Cómo administrar el perfil de reenvío de tráfico de Acceso a Internet
El perfil de reenvío de tráfico de Acceso a Internet enruta el tráfico de Internet a través del cliente de Acceso global seguro. Habilitar este perfil de reenvío de tráfico permite a los trabajadores remotos conectarse a Internet de forma controlada y segura. Con las características de Acceso a Internet de Microsoft Entra, podrá controlar a qué sitios de Internet se puede acceder. También puede configurar qué tráfico excluir del Acceso global seguro basándose en direcciones IP, intervalos IP, subredes IP y nombres de dominio completos (FQDN).
Requisitos previos
Para habilitar el perfil de reenvío de Acceso a Internet para su inquilino, debe tener:
- Un rol de Administrador de Acceso seguro global en Microsoft Entra ID.
- El producto requiere licencias. Para obtener más información, consulta la sección de licencias de Qué es el Acceso global seguro. Si es necesario, puede comprar una licencia u obtener licencias de prueba.
Directivas de perfil de reenvío de tráfico de Acceso a Internet
Vea las directivas relacionadas con el perfil de reenvío de tráfico de Acceso a Internet. Hay tres directivas de forma predeterminada. Para verlos haga lo siguiente:
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de Global Secure Access.
- Vaya a Global Secure Access>Conectar>Reenvío de trafico.
- Seleccione el vínculo Vista de la sección de directivas de Acceso a Internet.
Las directivas de Acceso a Internet predeterminadas incluyen:
- Desvío personalizado Contiene tráfico o puntos de conexión definidos por el usuario que están excluidos del perfil de tráfico de Internet. En otras palabras, usted define el tráfico que el perfil no debe adquirir. Normalmente, puede excluir el tráfico, como los puntos de conexión de VPN, los intervalos IP privados y los intervalos IP de ocupación, y los puntos de conexión que aprovechan una lista de control de acceso de red (ACL).
- Desvío predeterminado Contiene tráfico predefinido que el perfil de tráfico de Internet no adquiere. Por ejemplo, intervalos IP privados. No puede cambiar las reglas de esta directiva.
- Adquisición predeterminada Define el tráfico que adquiere el perfil de tráfico de Internet. Actualmente, es todo el tráfico de Internet en los puertos 80, 443 sobre el Protocolo de control de transmisión (TCP). La directiva tiene la prioridad más baja después de que se hayan evaluado todas las reglas de desviación. No puede cambiar las reglas de esta directiva.
Ejemplo de adición de una directiva de desviación personalizada:
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de Global Secure Access.
- Vaya a Global Secure Access>Conectar>Reenvío de trafico.
- En el área del perfil de reenvío de tráfico de Acceso a Internet, en la sección Directivas de Acceso a Internet, seleccione el vínculo Vista
- Expanda la directiva Desvío personalizado.
- Seleccione Agregar regla.
- Elija un tipo de destino, como Nombre de dominio completo (FQDN). Puede agregar varios valores de destino separados por comas. No agregue espacios en blanco. Por ejemplo,
contoso.com,fabrikam.como10.0.0.1/32,10.0.0.2/32. Los puertos, el protocolo y la acción son siempre fijos y no pueden cambiarse. - Escriba un destino válido.
- Seleccione Guardar.
Nota:
El tráfico se evalúa de arriba a abajo, lo que significa que solo lo adquiere el perfil de tráfico de Internet si no está siendo desviado en una de las reglas de desvío.
Asignaciones de usuarios y grupos
Puede definir el ámbito del perfil de acceso a Internet a usuarios y grupos específicos.
Para obtener más información sobre la asignación de usuarios y grupos, consulte Cómo asignar y administrar usuarios y grupos con perfiles de reenvío de tráfico.
Habilitar el perfil de reenvío de tráfico de Acceso a Internet
Para habilitar el perfil de reenvío de Microsoft Entra Internet Access para reenviar el tráfico de usuario:
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de Global Secure Access.
- Vaya a Global Secure Access>Conectar>Reenvío de trafico.
- Establezca directivas en el perfil de tráfico. Por ejemplo, establezca una regla de desvío personalizada para excluir tráfico específico.
- Habilite el perfil de acceso a Internet. El tráfico de Internet comienza a reenviar desde todos los dispositivos cliente al proxy de Microsoft Security Service Edge (SSE), donde se configuran directivas de seguridad pormenorizadas.
Nota:
Al habilitar el perfil de reenvío de acceso a Internet, también debe habilitar el perfil de reenvío de tráfico de Microsoft para lograr un enrutamiento óptimo del tráfico de Microsoft. Habilite el perfil de tráfico de Microsoft seleccionando la casilla de verificación del perfil en la misma página en la que habilita el perfil de reenvío de tráfico de Acceso a Internet. Para obtener más información acerca del perfil de reenvío de tráfico de Microsoft, consulte Habilitación y administración del perfil de Microsoft.
Validar el perfil de reenvío de tráfico de Acceso a Internet
Una regla agregada a una directiva tarda entre 10 y 20 minutos en aparecer en el cliente del equipo de un usuario. Si la regla no aparece después de este tiempo, deshabilite y después vuelva a habilitar el perfil de reenvío de tráfico de Acceso a Internet.
Para validar el perfil de reenvío de tráfico, las directivas de reenvío de tráfico y las reglas:
- En la bandeja del sistema, haga clic con el botón derecho del ratón en el cliente de Acceso global seguro y seleccione Diagnóstico avanzado.
- Abra un explorador web y navegue hasta un destino de la red interna. Confirme que no se está capturando tráfico.
- Abra un explorador web y navegue hasta un destino que esté desviado. Confirme que no se está capturando tráfico.
- Abra un explorador web y navegue hasta un destino público adquirido por el perfil. Confirme que el tráfico se está adquiriendo bajo el canal de Internet.