Compartir a través de

Guía de implementación de la solución Microsoft Security Service Edge para la prueba de concepto de Microsoft Entra Internet Access

  • Artículo

La solución de Security Service Edge centrada en la identidad de Microsoft hace converger los controles de acceso a la red y a la identidad para que pueda proteger el acceso a cualquier aplicación o recurso desde cualquier ubicación, dispositivo o identidad. Permite y organiza la administración de directivas de acceso para empleados, asociados empresariales y cargas de trabajo digitales. Puede supervisar y ajustar el acceso de los usuarios continuamente en tiempo real si cambian los permisos o los niveles de riesgo de las aplicaciones privadas, aplicaciones SaaS y puntos de conexión de Microsoft.

La protección de los usuarios empresariales y los dispositivos administrados frente al tráfico malintencionado de Internet y la infección por malware preocupa a todas las empresas. Use la funcionalidad de puerta de enlace web segura de Acceso a Internet de Microsoft Entra para bloquear el tráfico en función de las categorías web, y un nombre de dominio completo (FQDN), mediante la integración con el acceso condicional de Microsoft Entra ID.

Las instrucciones de este artículo le ayudan a implementar Microsoft Entra Internet Access como prueba de concepto en el entorno de producción o pruebas. Incluye la instalación y la configuración del filtrado de contenidos web. Puede revisar los requisitos previos en la Guía de implementación de soluciones perimetrales de servicio de seguridad de introducción, que incluye cómo definir el ámbito de la configuración y las pruebas de usuarios y grupos de prueba específicos.

Implementación y prueba de Microsoft Entra Internet Access

Complete los pasos de Configuración del producto inicial. Aprenda a habilitar el perfil de reenvío de tráfico de Microsoft Entra Internet Access e instalar el cliente de acceso seguro global en un dispositivo de prueba. Para estos escenarios de PoC de ejemplo, necesita un grupo de prueba con un usuario de prueba como miembro.

Escenario de PoC de ejemplo: creación de una directiva de línea de base que se aplica a todo el tráfico de acceso a Internet enrutado a través del servicio

Microsoft Internet Access tiene características para configurar un perfil de seguridad con una prioridad de 65 000 que se aplica a todo el tráfico sin vincular a una directiva de acceso condicional. Complete las siguientes tareas para crear esta directiva de línea de base para bloquear un FQDN:

Creación de una directiva de filtrado web

  1. En el Centro de administración de Microsoft Entra, vaya a Acceso seguro global>Protección>Directivas de filtrado de contenido web>Crear directiva>Configurar el filtrado de contenidos del acceso seguro global.

    Recorte de pantalla de las directivas de filtrado de contenido web seguro de Acceso global seguro.

  2. En Crear una directiva de filtrado de contenido web>Aspectos básicos, proporcione los siguientes detalles.

    • Nombre: regla de bloqueo de acceso a Internet de línea de base.
    • Descripción: agregue una descripción.
    • Acción: bloquear.

    Recorte de pantalla de Acceso global seguro, directivas de filtrado de contenido web, crear una directiva de filtrado de contenido web, conceptos básicos de la directiva de línea de base.

  3. Seleccione Siguiente.

  4. En Crear una directiva de filtrado de contenido web>Reglas de directiva, seleccione Agregar regla.

    Recorte de pantalla de Acceso global seguro, crear una directiva de filtrado de contenido web, reglas de la directiva de línea de base.

  5. En el cuadro de diálogo Agregar regla, proporcione los siguientes detalles.

    • Nombre: categorías web bloqueadas de línea de base.
    • Tipo de destino: webCategory.
    • Buscar: seleccione algunas categorías de riesgo, confirme que están en la lista Elementos seleccionados.

    Recorte de pantalla de Acceso global seguro, crear una directiva de filtrado de contenido web, agregar una regla para la directiva de línea de base.

  6. Seleccione Agregar.

  7. En Crear una directiva de filtrado de contenido web>Reglas de directiva, confirme las selecciones.

    Recorte de pantalla de Acceso global seguro, crear una directiva de filtrado de contenido web, revisar la directiva de línea de base.

  8. Seleccione Siguiente.

  9. En Crear una directiva de filtrado de contenido web>Revisar, confirme la configuración de la directiva.

  10. Seleccione Crear una directiva.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad, pestaña Revisar la directiva de línea de base.

  11. Para confirmar la creación de directivas, visualícela en la lista Administrar directivas de filtrado de contenido web.

Creación de un perfil de directiva de seguridad

  1. En el Centro de administración de Microsoft Entra, vaya a Acceso seguro global>Protección>Perfiles de seguridad. Seleccione Crear perfil.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad.

  2. En Crear un perfil>Aspectos básicos, proporcione los siguientes detalles.

    • Nombre de perfil: perfil del bloqueo de acceso a Internet de línea de base.
    • Descripción: agregue una descripción.
    • Estado: habilitado.
    • Prioridad: 65 000.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad, aspectos básicos de la directiva de línea de base.

  3. Seleccione Siguiente.

  4. En Crear un perfil>Directivas de vínculo, seleccione Vincular una directiva. Seleccione directiva existente.

    • En el cuadro de diálogo Vincular una directiva, seleccione Nombre de directiva y seleccione regla de bloqueo de acceso a Internet de línea de base.
    • Prioridad: 100.
    • Estado: habilitado.

  5. Seleccione Agregar.

  6. En Crear un perfil>Directivas de vínculo, confirme que la regla de bloqueo de acceso a Internet de línea de base está en la lista.

  7. Seleccione Siguiente.

  8. En Crear un perfil>Revisar, confirme la configuración del perfil.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad, revisar la directiva de línea de base.

  9. Seleccione Crear un perfil.

Intento de acceder a sitios bloqueados

  1. Inicie sesión en el dispositivo de prueba donde instaló el agente de acceso seguro global (GSA).

  2. En la bandeja del sistema, haga clic con el botón derecho en cliente de acceso seguro global. Seleccione diagnóstico avanzado.

    Recorte de pantalla de las opciones de la bandeja de Acceso global seguro, diagnóstico avanzado.

  3. En el cuadro de diálogo Cliente de acceso seguro global: diagnóstico avanzado, seleccione Tráfico.

  4. En tráfico de red, seleccione Empezar a recopilar.

    Recorte de pantalla del cliente de Acceso global seguro, diagnóstico avanzado, tráfico, tráfico de red, iniciar la recopilación.

  5. Para confirmar el acceso bloqueado, intente abrir el FQDN que bloqueó. La directiva puede tardar hasta 20 minutos en aplicarse al dispositivo cliente.

Detención del agente y confirmación del acceso restaurado

  1. En Tráfico de red, seleccione Detener la recopilación.

  2. Desplácese para observar el tráfico relacionado con la apertura del FQDN y los datos asociados.

    Recorte de pantalla del tráfico de red de FQDN.

  3. En el dispositivo de prueba > Bandeja del sistema >, expanda las opciones > haga clic con el botón derecho en cliente de acceso seguro global. Seleccione Pausar.

    Recorte de pantalla de las opciones de la bandeja del sistema de Acceso global seguro, pausar.

  4. Una vez que aparezca la notificación de confirmación, abra el sitio bloqueado anteriormente para confirmar el acceso restaurado.

Vista de la actividad en el registro de tráfico

  1. En Centro de administración de Microsoft Entra>Acceso seguro global (versión preliminar)>Supervisión, seleccione Registros de tráfico. Si es necesario, seleccione Agregar filtro. Filtre cuando el nombre principal de usuario contenga testuser y Acción establecida en Bloquear.
  2. Observe las entradas del FQDN de destino que muestran el tráfico como bloqueado y, a continuación, permitido. Las entradas pueden tardar hasta 20 minutos en aparecer en el registro.

Escenario de PoC de ejemplo: impedir que un grupo acceda a sitios web en función de la categoría

Use Microsoft Entra Internet Access para bloquear o permitir el acceso a sitios de Internet en función de la categoría. Estas áreas incluyen los sitios de apuestas, alcohol y tabaco. No es necesario administrar manualmente las listas de bloqueados. Complete las siguientes tareas para configurar Microsoft Entra Internet Access y bloquear los sitios de alcohol y tabaco para el usuario de prueba.

Creación de una directiva de filtrado web

  1. En el Centro de administración de Microsoft Entra, vaya a Acceso seguro global>Protección>Directivas de filtrado de contenido web>Crear directiva>Configurar el filtrado de contenidos del acceso seguro global.

    Recorte de pantalla de las directivas de Acceso global seguro, seguridad, filtrar contenido web.

  2. En Crear una directiva de filtrado de contenido web>Aspectos básicos, proporcione los siguientes detalles.

    • Nombre: bloquear alcohol y tabaco.
    • Descripción: agregue una descripción.
    • Acción: bloquear.

  3. Seleccione Siguiente.

  4. En Crear una directiva de filtrado de contenido web>Reglas de directiva, seleccione Agregar regla.

  5. En el cuadro de diálogo Agregar regla, proporcione los siguientes detalles.

    • Nombre: alcohol y tabaco.
    • Tipo de destino: webCategory.
    • Búsqueda: alcohol.
    • Seleccione alcohol y tabaco.

  6. Seleccione Agregar.

  7. En Crear una directiva de filtrado de contenido web>Reglas de directiva, seleccione Siguiente.

  8. En Crear una directiva de filtrado de contenido web>Revisar, confirme la configuración de la directiva.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad, crear un perfil, directivas de filtrado de contenido web, revisar la directiva de categoría.

  9. Seleccione Crear una directiva.

  10. Para confirmar la creación de directivas, visualícela en la lista Administrar directivas de filtrado de contenido web.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad, directivas de filtrado de contenido web de la categoría.

Creación de un perfil de directiva de seguridad

  1. En el Centro de administración de Microsoft Entra, vaya a Acceso seguro global>Protección>Perfiles de seguridad. Seleccione Crear perfil.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad.

  2. En Crear un perfil>Aspectos básicos, proporcione los siguientes detalles.

    • Nombre de perfil: perfil de acceso a Internet.
    • Descripción: agregue una descripción.
    • Estado: habilitado.
    • Prioridad: 1000.

  3. Seleccione Siguiente.

  4. En Crear un perfil>Directivas de vínculo, seleccione Vincular una directiva.

  5. Seleccione directiva existente.

  6. En el cuadro de diálogo Vincular una directiva, proporcione los siguientes detalles.

    • Nombre de la directiva: bloquear el alcohol y el tabaco.
    • Prioridad: 1000.
    • Estado: habilitado.

  7. Seleccione Agregar.

  8. En Crear un perfil>Directivas de vínculo, confirme Bloquear el alcohol y el tabaco en la lista.

  9. Seleccione Siguiente.

  10. En Crear un perfil>Revisar, confirme la configuración del perfil.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad, revisar la directiva de categorías.

  11. Seleccione Crear un perfil.

Creación de una directiva de acceso condicional

  1. En el Centro de administración de Microsoft Entra, vaya a Protección>Acceso condicional. Seleccione Crear nueva directiva.

  2. En el cuadro de diálogo Nueva directiva de acceso condicional, configure los siguientes detalles.

    • Nombre: directiva de acceso a Internet.
    • Usuarios o identidades de carga de trabajo: Usuarios específicos incluidos.
    • ¿A qué se aplica esta directiva? Usuarios y grupos.
    • Incluir>Seleccionar usuarios y grupos> Seleccione Usuarios y grupos.

  3. Seleccione el grupo de pruebas > y haga clic en Seleccionar.

    Recorte de pantalla del acceso condicional, nueva directiva de acceso condicional de la directiva de acceso a Internet.

  4. Recursos de destino.

    • Seleccione lo que esta directiva se aplica a>acceso seguro global.
    • Seleccione los perfiles de tráfico que esta directiva aplica a>tráfico de Internet.

    Recorte de pantalla del acceso condicional, nueva directiva de acceso condicional de la directiva de acceso a Internet, recursos de destino.

  5. Deje el control Conceder de forma predeterminada para conceder acceso para que el perfil de seguridad definido defina la funcionalidad de bloque.

  6. En el cuadro de diálogo Sesión, seleccione Usar perfil de seguridad de acceso seguro global.

  7. Seleccione perfil de acceso a Internet.

    Recorte de pantalla del acceso condicional, nueva directiva de acceso condicional de la directiva de acceso a Internet, sesión.

  8. En Introducción al acceso condicional>Habilitar directiva, seleccione Habilitada. Seleccione Crear.

Intento de acceder a sitios bloqueados

  1. Inicie sesión en el dispositivo de prueba donde instaló el agente de acceso seguro global.

  2. En la bandeja del sistema, haga clic con el botón derecho en cliente de acceso seguro global. Seleccione diagnóstico avanzado.

    Recorte de pantalla de las opciones de la bandeja de Acceso global seguro, diagnóstico avanzado.

  3. En el cuadro de diálogo Cliente de acceso seguro global: diagnóstico avanzado, seleccione Tráfico.

  4. En tráfico de red, seleccione Empezar a recopilar.

    Recorte de pantalla del cliente de Acceso global seguro, diagnóstico avanzado, tráfico, tráfico de red, iniciar la recopilación.

  5. Intente abrir un sitio de alcohol o tabaco para confirmar el acceso bloqueado. Debería ver la notificación Tráfico denegado en los sitios web http y No se puede acceder a esta página en los sitios web https. La directiva puede tardar hasta 20 minutos en aplicarse al dispositivo cliente.

Detención del agente y confirmación del acceso restaurado

  1. En Tráfico de red, seleccione Detener la recopilación.

  2. Desplácese para observar el tráfico relacionado con la apertura del FQDN y los datos asociados. Anote el Acceso a Internet en las columnas Canal. Las directivas de acceso condicional se escriben como notificaciones en el token que tienen una duración de una hora. Las nuevas directivas de acceso condicional pueden tardar hasta una hora en aplicarse al dispositivo cliente. Dado que los cambios se propagan a través de Microsoft Entra, los cambios en la directiva de filtrado web y en los perfiles de seguridad pueden tardar hasta 20 minutos en aplicarse al dispositivo cliente.

    Recorte de pantalla de Acceso global seguro: diagnóstico avanzado, tráfico de red.

  3. En el dispositivo de prueba > Bandeja del sistema >, expanda las opciones > haga clic con el botón derecho en cliente de acceso seguro global. Seleccione Pausar.

    Recorte de pantalla de las opciones de la bandeja del sistema de Acceso global seguro, pausar.

  4. Una vez que aparezca la notificación de confirmación, abra el sitio bloqueado anteriormente para confirmar el acceso restaurado. La funcionalidad para acceder al menú del cliente de acceso seguro global se puede controlar administrativamente cuando el producto pasa a GA.

Vista de la actividad en el registro de tráfico

  1. En Centro de administración de Microsoft Entra>Acceso seguro global (versión preliminar)>Supervisión, seleccione Registros de tráfico.
  2. Si es necesario, seleccione Agregar filtro. Filtre cuando el nombre principal de usuario contenga testuser y Acción establecida en Bloquear.
  3. Observe las entradas del FQDN de destino que muestran el tráfico como bloqueado y, a continuación, permitido. Las entradas pueden tardar hasta 20 minutos en aparecer en el registro.

Escenario de PoC de ejemplo: impedir que un grupo acceda a sitios web en función del FQDN

En algunos casos, es necesario bloquear sitios web específicos en lugar de usar categorías web amplias. Complete las siguientes tareas para bloquear el acceso al sitio en función del FQDN. Asegúrese de incluir nombres de dominio completos (FQDN) en uso por el sitio que desea bloquear.

Creación de una directiva de filtrado web

  1. En el Centro de administración de Microsoft Entra, vaya a Acceso seguro global>Protección>Directivas de filtrado de contenido web>Crear directiva>Configurar el filtrado de contenidos del acceso seguro global.

    Recorte de pantalla de las directivas de Acceso global seguro, seguridad, filtrar contenido web.

  2. En Crear una directiva de filtrado de contenido web>Aspectos básicos, proporcione los siguientes detalles.

    • Nombre: bloqueo del FQDN de prueba.
    • Descripción: agregue una descripción.
    • Acción: bloquear.

  3. Seleccione Siguiente.

  4. En Crear una directiva de filtrado de contenido web>Reglas de directiva, seleccione Agregar regla.

  5. En el cuadro de diálogo Agregar regla, proporcione los siguientes detalles.

    • Nombre: escriba el nombre, como Bloqueo del FQDN de prueba.
    • Tipo de destino: FQDN.
    • Destino: escriba el FQDN de prueba con el formato *.nombrededominio.com o nombrededominio.com.

  6. Seleccione Agregar.

  7. En Crear una directiva de filtrado de contenido web>Reglas de directiva, confirme las selecciones.

  8. Seleccione Siguiente.

  9. En Crear una directiva de filtrado de contenido web>Revisar, confirme la configuración de la directiva.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad, crear un perfil, directivas de filtrado de contenido web, revisar la directiva de bloqueo de FQDN.

  10. Seleccione Crear una directiva.

  11. Para confirmar la creación de directivas, visualícela en la lista Administrar directivas de filtrado de contenido web.

Creación de un perfil de directiva de seguridad

  1. En el Centro de administración de Microsoft Entra, vaya a Acceso seguro global>Protección>Perfiles de seguridad. Seleccione Crear perfil.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad.

  2. En Crear un perfil>Aspectos básicos, proporcione los siguientes detalles.

    • Nombre de perfil: perfil de acceso a internet Bloquear FQDN.
    • Descripción: agregue una descripción.
    • Estado: habilitado. *Prioridad: 2000.

  3. Seleccione Siguiente.

  4. En Crear un perfil>Directivas de vínculo, seleccione Vincular una directiva.

  5. Seleccione directiva existente.

  6. En el cuadro de diálogo Vincular una directiva, proporcione los siguientes detalles.

    • Nombre de directiva: bloqueo del FQDN de prueba.
    • Prioridad: 100.
    • Estado: habilitado.

  7. Seleccione Agregar.

  8. En la pestaña Directivas de vínculo, confirme Bloquear FQDN de prueba en la lista.

  9. Seleccione Siguiente.

  10. En la pestaña Revisar, confirme la configuración del perfil.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad, revisar la directiva de bloqueo de FQDN.

  11. Seleccione Crear un perfil.

Creación de una directiva de acceso condicional

  1. En el Centro de administración de Microsoft Entra, vaya a Protección>Acceso condicional. Seleccione Crear nueva directiva.

  2. En el cuadro de diálogo Nueva directiva de acceso condicional, configure lo siguiente.

    • Nombre: Directiva de acceso a Internet de FQDN.
    • Usuarios o identidades de carga de trabajo:usuarios específicos incluidos.
    • ¿A qué se aplica esta directiva? Usuarios y grupos.
    • Incluir>Seleccionar usuarios y grupos> Seleccione Usuarios y grupos.
    • Seleccione el grupo de pruebas. Haga clic en Seleccionar.

    Recorte de pantalla del acceso condicional, nueva directiva de acceso condicional para bloquear la directiva de acceso a Internet de FQDN.

  3. Recursos de destino>Seleccionar a lo que esta directiva se aplica>Acceso seguro global.

  4. Seleccione los perfiles de tráfico que esta directiva aplica a>tráfico de Internet.

    Recorte de pantalla del acceso condicional, nueva directiva de acceso condicional para bloquear la directiva de acceso a Internet de FQDN, recursos de destino.

  5. En el cuadro de diálogo Sesión, seleccione Perfil de acceso a Internet Bloqueo de FQDN. Seleccione perfil de acceso a Internet.

  6. En Introducción al acceso condicional>Habilitar directiva, seleccione Habilitada. Seleccione Crear.

    Recorte de pantalla del acceso condicional, nueva directiva de acceso condicional para bloquear la directiva de acceso a Internet de FQDN, sesión.

Intento de acceder a sitios bloqueados

  1. Inicie sesión en el dispositivo de prueba donde instaló el agente de acceso seguro global.

  2. En la bandeja del sistema, haga clic con el botón derecho en cliente de acceso seguro global. Seleccione diagnóstico avanzado.

    Recorte de pantalla de las opciones de la bandeja de Acceso global seguro, diagnóstico avanzado.

  3. En el cuadro de diálogo Cliente de acceso seguro global: diagnóstico avanzado, seleccione Tráfico.

  4. En tráfico de red, seleccione Empezar a recopilar.

    Recorte de pantalla del cliente de Acceso global seguro, diagnóstico avanzado, tráfico, tráfico de red, iniciar la recopilación.

  5. Intente abrir el FQDN que configuró para confirmar el acceso bloqueado. Debería ver la notificación Acceso denegado en los sitios web http y No se puede acceder a esta página en los sitios web https. La directiva puede tardar hasta 20 minutos en aplicarse al dispositivo cliente.

Detención del agente y confirmación del acceso restaurado

  1. En Tráfico de red, seleccione Detener la recopilación.

  2. Desplácese para observar el tráfico relacionado con la apertura del FQDN y los datos asociados.

    Recorte de pantalla de Acceso global seguro: diagnóstico avanzado, tráfico de red para bloquear el acceso a Internet de FQDN.

  3. En el dispositivo de prueba > Bandeja del sistema >, expanda las opciones > haga clic con el botón derecho en cliente de acceso seguro global. Seleccione Pausar.

    Recorte de pantalla de las opciones de la bandeja del sistema de Acceso global seguro, pausar.

  4. Una vez que aparezca la notificación de confirmación, abra el sitio bloqueado anteriormente para confirmar el acceso restaurado.

Vista de la actividad en el registro de tráfico

  1. En Centro de administración de Microsoft Entra>Acceso seguro global (versión preliminar)>Supervisión, seleccione Registros de tráfico.
  2. Si es necesario, seleccione Agregar filtro. Filtre cuando el nombre principal de usuario contenga testuser y Acción establecida en Bloquear.
  3. Observe las entradas del FQDN de destino que muestran el tráfico como bloqueado y, a continuación, permitido. Las entradas pueden tardar hasta 20 minutos en aparecer en el registro.

Escenario de PoC de ejemplo: permitir que un usuario acceda a un sitio web bloqueado

En algunos casos, es posible que tenga usuarios que requieran acceso a sitios bloqueados para grupos en los que el usuario es miembro. Complete las siguientes tareas para invalidar un bloqueo configurado para el grupo de pruebas, de modo que el usuario de prueba pueda acceder al sitio bloqueado.

Creación de una directiva de filtrado web

  1. En el Centro de administración de Microsoft Entra, vaya a Acceso seguro global>Protección>Directivas de filtrado de contenido web>Crear directiva>Configurar el filtrado de contenidos del acceso seguro global.

    Recorte de pantalla de las directivas de Acceso global seguro, seguridad, filtrar contenido web.

  2. En Crear una directiva de filtrado de contenido web>Aspectos básicos, proporcione los siguientes detalles.

    • Nombre: permitir FQDN de prueba.
    • Descripción: agregue una descripción.
    • Acción: permitir.

  3. Seleccione Siguiente.

  4. En Crear una directiva de filtrado de contenido web>Reglas de directiva, seleccione Agregar regla.

  5. En el cuadro de diálogo Agregar regla, proporcione los siguientes detalles. Seleccione Agregar.

    • Nombre: escriba un nombre, como Permitir invalidación de FQDN.
    • Tipo de destino: FQDN.
    • Destino: escriba el FQDN en el formato *.nombrededominio.com o dominio.com. Seleccione Agregar.

  6. En Crear una directiva de filtrado de contenido web>Reglas de directiva, confirme las selecciones.

  7. Seleccione Siguiente.

  8. En Crear una directiva de filtrado de contenido web>Revisar, confirme la configuración de la directiva.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad, crear un perfil, directivas de filtrado de contenido web, revisar para permitir la directiva bloqueada.

  9. Seleccione Crear una directiva.

  10. Para confirmar la creación de directivas, visualícela en la lista Administrar directivas de filtrado de contenido web.

Creación de un perfil de directiva de seguridad

  1. En el Centro de administración de Microsoft Entra, vaya a Acceso seguro global>Protección>Perfiles de seguridad. Seleccione Crear perfil.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad.](media/sse-deployment-guide-internet-access/security-profiles-expanded.png#lightbox)

  2. En Crear un perfil>Aspectos básicos, proporcione los siguientes detalles.

    • Nombre de perfil: permitir el perfil de acceso a Internet de FQDN.
    • Descripción: agregue una descripción.
    • Estado: habilitado.
    • Prioridad: 500.

  3. Seleccione Siguiente.

  4. En Crear un perfil>Directivas de vínculo, seleccione Vincular una directiva.

  5. Seleccione directiva existente.

  6. En el cuadro de diálogo Vincular una directiva, proporcione los siguientes detalles.

    • Nombre de directiva: permitir FQDN de prueba.
    • Prioridad: 100.
    • Estado: habilitado.

  7. Seleccione Agregar.

  8. En Crear un perfil>Directivas de vínculo, confirme Permitir FQDN de prueba en la lista.

  9. Seleccione Siguiente.

  10. En la pestaña Revisar, confirme la configuración del perfil.

    Recorte de pantalla de Acceso global seguro, perfiles de seguridad, revisar la directiva bloqueada permitida.

  11. Seleccione Crear un perfil.

Creación de una directiva de acceso condicional

  1. En el Centro de administración de Microsoft Entra, vaya a Protección>Acceso condicional. Seleccione Crear nueva directiva.

  2. En el cuadro de diálogo Nueva directiva de acceso condicional, configure lo siguiente.

    • Nombre: directiva de IA de invalidación de excepciones de FQDN.
    • Usuarios o identidades de carga de trabajo:usuarios específicos incluidos.
    • ¿A qué se aplica esta directiva? Usuarios y grupos.
    • Incluir>Seleccionar usuarios y grupos> Seleccione Usuarios y grupos.
    • Seleccione el grupo de pruebas. Haga clic en Seleccionar.

    Recorte de pantalla del acceso condicional, nueva directiva de acceso condicional para permitir la directiva de acceso a Internet bloqueada.

  3. Recursos de destino>Seleccionar a lo que esta directiva se aplica>Acceso seguro global.

  4. Seleccione los perfiles de tráfico que esta directiva aplica a>tráfico de Internet.

    Recorte de pantalla del acceso condicional, nueva directiva de acceso condicional para permitir la directiva de acceso a Internet bloqueada, recursos de destino.

  5. Sesión> seleccione Usar perfil de seguridad de acceso seguro global, seleccione Perfil de acceso a Internet Permitir FQDN. Haga clic en Seleccionar.

  6. En Introducción al acceso condicional>Habilitar directiva, seleccione Habilitada. Seleccione Crear.

    Recorte de pantalla del acceso condicional, nueva directiva de acceso condicional para permitir la directiva de acceso a Internet bloqueada, sesión.

Intento de acceder a sitios bloqueados

  1. Inicie sesión en el dispositivo de prueba donde instaló el agente de acceso seguro global.

  2. En la bandeja del sistema, haga clic con el botón derecho en cliente de acceso seguro global. Seleccione diagnóstico avanzado.

    Recorte de pantalla de las opciones de la bandeja de Acceso global seguro, diagnóstico avanzado

  3. En el cuadro de diálogo Cliente de acceso seguro global: diagnóstico avanzado, seleccione Tráfico.

  4. En tráfico de red, seleccione Empezar a recopilar.

    Recorte de pantalla del cliente de Acceso global seguro, diagnóstico avanzado, tráfico, tráfico de red, iniciar la recopilación.

  5. Para confirmar el acceso a este usuario específico, intente abrir el FQDN que configuró como una excepción. La directiva puede tardar hasta 20 minutos en aplicarse al dispositivo cliente.

Detención del agente y confirmación del acceso restaurado

  1. En Tráfico de red, seleccione Detener la recopilación.
  2. Desplácese para observar el tráfico relacionado con la apertura del FQDN.

Vista de la actividad en el registro de tráfico

  1. En Centro de administración de Microsoft Entra>Acceso seguro global (versión preliminar)>Supervisión, seleccione Registros de tráfico. Si es necesario, seleccione Agregar filtro. Filtre cuando el nombre principal de usuario contenga testuser y Acción establecida en Bloquear.
  2. Observe las entradas del FQDN de destino que muestran el tráfico como bloqueado y, a continuación, permitido. Las entradas pueden tardar hasta 20 minutos en aparecer en el registro.

Pasos siguientes