Guida alla distribuzione della soluzione Security Service Edge di Accesso a Internet Microsoft Entra

La soluzione Microsoft Identity Service Edge incentrata sull'identità fa convergere i controlli di accesso alla rete e alle identità in modo che sia possibile proteggere l'accesso a qualsiasi app o risorsa da qualsiasi posizione, dispositivo o identità. Consente e orchestra la gestione dei criteri di accesso per dipendenti, partner commerciali e carichi di lavoro digitali. È possibile monitorare e regolare l'accesso degli utenti in tempo reale se le autorizzazioni o i livelli di rischio cambiano per le app private, le app SaaS e gli endpoint di Microsoft.

La protezione degli utenti aziendali e dei dispositivi gestiti dal traffico Internet dannoso e da infezioni malware è un problema che riguarda tutte le aziende. Usare la funzionalità Gateway Web sicuro dell'Accesso a Internet Microsoft Entra per bloccare il traffico in base alle categorie Web e a un nome di dominio completo (FQDN) effettuando l'integrazione con l'accesso condizionale di Microsoft Entra.

Le indicazioni contenute in questo articolo consentono di distribuire l'Accesso a Internet Microsoft Entra come modello di verifica nell'ambiente di produzione di test o produzione. Include l'installazione e la configurazione del filtro contenuto Web. È possibile esaminare i prerequisiti nella Guida alla distribuzione della soluzione Security Service Edge di Microsoft nella quale sono descritte le modialità di definizione dell'ambito della configurazione e dei test per utenti e gruppi di test specifici.

Distribuire e testare Accesso a Internet Microsoft Entra

Completare i passaggi per configurare il prodotto iniziale. Informazioni su come abilitare il profilo di inoltro del traffico di Accesso a Internet Microsoft Entra e installare il client di Accesso globale sicuro in un dispositivo di test. Per questi scenari PoC di esempio, è necessario un gruppo di test con un utente di test come membro.

• Creare criteri di base che si applicano a tutto il traffico di accesso a Internet instradato attraverso il servizio
• Impedire a un gruppo di accedere ai siti Web in base alla categoria
• Impedire a un gruppo di accedere ai siti Web in base al nome di dominio completo
• Consentire a un utente di accedere a un sito Web bloccato

Scenario PoC di esempio: creare criteri di base che si applicano a tutto il traffico di accesso a Internet instradato attraverso il servizio

Microsoft Internet Access include funzionalità per configurare un profilo di sicurezza con priorità pari a 65.000 che si applica a tutto il traffico senza il collegamento a un criterio di accesso condizionale. Completare le attività seguenti per creare questo criterio di base per bloccare un FQDN:

• Configurare una regola di blocco per una categoria Web rischiosa creando un criterio di filtro Web.
• Raggruppare e classificare in ordine di priorità i criteri di filtro Web creando un profilo di sicurezza con priorità 65.000.
• Usare l'utente di test per tentare di accedere al sito bloccato per confermare l'applicazione della regola.
• Arrestare l'agente e verificare che l'utente di test possa accedere al sito bloccato in precedenza.
• Visualizzare l'attività nel log del traffico.

Creare criteri di filtro Web

1. Nell'Interfaccia di amministrazione di Microsoft Entra passare all'Accesso globale sicuro>Sicurezza>Criteri di filtro contenuto Web>Crea criteri>Configura filtro contenuto di Accesso globale sicuro.

   

2. In Creare un criterio filtro contenuto Web>Informazioni di base specificare i dettagli seguenti.

   • Nome: regola di base di blocco di accesso a Internet.
   • Descrizione: aggiungere una descrizione.
   • Azione: blocca.

   

3. Selezionare Avanti.

4. In Crea un criterio di filtro contenuto Web>Regole dei criteri selezionare Aggiungi regola.

   

5. Nella finestra di dialogo Aggiungi regola specificare i dettagli seguenti.

   • Nome: categorie Web di base bloccate.
   • Tipo di destinazione: webCategory.
   • Ricerca: selezionare alcune categorie rischiose, verificare che si trovino nell'elenco Elementi selezionati.

   

6. Selezionare Aggiungi.

7. In Crea un criterio di filtro contenuto Web>Regole dei criteri confermare le selezioni.

   

8. Selezionare Avanti.

9. In Crea un criterio di filtro contenuto Web>Rivedi confermare la configurazione criterio.

10. Selezionare Create policy (Crea criterio).

    

11. Se i criteri sono stati creati, questi saranno visualizzabili nell'elenco Gestisci criteri di filtro contenuto Web.

Creare un profilo dei criteri di sicurezza

1. Nell'Interfaccia di amministrazione di Microsoft Entra passare a Accesso globale sicuro>Proteggi>Profili di sicurezza. Selezionare Crea profilo.

   

2. In Crea un profilo>Informazioni di base specificare i dettagli seguenti.

   • Nome profilo: profilo di base di blocco di accesso a Internet.
   • Descrizione: aggiungere una descrizione.
   • Stato: abilitato.
   • Priorità: 65000.

   

3. Selezionare Avanti.

4. In Crea un profilo>Collega criteri selezionare Collega un criterio. Selezionare Criteri esistenti.

   • Nella finestra di dialogo Collega un criterio selezionare Nome criterio e selezionare Regola di base di blocco di accesso a Internet.
   • Priorità: 100.
   • Stato: abilitato.

5. Selezionare Aggiungi.

6. In Crea un profilo>Criteri collegamento verificare che la Regola di base di blocco di accesso a Internet sia presente nell'elenco.

7. Selezionare Avanti.

8. In Crea un profilo>Rivedi confermare la configurazione del profilo.

   

9. Selezionare Crea un profilo.

Tentativo di accesso ai siti bloccati

1. Accedere al dispositivo di test in cui è stato installato l'agente di Accesso globale sicuro (GSA).

2. Nella barra delle applicazioni fare clic con il pulsante destro del mouse su Client di Accesso globale sicuro. Selezionare Diagnostica avanzata.

   

3. Nella finestra di dialogo Client di Accesso globale sicuro - Diagnostica avanzata selezionare Traffico.

4. In Traffico di rete selezionare Avvia raccolta.

   

5. Per confermare l'accesso bloccato, tentare di aprire il nome di dominio completo bloccato. L'applicazione dei criteri al dispositivo client può richiedere fino a 20 minuti.

Arrestare l'agente e confermare l'accesso ripristinato

1. In Traffico di rete selezionare Interrompi raccolta.

2. Scorrere per osservare il traffico correlato all'apertura del nome di dominio completo e ai dati associati.

   

3. Nella> barra delle applicazioni > del dispositivo di test espandere le opzioni >, fare clic con il pulsante destro del mouse su Client Accesso globale sicuro. Selezionare Sospendi.

   

4. Dopo aver visualizzato la notifica di conferma, aprire il sito bloccato in precedenza per confermare che l'accesso è stato ripristinato.

Visualizzare l'attività nel log del traffico

1. Nell'Interfaccia di amministrazione di Microsoft Entra>Accesso globale sicuro>Monitora, selezionare Log del traffico. Se necessario, selezionare Aggiungi filtro. Filtrare quando il Nome dell'entità utente contiene testuser e Azione è impostato su Blocca.
2. Osservare le voci relative al nome di dominio completo di destinazione che mostrano il traffico come bloccato e quindi consentito. Potrebbe essere previsto un ritardo massimo di 20 minuti per la visualizzazione delle voci nel log.

Scenario PoC di esempio: impedire a un gruppo di accedere ai siti Web in base alla categoria

Utilizzare Accesso a Internet Microsoft Entra per bloccare o consentire l'accesso ai siti Internet in base alla categoria. Queste aree includono giochi d'azzardo, alcol e siti di tabacco. La gestione manuale degli elenchi di blocchi non è necessaria. Completare le attività seguenti per configurare Accesso a Internet Microsoft Entra per bloccare l'alcol e i siti di tabacco per l'utente di test.

• Configurare una regola di blocco per i siti di categoria. Creare un criterio di filtro Web.
• Raggruppare e classificare in ordine di priorità i criteri di filtro Web. Creare un profilo di sicurezza.
• Configurare il gruppo di test con l'utente di test per usare il profilo di sicurezza. Creare e assegnare dei criteri di accesso condizionale.
• Verificare l'applicazione della regola usando l'utente di test per tentare di accedere a un sito bloccato.
• Arrestare l'agente e confermare l'accesso dell'utente di test al sito bloccato in precedenza.
• Visualizzare l'attività nel log del traffico.

Creare criteri di filtro Web

1. Nell'Interfaccia di amministrazione di Microsoft Entra passare all'Accesso globale sicuro>Sicurezza>Criteri di filtro contenuto Web>Crea criteri>Configura filtro contenuto di Accesso globale sicuro.

   

2. In Creare un criterio filtro contenuto Web>Informazioni di base specificare i dettagli seguenti.

   • Nome: blocco dell'alcol e del tabacco.
   • Descrizione: aggiungere una descrizione.
   • Azione: blocca.

3. Selezionare Avanti.

4. In Crea un criterio di filtro contenuto Web>Regole dei criteri selezionare Aggiungi regola.

5. Nella finestra di dialogo Aggiungi regola specificare i dettagli seguenti.

   • Nome: alcol e tabacco.
   • Tipo di destinazione: webCategory.
   • Ricerca: alcol.
   • Selezionare alcol e tabacco.

6. Selezionare Aggiungi.

7. In Crea un criterio di filtro contenuto Web>Regole dei criteri selezionare Avanti.

8. In Crea un criterio di filtro contenuto Web>Rivedi confermare la configurazione criterio.

   

9. Selezionare Create policy (Crea criterio).

10. Se i criteri sono stati creati, questi saranno visualizzabili nell'elenco Gestisci criteri di filtro contenuto Web.

    

Creare un profilo dei criteri di sicurezza

1. Nell'Interfaccia di amministrazione di Microsoft Entra passare a Accesso globale sicuro>Proteggi>Profili di sicurezza. Selezionare Crea profilo.

   

2. In Crea un profilo>Informazioni di base specificare i dettagli seguenti.

   • Nome profilo: profilo di accesso a Internet.
   • Descrizione: aggiungere una descrizione.
   • Stato: abilitato.
   • Priorità: 1000.

3. Selezionare Avanti.

4. In Crea un profilo>Collega criteri selezionare Collega un criterio.

5. Selezionare Criteri esistenti.

6. Nella finestra di dialogo Collega un criterio specificare i dettagli seguenti.

   • Nome del criterio: blocco dell'alcol e del tabacco.
   • Priorità: 1000.
   • Stato: abilitato.

7. Selezionare Aggiungi.

8. In Crea un profilo>Criteri di collegamento confermare dall'elenco Blocco dell'alcol e del tabacco.

9. Selezionare Avanti.

10. In Crea un profilo>Rivedi confermare la configurazione del profilo.

    

11. Selezionare Crea un profilo.

Creare criteri di accesso condizionale

1. Nell'Interfaccia di amministrazione di Microsoft Entra passare a Protezione>Accesso condizionale. Selezionare Crea nuovo criterio.

2. Nella finestra di dialogo Nuovo criterio di accesso condizionale configurare i dettagli seguenti.

   • Nome: Criterio di accesso a Internet.
   • Utenti o identità dei carichi di lavoro: Utenti specifici inclusi.
   • A cosa si applica questo criterio? Utenti e gruppi.
   • Includi>Seleziona utenti e gruppi> Selezionare Utenti e gruppi.

3. Selezionare il gruppo di test > fare clic su Seleziona.

   

4. Risorse di destinazione.

   • Selezionare i criteri applicati a>Accesso globale sicuro.
   • Selezionare i profili di traffico cui questo criterio si applica>Internet.

   

5. Lasciare il controllo Concedi per impostazione predefinita per concedere l'accesso in modo che il profilo di sicurezza definito definisca la funzionalità di blocco.

6. Nella finestra di dialogo Sessione selezionare Usa profilo di sicurezza Accesso globale sicuro.

7. Selezionare Profilo di accesso a Internet.

   

8. In Panoramica dell'accesso condizionale>Abilitare criteri selezionare On. Seleziona Crea.

Tentativo di accesso ai siti bloccati

1. Accedere al dispositivo di test in cui è stato installato l'agente GSA.

2. Nella barra delle applicazioni fare clic con il pulsante destro del mouse su Client di Accesso globale sicuro. Selezionare Diagnostica avanzata.

   

3. Nella finestra di dialogo Client di Accesso globale sicuro - Diagnostica avanzata selezionare Traffico.

4. In Traffico di rete selezionare Avvia raccolta.

   

5. Tentare di aprire un sito di alcol o tabacco per verificare che l'accesso sia bloccato. Verrà visualizzato DeniedTraffic per i siti Web HTTP e la notifica Impossibile raggiungere questa pagina per i siti Web HTTPS. L'applicazione dei criteri al dispositivo client può richiedere fino a 20 minuti.

Arrestare l'agente e confermare l'accesso ripristinato

1. In Traffico di rete selezionare Interrompi raccolta.

2. Scorrere per osservare il traffico correlato all'apertura del nome di dominio completo e dei dati associati. Si noti Accesso a Internet nelle colonne Canale. I criteri di accesso condizionale vengono scritti come attestazioni del token che hanno una durata di un'ora. L'applicazione dei nuovi criteri di accesso condizionale al dispositivo client può richiedere fino a un'ora. Poiché le modifiche vengono propagate in Microsoft Entra, possono essere necessari fino a 20 minuti prima che i criteri di filtro Web e le modifiche del profilo di sicurezza vengano applicati al dispositivo client.

   

3. Nella> barra delle applicazioni > del dispositivo di test espandere le opzioni >, fare clic con il pulsante destro del mouse su Client Accesso globale sicuro. Selezionare Sospendi.

   

4. Dopo aver visualizzato la notifica di conferma, aprire il sito bloccato in precedenza per verificare che l'accesso sia stato ripristinato. La funzionalità per accedere al menu client GSA è controllabile in modalità Amministratore quando il prodotto passa nella Disponibilità generale.

Visualizzare l'attività nel log del traffico

1. Nell'Interfaccia di amministrazione di Microsoft Entra>Accesso globale sicuro>Monitora, selezionare Log del traffico.
2. Se necessario, selezionare Aggiungi filtro. Filtrare quando il Nome dell'entità utente contiene testuser e Azione è impostato su Blocca.
3. Osservare le voci relative al nome di dominio completo di destinazione che mostrano il traffico come bloccato e quindi consentito. La visualizzazione delle voci nel log può richiedere fino a 20 minuti.

Scenario PoC di esempio: impedire a un gruppo di accedere ai siti Web in base al nome di dominio completo

In alcuni casi è necessario bloccare siti Web specifici anziché usare grandi categorie Web. Completare le attività seguenti per bloccare l'accesso al sito in base al nome di dominio completo. Assicurarsi di includere nomi di dominio completi pertinenti (FQDN) utilizzati dal sito che si vuole bloccare.

• Configurare una regola di blocco di un FQDN specifico. Creare un criterio filtro Web.
• Raggruppare e classificare in ordine di priorità i criteri di filtro Web. Creare un profilo di sicurezza.
• Configurare il gruppo di test (l'utente è membro) per l'uso del profilo di sicurezza. Creare e assegnare dei criteri di accesso condizionale.
• Verificare l'applicazione della regola usando l'utente di test per tentare di accedere a un sito bloccato.
• Arrestare l'agente e confermare l'accesso dell'utente di test al sito bloccato in precedenza.
• Visualizzare l'attività nel log del traffico.

Creare criteri di filtro Web

1. Nell'Interfaccia di amministrazione di Microsoft Entra passare all'Accesso globale sicuro>Sicurezza>Criteri di filtro contenuto Web>Crea criteri>Configura filtro contenuto di Accesso globale sicuro.

   

2. In Creare un criterio filtro contenuto Web>Informazioni di base specificare i dettagli seguenti.

   • Nome: blocco del nome di dominio completo del test.
   • Descrizione: aggiungere una descrizione.
   • Azione: blocca.

3. Selezionare Avanti.

4. In Crea un criterio di filtro contenuto Web>Regole dei criteri selezionare Aggiungi regola.

5. Nella finestra di dialogo Aggiungi regola specificare i dettagli seguenti.

   • Nome: immettere il nome, ad esempio Blocco del nome di dominio completo del test.
   • Tipo di destinazione: nome di dominio completo.
   • Destinazione: immettere il nome di dominio completo di test nel formato *.domainname.com o domainname.com.

6. Selezionare Aggiungi.

7. In Crea un criterio di filtro contenuto Web>Regole dei criteri confermare le selezioni.

8. Selezionare Avanti.

9. In Crea un criterio di filtro contenuto Web>Rivedi confermare la configurazione criterio.

   

10. Selezionare Create policy (Crea criterio).

11. Se i criteri sono stati creati, questi saranno visualizzabili nell'elenco Gestisci criteri di filtro contenuto Web.

Creare un profilo dei criteri di sicurezza

1. Nell'Interfaccia di amministrazione di Microsoft Entra passare a Accesso globale sicuro>Proteggi>Profili di sicurezza. Selezionare Crea profilo.

   

2. In Crea un profilo>Informazioni di base specificare i dettagli seguenti.

   • Nome profilo: blocca profilo di accesso a Internet dei nomi di dominio completi.
   • Descrizione: aggiungere una descrizione.
   • Stato: abilitato. *Priorità: 2000.

3. Selezionare Avanti.

4. In Crea un profilo>Collega criteri selezionare Collega un criterio.

5. Selezionare Criteri esistenti.

6. Nella finestra di dialogo Collega un criterio specificare i dettagli seguenti.

   • Nome del criterio: blocco del nome di dominio completo del test.
   • Priorità: 100.
   • Stato: abilitato.

7. Selezionare Aggiungi.

8. Nella scheda Collega criteri confermare Blocco del nome di dominio completo del test dall'elenco.

9. Selezionare Avanti.

10. Nella scheda Rivedi verificare la configurazione del profilo.

    

11. Selezionare Crea un profilo.

Creare criteri di accesso condizionale

1. Nell'Interfaccia di amministrazione di Microsoft Entra passare a Protezione>Accesso condizionale. Selezionare Crea nuovo criterio.

2. Nella finestra di dialogo Nuovo criterio di accesso condizionale configurare quanto segue.

   • Nome: Criterio di accesso a Internet del nome di dominio completo.
   • Utenti o identità dei carichi di lavoro: tenti specifici inclusi.
   • A cosa si applica questo criterio? Utenti e gruppi.
   • Includi>Seleziona utenti e gruppi> Selezionare Utenti e gruppi.
   • Selezionare il gruppo di test. Fare clic su Seleziona.

   

3. Risorse di destinazione>Selezionare ciò cui questo criterio si applica>Accesso globale sicuro.

4. Selezionare i profili di traffico cui questo criterio si applica>Internet.

   

5. Nella finestra di dialogo Sessione selezionare Blocca profilo di accesso Internet dei nomi di dominio completi. Selezionare Profilo di accesso a Internet.

6. In Panoramica dell'accesso condizionale>Abilitare criteri selezionare On. Seleziona Crea.

   

Tentativo di accesso ai siti bloccati

1. Accedere al dispositivo di test in cui è stato installato l'agente GSA.

2. Nella barra delle applicazioni fare clic con il pulsante destro del mouse su Clientdi Accesso globale sicuro. Selezionare Diagnostica avanzata.

   

3. Nella finestra di dialogo Client di Accesso globale sicuro - Diagnostica avanzata selezionare Traffico.

4. In Traffico di rete selezionare Avvia raccolta.

   

5. Tentare di aprire il nome di dominio completo configurato per verificare che l'accesso sia bloccato. Verrà visualizzato Accesso negato per i siti Web HTTP e Non è possibile raggiungere questa notifica di pagina per i siti Web HTTPS. L'applicazione dei criteri al dispositivo client può richiedere fino a 20 minuti.

Arrestare l'agente e confermare l'accesso ripristinato

1. In Traffico di rete selezionare Interrompi raccolta.

2. Scorrere per osservare il traffico correlato all'apertura del nome di dominio completo e ai dati associati.

   

3. Nella> barra delle applicazioni > del dispositivo di test espandere le opzioni >, fare clic con il pulsante destro del mouse su Client Accesso globale sicuro. Selezionare Sospendi.

   

4. Dopo aver visualizzato la notifica di conferma, aprire il sito bloccato in precedenza per confermare che l'accesso è stato ripristinato.

Visualizzare l'attività nel log del traffico

1. Nell'Interfaccia di amministrazione di Microsoft Entra>Accesso globale sicuro>Monitora, selezionare Log del traffico.
2. Se necessario, selezionare Aggiungi filtro. Filtrare quando il Nome dell'entità utente contiene testuser e Azione è impostato su Blocca.
3. Osservare le voci relative al nome di dominio completo di destinazione che mostrano il traffico come bloccato e quindi consentito. La visualizzazione delle voci nel log può richiedere fino a 20 minuti.

Scenario PoC di esempio: consentire a un utente di accedere a un sito Web bloccato

In alcuni casi è possibile che si disponga di utenti che richiedono l'accesso ai siti bloccati dei gruppi in cui l'utente è membro. Completare le attività seguenti per eseguire l'override di un blocco configurato per il gruppo di test, in modo che l'utente di test possa accedere al sito bloccato.

• Configurare una regola di autorizzazione per lo stesso FQDN bloccato nello scenario precedente. Creare un criterio di filtro Web.
• Raggruppare e classificare in ordine di priorità i criteri di filtro Web. Creare un profilo di sicurezza con priorità più alta rispetto ai criteri di blocco creati in precedenza.
• Configurare l'utente di test per l'uso del profilo di sicurezza. Creare e assegnare dei criteri di accesso condizionale.
• Verificare l'applicazione della regola usando l'utente di test per tentare di accedere a un sito bloccato.
• Arrestare l'agente e confermare l'accesso dell'utente di test al sito bloccato in precedenza.
• Visualizzare l'attività nel log del traffico.

Creare criteri di filtro Web

1. Nell'Interfaccia di amministrazione di Microsoft Entra passare all'Accesso globale sicuro>Sicurezza>Criteri di filtro contenuto Web>Crea criteri>Configura filtro contenuto di Accesso globale sicuro.

   

2. In Creare un criterio filtro contenuto Web>Informazioni di base specificare i dettagli seguenti.

   • Nome: consentire nome di dominio completo di test.
   • Descrizione: aggiungere una descrizione.
   • Azione: Consenti.

3. Selezionare Avanti.

4. In Crea un criterio di filtro contenuto Web>Regole dei criteri selezionare Aggiungi regola.

5. Nella finestra di dialogo Aggiungi regola specificare i dettagli seguenti. Selezionare Aggiungi.

   • Nome: immettere un nome, ad esempio Consentire sostituzione nome di dominio completo.
   • Tipo di destinazione: FQDN.
   • Destinazione: immettere il nome di dominio completo nel formato *.domainname.com o domain.com. Selezionare Aggiungi.

6. In Crea un criterio di filtro contenuto Web>Regole dei criteri confermare le selezioni.

7. Selezionare Avanti.

8. In Crea un criterio di filtro contenuto Web>Rivedi confermare la configurazione criterio.

   

9. Selezionare Create policy (Crea criterio).

10. Se i criteri sono stati creati, questi saranno visualizzabili nell'elenco Gestisci criteri di filtro contenuto Web.

Creare un profilo dei criteri di sicurezza

1. Nell'Interfaccia di amministrazione di Microsoft Entra passare a Accesso globale sicuro>Proteggi>Profili di sicurezza. Selezionare Crea profilo.

   ](media/sse-deployment-guide-internet-access/security-profiles-expanded.png#lightbox)

2. In Crea un profilo>Informazioni di base specificare i dettagli seguenti.

   • Nome profilo: consentire profilo di accesso a Internet dei nomi di dominio completi.
   • Descrizione: aggiungere una descrizione.
   • Stato: abilitato.
   • Priorità: 500.

3. Selezionare Avanti.

4. In Crea un profilo>Collega criteri selezionare Collega un criterio.

5. Selezionare Criteri esistenti.

6. Nella finestra di dialogo Collega un criterio specificare i dettagli seguenti.

   • Nome criterio: consentire nome di dominio completo di test.
   • Priorità: 100.
   • Stato: abilitato.

7. Selezionare Aggiungi.

8. In Creare un profilo>Collega criteri confermare Consenti nome di dominio completo di test dall'elenco.

9. Selezionare Avanti.

10. Nella scheda Rivedi verificare la configurazione del profilo.

    

11. Selezionare Crea un profilo.

Creare criteri di accesso condizionale

1. Nell'Interfaccia di amministrazione di Microsoft Entra passare a Protezione>Accesso condizionale. Selezionare Crea nuovo criterio.

2. Nella finestra di dialogo Nuovo criterio di accesso condizionale configurare quanto segue.

   • Nome: criterio IA di override dell'eccezione del nome di dominio completo.
   • Utenti o identità dei carichi di lavoro: tenti specifici inclusi.
   • A cosa si applica questo criterio? Utenti e gruppi.
   • Includi>Seleziona utenti e gruppi> Selezionare Utenti e gruppi.
   • Selezionare il gruppo di test. Fare clic su Seleziona.

   

3. Risorse di destinazione>Selezionare ciò cui questo criterio si applica>Accesso globale sicuro.

4. Selezionare i profili di traffico cui questo criterio si applica>Internet.

   

5. Sessione> selezionare Usa profilo di sicurezza Accesso globale sicuro, selezionare Consenti profilo di accesso a Internet dei nomi di dominio completi. Fare clic su Seleziona.

6. In Panoramica dell'accesso condizionale>Abilitare criteri selezionare On. Seleziona Crea.

   

Tentativo di accesso ai siti bloccati

1. Accedere al dispositivo di test in cui è stato installato l'agente GSA.

2. Nella barra delle applicazioni fare clic con il pulsante destro del mouse su Clientdi Accesso globale sicuro. Selezionare Diagnostica avanzata.

   

3. Nella finestra di dialogo Client di Accesso globale sicuro - Diagnostica avanzata selezionare Traffico.

4. In Traffico di rete selezionare Avvia raccolta.

   

5. Per confermare l'accesso per questo utente specifico, provare ad aprire il nome di dominio completo configurato come eccezione. L'applicazione dei criteri al dispositivo client può richiedere fino a 20 minuti.

Arrestare l'agente e confermare l'accesso ripristinato

1. In Traffico di rete selezionare Interrompi raccolta.
2. Scorrere per osservare il traffico correlato all'apertura del nome di dominio completo.

Visualizzare l'attività nel log del traffico

1. Nell'Interfaccia di amministrazione di Microsoft Entra>Accesso globale sicuro>Monitora, selezionare Log del traffico. Se necessario, selezionare Aggiungi filtro. Filtrare quando il Nome dell'entità utente contiene testuser e Azione è impostato su Blocca.
2. Osservare le voci relative al nome di dominio completo di destinazione che mostrano il traffico come bloccato e quindi consentito. La visualizzazione delle voci nel log può richiedere fino a 20 minuti.

Passaggi successivi

• Introduzione alla Guida alla distribuzione della soluzione Security Service Edge di Microsoft per il modello di verifica
• Distribuire e verificare l'accesso privato di Microsoft Entra
• Distribuire e verificare Accesso a Internet Microsoft Entra per il traffico di Microsoft