Udostępnij za pośrednictwem

Jak skonfigurować filtrowanie zawartości internetowej globalnego bezpiecznego dostępu

  • Artykuł

Filtrowanie zawartości internetowej umożliwia implementowanie szczegółowych mechanizmów kontroli dostępu do Internetu dla organizacji na podstawie kategoryzacji witryn internetowych.

Dostęp do Internetu Microsoft Entra pierwsze funkcje bezpiecznej bramy internetowej (SWG) obejmują filtrowanie zawartości internetowej na podstawie nazw domen. Firma Microsoft integruje szczegółowe zasady filtrowania z usługami Microsoft Entra ID i Microsoft Entra Conditional Access, co powoduje filtrowanie zasad obsługujących użytkowników, obsługujących kontekst i łatwy w zarządzaniu.

Funkcja filtrowania sieci Web jest obecnie ograniczona do filtrowania kategorii internetowych opartych na w pełni kwalifikowanej nazwy domeny (FQDN) i filtrowania nazw FQDN opartych na użytkownikach i kontekstowych.

Wymagania wstępne

  • Administratorzy korzystający z funkcji globalnego bezpiecznego dostępu muszą mieć co najmniej jedno z następujących przypisań ról w zależności od wykonywanych zadań.

    • Rola Administratora globalnego bezpiecznego dostępu do zarządzania funkcjami globalnego bezpiecznego dostępu.
    • Administrator dostępu warunkowego do tworzenia zasad dostępu warunkowego i interakcji z nimi.

  • Ukończ przewodnik Wprowadzenie do globalnego bezpiecznego dostępu .

  • Zainstaluj klienta globalnego bezpiecznego dostępu na urządzeniach użytkowników końcowych.

  • Należy wyłączyć system nazw domen (DNS) za pośrednictwem protokołu HTTPS (Secure DNS) w celu tunelowania ruchu sieciowego. Użyj reguł w pełni kwalifikowanych nazw domen (FQDN) w profilu przekazywania ruchu. Aby uzyskać więcej informacji, zobacz Configure the DNS client to support DoH (Konfigurowanie klienta DNS pod kątem obsługi usługi DoH).

  • Wyłącz wbudowanego klienta DNS w przeglądarkach Chrome i Microsoft Edge.

  • Ruch IPv6 nie jest uzyskiwany przez klienta i dlatego jest przesyłany bezpośrednio do sieci. Aby włączyć tunelowany cały odpowiedni ruch, ustaw preferowane właściwości karty sieciowej na IPv4.

  • Ruch protokołu UDP (User Datagram Protocol) (czyli QUIC) nie jest obsługiwany w bieżącej wersji zapoznawczej programu Internet Access. Większość witryn internetowych obsługuje powrót do protokołu TCP (Transmission Control Protocol), gdy nie można ustanowić QUIC. W przypadku ulepszonego środowiska użytkownika można wdrożyć regułę Zapory systemu Windows, która blokuje wychodzący protokół UDP 443: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.

  • Zapoznaj się z pojęciami dotyczącymi filtrowania zawartości internetowej. Aby uzyskać więcej informacji, zobacz Filtrowanie zawartości internetowej.

Kroki ogólne

Istnieje kilka kroków konfigurowania filtrowania zawartości internetowej. Zanotuj, gdzie należy skonfigurować zasady dostępu warunkowego.

  1. Włącz przekazywanie ruchu internetowego.
  2. Utwórz zasady filtrowania zawartości internetowej.
  3. Utwórz profil zabezpieczeń.
  4. Połącz profil zabezpieczeń z zasadami dostępu warunkowego.
  5. Przypisz użytkowników lub grupy do profilu przekazywania ruchu.

Włączanie przekazywania ruchu internetowego

Pierwszym krokiem jest włączenie profilu przekazywania ruchu internetowego. Aby dowiedzieć się więcej o profilu i sposobie jego włączania, zobacz Jak zarządzać profilem przekazywania ruchu do Internetu.

Tworzenie zasad filtrowania zawartości internetowej

  1. Przejdź do zasad globalnego filtrowania bezpiecznej zawartości internetowej bezpiecznego>dostępu>.
  2. Wybierz pozycję Create policy (Utwórz zasady).
  3. Wprowadź nazwę i opis zasad, a następnie wybierz pozycję Dalej.
  4. Wybierz Dodaj regułę.
  5. Wprowadź nazwę, wybierz kategorię internetową lub prawidłową nazwę FQDN, a następnie wybierz pozycję Dodaj.
    • Prawidłowe nazwy FQDN w tej funkcji mogą również zawierać symbole wieloznaczne przy użyciu symbolu gwiazdki *.
  6. Wybierz przycisk Dalej , aby przejrzeć zasady, a następnie wybierz pozycję Utwórz zasady.

Ważne

Wdrożenie zmian w filtrowaniu zawartości internetowej może potrwać do jednej godziny.

Tworzenie profilu zabezpieczeń

Profile zabezpieczeń to grupa zasad filtrowania. Profile zabezpieczeń można przypisywać lub łączyć za pomocą zasad dostępu warunkowego firmy Microsoft. Jeden profil zabezpieczeń może zawierać wiele zasad filtrowania. Jeden profil zabezpieczeń może być skojarzony z wieloma zasadami dostępu warunkowego.

W tym kroku utworzysz profil zabezpieczeń w celu grupowania zasad filtrowania. Następnie przypiszesz lub połączysz profile zabezpieczeń z zasadami dostępu warunkowego, aby umożliwić im rozpoznawanie użytkownika lub kontekstu.

Uwaga

Aby dowiedzieć się więcej na temat zasad dostępu warunkowego firmy Microsoft, zobacz Tworzenie zasad dostępu warunkowego.

  1. Przejdź do globalnych profilów zabezpieczeń bezpiecznego>dostępu.>
  2. Wybierz pozycję Utwórz profil.
  3. Wprowadź nazwę i opis zasad, a następnie wybierz pozycję Dalej.
  4. Wybierz pozycję Połącz zasady , a następnie wybierz pozycję Istniejące zasady.
  5. Wybierz już utworzone zasady filtrowania zawartości internetowej i wybierz pozycję Dodaj.
  6. Wybierz przycisk Dalej , aby przejrzeć profil zabezpieczeń i skojarzone zasady.
  7. Wybierz pozycję Utwórz profil.
  8. Wybierz pozycję Odśwież , aby odświeżyć stronę profilów i wyświetlić nowy profil.

Utwórz zasady dostępu warunkowego dla użytkowników końcowych lub grup i dostarczaj profil zabezpieczeń za pomocą kontroli sesji dostępu warunkowego. Dostęp warunkowy to mechanizm dostarczania do rozpoznawania użytkowników i kontekstu zasad dostępu do Internetu. Aby dowiedzieć się więcej na temat kontrolek sesji, zobacz Dostęp warunkowy: sesja.

  1. Przejdź do sekcji Identity Protection Conditional Access (Dostęp warunkowy usługi Identity>Protection).>
  2. Wybierz pozycję Utwórz nowe zasady.
  3. Wprowadź nazwę i przypisz użytkownika lub grupę.
  4. Wybierz pozycję Docelowe zasoby oraz Wszystkie zasoby internetowe z Globalną Bezpieczną Dostępnością.
  5. Wybierz pozycję Sesja>Użyj profilu zabezpieczeń globalnego bezpiecznego dostępu i wybierz profil zabezpieczeń.
  6. Wybierz pozycję Wybierz.
  7. W sekcji Włącz zasady upewnij się, że wybrano opcję Włączone.
  8. Wybierz pozycję Utwórz.

Diagram przepływu dostępu do Internetu

W tym przykładzie pokazano przepływ ruchu Dostęp do Internetu Microsoft Entra podczas stosowania zasad filtrowania zawartości internetowej.

Poniższy diagram przepływu przedstawia zasady filtrowania zawartości internetowej blokujące lub zezwalające na dostęp do zasobów internetowych.

Diagram przedstawia przepływ zasad filtrowania zawartości internetowej blokujących lub zezwalających na dostęp do zasobów internetowych.

Krok opis
1 Klient globalnego bezpiecznego dostępu próbuje nawiązać połączenie z rozwiązaniem Microsoft Security Service Edge.
2 Klient przekierowuje do identyfikatora Entra firmy Microsoft w celu uwierzytelnienia i autoryzacji.
3 Użytkownik i urządzenie uwierzytelniają się. Uwierzytelnianie odbywa się bezproblemowo, gdy użytkownik ma prawidłowy podstawowy token odświeżania (PRT).
100 Po uwierzytelnieniu użytkownika i urządzenia dostęp warunkowy jest zgodny z regułami urzędu certyfikacji dostępu do Internetu i dodaje odpowiednie profile zabezpieczeń do tokenu. Wymusza odpowiednie zasady autoryzacji.
5 Identyfikator Entra firmy Microsoft przedstawia token w przeglądarce Microsoft Security Service Edge w celu weryfikacji.
6 Tunel ustanawia między klientem globalnego bezpiecznego dostępu a przeglądarką Microsoft Security Service Edge.
7 Ruch zaczyna być uzyskiwany i tunele za pośrednictwem tunelu internetowego dostępu.
8 Przeglądarka Microsoft Security Service Edge ocenia zasady zabezpieczeń w tokenie dostępu w kolejności priorytetu. Po dopasowaniu do reguły filtrowania zawartości internetowej ocena zasad filtrowania zawartości internetowej zostanie zatrzymana.
9 Przeglądarka Microsoft Security Service Edge wymusza zasady zabezpieczeń.
10 Zasady = blokują powoduje błąd ruchu HTTP lub występuje wyjątek resetowania połączenia dla ruchu HTTPS.
11 Zasady = zezwalaj na przekazywanie ruchu do miejsca docelowego.

Uwaga

Zastosowanie nowego profilu zabezpieczeń może potrwać do 60–90 minut z powodu wymuszania profilu zabezpieczeń przy użyciu tokenów dostępu. Użytkownik musi otrzymać nowy token dostępu z nowym identyfikatorem profilu zabezpieczeń jako oświadczeniem, zanim zostanie on zastosowany. Zmiany istniejących profilów zabezpieczeń zaczynają być wymuszane znacznie szybciej.

Przypisania użytkowników i grup

Możesz określić zakres profilu internetowego dostępu do określonych użytkowników i grup. Aby dowiedzieć się więcej na temat przypisywania użytkowników i grup, zobacz Jak przypisywać użytkowników i grupy oraz zarządzać nimi przy użyciu profilów przesyłania dalej ruchu.

Weryfikowanie wymuszania zasad użytkownika końcowego

Gdy ruch dociera do usługi Secure Service Edge firmy Microsoft, Dostęp do Internetu Microsoft Entra wykonuje mechanizmy kontroli zabezpieczeń na dwa sposoby. W przypadku niezaszyfrowanego ruchu HTTP używa on ujednoliconego lokalizatora zasobów (URL). W przypadku ruchu HTTPS szyfrowanego przy użyciu protokołu Transport Layer Security (TLS) jest używana nazwa serwera (SNI).

Użyj urządzenia z systemem Windows z zainstalowanym klientem globalnego bezpiecznego dostępu. Zaloguj się jako użytkownik, któremu przypisano profil pozyskiwania ruchu internetowego. Przetestuj, czy przechodzenie do witryn internetowych jest dozwolone lub ograniczone zgodnie z oczekiwaniami.

  1. Kliknij prawym przyciskiem myszy ikonę klienta Globalnego bezpiecznego dostępu w menedżerze zadań i otwórz >. Upewnij się, że istnieją reguły pozyskiwania dostępu do Internetu. Sprawdź również, czy podczas przeglądania uzyskuje się nazwę hosta i przepływy dla użytkowników ruchu internetowego.

  2. Przejdź do dozwolonych i zablokowanych witryn i sprawdź, czy działają prawidłowo. Przejdź do dzienników ruchu globalnego monitora>bezpiecznego dostępu>, aby potwierdzić, że ruch jest blokowany lub dozwolony odpowiednio.

Bieżące środowisko blokowania dla wszystkich przeglądarek zawiera błąd przeglądarki w postaci zwykłego tekstu dla ruchu HTTP i błąd przeglądarki "Resetowanie połączenia" dla ruchu HTTPS.

Zrzut ekranu przedstawiający błąd przeglądarki w postaci zwykłego tekstu dla ruchu HTTP.

Zrzut ekranu przedstawiający błąd przeglądarki

Uwaga

Zmiany konfiguracji w środowisku globalnego bezpiecznego dostępu związane z filtrowaniem zawartości internetowej zwykle obowiązują w mniej niż 5 minut. Zmiany konfiguracji w dostępie warunkowym związane z filtrowaniem zawartości internetowej mają zastosowanie w ciągu około godziny.

Następne kroki