全球安全存取下的普適條件式存取
除了將流量傳送至全域安全存取之外,系統管理員還可以使用條件式存取原則來保護流量配置檔。 他們可以視需要混合和比對控制項,例如,要求多重要素驗證、要求符合規範的裝置,或定義可接受的登入風險。 將這些控制項套用到網路流量 (而不只是雲端應用程式),需將我們所說的通用條件式存取納入考量。
流量設定檔的條件式存取可讓管理員強化對於安全性態勢的掌控。 管理員可以使用原則來管理對網路的存取,強制執行零信任準則。 使用流量分析可讓您一致地套用政策。 例如,不支援新式驗證的應用程式現在可以在流量設定檔後方受到保護。
此功能可讓管理員根據流量設定檔 (而不只是應用程式或動作) 一致地強制執行條件式存取原則。 系統管理員可以鎖定特定的流量配置檔,例如 Microsoft 流量配置檔、私人資源,以及因特網存取,使用這些原則執行管理。 使用者只有在滿足已設定的條件式存取原則時,才能存取這些已設定的端點或流量設定檔。
必要條件
- 與全球安全存取功能互動的管理員必須具備下列一或多個角色指派 (視其執行的工作而定)。
- 全球安全存取管理員角色,用來管理全球安全存取功能。
- 條件式存取管理員,用來建立條件式存取原則並與其互動。
- 產品需要授權。 如需詳細資訊,請參閱什麼是全球安全存取的授權一節。 如有需要,您可以購買授權或取得試用版授權。
已知的通道授權限制
無論是 Microsoft 還是互聯網存取轉送設定檔,皆使用 Microsoft Entra ID 條件式存取原則來授權其在全域安全存取客戶端中的通道存取權限。 這表示您可以在條件式存取中授與或封鎖Microsoft流量和因特網存取轉送配置檔的存取權。 在某些情況下,若未獲得隧道授權,重新獲得資源存取權的恢復路徑可能需要透過存取Microsoft流量配置或網際網路存取轉送配置檔上的目的地,從而使用戶無法存取其計算機上的任何資源。
其中一個範例是,如果您在不符合規範的裝置上封鎖對因特網存取目標資源的存取,您會讓 Microsoft Entra 網際網路存取 用戶無法將其裝置恢復合規性。 解決此問題的方法是避開 Microsoft Intune 的網路端點,以及在 Microsoft Intune 的自定義合規性探索腳本中存取的任何其他目的地。 作為自訂略過的一部分,您可以在因特網存取轉送配置檔中執行這項作業。
其他已知限制
這項功能有一或多個已知的限制。 如需此功能已知問題和限制的詳細資訊,請參閱 全域安全存取的已知限制。
條件式存取原則
透過條件式存取,您可以針對 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取所取得的網路流量啟用存取控制和安全性原則。
- 建立以所有 Microsoft流量為目標的原則。
- 將條件式存取原則套用至私人存取應用程式,例如快速存取。
- 啟用條件式存取中的全球安全存取訊號,讓來源 IP 位址會顯示於適當的記錄和報告中。
因特網存取流程圖
下列範例示範當您將通用條件式存取原則套用至網路流量時,Microsoft Entra 網際網路存取 的運作方式。
注意
Microsoft的 Security Service Edge 解決方案包含三個通道:Microsoft流量、因特網存取和私人存取。 通用條件式存取適用於因特網存取和Microsoft流量通道。 不支援以 Private Access 通道為目標。 您必須單獨針對私人存取的企業應用程式進行設定。
下列流程圖說明使用全域安全存取以存取因特網資源和 Microsoft 應用程式的通用條件式存取。
| 步驟 | 描述: |
|---|---|
| 1 | Global Secure Access 用戶端會嘗試連線到Microsoft的安全性 Service Edge 解決方案。 |
| 2 | 用戶端會重新導向至 Microsoft Entra ID 以進行驗證和授權。 |
| 3 | 使用者和裝置進行驗證。 當使用者有有效的主要重新整理令牌時,驗證就會順暢地進行。 |
| 4 | 使用者和裝置驗證之後,就會強制執行通用條件式存取原則。 通用條件式存取原則是以全域安全存取用戶端與 Microsoft Security Service Edge 之間的已建立Microsoft和因特網通道為目標。 |
| 5 | Microsoft Entra ID 會發出全域安全存取用戶端的存取令牌。 |
| 6 | Global Secure Access 用戶端會將存取令牌呈現給 Microsoft Security Service Edge。 令牌驗證成功。 |
| 7 | 在全域安全存取用戶端與 Microsoft Security Service Edge 之間建立通道。 |
| 8 | 流量會開始透過Microsoft和Internet Access通道被取得並傳送至目的地。 |
注意
使用全域安全存取來保護 Microsoft Security Service Edge 與 Global Secure Access 用戶端之間的連線,以強化對 Microsoft 應用程式的保護。 若要確保用戶無法略過 Microsoft Security Service Edge 服務,請建立條件式存取原則,以要求 Microsoft 365 企業版 應用程式符合規範的網路。
使用者體驗
當使用者首次登入安裝、設定及執行全球安全存取用戶端的機器時,系統會提示他們登入。 當使用者嘗試存取受原則保護的資源時。 如同先前的範例,會強制執行原則,如果他們尚未登入,系統就會提示他們登入。 查看全球安全存取用戶端的系統匣圖示,您會看到一個紅色圓圈,指出其已登出或未執行。
當使用者登入時,全球安全存取用戶端會有一個綠色圓圈,指出您已登入且用戶端正在執行。
