Informace o Microsoft Entra Přístup k Internetu pro všechny aplikace
Microsoft Entra Přístup k Internetu poskytuje řešení zabezpečené webové brány (SWG) zaměřené na identitu pro aplikace typu software jako služba (SaaS) a další internetový provoz. Chrání uživatele, zařízení a data z celé internetové oblasti hrozeb s nejlepšími bezpečnostními prvky a viditelností prostřednictvím protokolů provozu.
Filtrování webového obsahu
Klíčovou úvodní funkcí pro Microsoft Entra Přístup k Internetu pro všechny aplikace je filtrování webového obsahu. Tato funkce poskytuje podrobné řízení přístupu pro webové kategorie a plně kvalifikované názvy domén (FQDN). Explicitním zablokováním známých nevhodných, škodlivých nebo nebezpečných stránek chraňte své uživatele a jejich zařízení před jakýmkoli připojením k internetu, ať už jsou vzdálení nebo v rámci firemní sítě.
Když provoz dosáhne Secure Service Edge společnosti Microsoft, Microsoft Entra Internet Access provádí bezpečnostní kontroly dvěma způsoby. Pro nešifrovaný provoz HTTP používá adresu URL (Uniform Resource Locator). Pro provoz HTTPS šifrovaný pomocí protokolu TLS (Transport Layer Security) používá indikaci názvu serveru (SNI).
Filtrování webového obsahu se implementuje pomocí zásad filtrování, které jsou seskupené do profilů zabezpečení, které je možné propojit se zásadami podmíněného přístupu. Další informace o podmíněném přístupu najdete v tématu Podmíněný přístup Společnosti Microsoft Entra.
Poznámka:
Filtrování webového obsahu je sice základní funkcí pro všechny zabezpečené webové brány, ale podobné funkce existují i v jiných produktech zabezpečení, jako jsou například produkty zabezpečení koncových bodů, jako je Microsoft Defender for Endpoint a brány firewall, jako je Azure Firewall. Přístup k internetu Microsoft Entra poskytuje další hodnotu zabezpečení prostřednictvím integrace zásad s Microsoft Entra ID, vynucením zásad na hraničním cloudu, univerzální podporou pro všechny platformy zařízení a budoucími vylepšeními zabezpečení díky inspekci TLS (Transport Layer Security), jako je například přesnější kategorizace webu. Další informace najdete v nejčastějších dotazech.
Profily zabezpečení
Profily zabezpečení jsou objekty, které používáte k seskupení zásad filtrování a jejich doručování prostřednictvím zásad podmíněného přístupu zaměřených na uživatele. Pokud například chcete blokovat všechny weby příspěvků s výjimkou msn.com uživatele angie@contoso.com , vytvoříte dvě zásady filtrování webu a přidáte je do profilu zabezpečení. Pak vezmete profil zabezpečení a propoínáte ho se zásadami podmíněného přístupu přiřazenými .angie@contoso.com
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Logika zpracování zásad
V rámci profilu zabezpečení se zásady vynucují podle logického pořadí jedinečných čísel priorit, přičemž 100 je nejvyšší prioritou a 65 000 nejnižší prioritou (podobně jako u tradiční logiky brány firewall). Osvědčeným postupem je přidat rozestupy přibližně 100 jednotek mezi prioritami, aby byla v budoucnu zajištěna flexibilita politiky.
Když propojíte profil zabezpečení se zásadami podmíněného přístupu, v případě, že se shoduje více zásad podmíněného přístupu, oba profily zabezpečení se zpracovávají v pořadí priority odpovídajících profilů zabezpečení.
Důležité
Základní profil zabezpečení se vztahuje na veškerý provoz i bez propojení se zásadami podmíněného přístupu. Vynucuje zásadu s nejnižší prioritou v zásobníku zásad, která se vztahuje na veškerý provoz internetového přístupu směrovaný přes službu jako všeobecná zásada. Základní profil zabezpečení se spustí i v případě, že zásady podmíněného přístupu odpovídají jinému profilu zabezpečení.
Známá omezení
Tato funkce má jedno nebo více známých omezení. Podrobnější informace o známých problémech a omezeních této funkce najdete v tématu Známá omezení globálního zabezpečení přístupu.