Saiba mais sobre o Microsoft Entra Internet Access para todos os aplicativos
O Acesso à Internet do Microsoft Entra fornece uma solução SWG (Secure Web Gateway) centrada na identidade para aplicações SaaS (Software como Serviço) e outros tráfegos da Internet. Protege os utilizadores, os dispositivos e os dados da vasta variedade de ameaças da Internet com os melhores controlos de segurança e visibilidade através de Registos de Tráfego.
Filtragem de conteúdo da Web
O principal recurso introdutório do Microsoft Entra Internet Access para todos os aplicativos é a filtragem de conteúdo da Web. Esse recurso fornece controle de acesso granular para categorias da Web e FQDNs (Nomes de Domínio Totalmente Qualificados). Ao bloquear explicitamente sites conhecidos inadequados, maliciosos ou inseguros, está a proteger os utilizadores e os respetivos dispositivos de qualquer ligação à Internet, quer trabalhem remotamente ou dentro da rede empresarial.
Quando o tráfego atinge o Secure Service Edge da Microsoft, o Microsoft Entra Internet Access executa controles de segurança de duas maneiras. Para tráfego HTTP não criptografado, ele usa o URL (Uniform Resource Locator). Para tráfego HTTPS criptografado com Transport Layer Security (TLS), ele usa a Indicação de Nome do Servidor (SNI).
A filtragem de conteúdo da Web é implementada usando políticas de filtragem, que são agrupadas em perfis de segurança, que podem ser vinculados a políticas de Acesso Condicional. Para saber mais sobre o Acesso Condicional, consulte Acesso Condicional do Microsoft Entra.
Nota
Embora a filtragem de conteúdo da Web seja um recurso essencial para qualquer Secure Web Gateway, recursos semelhantes existem em outros produtos de segurança, como produtos de segurança de ponto final, como o Microsoft Defender for Endpoint e firewalls, como o Firewall do Azure. O Microsoft Entra Internet Access fornece valor de segurança adicional por meio da integração de políticas com o Microsoft Entra ID, imposição de políticas na borda da nuvem, suporte universal para todas as plataformas de dispositivos e futuros aprimoramentos de segurança por meio da inspeção TLS (Transport Layer Security), como categorização da Web de maior fidelidade. Saiba mais nas Perguntas frequentes.
Perfis de segurança
Os perfis de segurança são objetos que você usa para agrupar políticas de filtragem e entregá-las por meio de políticas de Acesso Condicional com reconhecimento de usuário. Por exemplo, para bloquear todos os sites de Notícias , exceto msn.com o usuário angie@contoso.com , você cria duas políticas de filtragem da Web e as adiciona a um perfil de segurança. Em seguida, pegue o perfil de segurança e vincule-o a uma política de Acesso Condicional atribuída ao angie@contoso.com.
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Lógica de processamento de políticas
Dentro de um perfil de segurança, as políticas são aplicadas de acordo com a ordem lógica de números de prioridade exclusivos, sendo 100 a prioridade mais alta e 65.000 a prioridade mais baixa (semelhante à lógica tradicional do firewall). Como melhor prática, acrescentar um espaçamento de cerca de 100 entre prioridades para permitir flexibilidade política no futuro.
Depois de vincular um perfil de segurança a uma política de Acesso Condicional (CA), se várias diretivas de CA corresponderem, ambos os perfis de segurança serão processados na ordem de prioridade dos perfis de segurança correspondentes.
Importante
O perfil de segurança da linha de base aplica-se a todo o tráfego, mesmo sem o associar a uma política de Acesso Condicional. Ele impõe a política com a prioridade mais baixa na pilha de políticas, aplicando-se a todo o tráfego de Acesso à Internet roteado através do serviço como uma política "abrangente". O perfil de segurança da linha de base é executado mesmo se uma política de Acesso Condicional corresponder a outro perfil de segurança.
Limitações conhecidas
- A plataforma assume portas padrão para tráfego HTTP/S (portas 80 e 443).
- O IPv6 ainda não é suportado nesta plataforma.
- UDP ainda não é suportado nesta plataforma.
- Estão em desenvolvimento notificações conviviais para os utilizadores finais.
- A conectividade de rede remota para acesso à Internet está em desenvolvimento.
- A terminação TLS (Transport Layer Security) está em desenvolvimento.
- A filtragem baseada em caminho de URL e a categorização de URL para tráfego HTTP e HTTPS estão em desenvolvimento.
- Atualmente, um administrador pode criar até 100 políticas de filtragem de conteúdo da Web e até 1.000 regras com base em até 8.000 FQDNs totais. Os administradores também podem criar até 256 perfis de segurança.