Procedimiento para habilitar y administrar el perfil de reenvío de tráfico de Microsoft
Con el perfil de Microsoft habilitado, el Acceso a Internet de Microsoft Entra obtiene el tráfico que va dirigido a los servicios de Microsoft. El perfil de Microsoft administra los siguientes grupos de directivas:
- Exchange Online
- SharePoint Online y Microsoft OneDrive.
- Microsoft 365 Common y Office Online
Requisitos previos
Para habilitar el perfil de reenvío de tráfico de Microsoft para el inquilino, debe tener lo siguiente:
- Un rol Administrador de acceso seguro global en Microsoft Entra ID para habilitar perfiles de tráfico.
- Un rol Administrador de acceso condicional para crear e interactuar con las directivas de acceso condicional.
- El producto requiere licencias. Para obtener más información, consulta la sección de licencias de Qué es el Acceso global seguro. Si es necesario, puede comprar una licencia u obtener licencias de prueba.
Restricciones conocidas
- Los servicios individuales se agregan al perfil de tráfico de Microsoft de forma continua. Actualmente, Microsoft Entra ID, Microsoft Graph, Exchange Online y SharePoint Online se admiten como parte del perfil de tráfico de Microsoft.
- Para conocer limitaciones adicionales del perfil de tráfico de Microsoft, consulte Limitaciones conocidas del cliente de Windows.
Habilitación del perfil de tráfico de Microsoft
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de Global Secure Access.
Vaya a Global Secure Access>Conectar>Reenvío de trafico.
Habilitación del perfil de tráfico de Microsoft. El tráfico de Microsoft comienza a reenviar desde todos los dispositivos cliente al proxy de Microsoft Security Service Edge (SSE), donde puede configurar características de seguridad avanzadas específicas del tráfico de Microsoft.
Directivas de tráfico de Microsoft
Para administrar los detalles incluidos en la directiva de reenvío de tráfico de Microsoft, seleccione el vínculo Ver de las directivas de tráfico de Microsoft.
Los grupos de directivas aparecen en la lista con una casilla para indicar si el grupo de directivas está habilitado. Expande un grupo de directivas para ver todas las direcciones IP y FQDN incluidas en el grupo.
Los grupos de directivas incluyen los siguientes detalles:
- Tipo de destino: FQDN o subred IP
- Destino: los detalles del FQDN o la subred IP
- Puertos: puertos TCP o UDP que se combinan con las direcciones IP para formar el punto de conexión de red
- Protocolo: Protocolo de control de transmisión (TCP) o Protocolo de datagramas de usuario (UDP)
- Acción: Reenvío u Omisión
Puede configurar las reglas de adquisición de tráfico para omitir la adquisición del tráfico. Si lo hace, los usuarios seguirán pudiendo acceder a los recursos; sin embargo, el servicio Acceso global seguro no procesará el tráfico. Puede omitir el tráfico a un FQDN o a una dirección IP en particular, a un grupo de directivas completo dentro del perfil o a todo el perfil de Microsoft. Si solo necesita reenviar algunos de los recursos de Microsoft dentro de un grupo de directivas, habilite el grupo y cambie la Acción en los detalles según corresponda.
Importante
Cuando se establece una regla en Omitir, el perfil de tráfico de acceso a Internet no adquirirá dicho tráfico. Incluso con el perfil de acceso a Internet habilitado, el tráfico omitido omitirá la adquisición de acceso seguro global y usará la ruta de enrutamiento de red del cliente para la salida a Internet. El tráfico disponible para la adquisición en el perfil de tráfico de Microsoft solo se puede adquirir en el perfil de tráfico de Microsoft.
En el ejemplo siguiente se muestra cómo establecer el *.sharepoint.com
FQDN en Omisión para que el tráfico no se reenvíe al servicio.
Si el cliente de Acceso global seguro no puede conectarse al servicio (por ejemplo, debido a un error de autorización o de Acceso condicional), el servicio omitirá el tráfico. El tráfico se envía de forma directa y local en lugar de bloquearse. En este escenario, puede crear una directiva de Acceso condicional para la comprobación de red compatible, para así bloquear el tráfico si el cliente no puede conectarse al servicio.
Directivas de acceso condicional vinculadas
Las directivas de acceso condicional se crean y se aplican al perfil de reenvío de tráfico en el área Acceso condicional de Microsoft Entra ID. Por ejemplo, puede crear una directiva que requiera dispositivos compatibles cuando los usuarios establezcan la conexión de red para los servicios del perfil de tráfico de Microsoft.
Si ves "Ninguno" en la sección Directivas de acceso condicional vinculado, no hay una directiva de acceso condicional vinculada al perfil de reenvío de tráfico. Para crear una directiva de acceso condicional, consulta Acceso condicional universal a través de Acceso seguro global.
Editar una directiva de acceso condicional existente
Si el perfil de reenvío de tráfico tiene una directiva de acceso condicional vinculada, puedes ver y editar esa directiva.
Selecciona el vínculo Ver para las Directivas de acceso condicional vinculado.
Selecciona una directiva de la lista. Detalles de la directiva abierta en Acceso condicional.
Asignaciones de red remota del perfil de tráfico de Microsoft
Los perfiles de tráfico se pueden asignar a redes remotas, de modo que el tráfico de red se reenvíe a Acceso global seguro sin tener que instalar al cliente en dispositivos de usuario final. Siempre que el dispositivo esté detrás del equipo local del cliente (CPE), el cliente no es necesario. Debes crear una red remota para poder agregarla al perfil. Para más información, consulta Cómo crear redes remotas.
Para asignar una red remota al perfil de Microsoft:
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de Global Secure Access.
- Vaya a Global Secure Access>Conectar>Reenvío de trafico.
- En la sección Quitar asignaciones de red, seleccione el vínculo Ver del perfil.
- Selecciona una red remota de la lista y luego selecciona Agregar.
Asignaciones de usuarios y grupos
Puede definir el ámbito del perfil de Microsoft a usuarios y grupos específicos en lugar de aplicar el perfil de tráfico a todos los usuarios. Para obtener más información sobre la asignación de usuarios y grupos, consulte Cómo asignar y administrar usuarios y grupos con perfiles de reenvío de tráfico.
Pasos siguientes
El siguiente paso para empezar a trabajar con el perfil de tráfico de Microsoft es Instalar y configurar el cliente de acceso seguro global en dispositivos de usuario final
Para obtener más información sobre reenvío de tráfico, consulta el siguiente artículo: