人们工作的方式发生了变化。 现在,人们不再囿于传统的办公室,而是在几乎任何地方工作。 随着应用程序和数据迁移到云端,现代化员工需要身份感知的云交付网络边界。 这种新的网络安全类别被称为安全服务边缘 (SSE)。
Microsoft Entra Internet 访问和 Microsoft Entra 专用访问由 Microsoft 的安全服务边缘 (SSE) 解决方案组成。 全球安全访问是 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问使用的统一术语。 全局安全访问是 Microsoft Entra 管理中心的统一位置。 全球安全访问建立在零信任的核心原则基础上,使用最小特权、进行显式验证,并假设存在违规行为。
Microsoft 的安全服务边缘 (SSE) 解决方案
Microsoft Entra Internet 访问和 Microsoft Entra 专用访问再加上 Microsoft Defender for Cloud Apps(我们以 SaaS 安全为中心的云访问安全代理 [CASB]),采用独特的方式构建成为一种涵盖网络、标识和终结点访问控制的解决方案,让你能够在任何地方安全地访问任何应用或资源。 在这些全球安全访问产品的加持下,Microsoft Entra ID 简化了访问策略管理,并实现了员工、业务合作伙伴和数字工作负载的访问编排。 即使权限或风险级别发生变化,你也可实时地持续监视和调整用户访问权限。
有了全球安全访问功能,可通过一个统一的门户更轻松地推出和管理访问控制功能。 这些功能是由 Microsoft 的广域网提供的,覆盖 140 多个区域和 190 多个网络边缘位置。 这个专用网络是全球最大的网络之一,使组织能够以最佳方式无缝、安全地将用户和设备连接到公共和专用资源。 有关当前访问节点的列表,请参阅 全球安全接入点分布文章。
Microsoft Entra Internet 访问
Microsoft Entra Internet Access 使用基于标识的安全 Web 网关(SWG)保护对 Internet 和 SaaS 应用的访问,从而阻止威胁、不安全内容和恶意流量。
关键功能
- 使用用户感知 Internet 流量转发配置文件,从桌面客户端或远程网络(如分支位置)获取网络流量。
- 互联网流量的详细网络日志(包括强制执行的策略详情)。 多种仪表板,例如用户、设备和终结点之间的关系映射、跨租户访问和使用中的顶级网络目标。
- 通过与条件访问集成应用网络安全策略时,请使用丰富的上下文感知(用户、设备、位置、风险和符合性策略)。 保护用户对公共 Internet 的访问,同时利用 Microsoft 的云交付、标识感知 SWG 解决方案。
- 启用 Web 内容筛选,根据 web 内容类别和 FQDN 域名来规范对 Internet 目标的访问。
- 通过与条件访问会话控件集成,为所有 Internet 目标应用通用条件访问策略,即使未与Microsoft Entra ID 联合也是如此。
适用于 Microsoft 服务的 Microsoft Entra Internet 访问
Microsoft Entra Internet Access 为 Microsoft 服务提供直接连接,以增强 Microsoft Entra ID 的功能,从而提高安全性、性能和复原能力。
主要功能
- 使用预先填充的 Microsoft 流量转发配置文件从桌面客户端或远程网络(如分支位置)直接连接到 Microsoft 服务。
- 通过要求对具有 Microsoft Entra ID 条件访问的任何Microsoft Entra ID 集成应用程序进行合规网络检查来简化条件访问策略配置。
- 应用通用租户限制,以减少向未经授权的外国租户或个人帐户外泄数据的风险。
- 使用源 IP 还原提高Microsoft Entra ID 登录日志的威胁检测的准确性。
- Microsoft 流量的详细网络流量日志(包括强制性策略详细信息)。 多种仪表板,例如用户、设备和终结点之间的关系映射、跨租户访问和使用中的顶级网络目标。
Microsoft Entra 专用访问
通过 Microsoft Entra 专用访问,用户无论是在办公室还是远程工作,都能安全访问专用的公司资源。 Microsoft Entra 专用访问基于 Microsoft Entra 应用程序代理的功能构建,并将访问权限扩展到任何专用资源、端口和协议。
远程用户无需 VPN,即可从任何设备和网络跨混合和多云环境、专用网络和数据中心连接到专用应用。 该服务提供基于条件访问策略的按应用自适应访问,实现比 VPN 更精细的安全性。
关键功能
- 对一系列 IP 地址和/或完全限定的域名(FQDN)进行基于零信任的访问,而无需使用传统 VPN。 此功能称为快速访问。
- 传输控制协议 (TCP) 和用户数据报协议 (UDP) 应用程序的按应用访问。
- 通过深度条件访问集成实现旧应用身份验证的现代化。
- 通过从桌面客户端获取网络流量并与现有非 Microsoft SSE 解决方案并排部署,提供无缝的最终用户体验。
许可概述
Microsoft Entra Internet Access、用于 Microsoft 服务的 Microsoft Entra Internet Access 和 Microsoft Entra Private Access 现已正式发布。
- Microsoft Entra Internet Access 功能包含在 Microsoft Entra Suite 许可证和独立版中。 Microsoft Entra Internet Access 可帮助你保护对所有 Internet 和 SaaS 应用程序的访问。
- Microsoft Entra Private Access 功能包含在 Microsoft Entra Suite 许可证和独立版中。 Microsoft Entra Private Access 使用零信任网络访问(ZTNA)解决方案提升网络安全。
- Microsoft entra Internet Access for Microsoft services 功能包含在 Microsoft Entra ID P1 或 Microsoft Entra ID P2 许可证中。 Microsoft Entra Internet Access 为 Microsoft 服务提供直接连接,以增强 Microsoft Entra ID 的功能,从而提高安全性、性能和复原能力。
使用 Microsoft Entra 专用访问和 Microsoft Entra Internet 访问的先决条件是 Microsoft Entra ID P1 或 Microsoft Entra ID P2。
若要详细了解许可成本和 Microsoft Entra Suite,请参阅 Microsoft Entra 方案与定价。 若要详细了解如何购买单个许可证,请参阅许可页面的“Microsoft Entra 套件独立产品”选项卡。
重要
Microsoft Entra 专用访问和 Microsoft Entra Internet 访问的许可实施将于 2024 年 10 月 1 日开始推出。 在 2024 年 7 月 1 日正式推出后开始的 90 天试用期结束后进行强制执行。
功能比较表
| 功能 / 特点 | Entra P1/P2 许可证 - Microsoft 流量配置文件 | Internet 访问许可证* - Internet 访问配置文件 | 专用访问许可证* - 专用访问配置文件 |
|---|---|---|---|
| Windows 客户端 | ✅ | ✅ | ✅ |
| macOS 客户端 | ✅ | ✅ | ✅ |
| 移动客户端 (iOS, Android) | ✅ | ✅ | ✅ |
| 流量日志 | ✅ | ✅ | ✅ |
| 远程网络(分支连接) | ✅ | ✅ | |
| 通用租户限制 | ✅ | ||
| 符合网络检查 | ✅ | ||
| 源 IP 还原 | ✅ | ||
| Microsoft 365 扩充日志 | ✅ | ||
| 通用条件访问 (CA) | ✅ | ✅ | |
| 上下文感知网络安全 | ✅ | ||
| 网络类别筛选 | ✅ | ||
| 完全限定的域名 (FQDN) 筛选 | ✅ | ||
| 通用连续访问评估 (CAE) | ✅ | ✅ | ✅ |
| 使用以标识为中心的 ZTNA 进行 VPN 替换 | ✅ | ||
| 快速访问 | ✅ | ||
| 应用发现 | ✅ | ||
| 专用域名系统(DNS) | ✅ | ||
| 跨所有专用应用单一登录 | ✅ | ||
| 市场可用性 | ✅ | ||
| 专用网络连接器多云支持 | ✅ |
*包含在 Microsoft Entra Suite 中
远程网络许可
适用于 Microsoft 流量的 Microsoft Entra ID P1 许可证和适用于 Internet 流量的 Microsoft Entra Internet 访问许可证(即将推出)都包含远程网络(分支连接)功能。 必须总共至少包含来自 Microsoft Entra ID P1 和 Microsoft Entra Internet Access 的 50 个许可证,才能启用远程网络连接。 有关分配带宽量的详细信息,请参阅 了解远程网络连接。 若要了解有关远程网络的详细信息,请参阅 如何创建具有全局安全访问的远程网络。