描述 Microsoft Entra 中的全球安全存取
Microsoft Entra 現在會在 Microsoft 全球安全存取的標題下提供一組新產品。 全球安全存取是用於 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取的統一詞彙。
Microsoft Entra 網際網路存取可保護對軟體即服務 (SaaS) 應用程式的存取,包括 Microsoft 服務、SaaS 和公用網際網路應用程式,同時保護使用者、裝置和資料免於遭受網際網路威脅。
Microsoft Entra 私人存取可讓使用者 (無論是在辦公室或從遠端工作) 安全地存取您的私人、公司資源。
Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取結合為一個融合了零信任網路、身分識別和端點存取控制的解決方案,讓您可從任何位置、裝置或身分識別安全地存取任何應用程式或資源。 這種類型的解決方案代表稱為安全性服務邊緣 (SSE) 的新網路安全性類別。
SSE 可協助解決安全性挑戰,例如:
- 需要降低經由遭入侵的 VPN 通道橫向移動的風險。
- 需要在以網際網路為基礎的資產周圍放置界線。
- 需要改善遠端辦公室位置的服務,例如分公司。
Microsoft 的安全性服務邊緣解決方案、全球安全存取可為在您的私人雲端或內部部署基礎結構中執行的網際網路型資源與資源提供進階保護,以協助解決安全性挑戰。
此解決方案採用全球安全存取用戶端,可讓組織控制終端使用者運算裝置上的網路流量。 組織能夠透過 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取路由傳送特定流量設定檔。 以此方法路由傳送流量可以透過與條件式存取原則的深度整合以及跨身分識別、裝置、位置和應用程式即時評估的風險來實現更多控制,以保護任何應用程式或資源。
MMicrosoft Entra 私人存取
VPN 解決方案通常會用來作為控制公司網路存取的主要方法。 建立私人網路連線之後,網路的前門就會解除鎖定,而且除此之外,使用者和裝置通常會具有過度權限。 這會大幅提升貴組織的受攻擊面。
Microsoft Entra 私人存取可以部署來封鎖橫向攻擊移動、減少過度存取,以及取代舊版 VPN。 此服務可讓使用者 (無論是在辦公室或從遠端工作) 安全地存取您的私人、公司資源。
就概念而言,私人存取的運作方式是,您可針對您想要保護的一組指定的私人資源設定新的企業應用程式,以作為這些私人資源的容器。 新的應用程式具有網路連接器,可作為私人存取服務與使用者想要存取的資源之間的代理程式。 現在,顯然企業對於存取不同私人資源有不同的需求,因此 Microsoft Entra 私人存取提供兩種方式,讓您設定想要透過服務存取的私人資源。
快速存取 - 如先前所述,私人存取的運作方式是建立新的企業應用程式作為您想要保護之私人資源的容器。 使用快速存取,您可以決定要新增哪個私人資源至「容器」或企業應用程式;我們將其稱為快速存取應用程式。 您新增至快速存取應用程式的私人資源會由 FQDN、IP 位址、IP 或位址範圍,以及用於存取資源的連接埠所定義。 此資訊稱為快速存取應用程式區段。 您可以將許多應用程式區段新增至快速存取應用程式。 然後,即可將條件式存取原則連結至快速存取應用程式。
全球安全存取應用程式 - 全球安全存取應用程式 (也稱為「個別應用程式存取」) 可提供更細微的方法。 使用全球安全存取應用程式,您可以建立多個「容器」或企業應用程式。 您可以針對這些新的企業應用程式定義私人資源的屬性,並指派使用者和群組,以及指派特定的條件式存取原則。 例如,您可能有一個需要保護的私人資源群組,但您想要根據資源存取方式或特定時間範圍來設定不同的存取原則。
Microsoft Entra 網際網路存取
安全 Web 閘道 (SWG) 是一種網路安全性解決方案,可藉由篩選網際網路流量並強制執行安全性原則,保護使用者免於網路威脅。
Microsoft Entra 網際網路存取可為軟體即服務 (SaaS) 應用程式提供以身分識別為中心的安全 Web 閘道 (SWG) 解決方案,包括 Microsoft 服務和其他網際網路流量。 其可透過流量記錄提供一流的安全性控制和可見度,保護使用者、裝置及資料免受網際網路廣泛威脅。
部分主要功能包括:
- 使用條件式存取原則執行相容網路檢查來存取資源,以防止使用者身分識別或權杖遭竊。
- 符合規範的網路強制執行發生於驗證平面和資料平面。 驗證平面強制執行會由 Microsoft Entra ID 在使用者驗證時執行。 資料平面強制執行適用於支援持續存取評估 (CAE) 的服務
- 持續性存取評估 (CAE) 是一項安全性功能,其中應用程式和 Microsoft Entra 會持續通訊,以確保使用者存取是最新且安全的。 如果發生變更,例如使用者的位置或出現安全性疑慮,系統可以近乎即時地快速調整或封鎖存取,確保一律強制執行原則。
- 租用戶限制,用於防止資料外流給其他租用戶或個人帳戶,包括匿名存取。
- 網際網路存取流量轉送設定檔原則,用於控制可存取哪些網際網路網站,以確保遠端工作者以受控制且安全的方式連線到網際網路。
- 網路內容篩選,以根據網站的內容類別和網域名稱來規範對網站的存取。
- 還有更多主題...
全域安全存取儀表板
全球安全存取的儀表板可提供您 Microsoft Entra 私人存取和 Microsoft Entra 網際網路存取服務所取得的網路流量的視覺效果。 該儀表板會將您的網路設定 (包括裝置、使用者和租用戶) 中的資料編譯至數個小工具中。 這些小工具接著會為您提供可用於監視和改善網路設定的資訊。 部分可用的小工具包括:
- 全球安全存取快照集
- 警示與通知 (預覽)
- 使用情況分析 (預覽)
- 跨租用戶存取
- Web 類別篩選
- 裝置狀態
全球安全存取快照
[全球安全存取] 快照小工具可提供有多少使用者和裝置正在使用服務以及透過服務保護多少應用程式的摘要。 該小工具預設會顯示所有類型的流量,但您可以變更篩選以顯示網際網路存取、私人存取或 Microsoft 流量。
使用情況分析 (預覽)
[使用情況分析] 小工具會依類別顯示所選時間內網際網路存取、私人存取或 Microsoft 365 的使用模式。
警示與通知 (預覽)
[警示與通知] 小工具會顯示網路中發生的情況,並協助識別網路資料所識別的可疑活動或趨勢。
此 Widget 提供下列警示:
- 狀況不良的遠端網路:狀況不良的遠端網路已中斷一或多個裝置連結的連線。
- 增加外部租用戶活動:存取外部租用戶的使用者數目已增加。
- 權杖和裝置不一致:原始權杖使用於不同的裝置上。
- 已封鎖 Web 內容:已封鎖網站的存取。
跨租用戶存取 全球安全存取可讓您查看正在存取其他租用戶的使用者和裝置的數目。 此 Widget 會顯示下列資訊:
- 登入:過去 24 小時內,透過 Microsoft Entra ID 登入到 Microsoft 服務的次數。 這個小工具提供租用戶中活動的相關資訊。
- 相異租用戶總數:過去 24 小時內看到的相異租用戶識別碼數目。
- 未看到的租用戶:在過去 24 小時內看到,但在過去七天內未看到的相異租用戶識別碼數目。
- 使用者:過去 24 小時內登入其他租用戶的相異使用者數目。
- 裝置:過去 24 小時內登入其他租用戶的相異裝置數目。
Web 類別篩選
[Web 類別篩選] Widget 會顯示服務所封鎖或允許的前幾個 Web 內容類別。 這些類別可用來判斷您可能想要封鎖的網站或網站類別。
裝置狀態 [裝置狀態] 小工具會顯示您已部署的作用中和非作用中裝置。