Что такое глобальный безопасный доступ?

Обзор

То, как люди работают, изменилось. Вместо того, чтобы работать в традиционных офисах, люди теперь работают практически в любом месте. По мере того как приложения и данные перемещаются в облако, современным сотрудникам необходим облачный периметр сети, осознающий идентичность. Эта новая категория безопасности сети называется Security Service Edge (SSE).

Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra входят в состав решения SSE службы безопасности Microsoft. Глобальный безопасный доступ — это унифицированный термин, используемый как для Интернет-доступ Microsoft Entra, так и для Частный доступ Microsoft Entra. Глобальный безопасный доступ — это единое расположение в центре администрирования Microsoft Entra. Глобальный безопасный доступ основан на основных принципах "Никому не доверяй": чтобы использовать минимальные привилегии, явно проверять и предполагать нарушение.

Диаграмма решения

решение службы безопасности Microsoft (SSE)

Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra — в сочетании с Microsoft Defender for Cloud Apps, Microsoft, ориентированный на безопасность SaaS, Cloud Access Security Broker (CASB) — это уникальное решение, которое объединяет сетевые, идентификационные и элементы управления доступом к конечным точкам, чтобы обеспечить безопасный доступ к любому приложению или ресурсу в любом месте. Благодаря добавлению этих продуктов Global Secure Access Microsoft Entra ID упрощает управление политикой доступа и обеспечивает оркестрацию доступа для сотрудников, деловых партнеров и цифровых рабочих нагрузок. Вы можете постоянно отслеживать и настраивать доступ пользователей в режиме реального времени, если разрешения или уровни риска изменяются.

Функции глобального безопасного доступа упрощают развертывание и управление возможностями управления доступом с помощью единого портала. Эти функции предоставляются из широкой сети Microsoft, охватывая 70 регионов и 190 граничных расположений сети. Эта частная сеть, которая является одной из крупнейших в мире, позволяет организациям оптимально подключать пользователей и устройств к общедоступным и частным ресурсам легко и безопасно. Для получения списка текущих точек присутствия смотрите статью о глобальной безопасной сети доступа.

Microsoft Entra: Интернет-доступ

Интернет-доступ Microsoft Entra защищает доступ к интернету и приложениям SaaS с помощью защищенного веб-шлюза на основе удостоверений (SWG), блокирующих угрозы, небезопасное содержимое и вредоносный трафик.

Ключевые функции

  • Получите сетевой трафик, используя профиль пересылки интернет-трафика с учетом пользователя, как из настольного клиента, так и из удаленной сети, например, филиала.
  • Подробные журналы сетевого трафика для интернет-трафика (включая сведения о принудительной политике). Панели мониторинга, такие как карты отношений между пользователями, устройствами и конечными точками, доступ между арендаторами и основное назначение сети.
  • Используйте богатую осведомленность о контексте (пользователя, устройства, местоположения, риска и соответствия требованиям) для выполнения политик сетевой безопасности через интеграцию с функцией условного доступа. Обеспечение безопасного доступа пользователей к Интернету с использованием облачного идентификационно-осведомленного решения SWG от Microsoft.
  • Включите фильтрацию веб-содержимого для регулирования доступа к интернет-назначениям на основе их категорий веб-содержимого и (или) доменных имен.
  • Применение универсальных политик условного доступа для всех интернет-адресов, даже если они не связаны по федерации с Microsoft Entra ID, через интеграцию с элементами управления сеансами условного доступа.

Интернет-доступ Microsoft Entra для служб Microsoft

Интернет-доступ Microsoft Entra для служб Microsoft расширяет возможности Microsoft Entra ID благодаря прямому подключению к поддерживаемым службам Microsoft, что улучшает безопасность, производительность и устойчивость.

Ключевые функции

  • Подключитесь к службам Microsoft напрямую с помощью предварительно заполненного профиля пересылки трафика Microsoft как из настольного клиента, так и из удаленной сети, например, филиала.
  • Упрощение конфигураций политики условного доступа путем проверки соответствия сети для любого интегрированного приложения Microsoft Entra ID с помощью условного доступа Microsoft Entra ID.
  • Примените универсальные ограничения арендаторов для снижения риска утечки данных в несанкционированные иностранные арендаторы или личные аккаунты.
  • Увеличьте точность обнаружения угроз с помощью восстановления исходного IP-адреса для журналов входа Microsoft Entra ID.
  • Доступ к подробным журналам сетевого трафика для трафика Microsoft, включая детали по применяемой политике. Просмотр панелей мониторинга, показывающих сопоставления связей между пользователями, устройствами и конечными точками, доступом между клиентами и главными назначениями сети.

Частный доступ Microsoft Entra (частный доступ Microsoft Entra)

Частный доступ Microsoft Entra предоставляет вашим пользователям—независимо от того, находятся ли они в офисе или работают удаленно—безопасный доступ к вашим частным корпоративным ресурсам. Частный доступ Microsoft Entra основывается на возможностях прокси приложения Microsoft Entra и расширяет доступ к любому частному ресурсу, порту и протоколу.

Удаленные пользователи подключаются к частным приложениям в гибридных и многооблачных средах, частных сетях и центрах обработки данных из любого устройства и сети без необходимости VPN. Служба предлагает адаптивный доступ для каждого приложения на основе политик условного доступа для более детальной безопасности, чем VPN.

Ключевые функции

  • доступ на основе "Никому не доверяй" к диапазону IP-адресов и (или) полных доменных имен (FQDN) без необходимости использования устаревшего VPN. Эта функция называется быстрый доступ.
  • Доступ к отдельным приложениям для приложений, использующих управляющий протокол передачи (TCP) и протокол пользовательских дейтаграмм (UDP).
  • Модернизация устаревшей проверки подлинности приложения с помощью глубокой интеграции условного доступа.
  • Предоставьте бесшовный пользовательский опыт, получая сетевой трафик от настольного клиента и развёртывая совместно с вашими существующими решениями, не относящимися к Microsoft SSE.

Обзор лицензирования

Интернет-доступ Microsoft Entra, Интернет-доступ Microsoft Entra для сервисов Microsoft и Частный доступ Microsoft Entra теперь доступны для всех пользователей.

  • Интернет-доступ Microsoft Entra возможности включены в лицензию Microsoft Entra Suite и отдельную лицензию. Интернет-доступ Microsoft Entra помогает защитить доступ ко всем приложениям Интернета и SaaS.
  • Частный доступ Microsoft Entra возможности включены в лицензию Microsoft Entra Suite, а также доступны отдельно. Частный доступ Microsoft Entra повышает безопасность сети благодаря решению "Никому не доверяй" сетевой доступ (ZTNA).
  • Интернет-доступ Microsoft Entra для возможностей службы Майкрософт включены в лицензию Microsoft Entra ID P1 или Microsoft Entra ID P2. Интернет-доступ Microsoft Entra для служб Microsoft расширяет возможности Microsoft Entra ID благодаря прямому подключению к поддерживаемым службам Microsoft, что улучшает безопасность, производительность и устойчивость.

Чтобы использовать Частный доступ Microsoft Entra и Интернет-доступ Microsoft Entra, пользователям требуется лицензия Microsoft Entra ID P1 или Microsoft Entra ID P2.

Большинство служб Глобального безопасного доступа работают с моделью лицензии на пользователя, если не указано иное. Дополнительные сведения о расходах на лицензирование и Microsoft Entra Suite см. в разделе Microsoft Entra Планы и Цены. Дополнительные сведения о приобретении отдельных лицензий см. на вкладке Microsoft Entra Suite автономных продуктов на странице лицензирования. Сведения о лицензировании гостевых пользователей см. в разделе "Лицензирование глобального безопасного доступа" для гостевых пользователей.

Таблица сравнения признаков

Функция Лицензия Entra P1/P2 — профиль трафика Microsoft Лицензия на доступ к Интернету — профиль доступа к Интернету Лицензия приватного доступа — профиль частного доступа
Windows клиент
клиент macOS
Мобильный клиент (iOS, Android)
Журналы трафика (предварительная версия)
Удаленная сеть (подключение филиала)
Прямое подключение к службам Microsoft
Ограничения универсального арендатора
Проверка сети с соответствием требованиям
Восстановление исходного IP-адреса
обогащённые журналы Microsoft 365
Универсальный условный доступ (ЦС)
Безопасность сети с учетом контекста
Фильтрация веб-категорий
Фильтрация по полному доменному имени (FQDN)
Проверка TLS
Аналитика угроз
Защита от внедрения запроса
Защита от потери данных
Оценка универсального непрерывного доступа (CAE)
Замена VPN на ZTNA с акцентом на идентификацию пользователей
Быстрый доступ
Доступ к каждому приложению (TCP/UDP)
Обнаружение приложений
Обнаружение теневого ИИ
Система частных доменных имен (DNS)
Единый вход во всех частных приложениях
Доступность в Marketplace (предварительная версия)
Поддержка мультиоблачного соединителя частной сети (предварительная версия)
Сетевые элементы управления для агентов

¹ Включено в Microsoft Entra Suite.

² Средства управления сетью для агентов требуют лицензии Microsoft Agent 365.

Лицензирование удаленной сети

Функция удаленной сети (подключение филиалов) включена как в лицензию Microsoft Entra ID P1 для трафика Microsoft, так и в лицензию Интернет-доступ Microsoft Entra для интернет-трафика (скоро будет доступна). Для включения удаленного сетевого подключения необходимо иметь по крайней мере 50 лицензий от Microsoft Entra ID P1 и Интернет-доступ Microsoft Entra. Дополнительные сведения о выделении пропускной способности см. в статье Общие сведения о удаленном сетевом подключении. Дополнительные сведения о удаленных сетях см. в статье "Создание удаленной сети с помощью глобального безопасного доступа".