Acesso Condicional Universal através do Acesso Seguro Global

Além de enviar tráfego para o Acesso Seguro Global, os administradores podem usar políticas de Acesso Condicional para proteger perfis de tráfego. Eles podem combinar e combinar controles conforme necessário, como exigir autenticação multifator, exigir um dispositivo compatível ou definir um risco de entrada aceitável. A aplicação desses controles ao tráfego de rede, não apenas aos aplicativos em nuvem, permite o que chamamos de Acesso Condicional universal.

O Acesso Condicional em perfis de tráfego proporciona aos administradores um enorme controlo sobre a sua postura de segurança. Os administradores podem aplicar os princípios de Zero Trust usando a política para gerenciar o acesso à rede. O uso de perfis de tráfego permite uma aplicação consistente da política. Por exemplo, os aplicativos que não suportam autenticação moderna agora podem ser protegidos por trás de um perfil de tráfego.

Essa funcionalidade permite que os administradores apliquem consistentemente a política de Acesso Condicional com base em perfis de tráfego, não apenas em aplicativos ou ações. Os administradores podem segmentar perfis de tráfego específicos - o perfil de tráfego da Microsoft, recursos privados e acesso à Internet com essas políticas. Os usuários podem acessar esses pontos de extremidade configurados ou perfis de tráfego somente quando satisfizerem as políticas de Acesso Condicional configuradas.

Pré-requisitos

• Os administradores que interagem com os recursos do Global Secure Access devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estão executando.
  • A função de Administrador de Acesso Seguro Global para gerenciar os recursos de Acesso Seguro Global.
  • O Administrador de Acesso Condicional para criar e interagir com políticas de Acesso Condicional.
• O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é o Acesso Seguro Global. Se necessário, você pode comprar licenças ou obter licenças de avaliação.
• Para usar o perfil de encaminhamento de tráfego da Microsoft, uma licença do Microsoft 365 E3 é recomendada.

Limitações conhecidas de autorização de túnel

Os perfis de encaminhamento de acesso à Internet e da Microsoft usam as políticas de Acesso Condicional do Microsoft Entra ID para autorizar o acesso aos seus túneis no Cliente de Acesso Seguro Global. Isso significa que você pode Conceder ou Bloquear acesso aos perfis de encaminhamento de tráfego e acesso à Internet da Microsoft no Acesso Condicional. Em alguns casos, quando a autorização para um túnel não é concedida, o caminho de recuperação para recuperar o acesso aos recursos requer o acesso a destinos no tráfego da Microsoft ou no perfil de encaminhamento de acesso à Internet, impedindo que um usuário acesse qualquer coisa em sua máquina.

Um exemplo é se você bloquear o acesso ao recurso de destino de acesso à Internet em dispositivos não compatíveis, deixará os usuários do Microsoft Entra Internet Access incapazes de trazer seus dispositivos de volta à conformidade. A maneira de mitigar esse problema é ignorar os pontos de extremidade de rede para o Microsoft Intune e quaisquer outros destinos acessados em Scripts de descoberta de conformidade personalizados para o Microsoft Intune. Você pode executar essa operação como parte do bypass personalizado no perfil de encaminhamento de acesso à Internet.

Outras limitações conhecidas

• Atualmente, não há suporte para a avaliação de acesso contínuo para o tráfego do Universal Conditional Access for Microsoft.
• Atualmente, não há suporte para a aplicação de políticas de Acesso Condicional ao tráfego de Acesso Privado. Para modelar esse comportamento, você pode aplicar uma política de Acesso Condicional no nível do aplicativo para aplicativos de Acesso Rápido e Acesso Seguro Global. Para obter mais informações, consulte Aplicar acesso condicional a aplicativos de acesso privado.
• O tráfego da Microsoft pode ser acessado através da conectividade de rede remota sem o Global Secure Access Client; no entanto, a política de Acesso Condicional não é imposta. Em outras palavras, as políticas de Acesso Condicional para o tráfego Microsoft de Acesso Seguro Global só são aplicadas quando um usuário tem o Cliente de Acesso Seguro Global.

Políticas de Acesso Condicional

Com o Acesso Condicional, você pode habilitar controles de acesso e políticas de segurança para o tráfego de rede adquirido pelo Microsoft Entra Internet Access e Microsoft Entra Private Access.

• Crie uma política direcionada a todo o tráfego da Microsoft.
• Aplique políticas de Acesso Condicional às suas aplicações de Acesso Privado, como o Acesso Rápido.
• Habilite a sinalização de Acesso Seguro Global no Acesso Condicional para que o endereço IP de origem fique visível nos logs e relatórios apropriados.

Experiência de utilizador

Quando os usuários entram em uma máquina com o Cliente Global de Acesso Seguro instalado, configurado e em execução pela primeira vez, eles são solicitados a entrar. Quando os usuários tentam acessar um recurso protegido por uma política. Como no exemplo anterior, a política é aplicada e eles são solicitados a entrar se ainda não o fizeram. Observando o ícone da bandeja do sistema para o Cliente Global de Acesso Seguro, você verá um círculo vermelho indicando que ele está desconectado ou não está em execução.

Quando um usuário entra no Cliente Global Secure Access tem um círculo verde que você está conectado e o cliente está em execução.

Próximos passos

• Habilitar a restauração do IP de origem
• Criar uma política de Acesso Condicional para o tráfego da Microsoft
• Criar uma política de Acesso Condicional para aplicações de Acesso Privado