Jak zarządzać profilem przekazywania ruchu internetowego

Profil przekazywania ruchu internetowego kieruje ruch internetowy za pośrednictwem klienta globalnego bezpiecznego dostępu. Włączenie tego profilu przekazywania ruchu umożliwia pracownikom zdalnym łączenie się z Internetem w kontrolowany i bezpieczny sposób. Dzięki funkcjom Dostęp do Internetu Microsoft Entra można kontrolować, do których witryn internetowych można uzyskiwać dostęp. Można również skonfigurować ruch do wykluczenia z globalnego bezpiecznego dostępu na podstawie adresów IP, zakresów adresów IP, podsieci IP i w pełni kwalifikowanych nazw domen (FQDN).

Wymagania wstępne

Aby włączyć profil przekazywania dostępu do Internetu dla dzierżawy, musisz mieć następujące elementy:

• Rola administratora globalnego bezpiecznego dostępu w usłudze Microsoft Entra ID.
• Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.

Zasady profilu przesyłania dalej ruchu internetowego

Wyświetl zasady odnoszące się do profilu przesyłania dalej ruchu internetowego. Domyślnie istnieją trzy zasady. Aby je wyświetlić:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
2. Przejdź do przesyłania dalej ruchu Global Secure Access>Connect>.
3. Wybierz link Wyświetl w sekcji Zasady dostępu do Internetu.

Domyślne zasady dostępu do Internetu obejmują:

• Obejście niestandardowe zawiera zdefiniowany przez użytkownika ruch/punkty końcowe, które są wykluczone z profilu ruchu internetowego. Innymi słowy, definiujesz ruch, którego profil nie powinien uzyskiwać. Zazwyczaj można wykluczyć ruch, taki jak punkty końcowe sieci VPN, zakresy prywatnych adresów IP i zakresy adresów IP przysiadł, oraz punkty końcowe wykorzystujące listę kontroli dostępu do sieci (ACL).
• Domyślne obejście zawiera wstępnie zdefiniowany ruch, którego profil ruchu internetowego nie uzyskuje. Na przykład zakresy prywatnych adresów IP. Nie można zmienić reguł w tych zasadach.
• Domyślne uzyskiwanie definiuje ruch, który jest uzyskiwany przez profil ruchu internetowego. Obecnie cały ruch internetowy na portach 80, 443 za pośrednictwem protokołu TCP (Transmission Control Protocol). Zasady mają najniższy priorytet po ocenie wszystkich reguł obejścia. Nie można zmienić reguł w tych zasadach.

Przykład dodawania niestandardowych zasad obejścia:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
2. Przejdź do przesyłania dalej ruchu Global Secure Access>Connect>.
3. W obszarze Profil przekazywania ruchu internetowego w sekcji Zasady dostępu do Internetu wybierz link Wyświetl .
4. Rozwiń zasady Niestandardowe obejście.
5. Wybierz Dodaj regułę.
6. Wybierz typ miejsca docelowego, taki jak w pełni kwalifikowana nazwa domeny (FQDN). Możesz dodać wiele wartości docelowych rozdzielonych przecinkami. Nie dodawaj białych znaków. Na przykład: contoso.com,fabrikam.com lub 10.0.0.1/32,10.0.0.2/32. Porty, protokół i akcja są zawsze stałe i nie można ich zmieniać.
7. Wprowadź prawidłową lokalizację docelową.
8. Wybierz pozycję Zapisz.

Uwaga

Ruch jest oceniany od góry do dołu, co oznacza, że jest uzyskiwany tylko przez profil ruchu internetowego, jeśli nie jest pomijany w jednej z reguł obejścia.

Przypisania użytkowników i grup

Możesz określić zakres profilu internetowego dostępu do określonych użytkowników i grup.

Aby dowiedzieć się więcej na temat przypisywania użytkowników i grup, zobacz Jak przypisywać użytkowników i grupy oraz zarządzać nimi przy użyciu profilów przesyłania dalej ruchu.

Włączanie profilu przesyłania dalej ruchu internetowego

Aby włączyć profil przekazywania Dostęp do Internetu Microsoft Entra do przekazywania dalej ruchu użytkowników:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
2. Przejdź do przesyłania dalej ruchu Global Secure Access>Connect>.
3. Ustaw zasady w profilu ruchu. Na przykład ustaw niestandardową regułę obejścia, aby wykluczyć określony ruch.
4. Włącz profil dostępu do Internetu. Ruch internetowy rozpoczyna przekazywanie ze wszystkich urządzeń klienckich do serwera proxy usługi Security Service Edge (SSE) firmy Microsoft, w którym można skonfigurować szczegółowe zasady zabezpieczeń.

   Uwaga

   Po włączeniu profilu przekazywania dostępu do Internetu należy również włączyć profil przekazywania ruchu firmy Microsoft w celu uzyskania optymalnego routingu ruchu firmy Microsoft. Profil ruchu firmy Microsoft można włączyć, zaznaczając pole wyboru profilu na tej samej stronie, na której włączono profil przekazywania ruchu internetowego. Aby dowiedzieć się więcej na temat profilu przekazywania ruchu firmy Microsoft, zobacz Jak włączyć profil firmy Microsoft i zarządzać nim.

Weryfikowanie profilu przesyłania dalej ruchu internetowego

Dodanie reguły do zasad trwa od 10 do 20 minut w kliencie na komputerze użytkownika. Jeśli reguła nie zostanie wyświetlona po tym czasie, wyłącz i ponownie włącz profil przekazywania ruchu internetowego.

Aby zweryfikować profil przekazywania ruchu, zasady przekazywania ruchu i reguły:

1. Na pasku zadań systemu kliknij prawym przyciskiem myszy klienta globalnego bezpiecznego dostępu i wybierz pozycję Zaawansowana diagnostyka.
2. Otwórz przeglądarkę internetową i przejdź do miejsca docelowego w sieci wewnętrznej. Upewnij się, że ruch nie jest przechwytywany.
3. Otwórz przeglądarkę internetową i przejdź do miejsca docelowego, które jest pomijane. Upewnij się, że ruch nie jest przechwytywany.
4. Otwórz przeglądarkę internetową i przejdź do publicznego miejsca docelowego uzyskanego przez profil. Upewnij się, że ruch jest uzyskiwany w kanale internetowym.

Następne kroki

• Dowiedz się więcej o przekierowywaniu ruchu
• Konfigurowanie globalnego filtrowania zawartości internetowej bezpiecznego dostępu
• Instalowanie i konfigurowanie globalnego klienta bezpiecznego dostępu na urządzeniach użytkowników końcowych