Udostępnij za pośrednictwem

Przewodnik wdrażania rozwiązań microsoft Security Service Edge dla Dostęp do Internetu Microsoft Entra weryfikacji koncepcji

  • Artykuł

Rozwiązanie Microsoft Security Service Edge skoncentrowane na tożsamościach konweruje mechanizmy kontroli dostępu do sieci i tożsamości, dzięki czemu można zabezpieczyć dostęp do dowolnej aplikacji lub zasobu z dowolnej lokalizacji, urządzenia lub tożsamości. Umożliwia ona i organizuje zarządzanie zasadami dostępu dla pracowników, partnerów biznesowych i obciążeń cyfrowych. Możesz monitorować i dostosowywać dostęp użytkowników w sposób ciągły w czasie rzeczywistym, jeśli uprawnienia lub poziomy ryzyka zmieniają się w przypadku aplikacji prywatnych, aplikacji SaaS i punktów końcowych firmy Microsoft.

Ochrona użytkowników przedsiębiorstwa i zarządzanych urządzeń przed złośliwym ruchem internetowym i złośliwym oprogramowaniem dotyczy wszystkich firm. Użyj funkcji Dostęp do Internetu Microsoft Entra Secure Web Gateway, aby zablokować ruch oparty na kategoriach sieci Web i w pełni kwalifikowaną nazwę domeny (FQDN), integrując się z dostępem warunkowym firmy Microsoft Entra.

Wskazówki zawarte w tym artykule ułatwiają wdrażanie Dostęp do Internetu Microsoft Entra jako weryfikacji koncepcji w środowisku produkcyjnym lub testowym. Obejmuje on konfigurowanie i konfigurowanie filtrowania zawartości internetowej. Możesz zapoznać się z wymaganiami wstępnymi w przewodniku wdrażania rozwiązań usługi Microsoft Security Service Edge, który zawiera informacje dotyczące zakresu konfiguracji i testowania dla określonych użytkowników i grup testowych.

Wdrażanie i testowanie Dostęp do Internetu Microsoft Entra

Wykonaj kroki konfigurowania początkowego produktu . Dowiedz się, jak włączyć profil przekazywania ruchu Dostęp do Internetu Microsoft Entra i zainstalować klienta globalnego bezpiecznego dostępu na urządzeniu testowym. W przypadku tych przykładowych scenariuszy weryfikacji koncepcji potrzebna jest jedna grupa testowa z jednym użytkownikiem testowym jako członkiem.

Przykładowy scenariusz weryfikacji koncepcji: tworzenie zasad punktu odniesienia mających zastosowanie do całego ruchu dostępu do Internetu kierowanego przez usługę

Program Microsoft Internet Access ma funkcje umożliwiające skonfigurowanie profilu zabezpieczeń z priorytetem 65 000, który ma zastosowanie do całego ruchu bez łączenia się z zasadami dostępu warunkowego. Wykonaj następujące zadania, aby utworzyć te zasady odniesienia w celu zablokowania nazwy FQDN:

Tworzenie zasad filtrowania w Internecie

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Global Secure Access Secure Access Secure Web content filtering policies>Create policy>Configure Global Secure Access>content filtering (Globalne filtrowanie zawartości bezpiecznego>dostępu).

    Zrzut ekranu przedstawiający zasady filtrowania zawartości w sieci Web Global Secure Access.

  2. W sekcji Tworzenie zasad>filtrowania zawartości internetowej Podstawowe informacje podaj następujące informacje.

    • Nazwa: Podstawowa reguła bloku dostępu do Internetu.
    • Opis: Dodaj opis.
    • Akcja: Blokuj.

    Zrzut ekranu przedstawiający zasady globalnego bezpiecznego dostępu, filtrowania zawartości internetowej, Tworzenie zasad filtrowania zawartości internetowej, Podstawy zasad punktu odniesienia.

  3. Wybierz Dalej.

  4. W obszarze Tworzenie reguł zasad>filtrowania zawartości internetowej wybierz pozycję Dodaj regułę.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, Utwórz zasady filtrowania zawartości internetowej, Reguły zasad dla zasad punktu odniesienia.

  5. W oknie dialogowym Dodawanie reguły podaj następujące szczegóły.

    • Nazwa: Kategorie sieci Web zablokowane według planu bazowego.
    • Typ docelowy: webCategory.
    • Wyszukaj: wybierz kilka ryzykownych kategorii, upewnij się, że znajdują się one na liście Wybrane elementy.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, Utwórz zasady filtrowania zawartości internetowej, Dodaj regułę dla zasad punktu odniesienia.

  6. Wybierz Dodaj.

  7. W obszarze Tworzenie reguł zasad>filtrowania zawartości internetowej potwierdź wybrane opcje.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, Tworzenie zasad filtrowania zawartości internetowej — Przegląd zasad punktu odniesienia.

  8. Wybierz Dalej.

  9. W obszarze Tworzenie zasad>filtrowania zawartości internetowej Przejrzyj, potwierdź konfigurację zasad.

  10. Wybierz pozycję Create policy (Utwórz zasady).

    Zrzut ekranu przedstawiający kartę Global Secure Access( Globalny bezpieczny dostęp), Security profiles (Profile zabezpieczeń), Review (Przegląd) dla zasad punktu odniesienia.

  11. Aby potwierdzić tworzenie zasad, wyświetl ją na liście Zarządzanie zasadami filtrowania zawartości internetowej.

Tworzenie profilu zasad zabezpieczeń

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Globalne profile zabezpieczeń bezpiecznego>dostępu.> Wybierz pozycję Utwórz profil.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń.

  2. W obszarze Tworzenie profilu>Podstawowe informacje podaj następujące szczegóły.

    • Nazwa profilu: Profil bloku dostępu do Internetu według planu bazowego.
    • Opis: Dodaj opis.
    • Stan: włączone.
    • Priorytet: 65000.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń, podstawy zasad punktu odniesienia.

  3. Wybierz Dalej.

  4. W obszarze Tworzenie zasad linku profilu>wybierz pozycję Połącz zasady. Wybierz pozycję Istniejące zasady.

    • W oknie dialogowym Łączenie zasad wybierz pozycję Nazwa zasad i wybierz pozycję Podstawowa reguła bloku dostępu do Internetu.
    • Priorytet: 100.
    • Stan: włączone.

  5. Wybierz Dodaj.

  6. Na stronie Tworzenie zasad linku profilu>upewnij się, że na liście znajduje się podstawowa reguła bloku dostępu do Internetu.

  7. Wybierz Dalej.

  8. W obszarze Tworzenie profilu>Przejrzyj potwierdź konfigurację profilu.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń, przegląd zasad punktu odniesienia.

  9. Wybierz pozycję Utwórz profil.

Próba uzyskania dostępu do zablokowanych witryn

  1. Zaloguj się do urządzenia testowego, na którym zainstalowano agenta globalnego bezpiecznego dostępu (GSA).

  2. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu. Wybierz pozycję Diagnostyka zaawansowana.

    Zrzut ekranu przedstawiający opcje globalnego paska zadań systemu bezpiecznego dostępu, Zaawansowana diagnostyka.

  3. W oknie dialogowym Global Secure Access Client - Advanced Diagnostics (Globalny klient bezpiecznego dostępu — zaawansowana diagnostyka) wybierz pozycję Traffic (Ruch).

  4. W obszarze Ruch sieciowy wybierz pozycję Rozpocznij zbieranie.

    Zrzut ekranu przedstawiający klienta globalnego bezpiecznego dostępu, zaawansowaną diagnostykę, ruch, ruch sieciowy, rozpocznij zbieranie.

  5. Aby potwierdzić zablokowany dostęp, spróbuj otworzyć zablokowaną nazwę FQDN. Zastosowanie zasad do urządzenia klienckiego może potrwać do 20 minut.

Zatrzymaj agenta i potwierdź przywrócony dostęp

  1. W obszarze Ruch sieciowy wybierz pozycję Zatrzymaj zbieranie.

  2. Przewiń, aby obserwować ruch związany z otwarciem nazwy FQDN i skojarzonymi danymi.

    Zrzut ekranu przedstawiający ruch sieciowy dla nazwy FQDN.

  3. Na pasku zadań testowych > rozwiń opcje > prawym przyciskiem myszy pozycję Globalny klient bezpiecznego >dostępu. Wybierz pozycję Wstrzymaj.

    Zrzut ekranu przedstawiający opcje globalnego paska zadań bezpiecznego dostępu, wstrzymywanie.

  4. Po pojawieniu się powiadomienia o potwierdzeniu otwórz wcześniej zablokowaną witrynę, aby potwierdzić przywrócony dostęp.

Wyświetlanie aktywności w dzienniku ruchu

  1. W centrum >administracyjnym firmy Microsoft Entra Global Secure Access>Monitor wybierz pozycję Dzienniki ruchu. W razie potrzeby wybierz pozycję Dodaj filtr. Filtruj, gdy główna nazwa użytkownika zawiera wartość testuser i Akcja ustawiona na Wartość Blokuj.
  2. Obserwuj wpisy docelowej nazwy FQDN, które pokazują ruch jako zablokowany, a następnie dozwolone. W dzienniku może wystąpić opóźnienie do 20 minut.

Przykładowy scenariusz weryfikacji koncepcji: blokowanie grupie dostępu do witryn internetowych na podstawie kategorii

Użyj Dostęp do Internetu Microsoft Entra, aby zablokować lub zezwolić na dostęp do witryn internetowych na podstawie kategorii. Obszary te obejmują hazard, alkohol i strony tytoniowe. Ręczne zarządzanie listami zablokowanymi nie jest wymagane. Wykonaj następujące zadania, aby skonfigurować Dostęp do Internetu Microsoft Entra w celu zablokowania witryn alkoholowych i tytoniowych dla użytkownika testowego.

Tworzenie zasad filtrowania w Internecie

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Global Secure Access Secure Access Secure Web content filtering policies>Create policy>Configure Global Secure Access>content filtering (Globalne filtrowanie zawartości bezpiecznego>dostępu).

    Zrzut ekranu przedstawiający zasady filtrowania zawartości internetowej Global Secure Access, Secure, Web.

  2. W sekcji Tworzenie zasad>filtrowania zawartości internetowej Podstawowe informacje podaj następujące informacje.

    • Nazwa: Blokowanie alkoholu i tytoniu.
    • Opis: Dodaj opis.
    • Akcja: Blokuj.

  3. Wybierz Dalej.

  4. W obszarze Tworzenie reguł zasad>filtrowania zawartości internetowej wybierz pozycję Dodaj regułę.

  5. W oknie dialogowym Dodawanie reguły podaj następujące szczegóły.

    • Nazwa: Alkohol i tytoń.
    • Typ docelowy: webCategory.
    • Wyszukiwanie: Alkohol.
    • Wybierz pozycję Alkohol i Tytoń.

  6. Wybierz Dodaj.

  7. Na stronie Tworzenie reguł zasad>filtrowania zawartości internetowej wybierz pozycję Dalej.

  8. W obszarze Tworzenie zasad>filtrowania zawartości internetowej Przejrzyj, potwierdź konfigurację zasad.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń, tworzenie profilu, zasady filtrowania zawartości sieci Web, przeglądanie zasad kategorii.

  9. Wybierz pozycję Create policy (Utwórz zasady).

  10. Aby potwierdzić tworzenie zasad, wyświetl ją na liście Zarządzanie zasadami filtrowania zawartości internetowej.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń, zasady filtrowania zawartości internetowej dla kategorii.

Tworzenie profilu zasad zabezpieczeń

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Globalne profile zabezpieczeń bezpiecznego>dostępu.> Wybierz pozycję Utwórz profil.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń.

  2. W obszarze Tworzenie profilu>Podstawowe informacje podaj następujące szczegóły.

    • Nazwa profilu: Profil dostępu do Internetu.
    • Opis: Dodaj opis.
    • Stan: włączone.
    • Priorytet: 1000.

  3. Wybierz Dalej.

  4. W obszarze Tworzenie zasad linku profilu>wybierz pozycję Połącz zasady.

  5. Wybierz pozycję Istniejące zasady.

  6. W oknie dialogowym Łączenie zasad podaj następujące szczegóły.

    • Nazwa zasad: Blokowanie alkoholu i tytoniu.
    • Priorytet: 1000.
    • Stan: włączone.

  7. Wybierz Dodaj.

  8. Na stronie Tworzenie zasad linku profilu>potwierdź blokowanie alkoholu i tytoniu na liście.

  9. Wybierz Dalej.

  10. W obszarze Tworzenie profilu>Przejrzyj potwierdź konfigurację profilu.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń, przegląd zasad kategorii.

  11. Wybierz pozycję Utwórz profil.

Tworzenie zasady dostępu warunkowego

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Ochrona>dostępu warunkowego. Wybierz pozycję Utwórz nowe zasady.

  2. W oknie dialogowym Nowe zasady dostępu warunkowego skonfiguruj następujące szczegóły.

    • Nazwa: Zasady dostępu do Internetu.
    • Tożsamości użytkowników lub obciążeń: uwzględnieni konkretni użytkownicy.
    • Do czego mają zastosowanie te zasady? Użytkownicy i grupy.
    • Uwzględnij>pozycję Wybierz użytkowników i grupy> Wybierz użytkowników i grupy.

  3. Wybierz grupę > testowa, kliknij pozycję Wybierz.

    Zrzut ekranu przedstawiający dostęp warunkowy, nowe zasady dostępu warunkowego dla zasad dostępu do Internetu.

  4. Zasoby docelowe.

    • Wybierz, jakie zasady mają zastosowanie do>globalnego bezpiecznego dostępu.
    • Wybierz profile ruchu, które mają zastosowanie do>ruchu internetowego.

    Zrzut ekranu przedstawiający dostęp warunkowy, nowe zasady dostępu warunkowego dla zasad dostępu do Internetu, zasoby docelowe.

  5. Pozostaw opcję Udziel kontroli domyślnej, aby udzielić dostępu, aby zdefiniowany profil zabezpieczeń zdefiniował funkcjonalność bloku.

  6. W sesji okno dialogowe, wybierz pozycję Użyj globalnego profilu zabezpieczeń bezpiecznego dostępu.

  7. Wybierz pozycję Profil dostępu do Internetu.

    Zrzut ekranu przedstawiający dostęp warunkowy, nowe zasady dostępu warunkowego dla zasad dostępu do Internetu, sesja.

  8. W obszarze Przegląd>dostępu warunkowego Włącz zasady wybierz pozycję Włączone. Wybierz pozycję Utwórz.

Próba uzyskania dostępu do zablokowanych witryn

  1. Zaloguj się na urządzeniu testowym, na którym zainstalowano agenta GSA.

  2. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu. Wybierz pozycję Diagnostyka zaawansowana.

    Zrzut ekranu przedstawiający opcje globalnego paska zadań systemu bezpiecznego dostępu, Zaawansowana diagnostyka.

  3. W oknie dialogowym Global Secure Access Client - Advanced Diagnostics (Globalny klient bezpiecznego dostępu — zaawansowana diagnostyka) wybierz pozycję Traffic (Ruch).

  4. W obszarze Ruch sieciowy wybierz pozycję Rozpocznij zbieranie.

    Zrzut ekranu przedstawiający klienta globalnego bezpiecznego dostępu, zaawansowaną diagnostykę, ruch, ruch sieciowy, rozpocznij zbieranie.

  5. Próba otwarcia miejsca alkoholu lub tytoniu w celu potwierdzenia zablokowanego dostępu. Powinien zostać wyświetlony komunikat DeniedTraffic dla witryn internetowych http i komunikat Nie można uzyskać dostępu do tej strony dla witryn internetowych https. Zastosowanie zasad do urządzenia klienckiego może potrwać do 20 minut.

Zatrzymaj agenta i potwierdź przywrócony dostęp

  1. W obszarze Ruch sieciowy wybierz pozycję Zatrzymaj zbieranie.

  2. Przewiń, aby obserwować ruch związany z otwarciem nazwy FQDN i skojarzonymi danymi. Zanotuj dostęp do Internetu w kolumnach Kanał . Zasady dostępu warunkowego są zapisywane jako oświadczenia do tokenu, które mają okres istnienia jednej godziny. Zastosowanie nowych zasad dostępu warunkowego na urządzeniu klienckim może potrwać do jednej godziny. Ponieważ zmiany są propagowane przez firmę Microsoft Entra, może upłynąć do 20 minut, aby zasady filtrowania w Internecie i zmiany profilu zabezpieczeń miały zastosowanie do urządzenia klienckiego.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp — zaawansowana diagnostyka, ruch sieciowy.

  3. Na pasku zadań testowych > rozwiń opcje > prawym przyciskiem myszy pozycję Globalny klient bezpiecznego >dostępu. Wybierz pozycję Wstrzymaj.

    Zrzut ekranu przedstawiający opcje globalnego paska zadań bezpiecznego dostępu, wstrzymywanie.

  4. Po pojawieniu się powiadomienia o potwierdzeniu otwórz wcześniej zablokowaną witrynę, aby potwierdzić przywrócony dostęp. Funkcjonalność dostępu do menu klienta GSA jest administracyjnie kontrolowalna, gdy produkt przechodzi do ogólnej dostępności.

Wyświetlanie aktywności w dzienniku ruchu

  1. W centrum >administracyjnym firmy Microsoft Entra Global Secure Access>Monitor wybierz pozycję Dzienniki ruchu.
  2. W razie potrzeby wybierz pozycję Dodaj filtr. Filtruj, gdy główna nazwa użytkownika zawiera wartość testuser i Akcja ustawiona na Wartość Blokuj.
  3. Obserwuj wpisy docelowej nazwy FQDN, które pokazują ruch jako zablokowany, a następnie dozwolone. W dzienniku może wystąpić opóźnienie do 20 minut.

Przykładowy scenariusz weryfikacji koncepcji: blokowanie grupie dostępu do witryn internetowych na podstawie nazwy FQDN

W niektórych przypadkach konieczne jest zablokowanie określonych witryn internetowych zamiast używania szerokich kategorii sieci Web. Wykonaj następujące zadania, aby zablokować dostęp do witryny na podstawie nazwy FQDN. Upewnij się, że uwzględniasz odpowiednie w pełni kwalifikowane nazwy domen (FQDN) używane przez lokację, którą chcesz zablokować.

Tworzenie zasad filtrowania w Internecie

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Global Secure Access Secure Access Secure Web content filtering policies>Create policy>Configure Global Secure Access>content filtering (Globalne filtrowanie zawartości bezpiecznego>dostępu).

    Zrzut ekranu przedstawiający zasady filtrowania zawartości internetowej Global Secure Access, Secure, Web.

  2. W sekcji Tworzenie zasad>filtrowania zawartości internetowej Podstawowe informacje podaj następujące informacje.

    • Nazwa: Blokowanie testowej nazwy FQDN.
    • Opis: Dodaj opis.
    • Akcja: Blokuj.

  3. Wybierz Dalej.

  4. W obszarze Tworzenie reguł zasad>filtrowania zawartości internetowej wybierz pozycję Dodaj regułę.

  5. W oknie dialogowym Dodawanie reguły podaj następujące szczegóły.

    • Nazwa: wprowadź nazwę, taką jak Nazwa FQDN testu blokowego.
    • Typ docelowy: nazwa FQDN.
    • Miejsce docelowe: wprowadź nazwę FQDN test w formacie *.domainname.com lub domainname.com.

  6. Wybierz Dodaj.

  7. W obszarze Tworzenie reguł zasad>filtrowania zawartości internetowej potwierdź wybrane opcje.

  8. Wybierz Dalej.

  9. W obszarze Tworzenie zasad>filtrowania zawartości internetowej Przejrzyj, potwierdź konfigurację zasad.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń, tworzenie profilu, zasady filtrowania zawartości sieci Web, przeglądanie zasad blokowania nazw FQDN.

  10. Wybierz pozycję Create policy (Utwórz zasady).

  11. Aby potwierdzić tworzenie zasad, wyświetl ją na liście Zarządzanie zasadami filtrowania zawartości internetowej.

Tworzenie profilu zasad zabezpieczeń

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Globalne profile zabezpieczeń bezpiecznego>dostępu.> Wybierz pozycję Utwórz profil.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń.

  2. W obszarze Tworzenie profilu>Podstawowe informacje podaj następujące szczegóły.

    • Nazwa profilu: Blokuj profil dostępu do Internetu nazw FQDN.
    • Opis: Dodaj opis.
    • Stan: włączone. *Priorytet: 2000.

  3. Wybierz Dalej.

  4. W obszarze Tworzenie zasad linku profilu>wybierz pozycję Połącz zasady.

  5. Wybierz pozycję Istniejące zasady.

  6. W oknie dialogowym Łączenie zasad podaj następujące szczegóły.

    • Nazwa zasad: Blokowanie testowej nazwy FQDN.
    • Priorytet: 100.
    • Stan: włączone.

  7. Wybierz Dodaj.

  8. Na karcie Zasady łączenia potwierdź na liście nazwę FQDN testu blokowania.

  9. Wybierz Dalej.

  10. Na karcie Przegląd potwierdź konfigurację profilu.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń, przegląd zasad blokowania nazw FQDN.

  11. Wybierz pozycję Utwórz profil.

Tworzenie zasady dostępu warunkowego

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Ochrona>dostępu warunkowego. Wybierz pozycję Utwórz nowe zasady.

  2. W oknie dialogowym Nowe zasady dostępu warunkowego skonfiguruj następujące ustawienia.

    • Nazwa: Zasady dostępu do Internetu w sieci FQDN.
    • Tożsamości użytkowników lub obciążeń: uwzględnieni konkretni użytkownicy.
    • Do czego mają zastosowanie te zasady? Użytkownicy i grupy.
    • Uwzględnij>pozycję Wybierz użytkowników i grupy> Wybierz użytkowników i grupy.
    • Wybierz grupę testowa. Kliknij opcję Wybierz.

    Zrzut ekranu przedstawiający dostęp warunkowy, nowe zasady dostępu warunkowego w celu blokowania zasad dostępu do Internetu w ramach nazwy FQDN.

  3. Zasoby>docelowe Wybierz, jakie zasady mają zastosowanie do>globalnego bezpiecznego dostępu.

  4. Wybierz profile ruchu, które mają zastosowanie do>ruchu internetowego.

    Zrzut ekranu przedstawiający dostęp warunkowy, nowe zasady dostępu warunkowego w celu blokowania zasad dostępu do Internetu w nazwie FQDN, zasobów docelowych.

  5. W sesji okno dialogowe, wybierz pozycję Blokuj FQDN Profil dostępu do Internetu. Wybierz pozycję Profil dostępu do Internetu.

  6. W obszarze Przegląd>dostępu warunkowego Włącz zasady wybierz pozycję Włączone. Wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający dostęp warunkowy, nowe zasady dostępu warunkowego w celu blokowania zasad dostępu do Internetu w nazwie FQDN, sesji.

Próba uzyskania dostępu do zablokowanych witryn

  1. Zaloguj się na urządzeniu testowym, na którym zainstalowano agenta GSA.

  2. W zasobniku systemowym kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu. Wybierz pozycję Diagnostyka zaawansowana.

    Zrzut ekranu przedstawiający opcje globalnego paska zadań systemu bezpiecznego dostępu, Zaawansowana diagnostyka.

  3. W oknie dialogowym Global Secure Access Client - Advanced Diagnostics (Globalny klient bezpiecznego dostępu — zaawansowana diagnostyka) wybierz pozycję Traffic (Ruch).

  4. W obszarze Ruch sieciowy wybierz pozycję Rozpocznij zbieranie.

    Zrzut ekranu przedstawiający klienta globalnego bezpiecznego dostępu, zaawansowaną diagnostykę, ruch, ruch sieciowy, rozpocznij zbieranie.

  5. Spróbuj otworzyć nazwę FQDN skonfigurowaną w celu potwierdzenia zablokowanego dostępu. Powinien zostać wyświetlony komunikat Odmowa dostępu dla witryn internetowych http i nie można uzyskać dostępu do tego powiadomienia o stronie dla witryn internetowych https. Zastosowanie zasad do urządzenia klienckiego może potrwać do 20 minut.

Zatrzymaj agenta i potwierdź przywrócony dostęp

  1. W obszarze Ruch sieciowy wybierz pozycję Zatrzymaj zbieranie.

  2. Przewiń, aby obserwować ruch związany z otwarciem nazwy FQDN i skojarzonymi danymi.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp — zaawansowana diagnostyka, ruch sieciowy do blokowania dostępu do Internetu w ramach nazwy FQDN.

  3. Na pasku zadań testowych > rozwiń opcje > prawym przyciskiem myszy pozycję Globalny klient bezpiecznego >dostępu. Wybierz pozycję Wstrzymaj.

    Zrzut ekranu przedstawiający opcje globalnego paska zadań bezpiecznego dostępu, wstrzymywanie.

  4. Po pojawieniu się powiadomienia o potwierdzeniu otwórz wcześniej zablokowaną witrynę, aby potwierdzić przywrócony dostęp.

Wyświetlanie aktywności w dzienniku ruchu

  1. W centrum >administracyjnym firmy Microsoft Entra Global Secure Access>Monitor wybierz pozycję Dzienniki ruchu.
  2. W razie potrzeby wybierz pozycję Dodaj filtr. Filtruj, gdy główna nazwa użytkownika zawiera wartość testuser i Akcja ustawiona na Wartość Blokuj.
  3. Obserwuj wpisy docelowej nazwy FQDN, które pokazują ruch jako zablokowany, a następnie dozwolone. W dzienniku może wystąpić opóźnienie do 20 minut.

Przykładowy scenariusz weryfikacji koncepcji: zezwalanie użytkownikowi na dostęp do zablokowanej witryny internetowej

W niektórych przypadkach użytkownicy, którzy wymagają dostępu do zablokowanych witryn dla grup, w których użytkownik jest członkiem. Wykonaj następujące zadania, aby zastąpić blok skonfigurowany dla grupy testowej, aby użytkownik testowy mógł uzyskać dostęp do zablokowanej witryny.

Tworzenie zasad filtrowania w Internecie

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Global Secure Access Secure Access Secure Web content filtering policies>Create policy>Configure Global Secure Access>content filtering (Globalne filtrowanie zawartości bezpiecznego>dostępu).

    Zrzut ekranu przedstawiający zasady filtrowania zawartości internetowej Global Secure Access, Secure, Web.

  2. W sekcji Tworzenie zasad>filtrowania zawartości internetowej Podstawowe informacje podaj następujące informacje.

    • Nazwa: Zezwalaj na testowe nazwy FQDN.
    • Opis: Dodaj opis.
    • Akcja: Zezwalaj.

  3. Wybierz Dalej.

  4. W obszarze Tworzenie reguł zasad>filtrowania zawartości internetowej wybierz pozycję Dodaj regułę.

  5. W oknie dialogowym Dodawanie reguły podaj następujące szczegóły. Wybierz Dodaj.

    • Nazwa: wprowadź nazwę, na przykład Zezwalaj na przesłonięcia nazwy FQDN.
    • Typ docelowy: nazwa FQDN.
    • Miejsce docelowe: wprowadź nazwę FQDN w formacie *.domainname.com lub domain.com. Wybierz Dodaj.

  6. W obszarze Tworzenie reguł zasad>filtrowania zawartości internetowej potwierdź wybrane opcje.

  7. Wybierz Dalej.

  8. W obszarze Tworzenie zasad>filtrowania zawartości internetowej Przejrzyj, potwierdź konfigurację zasad.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń, tworzenie profilu, zasady filtrowania zawartości sieci Web, przeglądanie dozwolonych zasad.

  9. Wybierz pozycję Create policy (Utwórz zasady).

  10. Aby potwierdzić tworzenie zasad, wyświetl ją na liście Zarządzanie zasadami filtrowania zawartości internetowej.

Tworzenie profilu zasad zabezpieczeń

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Globalne profile zabezpieczeń bezpiecznego>dostępu.> Wybierz pozycję Utwórz profil.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń.](media/sse-deployment-guide-internet-access/security-profiles-expanded.png#lightbox)

  2. W obszarze Tworzenie profilu>Podstawowe informacje podaj następujące szczegóły.

    • Nazwa profilu: Zezwalaj na profil dostępu do Internetu nazw FQDN.
    • Opis: Dodaj opis.
    • Stan: włączone.
    • Priorytet: 500.

  3. Wybierz Dalej.

  4. W obszarze Tworzenie zasad linku profilu>wybierz pozycję Połącz zasady.

  5. Wybierz pozycję Istniejące zasady.

  6. W oknie dialogowym Łączenie zasad podaj następujące szczegóły.

    • Nazwa zasad: Zezwalaj na testowe nazwy FQDN.
    • Priorytet: 100.
    • Stan: włączone.

  7. Wybierz Dodaj.

  8. Na stronie Tworzenie zasad linku profilu>potwierdź na liście opcję Zezwalaj na testową nazwę FQDN.

  9. Wybierz Dalej.

  10. Na karcie Przegląd potwierdź konfigurację profilu.

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp, profile zabezpieczeń, Przegląd pod kątem dozwolonych zasad zablokowanych.

  11. Wybierz pozycję Utwórz profil.

Tworzenie zasady dostępu warunkowego

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Ochrona>dostępu warunkowego. Wybierz pozycję Utwórz nowe zasady.

  2. W oknie dialogowym Nowe zasady dostępu warunkowego skonfiguruj następujące ustawienia.

    • Nazwa: Wyjątek FQDN zastępuje zasady IA.
    • Tożsamości użytkowników lub obciążeń: uwzględnieni konkretni użytkownicy.
    • Do czego mają zastosowanie te zasady? Użytkownicy i grupy.
    • Uwzględnij>pozycję Wybierz użytkowników i grupy> Wybierz użytkowników i grupy.
    • Wybierz grupę testowa. Kliknij opcję Wybierz.

    Zrzut ekranu przedstawiający dostęp warunkowy, nowe zasady dostępu warunkowego, aby zezwolić na zablokowane zasady dostępu do Internetu.

  3. Zasoby>docelowe Wybierz, jakie zasady mają zastosowanie do>globalnego bezpiecznego dostępu.

  4. Wybierz profile ruchu, które mają zastosowanie do>ruchu internetowego.

    Zrzut ekranu przedstawiający dostęp warunkowy, nowe zasady dostępu warunkowego, aby zezwolić na zablokowane zasady dostępu do Internetu, zasoby docelowe.

  5. Sesja> wybierz pozycję Użyj profilu zabezpieczeń globalnego bezpiecznego dostępu, wybierz pozycję Zezwalaj na profil dostępu do Internetu nazw FQDN. Kliknij opcję Wybierz.

  6. W obszarze Przegląd>dostępu warunkowego Włącz zasady wybierz pozycję Włączone. Wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający dostęp warunkowy, nowe zasady dostępu warunkowego, aby zezwolić na zablokowane zasady dostępu do Internetu, sesję.

Próba uzyskania dostępu do zablokowanych witryn

  1. Zaloguj się na urządzeniu testowym, na którym zainstalowano agenta GSA.

  2. W zasobniku systemowym kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu. Wybierz pozycję Diagnostyka zaawansowana.

    Zrzut ekranu przedstawiający opcje globalnego paska zadań systemu bezpiecznego dostępu, Zaawansowana diagnostyka

  3. W oknie dialogowym Global Secure Access Client - Advanced Diagnostics (Globalny klient bezpiecznego dostępu — zaawansowana diagnostyka) wybierz pozycję Traffic (Ruch).

  4. W obszarze Ruch sieciowy wybierz pozycję Rozpocznij zbieranie.

    Zrzut ekranu przedstawiający klienta globalnego bezpiecznego dostępu, zaawansowaną diagnostykę, ruch, ruch sieciowy, rozpocznij zbieranie.

  5. Aby potwierdzić dostęp dla tego konkretnego użytkownika, spróbuj otworzyć nazwę FQDN skonfigurowaną jako wyjątek. Zastosowanie zasad do urządzenia klienckiego może potrwać do 20 minut.

Zatrzymaj agenta i potwierdź przywrócony dostęp

  1. W obszarze Ruch sieciowy wybierz pozycję Zatrzymaj zbieranie.
  2. Przewiń, aby obserwować ruch związany z otwarciem nazwy FQDN.

Wyświetlanie aktywności w dzienniku ruchu

  1. W centrum >administracyjnym firmy Microsoft Entra Global Secure Access>Monitor wybierz pozycję Dzienniki ruchu. W razie potrzeby wybierz pozycję Dodaj filtr. Filtruj, gdy główna nazwa użytkownika zawiera wartość testuser i Akcja ustawiona na Wartość Blokuj.
  2. Obserwuj wpisy docelowej nazwy FQDN, które pokazują ruch jako zablokowany, a następnie dozwolone. W dzienniku może wystąpić opóźnienie do 20 minut.

Następne kroki