透過全球安全存取的通用條件式存取
除了將流量傳送至全域安全存取之外,系統管理員還可以使用條件式存取原則來保護流量配置檔。 他們可以視需要混合和比對控制項,例如,要求多重要素驗證、要求符合規範的裝置,或定義可接受的登入風險。 將這些控制項套用到網路流量 (而不只是雲端應用程式),需將我們所說的通用條件式存取納入考量。
流量設定檔的條件式存取可讓管理員大幅控制其安全性態勢。 管理員可以使用原則來管理對網路的存取,強制執行零信任準則。 使用流量設定檔可讓您一致地套用原則。 例如,不支援新式驗證的應用程式現在可以在流量設定檔後方受到保護。
此功能可讓管理員根據流量設定檔 (而不只是應用程式或動作) 一致地強制執行條件式存取原則。 系統管理員可以以特定流量配置檔為目標 - Microsoft流量配置檔、私人資源,以及使用這些原則存取因特網。 使用者只有在滿足已設定的條件式存取原則時,才能存取這些已設定的端點或流量設定檔。
必要條件
- 與全球安全存取功能互動的管理員必須具備下列一或多個角色指派 (視其執行的工作而定)。
- 全球安全存取管理員角色,用來管理全球安全存取功能。
- 條件式存取管理員,用來建立條件式存取原則並與其互動。
- 產品需要授權。 如需詳細資訊,請參閱什麼是全球安全存取的授權一節。 如有需要,您可以購買授權或取得試用版授權。
已知的通道授權限制
Microsoft和因特網存取轉送配置檔都使用Microsoft Entra ID 條件式存取原則,在全域安全存取用戶端中授權其通道的存取權。 這表示您可以在條件式存取中授與或封鎖Microsoft流量和因特網存取轉送配置檔的存取權。 在某些情況下,未授與通道授權時,重新取得資源的存取權的復原路徑需要存取Microsoft流量或因特網存取轉送配置檔上的目的地,鎖定用戶無法存取其計算機上的任何專案。
其中一個範例是,如果您在不符合規範的裝置上封鎖對因特網存取目標資源的存取,您會讓 Microsoft Entra 網際網路存取 用戶無法將其裝置恢復合規性。 減輕此問題的方式是略過 Microsoft Intune 的網路端點,以及 Microsoft Intune 自定義合規性探索腳本中存取的任何其他目的地。 您可以在因特網存取轉送配置檔中,執行這項作業做為自定義略過的一部分。
其他已知限制
- Microsoft流量的通用條件式存取目前不支援持續存取評估。
- 目前不支援將條件式存取原則套用至私人存取流量。 若要建立此行為的模型,您可以在快速存取和全球安全存取應用程式的應用程式層級套用條件式存取原則。 如需詳細資訊,請參閱將條件式存取套用至私人存取應用程式。
- Microsoft流量可以透過遠端網路連線來存取,而不需要全域安全存取用戶端;不過,不會強制執行條件式存取原則。 換句話說,只有在使用者具有全域安全存取用戶端時,才會強制執行全域安全存取Microsoft流量的條件式存取原則。
條件式存取原則
透過條件式存取,您可以針對 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取所取得的網路流量啟用存取控制和安全性原則。
- 建立以所有 Microsoft流量為目標的原則。
- 將條件式存取原則套用至私人存取應用程式,例如快速存取。
- 啟用條件式存取中的全球安全存取訊號,讓來源 IP 位址會顯示於適當的記錄和報告中。
因特網存取 – 通用條件式存取
下列範例示範當您將通用條件式存取原則套用至網路流量時,Microsoft Entra 網際網路存取 的運作方式。
注意
Microsoft的 Security Service Edge 解決方案包含三個通道:Microsoft流量、因特網存取和私人存取。 通用條件式存取適用於因特網存取和Microsoft流量通道。 不支援以 Private Access 通道為目標。 您必須個別以私人存取企業應用程式為目標。
下列流程圖說明以因特網資源為目標的通用條件式存取,以及使用全域安全存取Microsoft應用程式。
| 步驟 | 描述: |
|---|---|
| 1 | Global Secure Access 用戶端會嘗試連線到Microsoft的安全性 Service Edge 解決方案。 |
| 2 | 用戶端會重新導向至 Microsoft Entra ID 以進行驗證和授權。 |
| 3 | 使用者和裝置驗證。 當使用者有有效的主要重新整理令牌時,驗證就會順暢地進行。 |
| 4 | 使用者和裝置驗證之後,就會強制執行通用條件式存取原則。 通用條件式存取原則是以全域安全存取用戶端與 Microsoft Security Service Edge 之間的已建立Microsoft和因特網通道為目標。 |
| 5 | Microsoft Entra ID 會發出全域安全存取用戶端的存取令牌。 |
| 6 | Global Secure Access 用戶端會將存取令牌呈現給 Microsoft Security Service Edge。 令牌會驗證。 |
| 7 | 在全域安全存取用戶端與 Microsoft Security Service Edge 之間建立通道。 |
| 8 | 流量會透過Microsoft和因特網存取通道開始取得並通道傳送至目的地。 |
注意
以全域安全存取為目標Microsoft應用程式,以保護 Microsoft Security Service Edge 與 Global Secure Access 用戶端之間的連線。 若要確保用戶無法略過 Microsoft Security Service Edge 服務,請建立條件式存取原則,以要求 Microsoft 365 企業版 應用程式符合規範的網路。
使用者體驗
當使用者首次登入安裝、設定及執行全球安全存取用戶端的機器時,系統會提示他們登入。 當使用者嘗試存取受原則保護的資源時。 如同先前的範例,會強制執行原則,如果他們尚未登入,系統就會提示他們登入。 查看全球安全存取用戶端的系統匣圖示,您會看到一個紅色圓圈,指出其已登出或未執行。
當使用者登入時,全球安全存取用戶端會有一個綠色圓圈,指出您已登入且用戶端正在執行。
