Управление профилем пересылки трафика через Интернет

Профиль пересылки трафика в Интернете направляет интернет-трафик через клиент глобального безопасного доступа. Включение этого профиля пересылки трафика позволяет удаленным работникам подключаться к Интернету в управляемом и безопасном режиме. С помощью функций Интернет-доступ Microsoft Entra вы можете управлять доступом к интернет-сайтам. Вы также можете настроить трафик для исключения из глобального безопасного доступа на основе IP-адресов, диапазонов IP-адресов, ПОДсетей IP и полных доменных имен (FQDN).

Необходимые компоненты

Чтобы включить профиль пересылки интернет-доступа для клиента, необходимо:

• Роль глобального администратора безопасного доступа в идентификаторе Microsoft Entra.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Политики профиля пересылки трафика в Интернет

Просмотрите политики, связанные с профилем пересылки трафика через Интернет. По умолчанию существует три политики. Чтобы просмотреть эти элементы:

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
2. Перейдите к переадресации трафика global Secure Access>Connect>.
3. Выберите ссылку "Вид" в разделе "Политики доступа к Интернету".

Политики доступа к Интернету по умолчанию:

• Настраиваемый обход содержит определяемый пользователем трафик или конечные точки, исключенные из профиля трафика Интернета. Другими словами, вы определяете трафик, который профиль не должен получать. Обычно вы можете исключить трафик, например конечные точки VPN, частные диапазоны IP-адресов и диапазоны IP-адресов, а также конечные точки, использующие сетевой контроль доступа List (ACL).
• Обход по умолчанию содержит предопределенный трафик, который не получает профиль трафика Интернета. Например, частные диапазоны IP-адресов. В этой политике нельзя изменять правила.
• По умолчанию получение определяет трафик, полученный профилем трафика Интернета. В настоящее время это весь интернет-трафик через порты 80, 443 по протоколу TCP. Политика имеет наименьший приоритет после оценки всех правил обхода. В этой политике нельзя изменять правила.

Пример добавления настраиваемой политики обхода:

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
2. Перейдите к переадресации трафика global Secure Access>Connect>.
3. В области профиля пересылки трафика в Интернете в разделе "Политики доступа к Интернету" выберите ссылку "Вид "
4. Разверните политику пользовательского обхода.
5. Выберите Добавить правило.
6. Выберите тип назначения, например полное доменное имя (FQDN). Можно добавить несколько значений назначения, разделенных запятыми. Не добавляйте пробелы. Например, contoso.com,fabrikam.com или 10.0.0.1/32,10.0.0.2/32. Порты, протоколы и действия всегда фиксированы и не могут быть изменены.
7. Введите допустимое назначение.
8. Выберите Сохранить.

Примечание.

Трафик оценивается сверху вниз, что означает, что он получает только профиль трафика Интернета, если он не обходить в одном из правил обхода.

Назначения пользователей и групп

Профиль Доступа к Интернету можно ограничить определенными пользователями и группами.

Дополнительные сведения о назначении пользователей и групп см. в статье "Назначение пользователей и групп" и управление ими с помощью профилей пересылки трафика.

Включение профиля пересылки трафика через Интернет

Чтобы включить профиль пересылки Интернет-доступ Microsoft Entra для пересылки трафика пользователя:

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
2. Перейдите к переадресации трафика global Secure Access>Connect>.
3. Задайте политики в профиле трафика. Например, задайте пользовательское правило обхода, чтобы исключить определенный трафик.
4. Включите профиль доступа к Интернету. Интернет-трафик начинает переадресацию со всех клиентских устройств на прокси-сервер Microsoft Security Service Edge (SSE), где вы настраиваете детализированные политики безопасности.

   Примечание.

   При включении профиля пересылки доступа к Интернету также следует включить профиль пересылки трафика Майкрософт для оптимальной маршрутизации трафика Майкрософт. Чтобы включить профиль трафика Майкрософт, установите флажок профиля на той же странице, где вы включите профиль пересылки трафика через Интернет. Дополнительные сведения о профиле пересылки трафика Майкрософт см. в статье "Как включить профиль Майкрософт и управлять ими".

Проверка профиля пересылки трафика через Интернет

Правило, добавленное в политику, занимает 10–20 минут, чтобы отображаться на компьютере пользователя. Если правило не отображается после этого времени, отключите и повторно включите профиль пересылки трафика в Интернете.

Чтобы проверить профиль пересылки трафика, политики пересылки трафика и правила:

1. В области системы щелкните правой кнопкой мыши клиент Глобального безопасного доступа и выберите advanced диагностика.
2. Откройте веб-браузер и перейдите к месту назначения во внутренней сети. Убедитесь, что трафик не фиксируется.
3. Откройте веб-браузер и перейдите к месту назначения, которое обключено. Убедитесь, что трафик не фиксируется.
4. Откройте веб-браузер и перейдите к общедоступному месту назначения, полученному профилем. Убедитесь, что трафик приобретается в интернет-канале.

Следующие шаги

• Сведения о переадресации трафика
• Настройка фильтрации веб-содержимого global Secure Access
• Установка и настройка клиента глобального безопасного доступа на устройствах конечных пользователей