Udostępnij za pośrednictwem

Jak włączyć profil przekazywania ruchu firmy Microsoft i zarządzać nim

  • Artykuł

Po włączeniu profilu firmy Microsoft, Microsoft Entra Internet Access przechwytuje ruch kierowany do usług firmy Microsoft. Profil firmy Microsoft zarządza następującymi grupami zasad:

  • Exchange Online
  • SharePoint Online i Microsoft OneDrive
  • Microsoft Teams
  • Microsoft 365 Common and Office Online

Wymagania wstępne

Aby włączyć profil przekazywania ruchu firmy Microsoft dla swojej dzierżawy, musisz mieć:

Znane ograniczenia

Ta funkcja ma co najmniej jedno znane ograniczenia. Aby uzyskać bardziej szczegółowe informacje na temat znanych kwestii i ograniczeń tej funkcji, zobacz znane ograniczenia dla globalnego bezpiecznego dostępu.

Włączanie profilu ruchu firmy Microsoft

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.

  2. Przejdź do Global Secure Access>Połączenie>Przekazywanie ruchu.

  3. Włącz profil ruchu firmy Microsoft. Ruch sieciowy Microsoft jest przesyłany ze wszystkich urządzeń klienckich do serwera proxy usługi firmy Microsoft, Security Service Edge (SSE), gdzie można skonfigurować zaawansowane funkcje zabezpieczeń specyficzne dla tego ruchu.

    Zrzut ekranu przedstawiający stronę przekazywania ruchu z włączonym profilem dostępu firmy Microsoft.

Zasady ruchu firmy Microsoft

Aby zarządzać szczegółami zawartymi w zasadach przesyłania dalej ruchu firmy Microsoft, wybierz link Wyświetl dla zasad ruchu firmy Microsoft.

Zrzut ekranu przedstawiający profil dostępu firmy Microsoft z wyróżnionym linkiem wyświetl aplikacje.

Grupy zasad są wyświetlane z polem wyboru, aby wskazać, czy grupa zasad jest włączona. Rozwiń grupę zasad, aby wyświetlić wszystkie adresy IP i nazwy FQDN uwzględnione w grupie.

Zrzut ekranu przedstawiający szczegóły profilu firmy Microsoft.

Grupy polityk zawierają następujące szczegóły:

  • Typ docelowy: FQDN lub podsieć IP
  • Miejsce docelowe: szczegóły dotyczące FQDN lub podsieci IP
  • Porty: Porty TCP lub UDP, które są połączone z adresami IP w celu utworzenia punktu końcowego sieci.
  • Protokół: TCP (Transmission Control Protocol) lub UDP (User Datagram Protocol)
  • Akcja: Przekazywanie lub obejście

Możesz skonfigurować reguły pozyskiwania ruchu, aby je obejść. Jeśli to zrobisz, użytkownicy nadal będą mogli uzyskiwać dostęp do zasobów; jednak globalna usługa bezpiecznego dostępu nie przetwarza ruchu. Można pominąć ruch do określonej pełnej nazwy domeny (FQDN) lub adresu IP, całej grupy zasad w ramach profilu lub całego profilu Microsoft. Jeśli musisz przekazać niektóre z zasobów firmy Microsoft w ramach grupy zasad, włącz grupę, a następnie odpowiednio zmień akcję w szczegółach.

Ważne

Jeśli reguła jest ustawiona na Obejście w profilu ruchu firmy Microsoft, profil Ruchu Internetowego nie będzie przechwytywać tego ruchu. Nawet w przypadku włączenia profilu dostępu do Internetu, ruch z pominięciem ominie Global Secure Access i użyje ścieżki routingu sieciowego tego klienta, aby wyjść do Internetu. Ruch dostępny do uzyskania w profilu ruchu firmy Microsoft można uzyskać tylko w profilu ruchu firmy Microsoft.

Przykład poniżej pokazuje ustawienie nazwy *.sharepoint.com FQDN na Obejście aby ruch nie był przekazywany do usługi.

Zrzut ekranu przedstawiający rozwijane menu Akcja.

Jeśli klient globalnego bezpiecznego dostępu nie może nawiązać połączenia z usługą (na przykład z powodu autoryzacji lub niepowodzenia dostępu warunkowego), usługa pomija ruch. Ruch jest wysyłany bezpośrednio i lokalnie zamiast być blokowanym. W tym scenariuszu można utworzyć zasady dostępu warunkowego dla kontroli zgodności sieciowej, aby blokować ruch, jeśli klient nie może nawiązać połączenia z usługą.

Połączone zasady dostępu warunkowego

Zasady dostępu warunkowego są tworzone i stosowane do profilu forwardowania ruchu w obszarze Conditional Access identyfikatora Microsoft Entra ID. Można na przykład utworzyć zasady, które wymagają zgodnych urządzeń podczas ustanawiania połączenia sieciowego dla usług w profilu ruchu firmy Microsoft.

Jeśli w sekcji Połączone zasady dostępu warunkowego zostanie wyświetlony komunikat "Brak", nie ma zasad dostępu warunkowego połączonego z profilem przekazywania ruchu. Aby utworzyć zasady dostępu warunkowego, zobacz Uniwersalny dostęp warunkowy za pośrednictwem globalnego bezpiecznego dostępu.

Edytowanie istniejących zasad dostępu warunkowego

Jeśli profil przekazywania ruchu ma połączoną politykę dostępu warunkowego, możesz wyświetlić i edytować tę politykę.

  1. Wybierz link Wyświetl dla powiązanych zasad dostępu warunkowego.

    Zrzut ekranu przedstawiający profile przesyłania dalej ruchu z wyróżnionym linkiem dostępu warunkowego.

  2. Wybierz zasady z listy. Szczegóły zasad otwierają się w funkcji Dostęp warunkowy.

    Zrzut ekranu przedstawiający zastosowane zasady dostępu warunkowego.

Przypisania zdalnej sieci dla profilu ruchu sieciowego firmy Microsoft

Profile ruchu można przypisać do sieci zdalnych, aby ruch sieciowy był przekazywany do globalnego bezpiecznego dostępu bez konieczności instalowania klienta na urządzeniach użytkowników końcowych. Jeśli urządzenie znajduje się za sprzętem lokalnym klienta (CPE), klient nie jest wymagany. Należy utworzyć sieć zdalną, zanim będzie można ją dodać do profilu. Aby uzyskać więcej informacji, zobacz How to create remote networks (Jak tworzyć sieci zdalne).

Aby przypisać sieć zdalną do profilu firmy Microsoft:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
  2. Przejdź do Global Secure Access>Połącz>Przekazywanie ruchu.
  3. W sekcji Usuwanie przypisań sieci wybierz link Wyświetl dla profilu.
  4. Wybierz sieć zdalną z listy i wybierz pozycję Dodaj.

Przypisania użytkowników i grup

Profil firmy Microsoft można ograniczyć do określonych użytkowników i grup, zamiast stosować profil ruchu do wszystkich użytkowników. Aby dowiedzieć się więcej na temat przypisywania użytkowników i grup, zobacz Jak przypisywać użytkowników i grupy oraz zarządzać nimi przy użyciu profilów przesyłania dalej ruchu.

Następne kroki

Następnym krokiem do rozpoczęcia pracy z profilem ruchu firmy Microsoft jest zainstalowanie i skonfigurowanie globalnego klienta bezpiecznego dostępu na urządzeniach użytkowników końcowych

Aby uzyskać więcej informacji na temat przesyłania dalej ruchu, zobacz następujący artykuł: