Verwalten des Weiterleitungsprofils für Datenverkehr für den Internetzugriff

Das Datenverkehrsweiterleitungsprofil für Internetzugriff leitet Internetdatenverkehr über den Client für globaler sicherer Zugriff weiter. Wenn Sie dieses Datenverkehrsweiterleitungsprofil aktivieren, können Remotemitarbeiter eine kontrollierte und sichere Verbindung mit dem Internet herstellen. Mit den Features von Microsoft Entra-Internetzugriff können Sie steuern, auf welche Websites im Internet zugegriffen werden kann. Sie können auch konfigurieren, welcher Datenverkehr vom globalen sicheren Zugriff basierend auf IP-Adressen, IP-Adressbereichen, IP-Subnetzen und vollqualifizierten Domänennamen (Fully Qualified Domain Names, FQDNs) ausgeschlossen werden soll.

Voraussetzungen

Um das Weiterleitungsprofil für Internetzugriff für Ihren Mandanten zu aktivieren, ist Folgendes erforderlich:

• Die Rolle Administrator für globalen sicheren Zugriff in Microsoft Entra ID.
• Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.

Profilrichtlinien für die Weiterleitung von Internetzugriffsdatenverkehr

Zeigen Sie die Richtlinien an, die sich auf das Datenverkehrsweiterleitungsprofil für Internetzugriff beziehen. Standardmäßig gibt es drei Richtlinien. Gehen Sie wie folgt vor, um diese anzuzeigen:

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
2. Navigieren Sie zum globalen sicheren Zugriff>Verbinden>Datenweiterleitung.
3. Wählen Sie im Abschnitt „Internetzugriffsrichtlinien“ den Link Ansicht aus.

Zu den Standardrichtlinien für den Internetzugriff gehören:

• Benutzerdefinierte Umgehung: Enthält benutzerdefinierten Datenverkehr bzw. benutzerdefinierte Endpunkte, die aus dem Internetdatenverkehrsprofil ausgeschlossen sind. Mit anderen Worten: Sie definieren den Datenverkehr, den das Profil nicht erwerben soll. In der Regel schließen Sie Datenverkehr wie Ihre VPN-Endpunkte, privaten IP-Bereiche und besetzte IP-Bereiche sowie Endpunkte aus, die eine Netzwerkzugriffssteuerungsliste (Access Control List, ACL) nutzen.
• Standardumgehung: Enthält vordefinierten Datenverkehr, den das Internetdatenverkehrsprofil nicht erhält. Dazu gehören private IP-Bereiche. Sie können die Regeln in dieser Richtlinie nicht ändern.
• Standardabruf: Definiert Datenverkehr, der vom Internetdatenverkehrprofil abgerufen wird. Derzeit ist es der gesamte Internetdatenverkehr an den Ports 80, 443 über das Transmission Control-Protokoll (TCP). Die Richtlinie hat die niedrigste Priorität, nachdem alle Umgehungsregeln ausgewertet wurden. Sie können die Regeln in dieser Richtlinie nicht ändern.

Beispiel für das Hinzufügen einer benutzerdefinierten Umgehungsrichtlinie:

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
2. Navigieren Sie zum globalen sicheren Zugriff>Verbinden>Datenweiterleitung.
3. Wählen Sie im Bereich „Datenverkehrsweiterleitungsprofil für Internetzugriff“ im Abschnitt Internetzugriffsrichtlinien den Link Ansicht aus.
4. Erweitern Sie die Richtlinie Benutzerdefinierte Umgehung.
5. Wählen Sie Regel hinzufügen aus.
6. Wählen Sie einen Zieltyp aus, z. B. vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN). Sie können mehrere durch Komma getrennte Zielwerte hinzufügen. Fügen Sie keine Leerzeichen hinzu. Zum Beispiel: contoso.com,fabrikam.com oder 10.0.0.1/32,10.0.0.2/32. Ports, Protokoll und Aktion sind immer festgelegt und können nicht geändert werden.
7. Geben Sie ein gültiges Ziel ein.
8. Klicken Sie auf Speichern.

Hinweis

Der Datenverkehr wird von oben nach unten ausgewertet, was bedeutet, dass er nur vom Internetdatenverkehrprofil abgerufen wird, wenn er nicht in einer der Umgehungsregeln umgangen wird.

Benutzer- und Gruppenzuweisungen

Sie können das Internetzugriffsprofil auf bestimmte Benutzer und Benutzerinnen sowie Gruppen beschränken.

Weitere Informationen zur Benutzer- und Gruppenzuweisung finden Sie unter Zuweisen und Verwalten von Benutzern und Gruppen mit Datenverkehrsweiterleitungsprofilen.

Aktivieren des Profils für die Weiterleitung von Datenverkehr mit Internetzugriff

So aktivieren Sie das Microsoft Entra-Internetzugriff-Weiterleitungsprofil, um Benutzerdatenverkehr weiterzuleiten:

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
2. Navigieren Sie zum globalen sicheren Zugriff>Verbinden>Datenweiterleitung.
3. Legen Sie Richtlinien für das Datenverkehrsprofil fest. Legen Sie beispielsweise eine benutzerdefinierte Umgehungsregel fest, um bestimmten Datenverkehr auszuschließen.
4. Aktivieren Sie das Internetzugriffsprofil. Der Internetdatenverkehr beginnt mit der Weiterleitung von allen Clientgeräten an den Security Service Edge (SSE)-Proxy von Microsoft, in dem Sie präzise Sicherheitsrichtlinien konfigurieren.

   Hinweis

   Wenn Sie das Internetzugriffsweiterleitungsprofil aktivieren, sollten Sie auch das Microsoft-Datenverkehrsweiterleitungsprofil aktivieren, um das optimale Routing von Microsoft-Datenverkehr zu ermöglichen. Sie aktivieren das Microsoft-Datenverkehrsprofil, indem Sie das Profilkontrollkästchen auf derselben Seite aktivieren, auf der Sie das Datenverkehrsweiterleitungsprofil für den Internetzugriff aktivieren. Weitere Informationen zum Microsoft-Datenverkehrsweiterleitungsprofil finden Sie unter Aktivieren und Verwalten des Microsoft-Profils.

Überprüfen des Profils für die Weiterleitung von Datenverkehr mit Internetzugriff

Eine zu einer Richtlinie hinzugefügte Regel benötigt 10–20 Minuten, bis er auf dem Client auf dem Computer eines Benutzers angezeigt wird. Wenn die Regel nach diesem Zeitpunkt nicht angezeigt wird, deaktivieren Sie das Datenverkehrsweiterleitungsprofil für den Internetzugriff, und aktivieren Sie es dann erneut.

So überprüfen Sie das Datenverkehrsweiterleitungsprofil, die Richtlinien für die Datenverkehrsweiterleitung und Regeln:

1. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf den Client für globalen sicheren Zugriff, und wählen Sie Erweiterte Diagnose aus.
2. Öffnen Sie einen Webbrowser, und navigieren Sie zu einem Ziel im internen Netzwerk. Vergewissern Sie sich, dass der Datenverkehr nicht erfasst wird.
3. Öffnen Sie einen Webbrowser, und navigieren Sie zu einem Ziel, das umgangen wird. Vergewissern Sie sich, dass der Datenverkehr nicht erfasst wird.
4. Öffnen Sie einen Webbrowser, und navigieren Sie zu einem öffentlichen Ziel, das vom Profil erworben wird. Vergewissern Sie sich, dass der Datenverkehr im Internetkanal erworben wird.

Nächste Schritte

• Informationen zur Datenverkehrsweiterleitung
• Konfigurieren von Filterkategorien für Global Secure Access-Webinhalte
• Installieren und konfigurieren des Clients für globalen sicheren Zugriff auf Endbenutzergeräten