Udostępnij za pośrednictwem


Jak włączyć profil przekazywania ruchu firmy Microsoft i zarządzać nim

Po włączeniu profilu firmy Microsoft Dostęp do Internetu Microsoft Entra uzyskuje ruch, który będzie usługi firmy Microsoft. Profil firmy Microsoft zarządza następującymi grupami zasad:

  • Exchange Online
  • SharePoint Online i Microsoft OneDrive
  • Microsoft Teams
  • Microsoft 365 Common and Office Online

Wymagania wstępne

Aby włączyć profil przekazywania ruchu firmy Microsoft dla dzierżawy, musisz mieć następujące elementy:

Znane ograniczenia

Ta funkcja ma co najmniej jedno znane ograniczenia. Aby uzyskać bardziej szczegółowe informacje na temat znanych kwestii i ograniczeń tej funkcji, zobacz znane ograniczenia dla globalnego bezpiecznego dostępu.

Włączanie profilu ruchu firmy Microsoft

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.

  2. Przejdź do >.

  3. Włącz profil ruchu firmy Microsoft. Ruch firmy Microsoft rozpoczyna przesyłanie dalej ze wszystkich urządzeń klienckich do serwera proxy usługi Security Service Edge (SSE) firmy Microsoft, w którym można skonfigurować zaawansowane funkcje zabezpieczeń specyficzne dla ruchu firmy Microsoft.

    Zrzut ekranu przedstawiający stronę przekazywania ruchu z włączonym profilem dostępu firmy Microsoft.

Zasady ruchu firmy Microsoft

Aby zarządzać szczegółami zawartymi w zasadach przesyłania dalej ruchu firmy Microsoft, wybierz link Wyświetl dla zasad ruchu firmy Microsoft.

Zrzut ekranu przedstawiający profil dostępu firmy Microsoft z wyróżnionym linkiem wyświetl aplikacje.

Grupy zasad są wyświetlane z polem wyboru, aby wskazać, czy grupa zasad jest włączona. Rozwiń grupę zasad, aby wyświetlić wszystkie adresy IP i nazwy FQDN uwzględnione w grupie.

Zrzut ekranu przedstawiający szczegóły profilu firmy Microsoft.

Grupy zasad zawierają następujące szczegóły:

  • Typ docelowy: nazwa FQDN lub podsieć IP
  • Miejsce docelowe: szczegóły nazwy FQDN lub podsieci IP
  • Porty: porty TCP lub UDP połączone z adresami IP w celu utworzenia punktu końcowego sieci
  • Protokół: TCP (Transmission Control Protocol) lub UDP (User Datagram Protocol)
  • Akcja: Przekazywanie lub obejście

Możesz skonfigurować reguły pozyskiwania ruchu w celu obejścia pozyskiwania ruchu. Jeśli to zrobisz, użytkownicy nadal będą mogli uzyskiwać dostęp do zasobów; jednak globalna usługa bezpiecznego dostępu nie przetwarza ruchu. Można pominąć ruch do określonej nazwy FQDN lub adresu IP, całej grupy zasad w profilu lub całego profilu firmy Microsoft. Jeśli musisz przekazać tylko niektóre zasoby firmy Microsoft w grupie zasad, włącz grupę, a następnie odpowiednio zmień akcję w szczegółach.

Ważne

Jeśli reguła ma wartość Obejście w profilu ruchu firmy Microsoft, profil Ruchu Internetowego nie przechwyci tego ruchu. Nawet w przypadku włączenia profilu dostępu do Internetu pomijany ruch pomija pozyskiwanie dostępu globalnego i używa ścieżki routingu sieciowego tego klienta do ruchu wychodzącego do Internetu. Ruch dostępny do uzyskania w profilu ruchu firmy Microsoft można uzyskać tylko w profilu ruchu firmy Microsoft.

W poniższym przykładzie pokazano ustawienie nazwy *.sharepoint.com FQDN na Obejście , aby ruch nie był przekazywany do usługi.

Zrzut ekranu przedstawiający menu rozwijane Akcja.

Jeśli klient globalnego bezpiecznego dostępu nie może nawiązać połączenia z usługą (na przykład z powodu autoryzacji lub niepowodzenia dostępu warunkowego), usługa pomija ruch. Ruch jest wysyłany bezpośrednio i lokalnie zamiast blokowany. W tym scenariuszu można utworzyć zasady dostępu warunkowego dla zgodnej kontroli sieci, aby zablokować ruch, jeśli klient nie może nawiązać połączenia z usługą.

Połączone zasady dostępu warunkowego

Zasady dostępu warunkowego są tworzone i stosowane do profilu przekazywania ruchu w obszarze Dostęp warunkowy identyfikatora Firmy Microsoft. Można na przykład utworzyć zasady, które wymagają zgodnych urządzeń podczas ustanawiania połączenia sieciowego dla usług w profilu ruchu firmy Microsoft.

Jeśli w sekcji Połączone zasady dostępu warunkowego zostanie wyświetlony komunikat "Brak", nie ma zasad dostępu warunkowego połączonego z profilem przekazywania ruchu. Aby utworzyć zasady dostępu warunkowego, zobacz Uniwersalny dostęp warunkowy za pośrednictwem globalnego bezpiecznego dostępu.

Edytowanie istniejących zasad dostępu warunkowego

Jeśli profil przekazywania ruchu ma połączone zasady dostępu warunkowego, możesz wyświetlić i edytować te zasady.

  1. Wybierz link Wyświetl dla połączonych zasad dostępu warunkowego.

    Zrzut ekranu przedstawiający profile przesyłania dalej ruchu z wyróżnionym linkiem dostępu warunkowego.

  2. Wybierz zasady z listy. Szczegóły zasad otwarte w obszarze Dostęp warunkowy.

    Zrzut ekranu przedstawiający zastosowane zasady dostępu warunkowego.

Przypisania sieci zdalnej profilu ruchu firmy Microsoft

Profile ruchu można przypisać do sieci zdalnych, aby ruch sieciowy był przekazywany do globalnego bezpiecznego dostępu bez konieczności instalowania klienta na urządzeniach użytkowników końcowych. Jeśli urządzenie znajduje się za sprzętem lokalnym klienta (CPE), klient nie jest wymagany. Przed dodaniem sieci zdalnej do profilu należy utworzyć sieć zdalną. Aby uzyskać więcej informacji, zobacz How to create remote networks (Jak tworzyć sieci zdalne).

Aby przypisać sieć zdalną do profilu firmy Microsoft:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
  2. Przejdź do >.
  3. W sekcji Usuwanie przypisań sieci wybierz link Wyświetl dla profilu.
  4. Wybierz sieć zdalną z listy i wybierz pozycję Dodaj.

Przypisania użytkowników i grup

Profil firmy Microsoft można ograniczyć do określonych użytkowników i grup, zamiast stosować profil ruchu do wszystkich użytkowników. Aby dowiedzieć się więcej na temat przypisywania użytkowników i grup, zobacz Jak przypisywać użytkowników i grupy oraz zarządzać nimi przy użyciu profilów przesyłania dalej ruchu.

Następne kroki

Następnym krokiem do rozpoczęcia pracy z profilem ruchu firmy Microsoft jest zainstalowanie i skonfigurowanie globalnego klienta bezpiecznego dostępu na urządzeniach użytkowników końcowych

Aby uzyskać więcej informacji na temat przesyłania dalej ruchu, zobacz następujący artykuł: