Dowiedz się więcej o Dostęp do Internetu Microsoft Entra dla wszystkich aplikacji
Narzędzie Microsoft Entra Internet Access zapewnia zorientowane na tożsamość rozwiązanie Secure Web Gateway (SWG) dla aplikacji Software as a Service (SaaS) i innego ruchu internetowego. Chroni ono użytkowników, urządzenia i dane przed wieloma zagrożeniami internetowymi dzięki najlepszym w swojej klasie mechanizmom kontroli, bezpieczeństwa i widoczności poprzez dzienniki ruchu.
Filtrowanie zawartości internetowej
Kluczową cechą wprowadzającą dla Dostępu do Internetu Microsoft Entra dla wszystkich aplikacji jest filtrowanie zawartości internetowej. Ta funkcja zapewnia szczegółową kontrolę dostępu dla kategorii sieci Web i w pełni kwalifikowanych nazw domen (FQDN). Poprzez jednoznaczne blokowanie znanych nieodpowiednich, złośliwych lub niebezpiecznych witryn, chronisz swoich użytkowników i ich urządzenia przed wszelkimi stwarzającymi zagrożenie połączeniami internetowymi, niezależnie od tego, czy są zdalni, czy wewnątrz sieci firmowej.
Kiedy ruch dociera do Microsoft Secure Service Edge, Microsoft Entra Internet Access wykonuje mechanizmy kontroli zabezpieczeń na dwa sposoby. W przypadku niezaszyfrowanego ruchu HTTP używa on ujednoliconego lokalizatora zasobów (URL). W przypadku ruchu HTTPS szyfrowanego przy użyciu protokołu Transport Layer Security (TLS) jest używana nazwa serwera (SNI).
Filtrowanie zawartości internetowej jest implementowane przy użyciu zasad filtrowania, które są pogrupowane w profile zabezpieczeń, które mogą być połączone z zasadami dostępu warunkowego. Aby dowiedzieć się więcej na temat dostępu warunkowego, zobacz Dostęp warunkowy firmy Microsoft.
Uwaga
Chociaż filtrowanie zawartości internetowej jest podstawową funkcją dla każdej bezpiecznej bramy internetowej, podobne możliwości istnieją w innych produktach zabezpieczeń, takich jak produkty zabezpieczeń punktu końcowego, takie jak Ochrona punktu końcowego w usłudze Microsoft Defender i zapory, takie jak Azure Firewall. Dostęp do Internetu Microsoft Entra zapewnia dodatkową wartość zabezpieczeń dzięki integracji zasad z Microsoft Entra ID, wymuszaniu zasad na brzegu chmury, uniwersalnej obsłudze dla wszystkich platform urządzeń oraz przyszłym ulepszeniom zabezpieczeń za pomocą inspekcji protokołu Transport Layer Security (TLS), takich jak dokładniejsza kategoryzacja sieci Web. Dowiedz się więcej w często zadawanych pytaniach.
Profile zabezpieczeń
Profile zabezpieczeń to obiekty używane do grupowania zasad filtrowania i dostarczania ich za pomocą świadomych użytkownika zasad dostępu warunkowego. Na przykład, aby zablokować wszystkie witryny z wiadomościami z wyjątkiem msn.com dla użytkownika angie@contoso.com, należy utworzyć dwie zasady filtrowania sieci Web i dodać je do profilu zabezpieczeń. Następnie należy pobrać profil zabezpieczeń i połączyć go z zasadami dostępu warunkowego przypisanymi do usługi angie@contoso.com.
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Logika przetwarzania zasad
W ramach profilu zabezpieczeń zasady są wymuszane zgodnie z kolejnością logiczną unikatowych numerów priorytetowych, a 100 jest najwyższym priorytetem, a 65 000 jest najniższym priorytetem (podobnie jak w przypadku tradycyjnej logiki zapory). Najlepszym rozwiązaniem jest dodanie odstępu około 100 między priorytetami, aby zapewnić elastyczność zasad w przyszłości.
Po połączeniu profilu zabezpieczeń z zasadą dostępu warunkowego, jeśli kilka zasad dostępu warunkowego spełnia kryteria, oba profile zabezpieczeń są przetwarzane w kolejności priorytetu pasujących profili zabezpieczeń.
Ważne
Profil zabezpieczeń punktu odniesienia dotyczy całego ruchu nawet bez łączenia go z zasadami dostępu warunkowego. Wymusza zasady o najniższym priorytecie w stosie zasad, mając zastosowanie do całego ruchu internetowego kierowanego przez usługę jako zasada przechwytująca wszystko. Profil bazowy zabezpieczeń jest realizowany nawet wtedy, gdy zasady dostępu warunkowego odpowiadają innemu profilowi zabezpieczeń.
Znane ograniczenia
Ta funkcja ma co najmniej jedno znane ograniczenia. Aby uzyskać bardziej szczegółowe informacje na temat znanych problemów i ograniczeń tej funkcji, zobacz Znane Ograniczenia dotyczące Globalnego Bezpiecznego Dostępu.