Включение профиля пересылки трафика Майкрософт и управление ими
С включенным профилем Microsoft, Microsoft Entra Internet Access перехватывает трафик, направляющийся к службам Microsoft. Профиль Майкрософт управляет следующими группами политик:
- Exchange Online
- SharePoint Online и Microsoft OneDrive
- Microsoft Teams
- Microsoft 365 Common and Office Online
Предварительные условия
Чтобы включить профиль пересылки трафика Майкрософт для клиента, необходимо:
- Роль глобального администратора безопасного доступа в Microsoft Entra ID для включения профилей трафика.
- Роль администратора условного доступа для создания и взаимодействия с политиками условного доступа.
- Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
Известные ограничения
Эта функция имеет одно или несколько известных ограничений. Дополнительные сведения об известных проблемах и ограничениях этой функции см. в разделе «Известные ограничения для Global Secure Access».
Включение профиля трафика Майкрософт
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
Перейдите к Global Secure Access>Connect>Traffic forwarding.
Включите профиль трафика Майкрософт. Трафик Майкрософт начинает переадресацию со всех клиентских устройств на прокси-сервер Microsoft Security Service Edge (SSE), где можно настроить расширенные функции безопасности, относящиеся к трафику Майкрософт.
Политики трафика Майкрософт
Чтобы управлять сведениями, включенными в политику пересылки трафика Майкрософт, выберите ссылку "Вид " для политик трафика Майкрософт.
Перечислены группы политик с флажком, чтобы указать, включена ли группа политик. Разверните группу политик, чтобы просмотреть все IP-адреса и полные доменные имена, включенные в группу.
К группам политик относятся следующие сведения:
- Тип назначения: FQDN или подсеть IP-адреса
- Назначение: сведения о полном доменном имени или IP-подсети
- Порты: порты TCP или UDP, объединенные с IP-адресами для формирования сетевой конечной точки.
- Протокол: TCP (протокол управления передачей) или UDP (протокол пользовательской диаграммы данных)
- Действие: переадресовать или игнорировать
Вы можете настроить правила приобретения трафика, чтобы избежать процесса приобретения трафика. При этом пользователи по-прежнему могут получить доступ к ресурсам; однако служба Global Secure Access не обрабатывает трафик. Вы можете обойти трафик к определенному полностью квалифицированному доменному имени или IP-адресу, всей группе политик безопасности в профиле или всему профилю Microsoft. Если необходимо перенаправлять только некоторые ресурсы Майкрософт в группе политик, включите группу, а затем измените действие соответствующим образом.
Внимание
Если для правила задано значение "Игнорировать в трафиковом профиле Microsoft", профиль трафика доступа к Интернету не получит этот трафик. Даже если включен профиль доступа в Интернет, обходной трафик не проходит через получение глобального безопасного доступа и использует путь маршрутизации сети клиента для выхода в Интернет. Трафик, доступный для приобретения в профиле трафика Майкрософт, можно получить только в профиле трафика Майкрософт.
В следующем примере показано, как задать *.sharepoint.com полное доменное имя для обхода , чтобы трафик не перенаправлялся в службу.
Если клиент глобального безопасного доступа не может подключиться к службе (например, из-за авторизации или сбоя условного доступа), служба проходит трафик. Трафик отправляется напрямую и локально, а не блокируется. В этом сценарии можно создать политику условного доступа для проверки сети, чтобы заблокировать трафик, если клиент не может подключиться к службе.
Связанные политики условного доступа
Политики условного доступа создаются и применяются к профилю пересылки трафика в области условного доступа идентификатора Microsoft Entra. Например, можно создать политику, требующую совместимых устройств, когда пользователи устанавливают сетевое подключение для служб в профиле трафика Майкрософт.
Если в разделе "Политики условного доступа" отображается "Нет", политика условного доступа не связана с профилем пересылки трафика. Сведения о создании политики условного доступа см. в статье "Универсальный условный доступ" с помощью глобального безопасного доступа.
Изменение существующей политики условного доступа
Если профиль пересылки трафика имеет связанную политику условного доступа, вы можете просмотреть и изменить эту политику.
Выберите ссылку Просмотр для связанных политик условного доступа.
Выберите политику в списке. Сведения о политике открываются в разделе Условный доступ.
Назначения удаленной сети профиля трафика Майкрософт
Профили трафика можно назначать удаленным сетям, чтобы сетевой трафик перенаправился в глобальный безопасный доступ, не устанавливая клиент на устройствах конечных пользователей. Если устройство находится за клиентским локальным оборудованием (CPE), клиент не требуется. Прежде чем добавить его в профиль, необходимо создать удаленную сеть. Дополнительные сведения см. в разделе "Создание удаленных сетей".
Чтобы назначить удаленную сеть в профиле Майкрософт, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к Global Secure Access>Connect>Маршрутизация трафика.
- В разделе "Удаление сетевых назначений" выберите ссылку "Вид" для профиля.
- Выберите удаленную сеть из списка и нажмите кнопку "Добавить".
Назначения пользователей и групп
Профиль Майкрософт можно ограничить определенными пользователями и группами, а не применять профиль трафика ко всем пользователям. Для получения дополнительной информации о назначении пользователей и групп смотрите Как назначать и управлять пользователями и группами с помощью профилей пересылки трафика.
Следующие шаги
Следующий шаг для начала работы с профилем трафика Майкрософт — установка и настройка клиента глобального безопасного доступа на устройствах конечных пользователей
Дополнительные сведения о переадресации трафика см. в следующей статье: