Informazioni su Accesso a Internet Microsoft Entra per tutte le app
Accesso a Internet Microsoft Entra fornisce una soluzione SWG (Secure Web Gateway) incentrata sulle identità per applicazioni SaaS (Software as a Service) e altro traffico Internet. Protegge utenti, dispositivi e dati dall'ampio panorama delle minacce di Internet con controlli di sicurezza e visibilità ottimali tramite i log del traffico.
Filtro contenuto Web
La nuova funzionalità più importante introdotta per Accesso a Internet Microsoft Entra per tutte le app è il filtro contenuto Web. Questa funzionalità fornisce un controllo di accesso granulare per categorie Web e i nomi di dominio completi (FQDN). Bloccando in modo esplicito siti inappropriati, dannosi o non sicuri, si proteggono gli utenti e i loro dispositivi da qualsiasi connessione Internet, sia remota che all'interno della rete aziendale.
Quando il traffico raggiunge Microsoft Secure Service Edge, Accesso a Internet Microsoft Entra esegue i controlli di sicurezza in due modi. Per il traffico HTTP non crittografato, usa l'URL (Uniform Resource Locator). Per il traffico HTTPS crittografato con Transport Layer Security (TLS), usa l'indicazione del nome del server (SNI).
Il filtro contenuto Web viene implementato usando i criteri di filtro, raggruppati in profili di sicurezza che possono essere collegati ai criteri di accesso condizionale. Per altre informazioni sull'accesso condizionale, vedere Accesso condizionale di Microsoft Entra.
Nota
Anche se il filtro dei contenuti Web è una funzionalità di base per qualsiasi gateway Web protetto, esistono funzionalità simili in altri prodotti di sicurezza, ad esempio prodotti di sicurezza degli endpoint come Microsoft Defender per endpoint e firewall come Firewall di Azure. Accesso a Internet Microsoft Entra offre ulteriore valore di sicurezza tramite l'integrazione dei criteri con Microsoft Entra ID, l'imposizione dei criteri sul cloud perimetrale, il supporto universale per tutte le piattaforme dei dispositivi e i futuri miglioramenti della sicurezza tramite l'ispezione TLS (Transport Layer Security), ad esempio la categorizzazione Web più fedele. Altre informazioni sono disponibili nelle domande frequenti.
Profili di sicurezza
I profili di sicurezza sono oggetti usati per raggruppare i criteri di filtro e distribuirli tramite criteri di accesso condizionale con riconoscimento degli utenti. Ad esempio, per bloccare tutti i siti Web Notizie, ad eccezione di msn.com per l'utente angie@contoso.com creare due criteri di filtro Web e aggiungerli a un profilo di sicurezza. Quindi, collegare il profilo di sicurezza a un criterio di accesso condizionale assegnato a angie@contoso.com.
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Logica di elaborazione dei criteri
All'interno di un profilo di sicurezza, i criteri vengono applicati in base all'ordinamento logico di numeri di priorità univoci, con 100 come priorità più alta e 65.000 come priorità più bassa (simile alla logica del firewall tradizionale). Come procedura consigliata, aggiungere una spaziatura di circa 100 tra le priorità per consentire la flessibilità dei criteri in futuro.
Dopo aver collegato un profilo di sicurezza a un criterio di accesso condizionale (CA), se più criteri CA corrispondono, entrambi i profili di sicurezza vengono elaborati nell'ordine di priorità dei profili di sicurezza corrispondenti.
Importante
Il profilo di sicurezza di base viene applicato a tutto il traffico anche senza collegarlo a un criterio di accesso condizionale. Applica i criteri alla priorità più bassa nello stack di criteri, applicandola a tutto il traffico di accesso a Internet instradato attraverso il servizio come criterio "catch all". Il profilo di sicurezza di base viene eseguito anche se i criteri di accesso condizionale corrispondono a un altro profilo di sicurezza.
Limitazioni note
Questa funzionalità presenta una o più limitazioni note. Per informazioni più dettagliate sui problemi noti e sulle limitazioni di questa funzionalità, vedere Limitazioni note per l'accesso sicuro globale.