Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Além de enviar tráfego para o Acesso Seguro Global, os administradores podem usar políticas de Acesso Condicional para proteger perfis de tráfego. Eles podem combinar e ajustar os controlos conforme necessário, como exigir autenticação multifator, exigir um dispositivo compatível ou definir um risco de início de sessão aceitável. A aplicação desses controles ao tráfego de rede, não apenas aos aplicativos em nuvem, permite o que chamamos de Acesso Condicional universal.
O Acesso Condicional em perfis de tráfego proporciona aos administradores um enorme controlo sobre a sua postura de segurança. Os administradores podem aplicar os princípios de Zero Trust usando a política para gerenciar o acesso à rede. O uso de perfis de tráfego permite uma aplicação consistente da política. Por exemplo, os aplicativos que não suportam autenticação moderna agora podem ser protegidos por trás de um perfil de tráfego.
Essa funcionalidade permite que os administradores apliquem consistentemente a política de Acesso Condicional com base em perfis de tráfego, não apenas em aplicativos ou ações. Os administradores podem segmentar perfis de tráfego específicos - o perfil de tráfego da Microsoft, recursos privados e acesso à Internet com essas políticas. Os usuários podem acessar esses pontos de extremidade configurados ou perfis de tráfego somente quando satisfizerem as políticas de Acesso Condicional configuradas.
Pré-requisitos
- Os administradores que interagem com os recursos do Global Secure Access devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estão executando.
- A função de Administrador de Acesso Seguro Global para gerir as funcionalidades do Acesso Seguro Global.
- O Administrador de Acesso Condicional para criar e interagir com políticas de Acesso Condicional.
- O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é o Acesso Seguro Global. Se necessário, você pode comprar licenças ou obter licenças de avaliação.
Limitações conhecidas de autorização de túnel
Os perfis de encaminhamento de acesso à Internet e da Microsoft utilizam as políticas de Acesso Condicional do Microsoft Entra ID para autorizar o acesso aos seus túneis no Cliente Global de Acesso Seguro. Isso significa que você pode Conceder ou Bloquear acesso aos perfis de encaminhamento de tráfego e acesso à Internet da Microsoft no Acesso Condicional. Em alguns casos, quando a autorização para um túnel não é concedida, o caminho de recuperação para retomar o acesso aos recursos requer acesso a destinos no tráfego da Microsoft ou no perfil de encaminhamento de acesso à Internet, impedindo que um utilizador aceda a qualquer coisa na sua máquina.
Um exemplo é se você bloquear o acesso ao recurso de destino de acesso à Internet em dispositivos não compatíveis, deixará os usuários do Microsoft Entra Internet Access incapazes de trazer seus dispositivos de volta à conformidade. A forma de mitigar esse problema é ignorar os pontos de extremidade de rede para o Microsoft Intune e quaisquer outros destinos acessados em scripts de descoberta de conformidade personalizados para o Microsoft Intune. Você pode executar esta operação como parte de um bypass personalizado no perfil de encaminhamento de acesso à Internet.
Outras limitações conhecidas
Para obter informações detalhadas sobre problemas e limitações conhecidos, consulte Limitações conhecidas para Acesso Seguro Global.
Políticas de Acesso Condicional
Com o Acesso Condicional, você pode habilitar controles de acesso e políticas de segurança para o tráfego de rede adquirido pelo Microsoft Entra Internet Access e Microsoft Entra Private Access.
- Crie uma política direcionada a todo o tráfego da Microsoft.
- Aplique políticas de Acesso Condicional às suas aplicações de Acesso Privado, como o Acesso Rápido.
- Habilite a restauração do IP de origem do Acesso Seguro Global para que o endereço IP de origem fique visível nos logs e relatórios apropriados.
Fluxograma de acesso à Internet
O exemplo a seguir demonstra como o Microsoft Entra Internet Access funciona quando você aplica políticas de Acesso Condicional Universal ao tráfego de rede.
Nota
A solução Security Service Edge da Microsoft compreende três túneis: tráfego da Microsoft, acesso à Internet e acesso privado. O Acesso Condicional Universal aplica-se ao Acesso à Internet e aos túneis de tráfego da Microsoft. Não há suporte para direcionar o túnel de Acesso Privado. Você deve segmentar individualmente os Aplicativos Empresariais de Acesso Privado.
O diagrama de fluxo a seguir ilustra o Acesso Condicional Universal direcionado a recursos da Internet e aplicativos da Microsoft com Acesso Seguro Global.
| Passo | Descrição |
|---|---|
| 1 | O cliente Global Secure Access tenta se conectar à solução Security Service Edge da Microsoft. |
| 2 | O cliente redireciona para o Microsoft Entra ID para autenticação e autorização. |
| 3 | O usuário e o dispositivo são autenticados. A autenticação acontece perfeitamente quando o usuário tem um Token de Atualização Primária válido. |
| 4 | Depois que o usuário e o dispositivo se autenticam, ocorre a imposição da política de Acesso Condicional Universal. As políticas de Acesso Condicional Universal destinam-se aos túneis estabelecidos da Microsoft e da Internet entre o cliente Global Secure Access e o Microsoft Security Service Edge. |
| 5 | O Microsoft Entra ID emite o token de acesso para o cliente Global Secure Access. |
| 6 | O cliente Global Secure Access apresenta o token de acesso ao Microsoft Security Service Edge. O token é validado. |
| 7 | Os túneis são estabelecidos entre o cliente Global Secure Access e o Microsoft Security Service Edge. |
| 8 | O tráfego começa a ser processado e encaminhado para o destino através dos túneis da Microsoft e de Acesso à Internet. |
Nota
Direcione aplicativos da Microsoft com o Global Secure Access para proteger a conexão entre o Microsoft Security Service Edge e o cliente Global Secure Access. Para garantir que os usuários não possam ignorar o serviço de Borda do Serviço de Segurança da Microsoft, crie uma política de Acesso Condicional que exija rede compatível para seus aplicativos Microsoft 365 Enterprise.
Experiência de utilizador
Quando os usuários entram em uma máquina com o Cliente Global de Acesso Seguro instalado, configurado e em execução pela primeira vez, eles são solicitados a entrar. Quando os usuários tentam acessar um recurso protegido por uma política. Como no exemplo anterior, a política é aplicada e eles são solicitados a entrar se ainda não o fizeram. Ao observar o ícone na barra de tarefas para o Cliente Global de Acesso Seguro, vê-se um círculo vermelho indicando que está desconectado ou não está em execução.
Quando um utilizador faz login, o Cliente Global Secure Access exibe um círculo verde indicando que está conectado e que o cliente está em execução.
