Como configurar o filtro de conteúdo da web do Acesso Global Seguro
A filtragem de conteúdo da Web permite que você implemente controles granulares de acesso à Internet para sua organização com base na categorização de sites.
Os primeiros recursos do SWG (Secure Web Gateway) do Acesso à Internet do Microsoft Entra incluem filtragem de conteúdo da Web com base em nomes de domínio. A Microsoft integra políticas de filtragem granulares ao Microsoft Entra ID e ao Acesso Condicional do Microsoft Entra, o que resulta em políticas de filtragem que têm reconhecimento de usuário, reconhecimento de contexto e são fáceis de gerenciar.
No momento, o recurso de filtragem da Web está limitado à filtragem de categorias da Web baseadas em FQDN (Nome de Domínio Totalmente Qualificado) com reconhecimento de contexto e usuário e filtragem de FQDN.
Pré-requisitos
Os administradores que interagem com recursos de Acesso Global Seguro devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estiverem executando.
- A função Administrador do Acesso Global Seguro permite gerenciar os recursos de Acesso Global Seguro.
- O Administrador do Acesso Condicional para criar e interagir com as políticas de Acesso Condicional.
Conclua o guia Introdução ao Acesso Seguro Global.
Instalar o Cliente de Acesso Seguro Global em dispositivos de usuário final.
Você deve desabilitar o Sistema de Nomes de Domínio (DNS) sobre HTTPS (DNS Seguro) para encapsular o tráfego de rede. Use as regras dos nomes de domínio totalmente qualificados (FQDNs) no perfil de encaminhamento de tráfego. Para obter mais informações, confira Configurar o cliente DNS para dar suporte ao DoH.
Desabilite o cliente DNS integrado no Chrome e Microsoft Edge.
O tráfego IPv6 não é adquirido pelo cliente e, portanto, é transferido diretamente para a rede. Para permitir que todo o tráfego relevante seja encaminhado por túnel, defina as propriedades do adaptador de rede como IPv4 preferencial.
O tráfego UDP (isto é, User Datagram Protocol), ou seja, QUIC, não é compatível com a visualização atual do acesso à Internet. A maioria dos sites dá suporte a fallback para protocolo TCP quando o QUIC não pode ser estabelecido. Para melhorar a experiência do usuário, você pode implantar uma regra de Firewall do Windows que bloqueia o UDP 443 de saída:
@New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.Revise os conceitos de filtragem de conteúdo da Web. Para obter mais informações, confira Filtragem de conteúdo da Web.
Etapas de alto nível
Há várias etapas para configurar a filtragem de conteúdo da Web. Anote onde você precisa configurar uma política de Acesso Condicional.
- Habilitar o encaminhamento de tráfego da Internet.
- Crie uma política de filtragem de conteúdo da Web.
- Criar um perfil de segurança.
- Vincular o perfil de segurança a uma política de Acesso Condicional.
- Atribua usuários ou grupos ao perfil de encaminhamento de tráfego.
Habilitar o encaminhamento de tráfego da Internet
A primeira etapa é habilitar o perfil de encaminhamento de tráfego da conectividade com a Internet. Para saber mais sobre o perfil e como habilitá-lo, consulte Como gerenciar o perfil de encaminhamento de tráfego da conectividade com a Internet.
Criar uma política de filtragem de conteúdo da Web
- Navegue até Acesso Seguro Global>Proteger>Política de filtragem de conteúdo da Web.
- Selecione Criar política.
- Insira um nome e uma descrição para a nova política e selecione Avançar.
- Selecione Adicionar regra.
- Insira um nome, selecione uma categoria da Web ou um FQDN válido e selecione Adicionar.
- FQDNs válidos nesse recurso também podem incluir curingas usando o símbolo de asterisco, *.
- Selecione Próximo para examinar a política e selecione Criar política.
Importante
As alterações na filtragem de conteúdo da Web podem levar até uma hora para serem implantadas.
Criar um perfil de segurança
Perfis de segurança são um agrupamento de políticas de filtragem. Você pode atribuir ou vincular perfis de segurança com políticas de Acesso Condicional do Microsoft Entra. Um perfil de segurança pode conter várias políticas de filtragem. E um perfil de segurança pode ser associado a várias políticas de Acesso Condicional.
Nesta etapa, você criará um perfil de segurança para agrupar políticas de filtragem. Em seguida, você atribui ou vincula os perfis de segurança com uma política de Acesso Condicional para criar reconhecimento de contexto ou de usuário.
Observação
Para saber mais sobre as políticas de Acesso Condicional do Microsoft Entra, consulte Como criar uma política de Acesso Condicional.
- Navegue até Acesso Seguro Global>Proteger>Perfis de segurança.
- Selecione Criar Perfil.
- Insira um nome e uma descrição para a nova política e selecione Avançar.
- Selecione Vincular uma política e, em seguida, Política existente.
- Selecione a política de filtragem de conteúdo da Web que você já criou e selecione Adicionar.
- Selecione Próximo para examinar o perfil de segurança e a política associada.
- Selecione Criar um perfil.
- Selecione Atualizar para atualizar a página de perfis e exibir o novo perfil.
Criar e vincular política de acesso condicional
Crie uma política de acesso condicional para usuários finais ou grupos e forneça seu perfil de segurança por meio de controles de sessão de acesso condicional. O Acesso Condicional é o mecanismo de entrega para reconhecimento de usuário e contexto para políticas de Acesso à Internet. Para saber mais sobre controles de sessão, consulte Acesso Condicional: sessão.
- Navegue até Identidade>Proteção>Acesso Condicional.
- Selecione Criar nova política.
- Insira um nome e atribua um usuário ou grupo.
- Selecione Recursos-alvo e Todos os recursos da Internet com o Acesso Seguro Global.
- Selecione Sessão>Usar o perfil de segurança do Acesso Global Seguro e escolha um perfil de segurança.
- Selecione Selecionar.
- Na seção Habilitar política, verifique se Ativado está selecionado.
- Selecione Criar.
Diagrama de fluxo do Internet Access
Este exemplo demonstra o fluxo do tráfego do Acesso à Internet do Microsoft Entra quando você aplica políticas de filtragem de conteúdo da Web.
O diagrama de fluxo a seguir ilustra políticas de filtragem de conteúdo da Web bloqueando ou permitindo o acesso aos recursos da Internet.
| Etapa | Descrição |
|---|---|
| 1 | O cliente do Acesso Global Seguro tenta se conectar à solução do Perímetro de Serviço de Segurança da Microsoft. |
| 2 | O cliente redireciona para o Microsoft Entra ID para autenticação e autorização. |
| 3 | O usuário e o dispositivo se autenticam. A autenticação ocorre sem problemas quando o usuário tem um PRT (Token de Atualização Primária) válido. |
| 4 | Depois que o usuário e o dispositivo se autenticam, o Acesso condicional corresponde às regras de AC do Internet Access e adiciona perfis de segurança aplicáveis ao token. Ele impõe políticas de autorização aplicáveis. |
| 5 | O Microsoft Entra ID apresenta o token ao Perímetro de Serviço de Segurança da Microsoft para validação. |
| 6 | O túnel é estabelecido entre o cliente de Acesso Global Seguro e o Perímetro de Serviço de Segurança da Microsoft. |
| 7 | O tráfego começa a ser adquirido e passa pelo túnel de acesso à Internet. |
| 8 | O Perímetro de Serviço de Segurança da Microsoft avalia as políticas de segurança no token de acesso em ordem de prioridade. Depois de corresponder em uma regra de filtragem de conteúdo da Web, a avaliação da política de filtragem de conteúdo da Web será interrompida. |
| 9 | O Perímetro de Serviço de Segurança da Microsoft impõe as políticas de segurança. |
| 10 | Política = bloquear resulta em um erro de tráfego HTTP ou ocorre uma exceção de redefinição de conexão para o tráfego HTTPS. |
| 11 | Política = permitir resulta no encaminhamento de tráfego para o destino. |
Observação
A aplicação de um novo perfil de segurança pode levar de 60 a 90 minutos devido à imposição de perfil de segurança com tokens de acesso. O usuário deve receber um novo token de acesso com a nova ID do perfil de segurança como uma declaração antes que ele entre em vigor. As alterações nos perfis de segurança existentes começam a ser impostas muito mais rapidamente.
Atribuição de usuários e grupos
Você pode limitar o perfil de Acesso à Internet a usuários e grupos específicos. Para saber mais sobre a atribuição de usuários e grupos, veja Como atribuir e gerenciar usuários e grupos com perfis de encaminhamento de tráfego.
Verificar a imposição da política do usuário final
Quando o tráfego atinge o Secure Service Edge da Microsoft, o Acesso à Internet do Microsoft Entra executa controles de segurança de duas maneiras. Quanto ao tráfego HTTP não criptografado, ele usa a URL (Uniform Resource Locator). Para o tráfego HTTPS criptografado com TLS (Transport Layer Security), ele usa a SNI (Indicação de Nome do Servidor).
Use um dispositivo Windows com o cliente do Acesso Global Seguro instalado. Inicie sessão como um usuário ao qual foi atribuído o perfil de aquisição de tráfego da Internet. Teste se a navegação em sites é permitida ou restrita conforme o esperado.
Clique com o botão direito do mouse no ícone do cliente de Acesso Global Seguro na bandeja do gerenciador de tarefas e abra Diagnósticos Avançados>Perfil de encaminhamento. Verifique se as regras de aquisição de acesso à Internet estão presentes. Além disso, verifique se a aquisição do nome do host e os fluxos para o tráfego de Internet dos usuários estão sendo adquiridos durante a navegação.
Navegue até sites permitidos e bloqueados e verifique se eles se comportam corretamente. Navegue até Acesso Global Seguro>Monitorar>Logs de tráfego para confirmar se o tráfego foi bloqueado ou permitido adequadamente.
A experiência de bloqueio atual para todos os navegadores inclui um erro de navegador de texto não criptografado para tráfego HTTP e um erro de navegador "Redefinição de Conexão" para tráfego HTTPS.
Observação
As alterações de configuração na experiência de Acesso Global Seguro relacionadas à filtragem de conteúdo da Web geralmente entram em vigor em menos de 5 minutos. As alterações de configuração no Acesso Condicional relacionadas à filtragem de conteúdo da Web entram em vigor em aproximadamente uma hora.