Informace o Microsoft Entra Přístup k Internetu pro všechny aplikace
Microsoft Entra Přístup k Internetu poskytuje řešení zabezpečené webové brány (SWG) zaměřené na identitu pro aplikace typu software jako služba (SaaS) a další internetový provoz. Chrání uživatele, zařízení a data z celé internetové oblasti hrozeb s nejlepšími bezpečnostními prvky a viditelností prostřednictvím protokolů provozu.
Filtrování webového obsahu
Klíčovou úvodní funkcí pro Microsoft Entra Přístup k Internetu pro všechny aplikace je filtrování webového obsahu. Tato funkce poskytuje podrobné řízení přístupu pro webové kategorie a plně kvalifikované názvy domén (FQDN). Explicitním zablokováním známých nevhodných, škodlivých nebo nebezpečných stránek chraňte své uživatele a jejich zařízení před jakýmkoli připojením k internetu, ať už jsou vzdálení nebo v rámci firemní sítě.
Když provoz dosáhne Edge zabezpečené služby Microsoftu, Microsoft Entra Přístup k Internetu provádí bezpečnostní prvky dvěma způsoby. Pro nešifrovaný provoz HTTP používá adresu URL (Uniform Resource Locator). Pro provoz HTTPS šifrovaný pomocí protokolu TLS (Transport Layer Security) používá indikaci názvu serveru (SNI).
Filtrování webového obsahu se implementuje pomocí zásad filtrování, které jsou seskupené do profilů zabezpečení, které je možné propojit se zásadami podmíněného přístupu. Další informace o podmíněném přístupu najdete v tématu Podmíněný přístup Společnosti Microsoft Entra.
Poznámka:
Filtrování webového obsahu je sice základní funkcí pro všechny zabezpečené webové brány, ale podobné funkce existují i v jiných produktech zabezpečení, jako jsou například produkty zabezpečení koncových bodů, jako je Microsoft Defender for Endpoint a brány firewall, jako je Azure Firewall. Microsoft Entra Přístup k Internetu poskytuje další hodnotu zabezpečení prostřednictvím integrace zásad s Microsoft Entra ID, vynucením zásad na hraničním zařízení, univerzální podporou pro všechny platformy zařízení a budoucími vylepšeními zabezpečení prostřednictvím kontroly protokolu TLS (Transport Layer Security), jako je například kategorizace webu s vyšší přesností. Další informace najdete v nejčastějších dotazech.
Profily zabezpečení
Profily zabezpečení jsou objekty, které používáte k seskupení zásad filtrování a jejich doručování prostřednictvím zásad podmíněného přístupu pracujících uživatelem. Pokud například chcete blokovat všechny weby příspěvků s výjimkou msn.com uživatele angie@contoso.com , vytvoříte dvě zásady filtrování webu a přidáte je do profilu zabezpečení. Pak vezmete profil zabezpečení a propoínáte ho se zásadami podmíněného přístupu přiřazenými .angie@contoso.com
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Logika zpracování zásad
V rámci profilu zabezpečení se zásady vynucují podle logického pořadí jedinečných čísel priorit, přičemž 100 je nejvyšší prioritou a 65 000 nejnižší prioritou (podobně jako u tradiční logiky brány firewall). Osvědčeným postupem je přidat mezery přibližně 100 mezi prioritami, které v budoucnu umožní flexibilitu zásad.
Když propojíte profil zabezpečení se zásadou podmíněného přístupu (CA), pokud se shoduje více zásad podmíněného přístupu, oba profily zabezpečení se zpracovávají v pořadí priority odpovídajících profilů zabezpečení.
Důležité
Základní profil zabezpečení se vztahuje na veškerý provoz i bez propojení se zásadami podmíněného přístupu. Vynucuje zásadu s nejnižší prioritou v zásobníku zásad, která se vztahuje na veškerý provoz internetového přístupu směrovaný přes službu jako zásadu catch-all. Základní profil zabezpečení se spustí i v případě, že zásady podmíněného přístupu odpovídají jinému profilu zabezpečení.
Známá omezení
Tato funkce má jedno nebo více známých omezení. Podrobnější informace o známých problémech a omezeních této funkce najdete v tématu Známá omezení globálního zabezpečení přístupu.