Comment gérer le profil de transfert du trafic d’accès à Internet
Le profil de transfert du trafic d’accès à Internet achemine le trafic via le client Accès global sécurisé. L’activation de ce profil de transfert du trafic permet aux travailleurs distants de se connecter à Internet de manière contrôlée et sécurisée. Grâce aux fonctionnalités d’Accès Internet Microsoft Entra, vous pouvez contrôler les sites Internet auxquels il est possible d’accéder. Vous pouvez également configurer le trafic à exclure d’Accès global sécurisé en fonction d’adresses IP, de plages d’adresses IP, de sous-réseaux IP et de noms de domaine complets (FQDN).
Prérequis
Pour activer le profil de transfert d’accès à Internet pour votre locataire, vous devez disposer des éléments suivants :
- Un rôle Administrateur Accès global sécurisé dans Microsoft Entra ID.
- Le produit nécessite une licence. Pour plus de détails, consultez la section sur les licences dans Qu’est-ce que l’Accès global sécurisé ?. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai gratuit.
Stratégies du profil de transfert du trafic d’accès à Internet
Affichez les stratégies relatives au profil de transfert du trafic d’accès à Internet. Il existe trois stratégies par défaut. Pour les voir :
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access.
- Accédez à Global Secure Access>Connecter>Transfert de trafic.
- Sélectionnez le lien Afficher dans la section Stratégies d’accès à Internet.
Les stratégies d’accès à Internet par défaut sont les suivantes :
- Contournement personnalisé : contient le trafic/les points de terminaison définis par l’utilisateur qui sont exclus du profil du trafic Internet. En d’autres termes, vous définissez le trafic que le profil ne doit pas acquérir. Vous pouvez généralement exclure le trafic comme vos points de terminaison VPN, plages d’adresses IP privées et plages d’adresses IP squat et points de terminaison qui tirent profit d’une liste de contrôle d’accès réseau (ACL).
- Contournement par défaut : contient le trafic prédéfini que le profil du trafic Internet n’acquiert pas. Citons en guise d’exemple les plages d’adresses IP privées. Vous ne pouvez pas modifier les règles de cette stratégie.
- Acquisition par défaut : définit le trafic acquis par le profil du trafic Internet. Il s’agit actuellement de l’ensemble du trafic Internet sur les ports 80, 443 sur le protocole TCP (Transmission Control Protocol). La stratégie a la priorité la plus basse après l’évaluation de toutes les règles de contournement. Vous ne pouvez pas modifier les règles de cette stratégie.
Exemple d’ajout d’une stratégie de contournement personnalisé :
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access.
- Accédez à Global Secure Access>Connecter>Transfert de trafic.
- Dans la zone du profil de transfert du trafic d’accès à Internet, dans la section Stratégies d’accès à Internet, sélectionnez le lien Afficher.
- Développez la stratégie Contournement personnalisé.
- Sélectionnez Ajouter une règle.
- Choisissez un type de destination, tel que le nom de domaine complet (FQDN). Vous pouvez ajouter plusieurs valeurs de destination séparées par des virgules. N’ajoutez pas d’espace blanc. Par exemple,
contoso.com,fabrikam.com
ou10.0.0.1/32,10.0.0.2/32
. Les ports, le protocole et l’action sont toujours fixes et ne peuvent pas être modifiés. - Entrez une destination valide.
- Cliquez sur Enregistrer.
Remarque
Le trafic est évalué de haut en bas, ce qui signifie qu’il n’est acquis par le profil du trafic Internet que s’il n’est pas contourné par l’une des règles de contournement.
Affectations des utilisateurs et des groupes
Vous pouvez étendre le profil d’accès Internet à des utilisateurs et groupes spécifiques.
Pour en savoir plus sur l’affectation d’utilisateurs et de groupes, consultez Comment affecter et gérer des utilisateurs et des groupes avec des profils de transfert de trafic.
Activer le profil de transfert du trafic d’accès à Internet
Pour activer le profil de transfert Microsoft Entra Internet Access pour transférer le trafic utilisateur :
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access.
- Accédez à Global Secure Access>Connecter>Transfert de trafic.
- Définissez des stratégies sur le profil du trafic. Par exemple, définissez une règle de contournement personnalisé pour exclure un trafic spécifique.
- Activez le profil d’accès Internet. Le trafic Internet démarre le transfert de tous les appareils clients vers le proxy SSE (Security Service Edge) de Microsoft, où vous configurez des stratégies de sécurité granulaires.
Remarque
Lorsque vous activez le profil de transfert d’accès à Internet, vous devez également activer le profil de transfert de trafic Microsoft pour un routage optimal du trafic Microsoft. Pour activer le profil du trafic Microsoft, cochez la case du profil sur la même page que celle où vous activez le profil de transfert du trafic d’accès à Internet. Pour en savoir plus sur le profil de transfert du trafic Microsoft, consultez Comment activer et gérer le profil Microsoft.
Valider le profil de transfert du trafic d’accès à Internet
Il faut 10 à 20 minutes pour qu’une règle ajoutée à une stratégie apparaisse dans le client sur l’ordinateur d’un utilisateur. Si la règle n’apparaît pas après ce délai, désactivez le profil de transfert du trafic d’accès à Internet, puis réactivez-le.
Pour valider le profil de transfert du trafic, les stratégies de transfert du trafic et les règles :
- Dans la barre système, cliquez avec le bouton droit sur le client Accès global sécurisé, puis sélectionnez Diagnostics avancés.
- Ouvrez un navigateur web et accédez à une destination sur le réseau interne. Vérifiez que le trafic n’est pas capturé.
- Ouvrez un navigateur web et accédez à une destination contournée. Vérifiez que le trafic n’est pas capturé.
- Ouvrez un navigateur web et accédez à une destination publique acquise par le profil. Vérifiez que le trafic est acquis dans le Canal Internet.