Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Acesso à Internet do Microsoft Entra e Acesso privado do Microsoft Entra incluem a solução de Perímetro de Serviço de Segurança da Microsoft e permitem que as organizações consolidem controlos e configurem a identidade e a rede unificadas políticas de acesso. Acesso à Internet do Microsoft Entra protege o acesso ao Microsoft 365, SaaS e aplicações de Internet públicas, ao mesmo tempo que protege utilizadores, dispositivos e dados contra ameaças à Internet. Por outro lado, Acesso privado do Microsoft Entra protege o acesso a aplicações privadas alojadas no local ou na cloud.
Este artigo descreve as APIs de acesso à rede no Microsoft Graph que permitem os serviços Acesso à Internet do Microsoft Entra e Acesso privado do Microsoft Entra. O Acesso Seguro Global é o termo unificador para estes dois serviços. Para obter mais informações, veja O que é o Acesso Seguro Global?
Blocos modulares das APIs de acesso à rede
As APIs de acesso à rede fornecem uma arquitetura para configurar a forma como pretende reencaminhar ou filtrar o tráfego e as respetivas regras associadas. A tabela seguinte lista as entidades principais que compõem as APIs de acesso à rede.
| Entidades | Descrição |
|---|---|
| forwardingProfile | Determina a forma como o tráfego é encaminhado ou ignorado através dos serviços de Acesso Seguro Global. Um perfil de reencaminhamento está associado a um tipo de tráfego que pode ser o Microsoft 365, Internet ou Tráfego privado. Um perfil de reencaminhamento pode ter várias políticas de reencaminhamento. Por exemplo, o perfil de reencaminhamento do Microsoft 365 tem políticas para Exchange Online, SharePoint Online, etc. |
| forwardingPolicy | Define as regras para encaminhar ou ignorar o tipo de tráfego específico através dos serviços de Acesso Seguro Global. Cada política é tentada para um tipo de tráfego que pode ser o Microsoft 365, Internet ou Tráfego privado. Uma política de reencaminhamento só pode ter regras de política de reencaminhamento. |
| forwardingPolicyLink | Representa a relação entre um perfil de reencaminhamento e uma política de reencaminhamento e mantém o estado atual da ligação. |
| policyRule | Mantém a definição principal de um conjunto de regras de política. |
| remoteNetwork | Representa a localização física a partir da qual os utilizadores e dispositivos se ligam para aceder às aplicações na nuvem, públicas ou privadas. Cada rede remota é composta por dispositivos e a ligação de dispositivos numa rede remota é mantida através do equipamento no local do cliente (CPE). |
| filteringProfile | Os grupos que filtram políticas, que são depois associadas a políticas de Acesso Condicional no Microsoft Entra tirar partido de um conjunto avançado de condições de contexto de utilizador. |
| filteringPolicy | Encapsula várias políticas configuradas por administradores, tais como políticas de filtragem de rede, prevenção de perda de dados e proteção contra ameaças. |
| tlsInspectionPolicy | Encapsula configurações de inspeção de Transport Layer Security que podem ser ligadas a perfis de filtragem no Acesso Seguro Global. Veja O que é a inspeção transport layer security?. |
| filteringPolicLink | Representa a relação entre um perfil de filtragem e uma política de filtragem e mantém o estado atual da ligação. |
| tlsInspectionPolicyLink | Representa a relação entre um perfil de filtragem e uma política de inspeção TLS e mantém o estado atual da ligação. |
Integrar no processo de serviço
Para começar a utilizar os serviços de Acesso Seguro Global e as APIs de acesso à rede de suporte, tem de integrar explicitamente o serviço.
| Operação | Descrição |
|---|---|
| Integrar inquilino | Integração nos serviços Acesso à Internet do Microsoft Entra e Acesso Privado. |
| Verificar status | Verifique o status de inclusão do inquilino. |
Perfis e políticas de reencaminhamento de tráfego
As SEGUINTES APIs permitem a um administrador gerir e configurar perfis de reencaminhamento. Existem três perfis predefinidos: Microsoft 365, Privado e Internet. Utilize as seguintes APIs para gerir perfis e políticas de reencaminhamento de tráfego.
| Operações de exemplo | Descrição |
|---|---|
| Listar perfis de reencaminhamento | Liste os perfis de reencaminhamento configurados para o inquilino. Também pode obter as políticas associadas com o $expand parâmetro de consulta. |
| Reencaminhamento de atualizaçõesProfile | Ativar ou desativar um perfil de reencaminhamento ou configurar associações como a rede remota. |
| Listar políticas de reencaminhamento | Liste as políticas de reencaminhamento configuradas para o inquilino. Também pode obter as regras de política de reencaminhamento associadas com o $expand parâmetro de consulta. |
| Listar ligações de política de reencaminhamento | Liste as ligações de política associadas a um perfil de reencaminhamento. Também pode obter as regras de política de reencaminhamento associadas com o $expand parâmetro de consulta. |
Redes remotas
Um cenário de rede remota envolve dispositivos de utilizador ou dispositivos sem utilizador, como impressoras que estabelecem conectividade através de equipamentos no local do cliente (CPE), também conhecidos como ligações de dispositivos, numa localização física do escritório.
Utilize as seguintes APIs para gerir os detalhes de uma rede remota que integrou no serviço.
| Operações de exemplo | Descrição |
|---|---|
|
Criar uma rede remota Criar ligações de dispositivos para uma rede remota Criar perfis de reencaminhamento para uma rede remota |
Crie redes remotas e as respetivas ligações de dispositivo associadas e perfis de reencaminhamento. |
|
Listar redes remotas Listar ligações de dispositivos para uma rede remota Listar perfis de reencaminhamento para uma rede remota |
Listar redes remotas e as respetivas ligações de dispositivo associadas e perfis de reencaminhamento. |
Controles de acesso
As APIs de acesso à rede fornecem um meio para gerir três tipos de definições de controlo de acesso na sua organização: acesso entre inquilinos, acesso condicional e opções de reencaminhamento. Estas definições garantem um acesso de rede seguro e eficiente para dispositivos e utilizadores no seu inquilino.
Configurações de acesso entre locatários
As definições de acesso entre inquilinos envolvem a identificação de pacotes de rede e a imposição de políticas de restrições de inquilinos (TRv2) para ajudar a impedir a transferência de dados não autorizada. Utilize o tipo de recurso crossTenantAccessSettings e as respetivas APIs associadas para gerir as definições de acesso entre inquilinos.
Definições de acesso condicional
As definições de acesso condicional nos serviços de Acesso Seguro Global envolvem ativar ou desativar a sinalização de acesso condicional para restauro e conectividade do IP de origem. A configuração determina se o recurso de destino recebe o endereço IP de origem original do cliente ou o endereço IP do serviço de Acesso Seguro Global.
Utilize o tipo de recurso conditionalAccessSettings e as APIs associadas para gerir as definições de acesso condicional.
Utilize o tipo de recurso compliantNetworkNamedLocation para garantir que os utilizadores se ligam a partir de um modelo de conectividade de rede verificado para o inquilino específico e estão em conformidade com as políticas de segurança impostas pelos administradores.
Opções de reencaminhamento
As opções de reencaminhamento permitem que os administradores ativem ou desativem a capacidade de ignorar a pesquisa de DNS na periferia e reencaminhar o tráfego do Microsoft 365 diretamente para o Front Door com o IP de destino resolvido pelo cliente. Utilize o tipo de recurso forwardingOptions e as respetivas APIs associadas para gerir as opções de reencaminhamento.
Registos e monitorização
A monitorização e auditoria de eventos no seu ambiente é fundamental para manter a segurança, a conformidade e a eficiência operacional. Os eventos de Acesso Seguro Global podem ser acedidos através dos seguintes recursos:
- registos de diretórios para alterações ao serviço de Acesso Seguro Global
- registos de início de sessão para eventos de início de sessão encaminhados através do Acesso Seguro Global
- networkAccessTraffic, tipo de recurso de ligação e respetivas APIs associadas para obter informações sobre quem está a aceder a que recursos, a partir do qual estão a aceder e que ação ocorreu.
- remoteNetworkHealthEvent resource type and its associated APIs to monitor the health and status of IPSec tunnel and the Border Gateway Protocol (BGP) (RemoteNetworkHealthEvent resource type and its associated APIs to monitor the health and status of IPSec tunnel and the Border Gateway Protocol (BGP) (RemoteNetworkHealthEvent resource type and its associated APIs to monitor the health and status of IPSec tunnel and the Border Gateway Protocol (BGP)
- comunica o tipo de recurso e as respetivas APIs associadas para estatísticas resumidas de tráfego de rede relacionadas com dispositivos, utilizadores, transações e pedidos de acesso entre inquilinos
- o tipo de recurso de implementação e as respetivas APIs associadas para monitorizar as alterações de configuração ao serviço
Para obter mais informações, veja Global Secure Access logs and monitoring (Registos e monitorização do Acesso Seguro Global).
Confiança Zero
Esta funcionalidade ajuda as organizações a alinhar os respetivos inquilinos com os três princípios de orientação de uma arquitetura Confiança Zero:
- Verificar explicitamente
- Utilizar menos privilégios
- Assumir violação
Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.