Dowiedz się więcej o Dostęp do Internetu Microsoft Entra dla wszystkich aplikacji
Narzędzie Microsoft Entra Internet Access zapewnia zorientowane na tożsamość rozwiązanie Secure Web Gateway (SWG) dla aplikacji Software as a Service (SaaS) i innego ruchu internetowego. Chroni ono użytkowników, urządzenia i dane przed wieloma zagrożeniami internetowymi dzięki najlepszym w swojej klasie mechanizmom kontroli, bezpieczeństwa i widoczności poprzez dzienniki ruchu.
Filtrowanie zawartości internetowej
Kluczową funkcją wprowadzającą dla Dostęp do Internetu Microsoft Entra dla wszystkich aplikacji jest filtrowanie zawartości internetowej. Ta funkcja zapewnia szczegółową kontrolę dostępu dla kategorii sieci Web i w pełni kwalifikowanych nazw domen (FQDN). Poprzez jednoznaczne blokowanie znanych nieodpowiednich, złośliwych lub niebezpiecznych witryn, chronisz swoich użytkowników i ich urządzenia przed wszelkimi stwarzającymi zagrożenie połączeniami internetowymi, niezależnie od tego, czy są zdalni, czy wewnątrz sieci firmowej.
Gdy ruch dociera do usługi Secure Service Edge firmy Microsoft, Dostęp do Internetu Microsoft Entra wykonuje mechanizmy kontroli zabezpieczeń na dwa sposoby. W przypadku niezaszyfrowanego ruchu HTTP używa on ujednoliconego lokalizatora zasobów (URL). W przypadku ruchu HTTPS szyfrowanego przy użyciu protokołu Transport Layer Security (TLS) jest używana nazwa serwera (SNI).
Filtrowanie zawartości internetowej jest implementowane przy użyciu zasad filtrowania, które są pogrupowane w profile zabezpieczeń, które mogą być połączone z zasadami dostępu warunkowego. Aby dowiedzieć się więcej na temat dostępu warunkowego, zobacz Dostęp warunkowy firmy Microsoft.
Uwaga
Chociaż filtrowanie zawartości internetowej jest podstawową funkcją dla każdej bezpiecznej bramy internetowej, podobne możliwości istnieją w innych produktach zabezpieczeń, takich jak produkty zabezpieczeń punktu końcowego, takie jak Ochrona punktu końcowego w usłudze Microsoft Defender i zapory, takie jak Azure Firewall. Dostęp do Internetu Microsoft Entra zapewnia dodatkową wartość zabezpieczeń dzięki integracji zasad z identyfikatorem Entra firmy Microsoft, wymuszaniem zasad na brzegu chmury, uniwersalną obsługą wszystkich platform urządzeń i przyszłymi ulepszeniami zabezpieczeń za pomocą inspekcji protokołu Transport Layer Security (TLS), takiej jak kategoryzacja sieci Web o wyższej wierności. Dowiedz się więcej w często zadawanych pytaniach.
Profile zabezpieczeń
Profile zabezpieczeń to obiekty używane do grupowania zasad filtrowania i dostarczania ich za pomocą zasad dostępu warunkowego obsługującego użytkownika. Na przykład aby zablokować wszystkie witryny sieci Web wiadomości z wyjątkiem msn.com użytkowników angie@contoso.com , należy utworzyć dwie zasady filtrowania sieci Web i dodać je do profilu zabezpieczeń. Następnie należy pobrać profil zabezpieczeń i połączyć go z zasadami dostępu warunkowego przypisanymi do usługi angie@contoso.com.
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Logika przetwarzania zasad
W ramach profilu zabezpieczeń zasady są wymuszane zgodnie z kolejnością logiczną unikatowych numerów priorytetowych, a 100 jest najwyższym priorytetem, a 65 000 jest najniższym priorytetem (podobnie jak w przypadku tradycyjnej logiki zapory). Najlepszym rozwiązaniem jest dodanie odstępu około 100 między priorytetami, aby zapewnić elastyczność zasad w przyszłości.
Po połączeniu profilu zabezpieczeń z zasadami dostępu warunkowego (CA) oba profile zabezpieczeń są przetwarzane zgodnie z priorytetem pasujących profilów zabezpieczeń.
Ważne
Profil zabezpieczeń punktu odniesienia dotyczy całego ruchu nawet bez łączenia go z zasadami dostępu warunkowego. Wymusza zasady o najniższym priorytecie w stosie zasad, stosując się do całego ruchu internetowego kierowanego przez usługę jako zasady "catch-all". Profil zabezpieczeń punktu odniesienia jest wykonywany nawet wtedy, gdy zasady dostępu warunkowego są zgodne z innym profilem zabezpieczeń.
Znane ograniczenia
Ta funkcja ma co najmniej jedno znane ograniczenia. Aby uzyskać bardziej szczegółowe informacje na temat znanych problemów i ograniczeń tej funkcji, zobacz Znane Ograniczenia dotyczące Globalnego Bezpiecznego Dostępu.