Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Universal Continuous Access Evaluation (CAE) to funkcja platformy globalnego bezpiecznego dostępu (GSA), która współpracuje z identyfikatorem Microsoft Entra ID w celu zapewnienia, że dostęp do krawędzi GSA jest weryfikowany za każdym razem, gdy zostanie nawiązane połączenie z nowym zasobem aplikacji. Universal CAE chroni tokeny dostępu GSA przed kradzieżą i odtwarzaniem. Universal CAE odwołuje i rewalyduje dostęp sieciowy niemal w czasie rzeczywistym, gdy identyfikator Entra wykrywa zmiany tożsamości. Tradycyjne entra ID CAE wymaga każdego obciążenia do wdrożenia bibliotek specjalnych i jest ograniczony tylko do aplikacji firmowych. Usługa Universal CAE rozszerza korzyści ze środowiska CAE na dowolną aplikację dostępną za pomocą globalnego bezpiecznego dostępu bez konieczności rozpoznawania dostępu caE przez aplikację.
Zalety platformy Universal CAE
Oto kilka przykładów tego, jak usługa Universal CAE przynosi korzyści organizacji, gdy identyfikator Entra wykrywa zmianę tożsamości i wyzwala caE niemal w czasie rzeczywistym:
- Dostęp prywatny — sesja użytkownika za pośrednictwem pulpitu zdalnego, dostęp do serwerów plików i dostęp do wszystkich zasobów prywatnych chronionych przez dostęp prywatny jest przerywana, co zmniejsza ryzyko eksfiltracji danych przez odchodzącego pracownika lub złośliwego wewnętrznego działania.
- Dostęp do Internetu — dostęp użytkownika do wszystkich zasobów internetowych, w tym usług, które mogą przechowywać dane firmowe, takie jak usługi udostępniania plików innych firm i narzędzia do współpracy firmowej, są przerywane, co zmniejsza ryzyko eksfiltracji danych przez odejścia pracownika.
- Usługi firmy Microsoft — chociaż wiele usługi firmy Microsoft używa już natywnie caE, istnieją pewne aplikacje, które nie. W przypadku uniwersalnego urzędu certyfikacji dostęp użytkownika do aplikacji firmy Microsoft jest przerywany, niezależnie od świadomości aplikacji caE.
- Możesz wymagać, aby użytkownicy byli w określonych sieciach, zanim będą mogli łączyć się z usługami za pomocą GSA, uniemożliwiając przejście do innej sieci nawet po początkowym uwierzytelnieniu tunelu. W tym scenariuszu, gdy użytkownik zmienia sieci, dostęp sieciowy za pośrednictwem GSA jest ponownie uwierzytelniany, a zasady dostępu warunkowego opartego na lokalizacji są ponownie oceniane.
- Opcjonalny tryb ścisłego wymuszania skonfigurowany w dostępie warunkowym chroni przed kradzieżą/odtwarzaniem tokenów dostępu GSA. Jeśli próba ponownego odtworzenia tokenu jest podejmowana z innego adresu IP niż oryginalny adres IP używany podczas uwierzytelniania, dostęp sieciowy jest blokowany.
Jak to działa
Globalny bezpieczny dostęp opiera się na tokenach dostępu entra ID do uwierzytelniania w tunelach usługi (ruch firmy Microsoft, dostęp do Internetu i profile przekazywania ruchu prywatnego dostępu). Tokeny dostępu są prawidłowe od 60 do 90 minut. Przed wygaśnięciem tokenu dostępu klient GSA używa tokenu odświeżania Entra ID w celu uzyskania nowego tokenu dostępu.
Zgodnie ze specyfikacją protokołu OAuth2 tokeny dostępu są ważne do czasu wygaśnięcia. Na przykład po wyłączeniu konta użytkownika identyfikator Entra unieważnia tokeny odświeżania natychmiast, ale wygaśnięcie tokenów dostępu usługi GSA może potrwać do 90 minut.
W przypadku uniwersalnego urzędu certyfikacji zmiany tożsamości użytkownika są przekazywane do globalnego bezpiecznego dostępu niemal w czasie rzeczywistym. Mimo że token dostępu jest nadal prawidłowy, globalny bezpieczny dostęp wysyła specjalne wyzwanie dotyczące oświadczeń do użytkownika końcowego, co wymaga ponownego uwierzytelnienia użytkownika. Jeśli użytkownik nie może ukończyć uwierzytelniania za pomocą identyfikatora Entra, dostęp sieciowy za pośrednictwem usługi GSA zostanie zablokowany. Universal CAE skraca przedział czasu między zmianą stanu konta Entra ID i wymaga od użytkownika ponownego uwierzytelnienia, zmniejszając ryzyko eksfiltracji danych przez odchodzącego pracownika.
Sygnały identyfikatora Entra firmy Microsoft, które wyzwalają ponowne uwierzytelnianie universal CAE
Globalny bezpieczny dostęp jest włączony do odbierania sygnałów z identyfikatora Entra w czasie niemal rzeczywistym dla następujących zdarzeń:
- Konto użytkownika zostało usunięte lub wyłączone
- Hasło użytkownika zostało zmienione lub zresetowane
- Uwierzytelnianie wieloskładnikowe jest włączone dla użytkownika
- Administrator jawnie odwołuje wszystkie tokeny odświeżania dla użytkownika
- Wysokie ryzyko użytkownika wykryte przez Ochrona tożsamości Microsoft Entra
Po otrzymaniu zdarzenia zabezpieczeń klient globalnego bezpiecznego dostępu wyświetli monit o ponowne uwierzytelnienie użytkownika. Jeśli ponowne uwierzytelnianie zakończy się pomyślnie, zostanie przywrócona łączność sieciowa użytkownika z zasobami chronionymi przez globalny bezpieczny dostęp.
Tryb wymuszania ścisłego
W trybie ścisłego wymuszania usługa Universal CAE natychmiast zatrzymuje dostęp, jeśli adres IP wykryty przez dostawcę zasobów nie jest dozwolony przez zasady dostępu warunkowego. Ta opcja jest najwyższą modalnością zabezpieczeń wymuszania lokalizacji CAE i wymaga od administratorów zrozumienia routingu żądań uwierzytelniania i dostępu w środowisku sieciowym. Po włączeniu ścisłego wymuszania dostęp do globalnych usług bezpiecznego dostępu jest możliwy tylko wtedy, gdy użytkownicy łączą się z usługą GSA z zakresów adresów IP autoryzowanych przez organizację.
Wyłączanie uniwersalnego urzędu certyfikacji
Dostęp warunkowy entra ID może służyć do kontrolowania zachowania caE w dzierżawie. Domyślnie usługa CAE jest włączona dla wszystkich aplikacji, które go obsługują. CaE można wyłączyć w dzierżawie entra ID, co spowoduje wyłączenie caE dla wszystkich usług, w tym globalnego bezpiecznego dostępu. Aby wyłączyć usługę CAE w dzierżawie, wykonaj kroki opisane w dokumentacji dostępu warunkowego
Uwaga
Universal CAE jest oportunistyczne, chyba że opcjonalny tryb wymuszania ścisłego jest włączony w dostępie warunkowym i stosowany do tożsamości obciążeń GSA. Domyślnie obsługiwani klienci globalnego bezpiecznego dostępu będą próbować uzyskać token dostępu CAE z identyfikatora Entra. Jeśli nie można uzyskać tokenu CAE z identyfikatora Entra (na przykład ze względu na nieobsługiwaną wersję klienta), zostanie wystawiony zwykły token dostępu. W przypadku zachowania rezerwowego nie powinno być konieczne wyłączenie usługi Universal CAE.
Znane ograniczenia
Aby uzyskać szczegółowe informacje o znanych problemach i ograniczeniach, zobacz Znane ograniczenia dotyczące globalnego bezpiecznego dostępu.