Dela via

Aktivera kompatibel nätverkskontroll med villkorsstyrd åtkomst

Organisationer som använder villkorsstyrd åtkomst tillsammans med global säker åtkomst kan förhindra skadlig åtkomst till Microsoft-appar, SaaS-appar från tredje part och privata verksamhetsspecifika appar (LoB) med hjälp av flera villkor för att ge skydd på djupet. Dessa villkor kan omfatta stark faktorautentisering, enhetsefterlevnad, plats och andra. Om du aktiverar dessa villkor skyddas din organisation mot intrång i användaridentitet eller tokenstöld. Global Säker åtkomst introducerar begreppet kompatibelt nätverk inom Villkorsstyrd åtkomst för Microsoft Entra ID. Den här kompatibla nätverkskontrollen säkerställer att användarna ansluter via den globala tjänsten för säker åtkomst för sin specifika klientorganisation och är kompatibla med säkerhetsprinciper som tillämpas av administratörer.

Den globala klienten för säker åtkomst som är installerad på enheter eller användare bakom konfigurerade fjärrnätverk gör det möjligt för administratörer att skydda resurser bakom ett kompatibelt nätverk med avancerade kontroller för villkorsstyrd åtkomst. Den här kompatibla nätverksfunktionen gör det enklare för administratörer att hantera åtkomstprinciper, utan att behöva ha en lista över utgående IP-adresser och tar bort kravet på hårnålstrafik via organisationens VPN för att upprätthålla käll-IP-förankring och tillämpa IP-baserade principer för villkorsstyrd åtkomst. Mer information om villkorsstyrd åtkomst finns i Vad är villkorlig åtkomst?

Efterlevnad av nätverkskontroll

Kompatibel nätverkstillämpning minskar risken för tokenstöld/reprisattacker. Autentiseringsplanets tillämpning utförs av Microsoft Entra-ID vid tidpunkten för användarautentisering. Om en angripare har stulit en sessionstoken och försöker spela upp den från en enhet som inte är ansluten till organisationens kompatibla nätverk (till exempel begära en åtkomsttoken med en stulen uppdateringstoken), nekar Entra-ID omedelbart begäran och ytterligare åtkomst blockeras. Dataplansframtvingande fungerar med tjänster som är integrerade med global säker åtkomst och som stöder kontinuerlig åtkomstutvärdering (CAE) – för närvarande Microsoft Graph. Appar som stödjer CAE kommer att avvisa stulna åtkomsttoken som spelas upp utanför din hyresgästs kompatibla nätverk i nära realtid. Utan CAE varar en stulen åtkomsttoken upp till hela livslängden (standardvärdet är mellan 60 och 90 minuter).

Den här kompatibla nätverkskontrollen är specifik för den klientorganisation där den är konfigurerad. Om du till exempel definierar en princip för villkorsstyrd åtkomst som kräver ett kompatibelt nätverk i contoso.com kan endast användare med global säker åtkomst eller med fjärrnätverkskonfigurationen skicka den här kontrollen. En användare från fabrikam.com kommer inte att kunna uppfylla contoso.com:s överensstämmande nätverkspolicy.

Det kompatibla nätverket skiljer sig från IPv4-, IPv6- eller geografiska platser som du kan konfigurera i Microsoft Entra. Administratörer behöver inte granska och underhålla kompatibla ip-adresser/intervall för nätverket, stärka säkerhetsstatusen och minimera de administrativa kostnaderna.

Förutsättningar

  • Administratörer som interagerar med funktioner för global säker åtkomst måste ha en eller flera av följande rolltilldelningar beroende på vilka uppgifter de utför.
    • Rollen Global administratör för säker åtkomst för att hantera funktionerna för global säker åtkomst.
    • Administratör för villkorlig åtkomst för att aktivera global signal för säker åtkomst för villkorsstyrd åtkomst, samt för att skapa och interagera med principer för villkorlig åtkomst och namngivna platser.
  • Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Kända begränsningar

Detaljerad information om kända problem och begränsningar finns i Kända begränsningar för global säker åtkomst.

Aktivera global säker åtkomstsignalering för villkorlig åtkomst

För att aktivera den nödvändiga inställningen för att tillåta den kompatibla nätverkskontrollen måste en administratör vidta följande steg.

  1. Logga in på administrationscentret för Microsoft Entra med ett konto som har rollen Global administratör för säker åtkomst och administratör för villkorsstyrd åtkomst aktiverad.
  2. Bläddra till Globala inställningar för säker åtkomst>>Sessionshantering>Anpassningsbar åtkomst.
  3. Välj reglaget för att aktivera CA-signalering för Entra-ID (omfattar alla molnappar).
  4. Bläddra till Entra ID>Villkorsstyrd åtkomst>Namngivna platser.
    1. Bekräfta att du har en plats med namnet Alla kompatibla nätverksplatser med platstypen Nätverksåtkomst. Organisationer kan även markera den här platsen som Betrodd.

Skärmbild som visar växlingsknappen för att aktivera signalering i villkorsstyrd åtkomst.

Försiktighet

Om din organisation har aktiva principer för villkorsstyrd åtkomst baserat på kompatibel nätverkskontroll, och du senare inaktiverar global signal om säker åtkomst i villkorlig åtkomst, kan du oavsiktligt blockera mål slutanvändare från att komma åt resurserna. Om du måste inaktivera den här funktionen tar du först bort motsvarande principer för villkorsstyrd åtkomst.

Skydda dina resurser bakom det kompatibla nätverket

Den kompatibla principen för villkorsstyrd åtkomst i nätverket kan användas för att skydda dina Microsoft- och tredjepartsprogram som är integrerade med enkel inloggning med Entra-ID. En typisk policy kommer att ha en 'Blockera'-tilldelning för alla nätverksplatser förutom Uppfyllande nätverk. I följande exempel visas stegen för att konfigurera den här typen av princip:

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.
  2. Bläddra till Entra ID>Villkorlig åtkomst.
  3. Välj Skapa ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Inkludera väljer du Alla användare.
    2. Under Exkludera väljer du Användare och grupper och väljer organisationens konton för nödåtkomst eller break-glass.
  6. Under Målresurser>inkludera och välj Alla resurser (tidigare "Alla molnappar").
    1. Om din organisation registrerar enheter i Microsoft Intune rekommenderar vi att du undantar programmen Microsoft Intune-registrering och Microsoft Intune från principen för villkorsstyrd åtkomst för att undvika ett cirkulärt beroende.
  7. Under Nätverk.
    1. Ställ in KonfigureraJa.
    2. Under Inkludera väljer du Valfri plats.
    3. Under Exkludera väljer du platsen Alla kompatibla nätverksplatser .
  8. Under Åtkomstkontroller:
    1. Bevilja, välj Blockera åtkomst och välj Välj.
  9. Bekräfta inställningarna och ange Aktivera princip till .
  10. Välj knappen Skapa för att aktivera din policy.

Anteckning

Använd global säker åtkomst tillsammans med principer för villkorsstyrd åtkomst som kräver ett kompatibelt nätverk för alla resurser.

Globala resurser för säker åtkomst undantas automatiskt från principen för villkorsstyrd åtkomst när Kompatibelt nätverk är aktiverat i principen. Det krävs ingen explicit utestängning av resurser. Dessa automatiska undantag krävs för att säkerställa att Global Secure Access-klienten inte blockeras från att komma åt de resurser som behövs. Resurserna globala säkerhetsåtkomstbehov är:

  • Globala profiler för säker åtkomsttrafik
  • Global principtjänst för säker åtkomst (intern tjänst)

Inloggningshändelser för autentisering av undantagna globala resurser för säker åtkomst visas i inloggningsloggarna för Microsoft Entra-ID som:

  • Internetresurser med global säker åtkomst
  • Microsoft-appar med global säker åtkomst
  • Alla privata resurser med global säker åtkomst
  • ZTNA-policytjänst

Användarundantag

Principer för villkorlig åtkomst är kraftfulla verktyg. Vi rekommenderar att du undantar följande konton från dina principer:

  • Nödåtkomst eller break-glass-konton för att förhindra utelåsning på grund av felkonfiguration av principer. I det osannolika scenariot där alla administratörer är utelåst kan ditt administratörskonto för akut åtkomst användas för att logga in och återställa åtkomst.
  • Tjänstkonton och tjänstens huvudnamn, till exempel Microsoft Entra Connect Sync-kontot. Tjänstkonton är icke-interaktiva konton som inte är knutna till någon specifik användare. De används vanligtvis av serverdelstjänster för att tillåta programmatisk åtkomst till program, men de används också för att logga in på system för administrativa ändamål. Anrop som görs av tjänstens huvudnamn blockeras inte av principer för villkorsstyrd åtkomst som är begränsade till användare. Använd villkorlig åtkomst för arbetsbelastningsidentiteter för att definiera principer som är avsedda för tjänstens huvudnamn.
    • Om din organisation använder dessa konton i skript eller kod ersätter du dem med hanterade identiteter.

Prova din kompatibla nätverkspolicy

  1. På en slutanvändarenhet med Global Secure Access-klienten installerad och som körs navigera till https://myapps.microsoft.com eller något annat program som använder enkel inloggning med Entra ID i din klientorganisation.
  2. Pausa global säker åtkomst-klienten genom att högerklicka på programmet i Windows-facket och välja Inaktivera.
  3. När du har inaktiverat Global Secure Access-klienten får du åtkomst till ett annat program som är integrerat med enkel inloggning med Entra ID. Du kan till exempel prova att logga in på Azure-portalen. Din åtkomst ska blockeras av villkorlig åtkomst för Entra-ID.

Anteckning

Om du redan är inloggad i ett program avbryts inte åtkomsten. Ett kompatibelt nätverksvillkor utvärderas av Etttra-ID, och om du redan är inloggad kan du ha en befintlig session med programmet. I det här scenariot utvärderas den kompatibla nätverkskontrollen igen nästa gång inloggningen för Entra-ID krävs när programsessionen har upphört att gälla.

Skärmbild som visar felmeddelandet i webbläsarfönstret Du kan inte komma åt det här just nu.

Nästa steg

Universella hyresgästbegränsningar