全球安全存取常見問題集

如果您已啟用通用租用戶限制，而且存取其中一個允許列出租用戶的 Microsoft Entra 系統管理中心，您可能會看到「拒絕存取」錯誤。 將功能旗標新增至 Microsoft Entra 系統管理中心：?feature.msaljs=true&exp.msaljsexp=true。 例如，您任職於 Contoso，並已將 Fabrikam 列入合作夥伴租用戶的允許清單。 您會看到 Fabrikam 租用戶的 Microsoft Entra 系統管理中心的錯誤訊息。 如果您收到下列 URL 的「拒絕存取」錯誤訊息：https://entra.microsoft.com/ 請新增如下的功能旗標：https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

只有在使用者從已加入 Microsoft Entra 的裝置存取服務時，才支援 B2B 登入。 Microsoft Entra 租用戶必須符合使用者登入認證。 例如，某人在 Fabrikam 工作，並且正在處理 Contoso 的專案。 Contoso 為該人員提供裝置和 Contoso 身分識別，例如 v-Bob@contoso.com。 若要使用 Contoso 裝置存取 Contoso 的全球安全存取，該人員可以使用 Bob@Fabrikam.com 或 v-Bob@Contoso.com。 不過，該人員無法使用已加入 Fabrikam 租用戶的 Fabrikam 裝置來存取 Contoso 的全球安全存取。

Microsoft Entra Internet Access 和其他 Security Service Edge （SSE） 平臺提供進階的網路安全性價值，讓所有連線到任何應用程式的所有使用者都能從雲端邊緣提供進階的網路安全性價值。 Microsoft的 SSE 解決方案特別利用與 Microsoft Entra ID 的深度整合，將身分識別和內容感知帶入細微的網路安全策略。 此外，SSE 平臺透過傳輸層安全性 （TLS） 檢查提供更豐富的控件和更深入的可見度，讓這些平臺能夠在封包上檢查並強制執行安全策略。 端點偵測和回應 （EDR） 平臺，例如適用於端點的 Microsoft Defender 為受管理的裝置提供裝置感知安全性值。 這些原則可讓您以裝置或裝置群組為目標，而不是以用戶為基礎的身分識別建構。 EDR 平臺也透過進階搜捕功能提供可見度。 最好同時使用網路和端點保護控件，以達到深度防禦方法。 如果 EDR 平臺與 Microsoft Entra Internet Access 搭配使用，則 EDR 平臺的裝置上原則一律會在到達雲端邊緣之前強制執行，其中會強制執行 Microsoft Entra Internet Access 原則。

目前，IPv4 優先於 IPv6。 如果您遇到問題，請停用 IPv6。 如需詳細資訊，請參閱 慣用 IPv4。

是，有一組 Microsoft Graph API 可用來管理 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取的各個層面。 如需這些 API 的詳細資訊，請參閱使用 Microsoft Graph 網路存取 API 保護對雲端、公用和私人應用程式的存取 (英文) 一文。

請確定您已反轉 CPE 與全球安全存取之間的 BGP IP 位址。 例如，如果您將本機 BGP IP 位址指定為 1.1.1.1，並將 CPE 的對等 BGP IP 位址指定為 0.0.0.0，則會在全球安全存取中交換值。 因此，全球安全存取中的本機 BGP IP 位址為 0.0.0.0，且對等 GBP IP 位址為 1.1.1.1。

Microsoft適用於端點的 Entra Internet Access 和 Microsoft Defender 都利用類似的分類引擎，但有一些不同的差異。 Microsoft Entra Internet Access 引擎旨在提供因特網上每個端點的有效分類，而 Microsoft適用於端點的 Defender 則支援較小的網站類別清單，著重於可能會對操作端點的組織造成責任的網站類別。 這表示許多網站並未分類，而且想要允許或拒絕存取的組織必須手動建立網站的網路指標。