Узнайте об интернет-доступе Microsoft Entra для всех приложений
Интернет-доступ Microsoft Entra предоставляет ориентированное на идентификацию решение безопасного веб-шлюза (SWG) для приложений SaaS (программное обеспечение как услуга) и другого интернет-трафика. Он защищает пользователей, устройства и данные от угроз Интернета широкого диапазона с помощью лучших в своем классе элементов управления безопасностью с возможностью отображения сведений в журналах трафика.
Фильтрация веб-содержимого
Ключевой вводной функцией для Интернет-доступа Microsoft Entra для всех приложений является фильтрация веб-содержимого. Эта функция обеспечивает детализированный контроль доступа для веб-категорий и полных доменных имен (FQDN). Явно блокируя известные неуместные, вредоносные или небезопасные сайты, вы защищаете пользователей и их устройства от любого подключения к Интернету независимо от того, находятся ли они удаленно или в рамках корпоративной сети.
Когда трафик достигает Microsoft Secure Service Edge, Интернет-доступ Microsoft Entra осуществляет контроль безопасности двумя способами. Для незашифрованного HTTP-трафика используется универсальный указатель ресурсов (URL-адрес). Для трафика HTTPS, зашифрованного с помощью протокола TLS, используется указание имени сервера (SNI).
Фильтрация веб-содержимого реализуется с помощью политик фильтрации, которые группируются в профили безопасности, которые могут быть связаны с политиками условного доступа. Дополнительные сведения об условном доступе см. в статье об условном доступе Microsoft Entra.
Примечание.
Хотя фильтрация веб-содержимого является основной возможностью для любого безопасного веб-шлюза, аналогичные возможности существуют в других продуктах безопасности, таких как продукты безопасности конечных точек, такие как Microsoft Defender для конечной точки и брандмауэры, такие как Брандмауэр Azure. Интернет-доступ Microsoft Entra обеспечивает дополнительную ценность безопасности через интеграцию политик с идентификатором Microsoft Entra, применение политик в облаке, универсальную поддержку для всех платформ устройств и будущие улучшения безопасности через проверку TLS, например более высокую точность веб-классификации. Дополнительные сведения см. в разделе часто задаваемых вопросов.
Профили безопасности
Профили безопасности — это объекты, используемые для группировки политик фильтрации и их доставки посредством политик условного доступа, учитывающих пользователей. Например, чтобы заблокировать все веб-сайты новостей , кроме msn.com пользователя angie@contoso.com , создайте две политики фильтрации веб-сайтов и добавьте их в профиль безопасности. Затем вы берете профиль безопасности и связываете его с политикой условного доступа, назначенной angie@contoso.com.
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Логика обработки политик
В профиле безопасности политики применяются в соответствии с логическим упорядочением уникальных номеров приоритетов, а 100 — самым высоким приоритетом, а 65 000 — самым низким приоритетом (аналогично традиционной логике брандмауэра). Рекомендуется добавить интервал около 100 между приоритетами, чтобы обеспечить гибкость политики в будущем.
После связывания профиля безопасности с политикой условного доступа, если совпадают несколько политик условного доступа, оба профиля безопасности обрабатываются в порядке приоритета соответствующих профилей безопасности.
Внимание
Базовый профиль безопасности применяется ко всем трафику даже без связывания его с политикой условного доступа. Он применяет политику с наименьшим приоритетом в стеке политик, распространяющуюся на весь трафик доступа в интернет, перенаправляемый через службу как политика широкого охвата. Базовый профиль безопасности выполняется, даже если политика условного доступа соответствует другому профилю безопасности.
Известные ограничения
Эта функция имеет одно или несколько известных ограничений. Дополнительные сведения об известных проблемах и ограничениях этой функции см. в известных ограничениях для Global Secure Access.