Valutazione dell'accesso continuo universale (anteprima)
Universal Continuous Access Evaluation (CAE) è una funzionalità della piattaforma di Global Secure Access (GSA) che interagisce con Microsoft Entra ID per garantire che l'accesso alla rete perimetrale GSA venga convalidato ogni volta che viene stabilita una connessione a una nuova risorsa dell'applicazione. Universal CAE protegge i token di accesso GSA dal furto e dalla riproduzione. Universal CAE revoca e riconvalida l'accesso alla rete quasi in tempo reale ogni volta che Entra ID rileva modifiche all'identità. L'AUTORITÀ di certificazione dell'ID Entra tradizionale richiede che ogni carico di lavoro adotti librerie speciali ed è limitato solo alle applicazioni proprietarie. Universal CAE estende i vantaggi di CAE a qualsiasi applicazione a cui si accede con Accesso sicuro globale, senza che l'applicazione sia in grado di essere a conoscenza dell'autorità di certificazione.
Nota
Universal CAE è attualmente in fase di distribuzione e sarà disponibile per tutti i client Windows di accesso sicuro globale entro il 31 dicembre 2024.
Vantaggi di Universal CAE
Ecco alcuni esempi di come Universal CAE trae vantaggio l'organizzazione quando Entra ID rileva una modifica dell'identità e attiva CAE quasi in tempo reale:
- Accesso privato: la sessione dell'utente tramite Desktop remoto, l'accesso ai file server e l'accesso a tutte le risorse private protette dall'accesso privato viene interrotto, riducendo il rischio di esfiltrazione di dati da parte di un dipendente in partenza o da attività interne dannose.
- Accesso a Internet: l'accesso dell'utente a tutte le risorse Internet, inclusi i servizi che potrebbero contenere dati aziendali, ad esempio i servizi di condivisione file non Microsoft e gli strumenti di collaborazione aziendale, viene interrotto, riducendo il rischio di esfiltrazione dei dati da parte di un dipendente in uscita.
- Servizi Microsoft: mentre molti servizi Microsoft già usano CAE in modo nativo, esistono alcune applicazioni che non lo fanno. Con Universal CAE, l'accesso dell'utente alle applicazioni Microsoft viene interrotto, indipendentemente dalla consapevolezza dell'applicazione dell'autorità di certificazione.
- È possibile richiedere che gli utenti si trovino su reti specifiche prima di potersi connettere ai servizi con GSA, impedendo il passaggio a una rete diversa anche dopo l'autenticazione del tunnel iniziale. In questo scenario, quando l'utente cambia reti, l'accesso alla rete tramite GSA viene riautenticato e i criteri di accesso condizionale basati sulla posizione vengono rivalutati.
- La modalità di imposizione strict facoltativa, configurata nell'accesso condizionale, protegge dal furto/riproduzione di token di accesso GSA. Se si tenta di riprodurre il token da un indirizzo IP diverso rispetto all'indirizzo IP originale usato durante l'autenticazione, l'accesso alla rete viene bloccato.
Funzionamento
L'accesso sicuro globale si basa sui token di accesso entra ID per l'autenticazione ai tunnel del servizio (traffico Microsoft, accesso Internet e profili di inoltro del traffico di accesso privato). I token di accesso sono validi tra 60 e 90 minuti. Prima della scadenza del token di accesso, il client GSA usa il token di aggiornamento entra ID per ottenere un nuovo token di accesso.
In base alla specifica OAuth2, i token di accesso sono validi fino alla scadenza. Ad esempio, quando si disabilita un account utente, Entra ID invalida immediatamente i token di aggiornamento, ma la scadenza dei token di accesso GSA richiede fino a 90 minuti.
Con Universal CAE, le modifiche apportate all'identità utente vengono comunicate all'accesso sicuro globale quasi in tempo reale. Anche se il token di accesso è ancora valido, Global Secure Access invia una richiesta speciale di attestazioni all'utente finale, richiedendo all'utente di ripetere l'autenticazione. Se l'utente non è in grado di completare la richiesta di autenticazione entra ID, l'accesso alla rete tramite GSA viene bloccato. Universal CAE riduce l'intervallo di tempo tra la modifica dello stato dell'account Entra ID e richiede all'utente di eseguire nuovamente l'autenticazione, riducendo il rischio di esfiltrazione dei dati da parte di un dipendente in partenza.
Microsoft Entra ID segnala che attivano la riautenticazione di Universal CAE
L'accesso sicuro globale è abilitato per ricevere segnali dall'ID Entra quasi in tempo reale per gli eventi seguenti:
- L'account utente viene eliminato o disabilitato
- La password per un utente viene modificata o reimpostata
- L'autenticazione a più fattori è abilitata per l'utente
- L'amministratore revoca esplicitamente tutti i token di aggiornamento per un utente
- Rischio utente elevato rilevato da Microsoft Entra ID Protection
Dopo aver ricevuto l'evento di sicurezza, il client Di accesso sicuro globale chiederà all'utente di ripetere l'autenticazione. Se l'autenticazione ha esito positivo, viene ripristinata la connettività di rete dell'utente alle risorse protette dall'accesso sicuro globale.
Modalità di imposizione rigorosa
Con la modalità di imposizione strict, Universal CAE arresta immediatamente l'accesso se l'indirizzo IP rilevato dal provider di risorse non è consentito dai criteri di accesso condizionale. Questa opzione è la modalità di sicurezza più elevata dell'applicazione della posizione CAE e richiede che gli amministratori comprendano il routing delle richieste di autenticazione e accesso nel proprio ambiente di rete. Quando è abilitata una rigorosa imposizione, l'accesso ai servizi di accesso sicuro globale è possibile solo quando gli utenti si connettono al servizio GSA da intervalli di indirizzi IP autorizzati dall'organizzazione.
Disabilitazione di Universal CAE
L'accesso condizionale entra ID può essere usato per controllare il comportamento di CAE nel tenant. Per impostazione predefinita, CAE è attivo per tutte le applicazioni che lo supportano. È possibile disabilitare CAE nel tenant Entra ID, che disabiliterà CAE per tutti i servizi, incluso l'accesso sicuro globale. Per disabilitare CAE nel tenant, seguire la procedura descritta nella documentazione sull'accesso condizionale
Nota
Universal CAE è opportunistico a meno che non sia abilitata la modalità di imposizione strict facoltativa nell'accesso condizionale e applicata alle identità del carico di lavoro GSA. Per impostazione predefinita, i client Global Secure Access supportati tenteranno di ottenere un token di accesso CAE dall'ID Entra. Se il token CAE non può essere ottenuto dall'ID Entra (ad esempio, a causa della versione client non supportata), verrà rilasciato un normale token di accesso. Con il comportamento di fallback, non dovrebbe essere necessario disabilitare Universal CAE.
Limitazioni note
Questa funzionalità presenta una o più limitazioni note. Per informazioni più dettagliate sui problemi noti e sulle limitazioni di questa funzionalità, vedere Limitazioni note per l'accesso sicuro globale.