Jak włączyć profil przekazywania ruchu firmy Microsoft i zarządzać nim
Po włączeniu profilu firmy Microsoft Dostęp do Internetu Microsoft Entra uzyskuje ruch, który będzie usługi firmy Microsoft. Profil firmy Microsoft zarządza następującymi grupami zasad:
- Exchange Online
- SharePoint Online i Microsoft OneDrive
- Microsoft Teams
- Microsoft 365 Common and Office Online
Wymagania wstępne
Aby włączyć profil przekazywania ruchu firmy Microsoft dla dzierżawy, musisz mieć następujące elementy:
- Rola administratora globalnego bezpiecznego dostępu w identyfikatorze Entra firmy Microsoft w celu włączenia profilów ruchu.
- Rola administratora dostępu warunkowego do tworzenia zasad dostępu warunkowego i interakcji z nimi.
- Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.
Znane ograniczenia
Ta funkcja ma co najmniej jedno znane ograniczenia. Aby uzyskać bardziej szczegółowe informacje na temat znanych kwestii i ograniczeń tej funkcji, zobacz znane ograniczenia dla globalnego bezpiecznego dostępu.
Włączanie profilu ruchu firmy Microsoft
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
Przejdź do >.
Włącz profil ruchu firmy Microsoft. Ruch firmy Microsoft rozpoczyna przesyłanie dalej ze wszystkich urządzeń klienckich do serwera proxy usługi Security Service Edge (SSE) firmy Microsoft, w którym można skonfigurować zaawansowane funkcje zabezpieczeń specyficzne dla ruchu firmy Microsoft.
Zasady ruchu firmy Microsoft
Aby zarządzać szczegółami zawartymi w zasadach przesyłania dalej ruchu firmy Microsoft, wybierz link Wyświetl dla zasad ruchu firmy Microsoft.
Grupy zasad są wyświetlane z polem wyboru, aby wskazać, czy grupa zasad jest włączona. Rozwiń grupę zasad, aby wyświetlić wszystkie adresy IP i nazwy FQDN uwzględnione w grupie.
Grupy zasad zawierają następujące szczegóły:
- Typ docelowy: nazwa FQDN lub podsieć IP
- Miejsce docelowe: szczegóły nazwy FQDN lub podsieci IP
- Porty: porty TCP lub UDP połączone z adresami IP w celu utworzenia punktu końcowego sieci
- Protokół: TCP (Transmission Control Protocol) lub UDP (User Datagram Protocol)
- Akcja: Przekazywanie lub obejście
Możesz skonfigurować reguły pozyskiwania ruchu w celu obejścia pozyskiwania ruchu. Jeśli to zrobisz, użytkownicy nadal będą mogli uzyskiwać dostęp do zasobów; jednak globalna usługa bezpiecznego dostępu nie przetwarza ruchu. Można pominąć ruch do określonej nazwy FQDN lub adresu IP, całej grupy zasad w profilu lub całego profilu firmy Microsoft. Jeśli musisz przekazać tylko niektóre zasoby firmy Microsoft w grupie zasad, włącz grupę, a następnie odpowiednio zmień akcję w szczegółach.
Ważne
Jeśli reguła ma wartość Obejście w profilu ruchu firmy Microsoft, profil Ruchu Internetowego nie przechwyci tego ruchu. Nawet w przypadku włączenia profilu dostępu do Internetu pomijany ruch pomija pozyskiwanie dostępu globalnego i używa ścieżki routingu sieciowego tego klienta do ruchu wychodzącego do Internetu. Ruch dostępny do uzyskania w profilu ruchu firmy Microsoft można uzyskać tylko w profilu ruchu firmy Microsoft.
W poniższym przykładzie pokazano ustawienie nazwy *.sharepoint.com FQDN na Obejście , aby ruch nie był przekazywany do usługi.
Jeśli klient globalnego bezpiecznego dostępu nie może nawiązać połączenia z usługą (na przykład z powodu autoryzacji lub niepowodzenia dostępu warunkowego), usługa pomija ruch. Ruch jest wysyłany bezpośrednio i lokalnie zamiast blokowany. W tym scenariuszu można utworzyć zasady dostępu warunkowego dla zgodnej kontroli sieci, aby zablokować ruch, jeśli klient nie może nawiązać połączenia z usługą.
Połączone zasady dostępu warunkowego
Zasady dostępu warunkowego są tworzone i stosowane do profilu przekazywania ruchu w obszarze Dostęp warunkowy identyfikatora Firmy Microsoft. Można na przykład utworzyć zasady, które wymagają zgodnych urządzeń podczas ustanawiania połączenia sieciowego dla usług w profilu ruchu firmy Microsoft.
Jeśli w sekcji Połączone zasady dostępu warunkowego zostanie wyświetlony komunikat "Brak", nie ma zasad dostępu warunkowego połączonego z profilem przekazywania ruchu. Aby utworzyć zasady dostępu warunkowego, zobacz Uniwersalny dostęp warunkowy za pośrednictwem globalnego bezpiecznego dostępu.
Edytowanie istniejących zasad dostępu warunkowego
Jeśli profil przekazywania ruchu ma połączone zasady dostępu warunkowego, możesz wyświetlić i edytować te zasady.
Wybierz link Wyświetl dla połączonych zasad dostępu warunkowego.
Wybierz zasady z listy. Szczegóły zasad otwarte w obszarze Dostęp warunkowy.
Przypisania sieci zdalnej profilu ruchu firmy Microsoft
Profile ruchu można przypisać do sieci zdalnych, aby ruch sieciowy był przekazywany do globalnego bezpiecznego dostępu bez konieczności instalowania klienta na urządzeniach użytkowników końcowych. Jeśli urządzenie znajduje się za sprzętem lokalnym klienta (CPE), klient nie jest wymagany. Przed dodaniem sieci zdalnej do profilu należy utworzyć sieć zdalną. Aby uzyskać więcej informacji, zobacz How to create remote networks (Jak tworzyć sieci zdalne).
Aby przypisać sieć zdalną do profilu firmy Microsoft:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
- Przejdź do >.
- W sekcji Usuwanie przypisań sieci wybierz link Wyświetl dla profilu.
- Wybierz sieć zdalną z listy i wybierz pozycję Dodaj.
Przypisania użytkowników i grup
Profil firmy Microsoft można ograniczyć do określonych użytkowników i grup, zamiast stosować profil ruchu do wszystkich użytkowników. Aby dowiedzieć się więcej na temat przypisywania użytkowników i grup, zobacz Jak przypisywać użytkowników i grupy oraz zarządzać nimi przy użyciu profilów przesyłania dalej ruchu.
Następne kroki
Następnym krokiem do rozpoczęcia pracy z profilem ruchu firmy Microsoft jest zainstalowanie i skonfigurowanie globalnego klienta bezpiecznego dostępu na urządzeniach użytkowników końcowych
Aby uzyskać więcej informacji na temat przesyłania dalej ruchu, zobacz następujący artykuł: