Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Förutom att skicka trafik till global säker åtkomst kan administratörer använda principer för villkorsstyrd åtkomst för att skydda trafikprofiler. De kan blanda och matcha kontroller efter behov som att kräva multifaktorautentisering, kräva en kompatibel enhet eller definiera en acceptabel inloggningsrisk. Om du tillämpar dessa kontroller på nätverkstrafik kan inte bara molnprogram använda det vi kallar universell villkorlig åtkomst.
Villkorlig åtkomst på trafikprofiler ger administratörer enorm kontroll över sin säkerhetsstatus. Administratörer kan framtvinga Nolltillit principer med hjälp av principer för att hantera åtkomst till nätverket. Användning av trafikprofiler möjliggör konsekvent tillämpning av principer. Till exempel kan program som inte stöder modern autentisering nu skyddas bakom en trafikprofil.
Med den här funktionen kan administratörer konsekvent tillämpa principer för villkorsstyrd åtkomst baserat på trafikprofiler, inte bara program eller åtgärder. Administratörer kan rikta in sig på specifika trafikprofiler – Microsofts trafikprofil, privata resurser och Internetåtkomst med dessa principer. Användare kan bara komma åt dessa konfigurerade slutpunkter eller trafikprofiler när de uppfyller de konfigurerade principerna för villkorsstyrd åtkomst.
Förutsättningar
- Administratörer som interagerar med funktioner för global säker åtkomst måste ha en eller flera av följande rolltilldelningar beroende på vilka uppgifter de utför.
- Rollen Global administratör för säker åtkomst för att hantera funktionerna för global säker åtkomst.
- Administratören för villkorlig åtkomst för att skapa och interagera med principer för villkorsstyrd åtkomst.
- Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.
Begränsningar för identifierad tunnelautorisering
Både Microsoft- och Internetåtkomstprofiler för vidarebefordran använder Microsoft Entra ID:s principer för villkorsstyrd åtkomst för att auktorisera åtkomst till deras tunnlar i Global Secure Access-klienten. Det innebär att du kan bevilja eller blockera åtkomst till Microsofts profiler för vidarebefordran av trafik och Internetåtkomst i villkorsstyrd åtkomst. I vissa fall när auktorisering till en tunnel inte beviljas kräver återställningssökvägen för att få åtkomst till resurser tillgång till destinationer på antingen Microsoft-trafik- eller Internetåtkomstsvidarebefordringsprofilen, vilket förhindrar en användare från att komma åt någonting på sin dator.
Ett exempel är att om du blockerar åtkomsten till målresursen för Internetåtkomst på icke-överensstämmande enheter, lämnar du användarna av Microsoft Entra internetåtkomst oförmögna att göra sina enheter överensstämmande igen. Ett sätt att åtgärda det här problemet är genom att kringgå nätverksslutpunkter för Microsoft Intune och andra mål som nås av skript för anpassad efterlevnadsidentifiering för Microsoft Intune. Du kan utföra den här åtgärden som en del av anpassad förbikoppling i vidarebefordransprofilen för Internetåtkomst.
Andra kända begränsningar
Detaljerad information om kända problem och begränsningar finns i Kända begränsningar för global säker åtkomst.
Principer för villkorlig åtkomst
Med villkorsstyrd åtkomst kan du aktivera åtkomstkontroller och säkerhetsprinciper för nätverkstrafiken som hämtas av Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst.
- Skapa en princip som riktar sig mot all Microsoft-trafik.
- Tillämpa principer för villkorsstyrd åtkomst på dina privata åtkomstappar, till exempel Snabbåtkomst.
- Aktivera återställning av Global Secure Access-käll-IP så att käll-IP-adressen visas i lämpliga loggar och rapporter.
Flödesdiagram för Internetåtkomst
I följande exempel visas hur Microsoft Entra internetåtkomst fungerar när du tillämpar principer för universell villkorlig åtkomst på nätverkstrafik.
Anteckning
Microsofts Security Service Edge-lösning består av tre tunnlar: Microsoft-trafik, Internetåtkomst och privat åtkomst. Universell villkorlig åtkomst gäller för Internetåtkomst och Microsoft-trafiktunnlar. Det finns inte stöd för att rikta in sig på den privata åtkomsttunneln. Du måste rikta dig särskilt mot applikationer för företagsintern privat åtkomst.
Följande flödesdiagram illustrerar universell villkorlig åtkomst som riktar sig till Internetresurser och Microsoft-appar med global säker åtkomst.
| Steg | Beskrivning |
|---|---|
| 1 | Global Secure Access-klienten försöker ansluta till Microsofts Security Service Edge-lösning. |
| 2 | Klienten omdirigerar till Microsoft Entra-ID för autentisering och auktorisering. |
| 3 | Användaren och enheten autentiserar. Autentisering sker sömlöst när användaren har en giltig primär uppdateringstoken. |
| 4 | När användaren och enheten har autentiserats tillämpas principen för universell villkorlig åtkomst. Principer för universell villkorlig åtkomst riktar sig mot etablerade Microsoft- och Internettunnlar mellan global säker åtkomst-klienten och Microsoft Security Service Edge. |
| 5 | Microsoft Entra-ID utfärdar åtkomsttoken för Global Secure Access-klienten. |
| 6 | Global Secure Access-klienten visar åtkomsttoken till Microsoft Security Service Edge. Tokenen validerar. |
| 7 | Tunnlar upprättas mellan Global Secure Access-klienten och Microsoft Security Service Edge. |
| 8 | Trafiken börjar hämtas och dirigeras till målet via Microsoft- och Internetåtkomsttunnlarna. |
Anteckning
Rikta in dig på Microsoft-appar med global säker åtkomst för att skydda anslutningen mellan Microsoft Security Service Edge och klienten global säker åtkomst. För att säkerställa att användarna inte kan kringgå Microsoft Security Service Edge-tjänsten skapar du en princip för villkorsstyrd åtkomst som kräver kompatibelt nätverk för dina Microsoft 365 Enterprise-program.
Användarupplevelse
När användare loggar in på en dator med global säker åtkomstklient installerad, konfigurerad och körs för första gången uppmanas de att logga in. När användare försöker komma åt en resurs som skyddas av en princip. Precis som i föregående exempel tillämpas principen och de uppmanas att logga in om de inte redan har gjort det. Om du tittar på systemfältets ikon för den globala säkra åtkomstklienten ser du en röd cirkel som anger att den är utloggad eller inte körs.
När en användare loggar in visar klienten för global säker åtkomst en grön cirkel som indikerar att du är inloggad, och klienten körs.
