Сведения о Интернет-доступ Microsoft Entra для всех приложений
Интернет-доступ Microsoft Entra предоставляет ориентированное на идентификацию решение безопасного веб-шлюза (SWG) для приложений SaaS (программное обеспечение как услуга) и другого интернет-трафика. Он защищает пользователей, устройства и данные от угроз Интернета широкого диапазона с помощью лучших в своем классе элементов управления безопасностью с возможностью отображения сведений в журналах трафика.
Фильтрация веб-содержимого
Ключевой вводной функцией для Интернет-доступ Microsoft Entra для всех приложений является фильтрация веб-содержимого. Эта функция обеспечивает детализированный контроль доступа для веб-категорий и полных доменных имен (FQDN). Явно блокируя известные неуместные, вредоносные или небезопасные сайты, вы защищаете пользователей и их устройства от любого подключения к Интернету независимо от того, находятся ли они удаленно или в рамках корпоративной сети.
Когда трафик достигает microsoft Secure Service Edge, Интернет-доступ Microsoft Entra выполняет элементы управления безопасностью двумя способами. Для незашифрованного HTTP-трафика используется универсальный указатель ресурсов (URL-адрес). Для трафика HTTPS, зашифрованного с помощью протокола TLS, используется указание имени сервера (SNI).
Фильтрация веб-содержимого реализуется с помощью политик фильтрации, которые группируются в профили безопасности, которые могут быть связаны с политиками условного доступа. Дополнительные сведения об условном доступе см. в статье об условном доступе Microsoft Entra.
Примечание.
Хотя фильтрация веб-содержимого является основной возможностью для любого безопасного веб-шлюза, аналогичные возможности существуют в других продуктах безопасности, таких как продукты безопасности конечных точек, такие как Microsoft Defender для конечной точки и брандмауэры, такие как Брандмауэр Azure. Интернет-доступ Microsoft Entra обеспечивает дополнительную ценность безопасности через интеграцию политик с идентификатором Microsoft Entra, применение политик в облаке, универсальную поддержку для всех платформ устройств и будущие улучшения безопасности через проверку TLS, например более высокую точность веб-классификации. Дополнительные сведения см. в разделе часто задаваемых вопросов.
Профили безопасности
Профили безопасности — это объекты, используемые для группирования политик фильтрации и доставки их с помощью политик условного доступа с учетом пользователей. Например, чтобы заблокировать все веб-сайты новостей , кроме msn.com пользователя angie@contoso.com , создайте две политики фильтрации веб-сайтов и добавьте их в профиль безопасности. Затем вы берете профиль безопасности и связываете его с политикой условного доступа, назначенной angie@contoso.com.
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Логика обработки политик
В профиле безопасности политики применяются в соответствии с логическим упорядочением уникальных номеров приоритетов, а 100 — самым высоким приоритетом, а 65 000 — самым низким приоритетом (аналогично традиционной логике брандмауэра). Рекомендуется добавить интервал около 100 между приоритетами, чтобы обеспечить гибкость политики в будущем.
После связывания профиля безопасности с политикой условного доступа (ЦС), если совпадают несколько политик ЦС, оба профиля безопасности обрабатываются в порядке приоритета соответствующих профилей безопасности.
Внимание
Базовый профиль безопасности применяется ко всем трафику даже без связывания его с политикой условного доступа. Она применяет политику с наименьшим приоритетом в стеке политик, применяя ко всем трафику Доступа к Интернету, перенаправленным через службу как политика catch-all. Базовый профиль безопасности выполняется, даже если политика условного доступа соответствует другому профилю безопасности.
Известные ограничения
Эта функция имеет одно или несколько известных ограничений. Дополнительные сведения об известных проблемах и ограничениях этой функции см. в известных ограничениях для Global Secure Access.