Beschreibung des globalen sicheren Zugriffs in Microsoft Entra

Global Secure Access ist die Microsoft Security Service Edge (SSE)-Lösung, die auf Zero Trust-Prinzipien basiert, um explizit zu überprüfen, geringste Rechte zu verwenden und Sicherheitsverletzungen anzunehmen. Es kombiniert Microsoft Entra Internet Access, Microsoft Entra Internet Access für Microsoft Services und Microsoft Entra Private Access – zusammen mit Microsoft Defender für Cloud-Apps –, um Netzwerk-, Identitäts- und Endpunktzugriffssteuerungen zu konvergen, damit Organisationen den Zugriff auf jede App oder Ressource von jedem Standort, Gerät oder identität aus sichern können.

SSE hilft Organisationen bei der Bewältigung von Sicherheitsproblemen wie:

• Verringern des Risikos einer lateralen Bewegung durch einen kompromittierten VPN-Tunnel.
• Platzieren eines Sicherheitsperimeters um internetbasierte Ressourcen.
• Verbesserung des Dienstes an Remotestandorten, z. B. Zweigstellen.

Die Lösung verwendet einen Client für globalen sicheren Zugriff, der Organisationen die Kontrolle über den Netzwerkdatenverkehr auf dem Computinggerät des Endbenutzers ermöglicht. Organisationen leiten bestimmte Datenverkehrsprofile über den Dienst weiter und ermöglichen eine umfassende Integration in Richtlinien für bedingten Zugriff und die Risikobewertung in Echtzeit über Identität, Gerät, Standort und Anwendungen hinweg.

Microsoft Entra-Internetzugriff

Microsoft Entra Internet Access bietet eine identitätsorientierte SWG-Lösung (Secure Web Gateway) für SaaS-Anwendungen und anderen Internetdatenverkehr. Sie schützt Benutzer, Geräte und Daten vor internetbasierten Bedrohungen mit Sicherheitskontrollen und Sichtbarkeit durch Datenverkehrsprotokolle.

Zu den wichtigsten Features gehören:

• Webinhaltsfilterung – regelt den Zugriff auf Websites basierend auf ihren Inhaltskategorien und Domänennamen.
• Universeller bedingter Zugriff – wendet Richtlinien für bedingten Zugriff auf alle Internetziele an, auch wenn diese nicht mit Der Microsoft Entra-ID verbunden sind.
• Universal Continuous Access Evaluation (CAE) – Apps und Microsoft Entra kommunizieren ständig, um sicherzustellen, dass der Zugriff der Benutzer auf dem neuesten Stand ist. Wenn sich etwas ändert – z. B. der Standort eines Benutzers oder ein Sicherheitsproblem – kann das System den Zugriff schnell in Echtzeit anpassen oder blockieren.

Microsoft Entra Internet Access erfordert die Microsoft Entra Suite-Lizenz oder eine eigenständige Microsoft Entra Internet Access-Lizenz.

Microsoft Entra Internetzugang für Microsoft-Dienste

Microsoft Entra Internet Access für Microsoft Services verbessert die Microsoft Entra ID-Funktionen mit direkter Konnektivität zu unterstützten Microsoft-Diensten, was die Sicherheit, Leistung und Resilienz verbessert. Es verwendet ein vorab aufgefülltes Microsoft-Datenverkehrsweiterleitungsprofil, das Exchange Online, SharePoint Online, Microsoft Teams und andere Microsoft 365-Workloads abdeckt.

Zu den wichtigsten Features gehören:

• Konforme Netzwerküberprüfung – verwendet Richtlinien für bedingten Zugriff, um sicherzustellen, dass Benutzer über globalen sicheren Zugriff eine Verbindung herstellen, bevor sie auf eine integrierte Microsoft Entra-ID-Anwendung zugreifen, die sowohl auf der Authentifizierungsebene als auch auf der Datenebene vor Tokendiebstahl schützt.
• Universelle Mandantenbeschränkungen – verhindert die Datenexfiltration an nicht autorisierte ausländische Mandanten oder persönliche Konten und schließt den anonymen Zugriff ein.
• Quell-IP-Wiederherstellung – stellt die ursprüngliche Benutzer-IP-Adresse in Microsoft Entra ID-Anmeldeprotokollen wieder her, damit standortbasierte Richtlinien für bedingten Zugriff und Risikoerkennungen korrekt bleiben, auch wenn Datenverkehr den SSE-Proxy durchläuft.
• Erweiterte Microsoft 365-Protokolle – bietet detaillierte Netzwerkdatenverkehrsprotokolle für Microsoft-Datenverkehr, einschließlich erzwungener Richtliniendetails.

Microsoft Entra Internet Access für Microsoft Services ist in einer Microsoft Entra ID P1- oder P2-Lizenz enthalten und stellt sie für eine breite Palette von Organisationen zur Verfügung.

Microsoft Entra-Privatzugriff

Microsoft Entra Private Access bietet Benutzern – ob in einem Büro oder remote arbeiten – sicheren Zugriff auf private Unternehmensressourcen. Es ersetzt ältere VPNs durch einen Zero Trust Network Access (ZTNA)-Ansatz, der pro App-Zugriff statt einer breiten Konnektivität auf Netzwerkebene gewährt.

Privater Zugriff funktioniert, indem Unternehmensanwendungen erstellt werden, die als Container für private Ressourcen dienen. Ein Netzwerk-Connector vermittelt den Datenverkehr zwischen dem Dienst und der Ressource, auf die ein Benutzer zugreifen möchte. Organisationen können den Zugriff auf zwei Arten konfigurieren:

• Schnellzugriff – Administratoren definieren private Ressourcen durch vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN), IP-Adresse oder IP-Bereich und Ports und gruppieren sie in einer einzigen Anwendung mit verknüpften Richtlinien für bedingten Zugriff.

• Pro-App-Zugriff (Global Secure Access-App) –bietet einen differenzierteren Ansatz, bei dem jede Unternehmensanwendung über eigene Ressourcendefinitionen, Benutzerzuweisungen und Richtlinien für bedingten Zugriff verfügt, wodurch unterschiedliche Richtlinien für verschiedene Ressourcengruppen möglich sind.

  • Schnellzugriff
  • Zugriff pro App

  

Globales Dashboard für den sicheren Zugriff

Der globale sichere Zugriff enthält ein Dashboard im Microsoft Entra Admin Center, das Visualisierungen des vom Dienst erworbenen Netzwerkdatenverkehrs bereitstellt. Administratoren können Benutzer, Geräte, mandantenübergreifenden Zugriff, Filterung von Webkategorien und Gerätestatus überwachen, um verdächtige Aktivitäten zu identifizieren und Netzwerkkonfigurationen zu verbessern.

Sichern von KI-Workloads mit Netzwerksteuerelementen

Wenn Organisationen KI-Dienste bereitstellen, die sowohl mit Cloud- als auch lokalen Ressourcen verbunden sind, trägt der globale sichere Zugriff dazu bei, sicherzustellen, dass datenverkehr zu und von diesen Diensten dieselben identitätsfähigen Sicherheitskontrollen durchlaufen werden, die auf anderen Unternehmensdatenverkehr angewendet werden. Richtlinien für bedingten Zugriff, die in globalen Datenverkehrsprofilen für den sicheren Zugriff integriert sind, können kompatible Netzwerküberprüfungen erzwingen und den Zugriff auf Benutzerrisiken, Gerätestatus und Standort einschränken– die Zero Trust-Prinzipien auf KI-Workloads erweitern, die auf vertrauliche Unternehmensdaten zugreifen.