Globaler sicherer Zugriff: häufig gestellte Fragen

Wenn Sie die universellen Mandantenbeschränkungen aktiviert haben und auf das Microsoft Entra Admin Center für einen der zugelassenen Mandanten zugreifen, erhalten Sie die Fehlermeldung „Zugriff verweigert“. Fügen Sie das Funktionsflag im Microsoft Entra Admin Center hinzu: ?feature.msaljs=true&exp.msaljsexp=true. Ein Beispiel: Sie arbeiten für Contoso und haben Fabrikam als Partnermandanten zugelassen. Sie sehen die Fehlermeldung für das Microsoft Entra Admin Center des Fabrikam-Mandanten. Wenn Sie die Fehlermeldung „Zugriff verweigert“ für die URL https://entra.microsoft.com/ erhalten haben, fügen Sie das Featureflag wie folgt hinzu: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

B2B-Anmeldungen werden nur unterstützt, wenn der Benutzer von einem Gerät aus auf den Dienst zugreift, dem Microsoft Entra beigetreten ist. Der Microsoft Entra-Mandant muss mit den Anmeldeinformationen der Benutzer übereinstimmen. Ein Beispiel: Eine Person arbeitet bei Fabrikam und arbeitet an einem Projekt für Contoso. Contoso hat der Person ein Gerät und eine Contoso-Identität zur Verfügung gestellt, wie z. B. v-Bob@contoso.com. Um über das Contoso-Gerät auf den Global Secure Access von Contoso zuzugreifen, kann die Person entweder Bob@Fabrikam.com oder v-Bob@Contoso.com verwenden. Die Person kann jedoch das Fabrikam-Gerät, das mit dem Fabrikam-Mandanten verbunden ist, nicht für den Zugriff auf den Global Secure Access von Contoso verwenden.

Sichere Webgateway-Funktionen als Teil von Microsoft Entra Internet Access und anderen Security Service Edge (SSE)-Plattformen bieten erweiterte Netzwerksicherheitswerte vom Cloud-Edge für alle Benutzer, die eine Verbindung mit einer beliebigen Anwendung herstellen. Die SSE-Lösung von Microsoft nutzt speziell die umfassende Integration mit Microsoft Entra ID, um Identitäts- und Kontextbewusstsein zu präzisen Netzwerksicherheitsrichtlinien zu erwecken. Darüber hinaus bieten SSE-Plattformen eine umfassendere Kontrolle und tiefere Sichtbarkeit über tls (Transport Layer Security) Inspection, sodass diese Plattformen Sicherheitsrichtlinien für das Paket überprüfen und erzwingen können. Endpunkterkennungs- und Reaktionsplattformen (Endpoint Detection and Response, EDR) wie Microsoft Defender für Endpunkt den Sicherheitswert für verwaltete Geräte bereitstellen. Diese Richtlinien ermöglichen es Ihnen, Geräte oder Gerätegruppen als benutzerbasierte Identitätskonstrukte zu verwenden. EDR-Plattformen bieten auch Sichtbarkeit über erweiterte Suchfunktionen. Es empfiehlt sich, sowohl Netzwerk- als auch Endpunktschutzsteuerelemente zusammen zu verwenden, um einen tiefen Ansatz zur Verteidigung zu erzielen. Wenn eine EDR-Plattform zusammen mit Microsoft Entra Internet Access verwendet wird, werden die On-Device-Richtlinien der EDR-Plattform immer erzwungen, bevor Sie den Cloud-Edge erreichen, in dem Microsoft Entra Internet Access-Richtlinien erzwungen werden.

Derzeit wird eher IPv4 als IPv6 verwendet. Wenn Probleme auftreten, deaktivieren Sie IPv6. Weitere Informationen finden Sie unter IPv4 bevorzugt.

Ja, es gibt eine Reihe von Microsoft Graph-APIs, mit denen einige Aspekte des Microsoft Entra-Internetzugriffs und des Microsoft Entra-Privatzugriffs verwaltet werden können. Weitere Informationen zu diesen APIs finden Sie im Artikel Schützen des Zugriffs auf cloudbasierte, öffentliche und private Apps mithilfe von Microsoft Graph-Netzwerkzugriffs-APIs.

Stellen Sie sicher, dass Sie die BGP-IP-Adressen zwischen dem CPE und Global Secure Access umkehren. Wenn Sie beispielsweise die lokale BGP-IP-Adresse als 1.1.1.1 und die Peer-BGP-IP-Adresse als 0.0.0.0 für den CPE angegeben haben, dann tauschen Sie die Werte in Global Secure Access. Die lokale BGP-IP-Adresse im globalen sicheren Zugriff lautet also „0.0.0.0“ und die Peer GBP-IP-Adresse „1.1.1.1.1“.

Microsoft Entra Internet Access und Microsoft Defender für Endpunkt nutzen beide ähnliche Kategorisierungsmodule mit einigen unterschiedlichen Unterschieden. Das Microsoft Entra Internet Access-Modul zielt darauf ab, eine gültige Kategorisierung jedes Endpunkts im Internet bereitzustellen, während Microsoft Defender für Endpunkt eine kleinere Liste von Websitekategorien unterstützt, die sich auf Kategorien von Websites konzentrieren, die eine Haftung für die Organisation einführen können, die den Endpunkt betreibt. Dies bedeutet, dass viele Websites nicht kategorisiert sind und eine Organisation, die den Zugriff zulassen oder verweigern möchte, manuell einen Netzwerkindikator für den Standort erstellen muss.