取社交網站的群組成員。

在另一個示案和對應的解決方案中，SOC 分析師必須在特定時間存取一組高風險網際網路目的地，才能調查事件。 SOC 分析師可以在 [我的存取] 中提出要求。 核准後，他們會成為授與他們存取高風險網際網路目的地的群組成員。

您可以依照本案例的描述，為 Contoso 解決方案複製這些高階步驟。

1. 註冊 Microsoft Entra Suite。 啟用並設定 Microsoft Entra 網際網路存取，實現所需的網路和安全性設定。
2. 在使用者的裝置上部署 Microsoft全球安全存取用戶端。 啟用 Microsoft Entra 網際網路存取。
3. 使用限制性基準原則建立安全性設定檔和網路內容篩選器原則，以封鎖所有使用者的特定網頁類別和網頁目的地。
4. 建立安全性設定檔和網路內容篩選原則，以允許存取社交網站。
5. 建立可啟用 Hacking 網頁類別的安全性設定檔。
6. 使用 Microsoft Entra ID 控管以允許使用者要求使用存取套件，例如：
   • 行銷部門使用者可以要求透過每季存取權檢閱來存取社交網站。
   • SOC 小組成員可以要求存取高風險網際網路目的地，使用時間限制為8小時。
7. 使用「全球安全存取」安全設定檔中的工作階段控制功能建立和連結兩個條件式存取原則。 將政策套用於使用者群組以強制執行。
8. 確認在「全球安全存取」中使用流量日誌來適當核准流量。 確保行銷部門使用者可以在 [我的存取] 入口網站中使用存取套件。

這些是將這些解決方案一起使用的優點：

• 網際網路目的地的最低權限存取權。 透過新人/流動者/離職者的流程，限制使用者所需的網際網路資源存取，僅限於其工作角色。 這種方法可降低終端使用者和裝置遭入侵風險。
• 簡化且統一的管理。 從單一雲端式主機管理網路和安全性功能，降低維護多個解決方案和設備的複雜性和成本。
• 增強的安全性和可見度。 根據使用者和裝置身分識別和內容，以及應用程式和資料敏感度和位置，強制執行細微性和調適性存取原則。 擴充的記錄和分析提供深入解析網路和安全性態勢，以更快速地偵測及回應威脅。
• 改善使用者體驗和生產力。 提供快速且順暢地存取必要的應用程式和資源，而不會影響安全性或效能。

需求

本節會定義案例解決方案的需求。

權限

與全球安全存取功能互動的管理員，需要全球安全存取管理員和應用程式系統管理員角色。

條件式存取原則設定需要條件式存取系統管理員或安全性系統管理員角色。 某些功能可能需要其他角色。

身分識別控管設定至少需要身分識別控管系統管理角色。

授權

若要實作此案例中的所有步驟，您需要全球安全存取和 Microsoft Entra ID 控管授權。 您可以購買授權或取得試用版授權。 若要深入了解授權，請參閱《何謂全球安全存取》的授權一節。

使用者和裝置必要條件

若要成功部署及測試此案例，請針對下列必要條件進行設定：

1. 具有 Microsoft Entra ID P1 授權的 Microsoft Entra 租用戶。 購買授權或取得試用版授權。
   • 一名至少具有全球安全存取管理員和應用程式系統管理員角色的使用者，可設定 Microsoft 安全性服務邊緣
   • 至少有一個使用者作為租用戶中的用戶端測試使用者
2. 一部具有下列設定的 Windows 用戶端裝置：
   • Windows 10/11 64 位元版本
   • 已加入 Microsoft Entra 或已加入混合式環境
   • 網際網路連線
3. 在用戶端裝置上，下載並安裝全球安全存取用戶端。 適用於 Windows 的全球安全存取用戶端一文說明了必要條件和安裝。

設定全球安全存取

在本節中，我們會透過 Microsoft Entra 系統管理中心啟用全球安全存取。 然後，我們會設定案例的必要初始設定。

1. 以全域管理員的身分登入 Microsoft Entra 管理中心。
2. 瀏覽到 [全球安全存取]> [開始使用]> [在租用戶中啟用全球安全存取]。 選取 [啟用] 以啟用 SSE 功能。
3. 瀏覽至 [全球安全存取]> [連線]> [流量轉送]。 在 [私人存取設定檔] 上切換。 流量轉送可讓您設定網路流量類型，透過 Microsoft 安全性服務邊緣解決方案服務進行通道傳送。 您可以設定流量轉送設定檔來管理流量類型。

   • Microsoft 365 存取設定檔可供適用於 Microsoft 365 的 Microsoft Entra 網際網路存取使用。

   • 私人存取設定檔適用於 Microsoft Entra 私人存取。

   • 適用 Microsoft Entra 網際網路存取的網際網路存取設定檔。 Microsoft 安全性服務邊緣解決方案僅針對已安裝全球安全存取用戶端的用戶端裝置擷取流量。

     

安裝全球安全存取用戶端

適用於 Microsoft 365 的 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取會在 Windows 裝置上使用全球安全存取用戶端。 此用戶端會取得網路流量並將其轉送至 Microsoft 安全性服務邊緣解決方案。 執行這些安裝與設定步驟：

1. 請確保 Windows 裝置已加入 Microsoft Entra 或已混合加入。

2. 使用具有本機管理員權限的 Microsoft Entra 使用者登入 Windows 裝置。

3. 以至少全球安全存取系統管理員身分登入 Microsoft Entra 系統管理中心

4. 瀏覽至全球安全存取>連線>用戶端下載。 選取 下載客戶端。 完成安裝。

   

5. 在 [視窗] 工作列中，全球安全存取用戶端會先顯示為已中斷連線。 幾秒鐘後，當系統提示輸入認證時，請輸入測試使用者認證。

6. 在 [視窗] 工作列中，將滑鼠停留在 [全球安全存取用戶端] 圖示上，並確認狀態為已連線。

建立安全性群組

在此案例中，我們會使用兩個安全組，使用條件式存取原則來指派安全性配置檔。 在 Microsoft Entra 系統管理中心，使用下列名稱建立安全組：

• 因特網存取 - 允許社交網路網站
• 網際網路存取 - 允許涉及駭客活動的網站

請不要將任何成員新增至這些群組。 在本文後段，我們會設定 身分識別治理，以依要求新增成員。

封鎖使用基準設定檔的存取

在本節中，我們會使用基準設定檔封鎖對組織中所有使用者不當網站的存取。

建立基準網站篩選原則

1. 以至少全球安全存取系統管理員身分登入 Microsoft Entra 系統管理中心

2. 流覽至 [全域安全存取>安全>Web 內容篩選原則>] [建立原則>設定全域安全存取內容篩選]。

   

3. 在 建立 Web 內容篩選原則基本設定，完成下列字段：

   • 名稱：基準網際網路存取封鎖規則

   • 描述：新增描述

   • 動作：封鎖

     

4. 選取 [下一步]。

5. 在 [建立網路內容篩選原則]>[原則規則] 上，選取 [新增規則]。

   

6. 在 [新增規則] 中，完成下列欄位：

   • 名稱：基準封鎖的網站類別
   • 目的地類型：webCategory

7. 搜尋：選取下列類別。 確認它們位於 [選取項目]。

   • 酒精和菸草

   • 犯罪活動

   • 賭博

   • 駭客攻擊

   • 非法軟體

   • 社交網路

     

8. 選取 [新增]。

9. 在 [建立網路內容篩選原則]>[原則規則] 上，確認您的選項。

   

10. 選取 [下一步]。

11. 在 [建立網路內容篩選原則]>[檢閱] 上，確認您的原則設定。

12. 選取 建立政策。

    

13. 若要確認原則建立，請在管理 Web 內容篩選原則中檢視它。

配置基準安全性設定檔

1. 以至少全球安全存取系統管理員身分登入 Microsoft Entra 系統管理中心
2. 瀏覽至 全球安全存取>安全>安全性設定檔。
3. 選取 基準設定檔。
4. 在 [基本] 頁面，將 [狀態] 設定為已啟用。
5. 選取儲存。
6. 在 編輯基準設定檔 中，選取 連結原則。 選取 [連結政策]。 選取 [現有原則]。 填寫這些欄位：
   • 連結原則：選取 [原則名稱] 和 [基準網際網路存取封鎖規則]
   • 優先順序：100
   • 狀態： 已啟用
7. 按一下 [新增]。
8. 請在 [建立設定檔]>、[連結原則] 中確認是否列出 [基準網際網路存取封鎖規則]。
9. 關閉基準安全性設定檔。

允許存取社交網站

在本節中，我們會建立一個安全性設定檔，允許要求存取社群網站的使用者進行訪問。

建立社交網路網站篩選原則

1. 以至少全球安全存取系統管理員身分登入 Microsoft Entra 系統管理中心

2. 瀏覽到 全域安全存取>安全>Web 內容篩選原則>建立原則>設定全域安全存取內容篩選。

   

3. 在建立 Web 內容篩選原則>基本設定頁面，完成下列欄位：

   • 名稱：允許社交網絡網站
   • 描述：新增描述
   • 動作：允許

4. 選取 [下一步]。

5. 在 [建立網路內容篩選原則]>[原則規則] 上，選取 [新增規則]。

6. 在 [新增規則] 中，完成下列欄位：

   • 名稱：社交網路
   • 目的地類型：webCategory
   • 搜尋：社交

7. 選取 [社交網路]

8. 選擇 [新增]。

9. 在建立網路內容篩選原則>原則規則 上，選取 [下一步]。

10. 在 [建立網路內容篩選原則]>[檢閱] 上，確認您的原則設定。

    

11. 選擇[建立原則]。

12. 若要確認原則建立，請在管理 Web 內容篩選原則中檢視它。

建立社交媒體安全政策設定檔

1. 以至少全球安全存取系統管理員身分登入 Microsoft Entra 系統管理中心

2. 瀏覽至 [全球安全存取]>[安全]>[安全性設定檔]。 點選建立設定檔。

   

3. 在 建立配置檔>基本資料 中，完成下列欄位：

   • 設定檔名稱：允許社交網絡網站
   • 描述：新增描述
   • 狀態： 已啟用
   • 優先順序： 1000

4. 選取 [下一步]。

5. 在 [建立設定檔]>[連結政策] 上，選取 [連結政策]。

6. 選取 [現有原則]。

7. 在 連結政策 中，完成下列欄位：

   • 原則名稱：允許社交網路
   • 優先順序： 1000
   • 狀態： 已啟用

8. 選取 [新增]。

9. 在 [建立個人檔案]> 和 [連結政策] 中，確認 [允許社交網路] 是否已列出。

10. 選取 [下一步]。

11. 在 [建立設定檔]>[檢閱] 上，確認您的設定檔組態。

    

12. 選取 建立設定檔。

建立社交網路條件式存取原則

在本節中，我們會建立條件式存取原則，以針對要求存取的使用者強制執行 允許社交網路 安全性配置檔。

1. 以至少條件式存取管理員的身分登入Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護]> [條件式存取]> [原則]。
3. 選擇 [新增政策]。
4. 在 [新條件式存取原則] 中，完成下列欄位：
   • 名稱：網際網路存取 -- 允許社交網站
   • 使用者或工作負載身分識別： 包含的特定使用者
   • 此原則的套用對象？ 使用者和群組
   • 包含>選取使用者和群組> 使用者和群組
5. 選取您的測試群組 (例如網際網路存取 -- 允許社交網站)。 選取選取。
6. 目標資源
   • 選取此原則套用至> 全域安全存取的內容
   • 選取此原則套用於> 因特網流量的設定檔案
7. 將 授與 保持在它的預設設定，以授予存取權，讓您定義的安全性配置檔來決定封鎖功能。
8. 在 工作階段 中，選取 使用全球安全存取安全性設定檔。
9. 選擇 允許社交網站。
10. 在 [條件式存取概觀]>[啟用原則] 中，選取 [開啟]。
11. 選取 建立。

允許存取駭客網站

在本節中，我們會建立新的安全性設定檔，以允許根據用戶請求存取駭客相關網站。 使用者會收到八個小時的存取權，之後會自動移除存取權。

建立駭客網站篩選原則

1. 以至少全球安全存取系統管理員身分登入 Microsoft Entra 系統管理中心

2. 流覽至 全域安全存取>安全 的 >Web 內容篩選原則>建立原則>設定全域安全存取內容篩選。

   

3. 在建立 Web 內容篩選政策的基本設定中，完成下列欄位：

   • 名稱：允許駭客網站
   • 描述：新增描述
   • 動作：允許

4. 選取 [下一步]。

5. 在 [建立網路內容篩選原則]>[原則規則] 上，選取 [新增規則]。

6. 在 [新增規則] 中，完成下列欄位：

   • 名稱：駭客
   • 目的地類型：webCategory
   • 搜尋：駭入，選取 [駭入]

7. 選取 <新增>。

8. 在建立網路內容篩選原則>原則規則 上，選取 [下一步]。

9. 在 [建立網路內容篩選原則]>[檢閱] 上，確認您的原則設定。

   

10. 選取 建立原則。

11. 若要確認原則建立，請在管理 Web 內容篩選原則中檢視它。

    

建立防駭客安全性原則設定檔

1. 以至少全球安全存取系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 全球安全存取>安全>安全性設定檔。 選取 建立設定檔。

   

3. 在 建立配置檔>基本，完成下列欄位：

   • 設定檔名稱：允許駭客網站
   • 描述：新增描述
   • 狀態： 已啟用
   • 優先順序： 2000

4. 選取 [下一步]。

5. 在 [建立設定檔]>[連結原則] 頁面上，選取 [連結一個原則]。

6. 選取 [現有原則]。

7. 在 連結原則 對話方塊中，完成下列欄位：

   • 原則名稱：允許駭客
   • 優先順序： 2000
   • 狀態： 已啟用

8. 選取 [新增]。

9. 在 [建立設定檔]> [連結原則] 上，確認清單中的 [允許駭客]。

10. 選取 [下一步]。

11. 在 [建立設定檔]>[檢閱] 上，確認您的設定檔組態。

    

12. 選取 建立設定檔。

建立駭客性條件式存取原則

在本節中，我們會建立條件式存取原則，以針對要求存取的使用者強制執行 [允許駭客網站] 安全性設定檔。

1. 以至少條件式存取管理員的身分登入Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護]> [條件式存取]> [政策]。
3. 選取 [新增政策]。
4. 在 [新條件式存取原則] 對話框，完成下列欄位：
   • 名稱：網際網路存取 -- 允許駭客網站
   • 使用者或工作負載身分識別： 包括特定的使用者
   • 此原則的套用對象？ 使用者和群組
5. 包含>選取使用者和群組> 使用者和群組
6. 選取您的測試群組 (例如網際網路存取-- 允許駭客網站) > 選取選取。
7. 目標資源
   • 選取此原則套用至> 全域安全存取的內容
   • 選取此原則套用至> 網際網路流量配置檔
8. 將 Grant 保留為預設設定，以授予存取權，讓您定義的安全性設定檔來決定封鎖功能。
9. 在 [工作階段] 對話框中，選取 [使用全域安全存取安全設定檔]。
10. 選取[允許駭客網站]。
11. 在 [條件式存取概觀]>[啟用原則] 中，選取 [開啟]。
12. 選取 建立。

設定存取治理

請遵循下列步驟來建立權利管理目錄：

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 身分識別治理 權利管理 目錄。

3. 選取 新增目錄

   

4. 輸入目錄的唯一名稱，並提供描述。 要求者會在存取套件的詳細資料中看到此資訊 (例如網際網路存取)。

5. 在此案例中，我們會在目錄中為內部使用者建立存取套件。 將外部用戶啟用設定為 [否]。

   

6. 若要新增資源，請移至 [目錄]，然後開啟您要新增資源的目錄。 選取 [資源]。 選取 [新增資源]。

7. 新增您先前建立的兩個安全性群組 (例如網際網路存取 -- 允許社交網站和網際網路存取 - 允許駭客網站)。

   

建立存取套件

在本節中，我們會建立存取套件，讓使用者要求存取每個安全性設定檔所定義的網際網路網站類別。 請依照以下步驟在權利管理中建立存取套件：

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 身分識別治理權利管理存取套件。

3. 選擇 新增存取套件。

4. 針對「基本資料」，為存取套件提供名稱（例如「網際網路存取 -- 允許社交網站」）。 指定您先前建立的目錄。

5. 針對 [資源角色]，選取您先前新增的安全性 (例如網際網路存取 -- 允許社交網站)。

6. 在 [角色] 中，選取[成員]。

7. 針對要求，選取您目錄中的使用者。

8. 若要設定可要求存取社交網站的使用者範圍，請選取 [特定使用者和群組]，然後新增適當的使用者群組。 否則，請選取 [所有成員]。

9. 在 要求 中，為 啟用新要求 選擇 是。

10. 選用：在 [核准] 中，指定當使用者要求此存取套件時是否需要核准。

11. 針對[生命週期]，請指定使用者對存取套件的指派何時到期。 指定使用者是否可以將指派延期。 針對 [到期]，將 [存取套件指派] 到期設定為 [日期]、[天數]、[時數] 或 [永不]。

    

12. 重複步驟，建立新的存取套件，允許存取駭客網站。 現在設定下列設定：

    • 資源：網際網路存取 -- 允許駭客網站
    • 誰可以要求：SOC 團隊成員
    • 生命週期：將小時數設定為 8 小時

測試使用者存取權

在本節中，我們會驗證使用者無法存取基準設定檔封鎖的網站。

1. 登入您安裝全球安全存取代理程式的裝置。
2. 在瀏覽器中，前往基準設定檔封鎖的網站並確認其已被封鎖存取。 例如：

   1. hackthissite.org 是一個免費、安全且合法的訓練場地，可供安全性專業人員測試及擴大道德駭客技能。 此網站分類為駭客攻擊。

   2. YouTube.com 是免費影片分享平台。 此網站分類為社交網路。

      

要求社交網路存取

在本節中，我們會驗證行銷部門使用者可以要求存取社交網站。

1. 請使用行銷小組成員的使用者，登入您安裝了全球安全存取用戶端的裝置（或有權限要求存取範例網際網路存取 - 允許社交網路網站存取套件的使用者）。

2. 在瀏覽器中，驗證已被基準安全性設定檔封鎖的社交網路類別網站的存取。 例如，請嘗試存取 youtube.com。

   

3. 瀏覽至 myaccess.microsoft.com。 選取 [存取套件]。 選擇請求用於網際網路存取 -- 允許社交網站的存取包。

   

4. 選取 [繼續]。 選取 要求。

5. 如果您已設定存取套件的核准，請以核准者身分登入。 瀏覽至 myaccess.microsoft.com。 核准要求。

6. 以行銷部門使用者身分登入。 瀏覽至 myaccess.microsoft.com。 選取 [ 要求歷程記錄]。 確認您的請求狀態是網際網路存取 -- 允許社交網站已送達。

7. 套用新設定可能需要幾分鐘的時間。 若要加速程式，請以滑鼠右鍵按兩下系統匣中的全域安全存取圖示。 選取 [ 以不同使用者身分登入]。 重新登入。

8. 請嘗試在基準安全性設定檔封鎖的社交網路類別中存取網站。 驗證您是否可以成功瀏覽它們。 例如，請嘗試瀏覽 youtube.com。

   

要求訪問駭客網站

在本節中，我們會驗證 SOC 小組使用者可以要求存取駭客網站。

1. 請使用 SOC 團隊成員的帳號登入您已安裝 Global Secure Access 客戶端的設備，或是具有請求存取權限的使用者，以取得範例的網際網路存取 - 允許駭客網站存取套件。

2. 在瀏覽器中，驗證基準安全性設定檔中封鎖駭客類別網頁的存取。 例如： hackthissite.org 。

   

3. 瀏覽至 myaccess.microsoft.com。 選取「存取套件」。 選擇要求以獲得網際網路存取 - 允許駭客網站存取套件。

4. 選取 [繼續]。 選取 要求。

5. 如果您已設定存取套件的核准，請以核准者身分登入。 瀏覽至 myaccess.microsoft.com。 核准要求。

6. 請以 SOC 小組使用者身分登入。 瀏覽至 myaccess.microsoft.com。 選取 要求歷程記錄。 驗證您的請求狀態，以確認網際網路存取 -- 允許駭客網站已傳遞。

7. 套用新設定可能需要幾分鐘的時間。 若要加速程式，請以滑鼠右鍵按兩下系統匣中的全域安全存取圖示。 選取 [ 以不同使用者身分登入]。 重新登入。

8. 嘗試存取基準安全性設定檔封鎖之駭客類別中的網站。 驗證您是否可以成功瀏覽它們。 例如，請嘗試瀏覽 hackthissite.org。

   

9. 如果您已設定駭客網站存取，且先前步驟中生命週期>時數設定為 8 小時，在經過 8 小時之後，請確認已封鎖駭客網站的存取。

相關內容

• 深入了解 Microsoft Entra ID 控管
• 規劃 Microsoft Entra 條件式存取部署
• 了解 Microsoft Entra 網際網路入口
• 了解 Microsoft Entra 私密存取和 Microsoft Entra 網際網路存取的全球安全存取用戶端