Het microsoft-profiel voor het doorsturen van verkeer inschakelen en beheren

Als het Microsoft-profiel is ingeschakeld, verkrijgt Microsoft Entra-internettoegang het verkeer dat naar Microsoft-services gaat. Het Microsoft-profiel beheert de volgende beleidsgroepen:

• Exchange Online
• SharePoint Online en Microsoft OneDrive.
• Microsoft 365 Common en Office Online

Vereisten

Als u het profiel voor het doorsturen van Microsoft-verkeer voor uw tenant wilt inschakelen, moet u het volgende hebben:

• Een globale rol Secure Access Administrator in Microsoft Entra ID om verkeersprofielen in te schakelen.
• Een beheerdersrol voor voorwaardelijke toegang om beleid voor voorwaardelijke toegang te maken en ermee te communiceren.
• Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

Bekende beperkingen

• Afzonderlijke services worden doorlopend toegevoegd aan het Microsoft-verkeersprofiel. Momenteel worden Microsoft Entra ID, Microsoft Graph, Exchange Online en SharePoint Online ondersteund als onderdeel van het Microsoft-verkeersprofiel
• Zie Bekende beperkingen van Windows Client voor aanvullende beperkingen van het Microsoft-verkeersprofiel

Het Microsoft-verkeersprofiel inschakelen

1. Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.

2. Blader naar global Secure Access>Connect>Traffic Forwarding.

3. Schakel het Microsoft-verkeersprofiel in. Microsoft-verkeer begint met het doorsturen van alle clientapparaten naar de SSE-proxy (Security Service Edge) van Microsoft, waar u geavanceerde beveiligingsfuncties kunt configureren die specifiek zijn voor Microsoft-verkeer.

   

Beleid voor Microsoft-verkeer

Als u de details wilt beheren die zijn opgenomen in het beleid voor het doorsturen van Microsoft-verkeer, selecteert u de koppeling Weergeven voor Microsoft-verkeersbeleid.

De beleidsgroepen worden weergegeven, met een selectievakje om aan te geven of de beleidsgroep is ingeschakeld. Vouw een beleidsgroep uit om alle IP-adressen en FQDN's in de groep weer te geven.

De beleidsgroepen bevatten de volgende details:

• Doeltype: FQDN of IP-subnet
• Bestemming: de details van het FQDN- of IP-subnet
• Poorten: TCP- of UDP-poorten die worden gecombineerd met de IP-adressen om het netwerkeindpunt te vormen
• Protocol: TCP (Transmission Control Protocol) of UDP (User Datagram Protocol)
• Actie: Doorsturen of overslaan

U kunt de regels voor het verkrijgen van verkeer zo configureren dat het ophalen van verkeer wordt overgeslagen. Als u dit doet, hebben de gebruikers nog steeds toegang tot resources; De Global Secure Access-service verwerkt het verkeer echter niet. U kunt verkeer overslaan naar een specifieke FQDN- of IP-adres, een hele beleidsgroep binnen het profiel of het hele Microsoft-profiel zelf. Als u slechts enkele Microsoft-resources binnen een beleidsgroep hoeft door te sturen, schakelt u de groep in en wijzigt u de actie in de details dienovereenkomstig.

Belangrijk

Wanneer een regel is ingesteld op Bypass, krijgt het profiel voor internettoegang dit verkeer niet. Zelfs als het internettoegangsprofiel is ingeschakeld, slaat het overgeslagen verkeer het verkrijgen van globale beveiligde toegang over en gebruikt het netwerkrouteringspad van die client naar uitgaand verkeer naar internet. Verkeer dat beschikbaar is voor overname in het Microsoft-verkeersprofiel, kan alleen worden verkregen in het Microsoft-verkeersprofiel.

In het volgende voorbeeld ziet u hoe u de *.sharepoint.com FQDN instelt op Bypass , zodat het verkeer niet naar de service wordt doorgestuurd.

Als de Global Secure Access-client geen verbinding kan maken met de service (bijvoorbeeld vanwege een autorisatie- of voorwaardelijke toegangsfout), wordt het verkeer door de service omzeild . Verkeer wordt direct en lokaal verzonden in plaats van te worden geblokkeerd. In dit scenario kunt u een beleid voor voorwaardelijke toegang maken voor de compatibele netwerkcontrole om verkeer te blokkeren als de client geen verbinding kan maken met de service.

Beleid voor gekoppelde voorwaardelijke toegang

Beleid voor voorwaardelijke toegang wordt gemaakt en toegepast op het profiel voor het doorsturen van verkeer in het gebied Voorwaardelijke toegang van Microsoft Entra-id. U kunt bijvoorbeeld een beleid maken dat compatibele apparaten vereist wanneer gebruikers de netwerkverbinding voor services in het Microsoft-verkeersprofiel tot stand brengen.

Als u Geen ziet in de sectie Beleid voor gekoppelde voorwaardelijke toegang , is er geen beleid voor voorwaardelijke toegang gekoppeld aan het profiel voor het doorsturen van verkeer. Als u een beleid voor voorwaardelijke toegang wilt maken, raadpleegt u Universele voorwaardelijke toegang via globale beveiligde toegang.

Een bestaand beleid voor voorwaardelijke toegang bewerken

Als het profiel voor het doorsturen van verkeer een gekoppeld beleid voor voorwaardelijke toegang heeft, kunt u dat beleid bekijken en bewerken.

1. Selecteer de koppeling Weergeven voor beleid voor gekoppelde voorwaardelijke toegang.

   

2. Selecteer een beleid uit de lijst. De details van het beleid dat is geopend in voorwaardelijke toegang.

   

Externe netwerktoewijzingen voor Microsoft-verkeersprofielen

Verkeersprofielen kunnen worden toegewezen aan externe netwerken, zodat het netwerkverkeer wordt doorgestuurd naar Global Secure Access zonder dat de client op apparaten van eindgebruikers hoeft te worden geïnstalleerd. Zolang het apparaat zich achter de apparatuur van de klant bevindt (CPE), is de client niet vereist. U moet een extern netwerk maken voordat u het aan het profiel kunt toevoegen. Zie Hoe u externe netwerken maakt voor meer informatie.

Een extern netwerk toewijzen aan het Microsoft-profiel:

1. Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.
2. Blader naar global Secure Access>Connect>Traffic Forwarding.
3. Selecteer in de sectie Netwerktoewijzingen verwijderen de koppeling Weergeven voor het profiel.
4. Selecteer een extern netwerk in de lijst en selecteer Toevoegen.

Gebruikers- en groepstoewijzingen

U kunt het Microsoft-profiel beperken tot specifieke gebruikers en groepen in plaats van het verkeersprofiel toe te passen op alle gebruikers. Zie Gebruikers en groepen toewijzen en beheren met doorstuurprofielen voor verkeer voor meer informatie over gebruikers- en groepstoewijzing.

Volgende stappen

De volgende stap voor het aan de slag gaan met het Microsoft-verkeersprofiel is het installeren en configureren van de global Secure Access Client op apparaten van eindgebruikers

Zie het volgende artikel voor meer informatie over het doorsturen van verkeer:

• Meer informatie over profielen voor het doorsturen van verkeer
• Meer informatie over het microsoft-profiel voor het doorsturen van verkeer