Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Além de enviarem o tráfego para o Acesso Global Seguro, os administradores podem usar as políticas de Acesso Condicional para proteger os perfis de tráfego. Eles podem misturar e combinar controles conforme necessário, como exigir autenticação multifator, exigir um dispositivo compatível ou definir um risco de entrada aceitável. A aplicação desses controles ao tráfego de rede, não apenas aos aplicativos em nuvem, permite o que chamamos de Acesso Condicional universal.
O Acesso Condicional em perfis de tráfego fornece aos administradores um enorme controle sobre sua postura de segurança. Os administradores podem impor princípios de Confiança Zero usando a política para gerenciar o acesso à rede. O uso de perfis de tráfego permite a aplicação consistente da política. Por exemplo, aplicativos que não oferecem suporte à autenticação moderna agora podem ser protegidos por trás de um perfil de tráfego.
Essa funcionalidade permite que os administradores imponham consistentemente a política de Acesso Condicional com base em perfis de tráfego, não apenas aplicativos ou ações. Os administradores podem direcionar essas políticas a perfis de tráfego específicos: ao perfil de tráfego da Microsoft, a recursos privados e ao acesso à Internet. Os usuários podem acessar esses pontos de extremidade ou perfis de tráfego configurados somente quando satisfazem as políticas de Acesso Condicional configuradas.
Pré-requisitos
- Os administradores que interagem com recursos de Acesso Global Seguro devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estiverem executando.
- A função Administrador do Acesso Global Seguro permite gerenciar os recursos de Acesso Global Seguro.
- O Administrador de acesso condicional para criar e interagir com políticas de acesso condicional.
- O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é Acesso Global Seguro. Se necessário, você pode adquirir licenças ou obter licenças de avaliação.
Limitações conhecidas de autorização de túnel
Ambos os perfis de encaminhamento de acesso à Internet e da Microsoft usam as políticas de Acesso Condicional do Microsoft Entra ID para autorizar o acesso aos túneis no Cliente de Acesso Global Seguro. Isso significa que você pode Conceder ou Bloquear o acesso aos perfis de encaminhamento de acesso à Internet e de tráfego da Microsoft no Acesso Condicional. Em alguns casos, quando a autorização para um túnel não for concedida, o caminho de recuperação para obter novamente o acesso aos recursos exigirá acessar os destinos no perfil de encaminhamento de acesso à Internet ou no tráfego da Microsoft, impedindo um usuário de acessar qualquer recurso no computador.
Por exemplo, se você bloquear o acesso ao recurso de destino de acesso à Internet em dispositivos sem conformidade, os usuários do Acesso à Internet do Microsoft Entra não poderão trazer seus dispositivos de volta à conformidade. A maneira de mitigar esse problema é fazer bypass dos pontos de extremidade de rede do Microsoft Intune, assim como dos destinos acessados nos Scripts de descoberta de conformidade personalizados para o Microsoft Intune. É possível executar essa operação como parte do bypass personalizado no Perfil de encaminhamento de acesso à Internet.
Outras limitações conhecidas
Para obter informações detalhadas sobre problemas e limitações conhecidos, consulte limitações conhecidas para acesso seguro global.
Políticas de acesso condicional
Com o Acesso Condicional, você pode habilitar controles de acesso e políticas de segurança para o tráfego de rede adquirido pelo Microsoft Entra Internet Access e pelo Microsoft Entra Private Access.
- Crie uma política direcionada a todo o tráfego da Microsoft.
- Aplicar políticas de Acesso Condicional a aplicativos de Acesso rápido privado.
- Habilite a restauração de IP de origem do Acesso Seguro Global para que o endereço IP de origem fique visível nos logs e relatórios apropriados.
Diagrama de fluxo do Internet Access
O exemplo a seguir demonstra como o Acesso à Internet do Microsoft Entra funciona quando você aplica as políticas de Acesso Condicional Universal ao tráfego de rede.
Observação
A solução de Borda do Serviço de Segurança da Microsoft é composta por três túneis: tráfego da Microsoft, Acesso à Internet e Acesso Privado. O Acesso Condicional Universal aplica-se aos túneis de tráfego do Acesso à Internet e da Microsoft. Não há suporte para direcionar o túnel de Acesso Privado. Você deve direcionar individualmente aos Aplicativos Empresariais de Acesso Privado.
O diagrama de fluxo a seguir ilustra o Acesso Condicional Universal que é direcionado aos recursos da Internet e aos aplicativos da Microsoft com o Acesso Seguro Global.
| Etapa | Descrição |
|---|---|
| 1 | O cliente do Acesso Global Seguro tenta se conectar à solução do Perímetro de Serviço de Segurança da Microsoft. |
| 2 | O cliente redireciona para o Microsoft Entra ID para fins de autenticação e autorização. |
| 3 | O usuário e o dispositivo se autenticam. A autenticação ocorre perfeitamente quando o usuário tem um Token de Atualização Primário válido. |
| 4 | Após a autenticação do usuário e do dispositivo, é feita a imposição da política de Acesso Condicional Universal. As políticas de Acesso Condicional Universal destinam-se aos túneis da Microsoft e da Internet estabelecidos entre o cliente de Acesso Seguro Global e o Perímetro de Serviço de Segurança da Microsoft. |
| 5 | O Microsoft Entra ID emite o token de acesso para o cliente de Acesso Seguro Global. |
| 6 | O cliente de Acesso Seguro Global apresenta o token de acesso à Borda do Serviço de Segurança da Microsoft. O token é validado. |
| 7 | Os túneis estabelecem entre o cliente do Acesso Seguro Global e o Perímetro de Serviço de Segurança da Microsoft. |
| oito | O tráfego começa a ser adquirido e encapsulado até o destino por meio dos túneis da Microsoft e do Acesso à Internet. |
Observação
Direcione os aplicativos da Microsoft com o Acesso Seguro Global para proteger a conexão entre a Borda do Serviço de Segurança da Microsoft e o cliente do Acesso Seguro Global. Para garantir que os usuários não possam ignorar o serviço Borda do Serviço de Segurança da Microsoft, crie uma política de Acesso Condicional que exija uma rede em conformidade para os aplicativos Microsoft 365 Enterprise.
Experiência do usuário
Quando os usuários entram em uma máquina com o Acesso Global Seguro Client instalado, configurado e em execução pela primeira vez, eles são solicitados a entrar. Quando os usuários tentam acessar um recurso protegido por uma política. Como no exemplo anterior, a política é imposta e eles são solicitados a entrar se ainda não o fizeram. Olhando para o ícone da bandeja do sistema para o Cliente de Acesso Seguro Global, você verá um círculo vermelho indicando que ele está desconectado ou não está em execução.
Quando um usuário entra noCliente de Acesso Seguro Global tem um círculo verde que você está conectado e o cliente está em execução.
