使用条件访问和全球安全访问的组织可以通过使用多种条件,阻止恶意访问 Microsoft 应用、第三方 SaaS 应用和内部业务应用,从而提供深度防御。 这些条件可能包括强因素身份验证、设备符合性、位置和其他条件。 启用这些条件可保护组织免受用户标识泄露或令牌被盗的影响。 全球安全访问在 Microsoft Entra ID 条件访问中引入了合规网络这一概念。 此符合网络检查可确保用户通过全局安全访问服务连接到其特定租户,并且符合管理员强制实施的安全策略。
借助安装在设备或配置的远程网络上的全球安全访问客户端,管理员可以使用高级条件访问控制保护合规网络后面的资源。 这种合规的网络功能使管理员能够更轻松地管理访问策略,而无需维护出口 IP 地址列表,并删除通过组织的 VPN 为流量设置发点的要求,以便维护源 IP 定位和应用基于 IP 的条件访问策略。 若要了解有关条件访问的详细信息,请参阅 什么是条件访问?
合规网络检查强制实施
合规的网络强制措施可降低令牌被盗/重播攻击的风险。 身份验证平面强制实施由 Microsoft Entra ID 在用户身份验证时执行。 如果攻击者窃取了会话令牌,并尝试从未连接到组织合规网络的设备重播会话令牌(例如,请求包含被盗刷新令牌的访问令牌),则 Entra ID 将立即拒绝请求,并阻止进一步访问。 数据平面执行与集成到全局安全访问的服务协同工作,并支持连续访问评估(CAE),目前支持的服务包括 Microsoft Graph。 借助支持 CAE 的应用,在租户合规网络之外重播的被盗访问令牌将近实时被应用程序拒绝。 如果没有 CAE,被盗的访问令牌将持续到其完整生存期(默认值为 60 到 90 分钟)。
此合规网络检查是针对配置它的租户。 例如,如果在 contoso.com 中定义要求合规网络的条件访问策略,则只有具有全局安全访问或远程网络配置的用户才能传递此控制。 来自 fabrikam.com 的用户将无法传递 contoso.com 合规的网络策略。
符合性网络不同于可在 Microsoft Entra 中配置的 IPv4、IPv6 或地理位置 。 管理员不需要查看和维护合规的网络 IP 地址/范围,加强安全态势,并最大限度地减少管理开销。
先决条件
- 与 全局安全访问 功能交互的管理员必须具有以下一个或多个角色分配,具体取决于他们正在执行的任务。
- 全局安全访问管理员角色负责管理全局安全访问功能。
- 条件访问管理员 为条件访问启用全局安全访问信号,以及创建条件访问策略和命名位置并与之交互。
- 产品需要经过许可。 有关详细信息,请参阅 什么是全局安全访问的许可部分。 如果需要,可以 购买许可证或获取试用许可证。
已知的限制
有关已知问题和限制的详细信息,请参阅 全局安全访问的已知限制。
为条件访问启用全球安全访问信号
要启用允许合规网络检查所需的设置,管理员必须执行以下步骤。
- 使用激活全局安全访问管理员和条件访问管理员角色的帐户登录到 Microsoft Entra 管理中心。
- 浏览到“全球安全访问”“设置”>“会话管理”“自适应访问”。>>
- 选择“为 Entra ID 启用 CA 信号(涵盖所有云应用)”的开关。
- 浏览到“保护”>“条件访问”>“命名位置”。
- 确认将位置命名为“全部合规网络位置”,且位置类型为“网络访问”。 组织可以选择将此位置标记为受信任。
警告
如果组织具有基于合规网络检查的活动条件访问策略,并且稍后在条件访问中禁用全局安全访问信号,则可能会无意中阻止目标最终用户访问资源。 如果必须禁用此功能,请先删除所有对应的条件访问策略。
保护位于合规网络后的资源
兼容的网络条件访问策略可用于保护与 Entra ID 单一登录集成的Microsoft和第三方应用程序。 典型策略将对除合规网络以外的所有网络位置进行“阻止”授权。 以下示例演示了配置此类策略的步骤:
- 以至少条件访问管理员的身份登录到Microsoft Entra 管理中心。
- 浏览到 Entra ID>条件访问。
- 选择“创建新策略”。
- 为策略指定一个名称。 建议组织创建一个有意义的策略名称标准。
- 在“分配”下,选择“用户或工作负载标识”。
- 在“包括”下,选择“所有用户”。
- 在排除下,选择用户和组,然后选择组织的紧急访问或破窗帐户。
- 在“目标资源”>“包括”下,选择“所有资源”(以前为“所有云应用”)。
- 如果组织正在将设备注册到 Microsoft Intune 中,建议从条件访问策略中排除应用程序 Microsoft Intune 注册和 Microsoft Intune,以避免循环依赖项。
- 在“网络”下。
- 将“配置”设置为“是”。
- 在“包括”下,选择“任何位置”。
- 在“排除”下,选择“全部合规网络位置”位置。
- 在“访问控制”下:
- 依次选择“授权”、“阻止访问”和“选择”。
- 确认设置并将“启用策略”设置为“开启”。
- 选择“创建”按钮来创建启用策略所需的项目。
注意
使用全球安全访问以及要求所有资源拥有合规网络的条件访问策略。
在策略中启用 符合性网络 时,全局安全访问资源会自动从条件访问策略中排除。 不需要显式资源排除。 为确保全球安全访问客户端不会阻止访问所需的资源,必需使用这些自动排除项。 全球安全访问所需的资源包括:
- 全球安全访问流量配置文件
- 全球安全访问策略服务(内部服务)
用于对排除的全球安全访问资源进行身份验证的登录事件在 Microsoft Entra ID 登录日志中显示为:
- 使用全球安全访问的 Internet 资源
- 使用全球安全访问的 Microsoft 应用
- 使用全球安全访问的所有专用资源
- ZTNA 策略服务
用户排除项
条件访问策略是功能强大的工具,建议从策略中排除以下帐户:
-
“紧急访问”帐户或“应急”帐户,用于防止因策略错误配置导致的锁定。 在极少数情况下,所有管理员都被锁定,这时可以使用紧急访问管理帐户登录,以采取措施来恢复访问。
- 有关详细信息,请参阅文章: 在 Microsoft Entra ID 中管理紧急访问帐户。
-
服务帐户和服务主体,例如 Microsoft Entra Connect 同步帐户。 服务帐户是不与任何特定用户关联的非交互式帐户。 它们通常由后端服务使用,以便可以对应用程序进行编程访问,不过也会用于登录系统以进行管理。 范围限定为用户的条件访问策略将不会阻止由服务主体进行的调用。 对工作负载标识使用条件访问来定义面向服务主体的策略。
- 如果你的组织在脚本或代码中使用了这些帐户,请考虑将它们替换为 托管标识。
试用合规网络策略
- 在 安装并运行 Global Secure Access 客户端的最终用户设备上,浏览到 https://myapps.microsoft.com 或使用租户中 Entra ID 单一登录的任何其他应用程序。
- 通过右键单击 Windows 托盘中的应用程序并选择 “禁用”来暂停全局安全访问客户端。
- 禁用 Global Secure Access 客户端后,访问与 Entra ID 单一登录集成的另一个应用程序。 例如,可以尝试登录到 Azure 门户。 您的访问应该被 Entra ID 条件访问阻止。
注意
如果已登录到应用程序,则访问不会中断。 符合网络条件由 Entra ID 评估,如果已登录,则可能具有与应用程序的现有会话。 在此方案中,当需要下次 Entra ID 登录且应用程序会话已经过期时,将重新评估合规网络检查。
