Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Универсальная оценка непрерывного доступа (CAE) — это платформа глобального безопасного доступа, которая работает вместе с Microsoft Entra ID, чтобы гарантировать, что при каждом подключении к новому ресурсу приложения проверяется доступ к глобальному краю безопасного доступа. Универсальный ЦС защищает маркеры доступа глобального безопасного доступа от кражи и воспроизведения. Универсальный CAE отзывает и повторно подтверждает доступ к сети практически в режиме реального времени, когда Entra ID обнаруживает изменения удостоверения. Для использования традиционного ЦС ID Entra необходимо, чтобы каждая рабочая нагрузка применяла специальные библиотеки и ограничивается только сторонними приложениями. Универсальный CAE расширяет преимущества CAE для любого приложения, которое используется через Global Secure Access, не требуя, чтобы приложение было совместимо с CAE.
Преимущества универсального ЦС
Ниже приведены некоторые примеры того, как универсальная CAE обеспечивает преимущества вашей организации при обнаружении изменения идентификатора Entra ID и активации CAE почти в режиме реального времени:
- Частный доступ — сеанс пользователя через Remote Desktop, доступ к файловых серверам и доступ ко всем частным ресурсам, защищенным приватным доступом, прерывается, что снижает риск кражи данных уходящего сотрудника или вредоносной инсайдерской деятельности.
- Доступ к Интернету — прерывание доступа пользователей ко всем интернет-ресурсам, включая службы, которые могут содержать корпоративные данные, такие как не относящиеся к Microsoft службы общего доступа к файлам и средства совместной работы компании, снижает риск утечки данных у сотрудника, который покидает компанию.
- Службы Майкрософт — в то время как многие службы Майкрософт уже используют CAE в собственном коде, существуют некоторые приложения, которые не используются. При использовании универсального ЦС доступ пользователя к приложениям Майкрософт прерывается независимо от осведомленности приложения о ЦС.
- Вы можете требовать, чтобы пользователи были в определенных сетях, прежде чем разрешить им подключаться к службам с помощью глобального безопасного доступа, предотвращая перемещение в другую сеть даже после первоначальной проверки подлинности туннеля. В этом сценарии, когда пользователь меняет сеть, сетевой доступ через Global Secure Access проверяется повторно, и политики условного доступа, основанные на расположении, переоцениваются.
- Необязательный режим строгого принудительного применения, настроенный в условном доступе, защищает от кражи и повторного использования токенов доступа Global Secure Access. Если воспроизведение токена выполняется с другого IP-адреса, отличного от исходного IP-адреса, использованного во время проверки подлинности, сетевой доступ блокируется.
Принцип работы
Глобальный безопасный доступ использует токены доступа Entra ID для аутентификации в туннелях служб (трафик Microsoft, доступ в Интернет и профили пересылки трафика для частного доступа). Маркеры доступа действительны от 60 до 90 минут. Перед истечением срока действия токена доступа клиент Global Secure Access использует refresh token Entra ID для получения нового токена доступа.
В спецификации OAuth2 маркеры доступа действительны до истечения срока действия. Например, при отключении учетной записи пользователя Entra ID аннулирует токены обновления немедленно, но токены доступа для службы Global Secure Access истекают в течение 90 минут.
При использовании Universal CAE изменения идентификации пользователя передаются в платформу Глобальный безопасный доступ практически в режиме реального времени. Несмотря на то, что токен доступа по-прежнему действителен, Global Secure Access отправляет пользователю особый запрос на проверку утверждений, требуя от пользователя повторной аутентификации. Если пользователю не удается выполнить задачу проверки подлинности идентификатора записи, доступ к сети через глобальный безопасный доступ блокируется. Универсальная система управления доступом (CAE) сокращает интервал времени между изменением состояния учетной записи Entra ID и требует от пользователя повторного подтверждения, снижая риск эксфильтрации данных из-за сотрудников, покидающих организацию.
Microsoft Entra ID сигналы, что активируют повторную аутентификацию универсального CAE
Глобальный доступ Secure Access активирован для получения сигналов от Entra ID в режиме, близком к реальному времени, для следующих событий.
- Учетная запись пользователя удалена или отключена
- изменение или сброс пароля пользователя;
- Многофакторная проверка подлинности включена для пользователя
- Администратор явно отзывает все токены обновления пользователя.
- Высокий риск пользователей, обнаруженный Microsoft Entra ID Protection
Когда global Secure Access получает событие безопасности, клиент предложит пользователю повторно пройти проверку подлинности. Если пользователь успешно повторно выполняет проверку подлинности, то сетевое подключение пользователя к ресурсам, защищенным глобальным безопасным доступом, восстанавливается.
Строгий режим принудительного применения
В режиме строгого контроля Универсальный CAE немедленно прекращает доступ, если IP-адрес, обнаруженный поставщиком ресурсов, не разрешен в соответствии с политикой условного доступа. Этот параметр представляет собой наиболее безопасный режим обеспечения соблюдения местоположения ЦСЕ и требует, чтобы администраторы понимали маршрутизацию запросов аутентификации и доступа в своей сетевой среде. Если включено строгое применение, доступ к службам Global Secure Access возможен только в том случае, если пользователи подключаются к службе глобального безопасного доступа из диапазонов IP-адресов, авторизованных вашей организацией.
Отключение универсального ЦС
Для управления поведением CAE в вашем клиенте можно использовать условный доступ Entra ID. По умолчанию CAE включен для всех приложений, поддерживающих его. Вы можете отключить CAE в арендаторе Entra ID, что отключает CAE для всех служб, включая Глобальный безопасный доступ. Чтобы отключить CAE в клиенте, выполните действия, описанные в документации по условному доступу.
Примечание.
Универсальный CAE является оппортунистическим, если вы не включите режим строгого принудительного применения в условном доступе и не примените его к учетным данным рабочей нагрузки Global Secure Access. По умолчанию клиенты Global Secure Access, поддерживаемые системой, пытаются получить токен доступа CAE из Entra ID. Если токен CAE не может быть получен из Entra ID (например, из-за неподдерживаемой версии клиента), будет выдан обычный токен доступа. При резервном поведении не должно возникать необходимости отключать универсальный CAE.
Известные ограничения
Подробные сведения об известных проблемах и ограничениях см. в разделе "Известные ограничения для глобального безопасного доступа".