Jak włączyć profil przekazywania ruchu firmy Microsoft i zarządzać nim
Po włączeniu profilu firmy Microsoft, Microsoft Entra Internet Access przechwytuje ruch kierowany do usług firmy Microsoft. Profil firmy Microsoft zarządza następującymi grupami zasad:
- Exchange Online
- SharePoint Online i Microsoft OneDrive
- Microsoft Teams
- Microsoft 365 Common and Office Online
Wymagania wstępne
Aby włączyć profil przekazywania ruchu firmy Microsoft dla swojej dzierżawy, musisz mieć:
- Rola Administratora Globalnego Bezpiecznego Dostępu w Microsoft Entra ID w celu włączenia profili ruchu.
- Rola administratora dostępu warunkowego do tworzenia zasad dostępu warunkowego i interakcji z nimi.
- Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.
Znane ograniczenia
Ta funkcja ma co najmniej jedno znane ograniczenia. Aby uzyskać bardziej szczegółowe informacje na temat znanych kwestii i ograniczeń tej funkcji, zobacz znane ograniczenia dla globalnego bezpiecznego dostępu.
Włączanie profilu ruchu firmy Microsoft
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
Przejdź do Global Secure Access>Połączenie>Przekazywanie ruchu.
Włącz profil ruchu firmy Microsoft. Ruch sieciowy Microsoft jest przesyłany ze wszystkich urządzeń klienckich do serwera proxy usługi firmy Microsoft, Security Service Edge (SSE), gdzie można skonfigurować zaawansowane funkcje zabezpieczeń specyficzne dla tego ruchu.
Zasady ruchu firmy Microsoft
Aby zarządzać szczegółami zawartymi w zasadach przesyłania dalej ruchu firmy Microsoft, wybierz link Wyświetl dla zasad ruchu firmy Microsoft.
Grupy zasad są wyświetlane z polem wyboru, aby wskazać, czy grupa zasad jest włączona. Rozwiń grupę zasad, aby wyświetlić wszystkie adresy IP i nazwy FQDN uwzględnione w grupie.
Grupy polityk zawierają następujące szczegóły:
- Typ docelowy: FQDN lub podsieć IP
- Miejsce docelowe: szczegóły dotyczące FQDN lub podsieci IP
- Porty: Porty TCP lub UDP, które są połączone z adresami IP w celu utworzenia punktu końcowego sieci.
- Protokół: TCP (Transmission Control Protocol) lub UDP (User Datagram Protocol)
- Akcja: Przekazywanie lub obejście
Możesz skonfigurować reguły pozyskiwania ruchu, aby je obejść. Jeśli to zrobisz, użytkownicy nadal będą mogli uzyskiwać dostęp do zasobów; jednak globalna usługa bezpiecznego dostępu nie przetwarza ruchu. Można pominąć ruch do określonej pełnej nazwy domeny (FQDN) lub adresu IP, całej grupy zasad w ramach profilu lub całego profilu Microsoft. Jeśli musisz przekazać niektóre z zasobów firmy Microsoft w ramach grupy zasad, włącz grupę, a następnie odpowiednio zmień akcję w szczegółach.
Ważne
Jeśli reguła jest ustawiona na Obejście w profilu ruchu firmy Microsoft, profil Ruchu Internetowego nie będzie przechwytywać tego ruchu. Nawet w przypadku włączenia profilu dostępu do Internetu, ruch z pominięciem ominie Global Secure Access i użyje ścieżki routingu sieciowego tego klienta, aby wyjść do Internetu. Ruch dostępny do uzyskania w profilu ruchu firmy Microsoft można uzyskać tylko w profilu ruchu firmy Microsoft.
Przykład poniżej pokazuje ustawienie nazwy *.sharepoint.com
FQDN na Obejście aby ruch nie był przekazywany do usługi.
Jeśli klient globalnego bezpiecznego dostępu nie może nawiązać połączenia z usługą (na przykład z powodu autoryzacji lub niepowodzenia dostępu warunkowego), usługa pomija ruch. Ruch jest wysyłany bezpośrednio i lokalnie zamiast być blokowanym. W tym scenariuszu można utworzyć zasady dostępu warunkowego dla kontroli zgodności sieciowej, aby blokować ruch, jeśli klient nie może nawiązać połączenia z usługą.
Połączone zasady dostępu warunkowego
Zasady dostępu warunkowego są tworzone i stosowane do profilu forwardowania ruchu w obszarze Conditional Access identyfikatora Microsoft Entra ID. Można na przykład utworzyć zasady, które wymagają zgodnych urządzeń podczas ustanawiania połączenia sieciowego dla usług w profilu ruchu firmy Microsoft.
Jeśli w sekcji Połączone zasady dostępu warunkowego zostanie wyświetlony komunikat "Brak", nie ma zasad dostępu warunkowego połączonego z profilem przekazywania ruchu. Aby utworzyć zasady dostępu warunkowego, zobacz Uniwersalny dostęp warunkowy za pośrednictwem globalnego bezpiecznego dostępu.
Edytowanie istniejących zasad dostępu warunkowego
Jeśli profil przekazywania ruchu ma połączoną politykę dostępu warunkowego, możesz wyświetlić i edytować tę politykę.
Wybierz link Wyświetl dla powiązanych zasad dostępu warunkowego.
Wybierz zasady z listy. Szczegóły zasad otwierają się w funkcji Dostęp warunkowy.
Przypisania zdalnej sieci dla profilu ruchu sieciowego firmy Microsoft
Profile ruchu można przypisać do sieci zdalnych, aby ruch sieciowy był przekazywany do globalnego bezpiecznego dostępu bez konieczności instalowania klienta na urządzeniach użytkowników końcowych. Jeśli urządzenie znajduje się za sprzętem lokalnym klienta (CPE), klient nie jest wymagany. Należy utworzyć sieć zdalną, zanim będzie można ją dodać do profilu. Aby uzyskać więcej informacji, zobacz How to create remote networks (Jak tworzyć sieci zdalne).
Aby przypisać sieć zdalną do profilu firmy Microsoft:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
- Przejdź do Global Secure Access>Połącz>Przekazywanie ruchu.
- W sekcji Usuwanie przypisań sieci wybierz link Wyświetl dla profilu.
- Wybierz sieć zdalną z listy i wybierz pozycję Dodaj.
Przypisania użytkowników i grup
Profil firmy Microsoft można ograniczyć do określonych użytkowników i grup, zamiast stosować profil ruchu do wszystkich użytkowników. Aby dowiedzieć się więcej na temat przypisywania użytkowników i grup, zobacz Jak przypisywać użytkowników i grupy oraz zarządzać nimi przy użyciu profilów przesyłania dalej ruchu.
Następne kroki
Następnym krokiem do rozpoczęcia pracy z profilem ruchu firmy Microsoft jest zainstalowanie i skonfigurowanie globalnego klienta bezpiecznego dostępu na urządzeniach użytkowników końcowych
Aby uzyskać więcej informacji na temat przesyłania dalej ruchu, zobacz następujący artykuł: