Включение профиля пересылки трафика Майкрософт и управление ими
С включенным профилем Майкрософт Интернет-доступ Microsoft Entra получает трафик, который будет службы Майкрософт. Профиль Майкрософт управляет следующими группами политик:
- Exchange Online
- SharePoint Online и Microsoft OneDrive
- Microsoft Teams
- Microsoft 365 Common and Office Online
Необходимые компоненты
Чтобы включить профиль пересылки трафика Майкрософт для клиента, необходимо:
- Роль глобального администратора безопасного доступа в идентификаторе Microsoft Entra для включения профилей трафика.
- Роль администратора условного доступа для создания и взаимодействия с политиками условного доступа.
- Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
Известные ограничения
Эта функция имеет одно или несколько известных ограничений. Дополнительные сведения об известных проблемах и ограничениях этой функции см. в разделе «Известные ограничения для Global Secure Access».
Включение профиля трафика Майкрософт
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
Перейдите к >.
Включите профиль трафика Майкрософт. Трафик Майкрософт начинает переадресацию со всех клиентских устройств на прокси-сервер Microsoft Security Service Edge (SSE), где можно настроить расширенные функции безопасности, относящиеся к трафику Майкрософт.
Политики трафика Майкрософт
Чтобы управлять сведениями, включенными в политику пересылки трафика Майкрософт, выберите ссылку "Вид " для политик трафика Майкрософт.
Перечислены группы политик с флажком, чтобы указать, включена ли группа политик. Разверните группу политик, чтобы просмотреть все IP-адреса и полные доменные имена, включенные в группу.
К группам политик относятся следующие сведения:
- Тип назначения: полное доменное имя или подсеть IP
- Назначение: сведения о полной доменной сети или подсети IP
- Порты: порты TCP или UDP, объединенные с IP-адресами для формирования сетевой конечной точки.
- Протокол: TCP (протокол управления передачей) или UDP (протокол пользовательской диаграммы данных)
- Действие: пересылка или обход
Правила приобретения трафика можно настроить для обхода приобретения трафика. При этом пользователи по-прежнему могут получить доступ к ресурсам; однако служба Global Secure Access не обрабатывает трафик. Вы можете обойти трафик к определенному полному домену или IP-адресу, всей группе политик в профиле или всему профилю Майкрософт. Если необходимо перенаправлять только некоторые ресурсы Майкрософт в группе политик, включите группу, а затем измените действие соответствующим образом.
Внимание
Если для правила задано значение "Игнорировать в трафиковом профиле Microsoft", профиль трафика доступа к Интернету не получит этот трафик. Даже если включен профиль доступа к Интернету, обходной трафик пропускает получение глобального безопасного доступа и использует путь маршрутизации сети клиента для исходящего трафика в Интернет. Трафик, доступный для приобретения в профиле трафика Майкрософт, можно получить только в профиле трафика Майкрософт.
В следующем примере показано, как задать *.sharepoint.com полное доменное имя для обхода , чтобы трафик не перенаправлялся в службу.
Если клиент глобального безопасного доступа не может подключиться к службе (например, из-за авторизации или сбоя условного доступа), служба проходит трафик. Трафик отправляется напрямую и локально, а не блокируется. В этом сценарии можно создать политику условного доступа для проверки сети, чтобы заблокировать трафик, если клиент не может подключиться к службе.
Связанные политики условного доступа
Политики условного доступа создаются и применяются к профилю пересылки трафика в области условного доступа идентификатора Microsoft Entra. Например, можно создать политику, требующую совместимых устройств, когда пользователи устанавливают сетевое подключение для служб в профиле трафика Майкрософт.
Если в разделе "Политики условного доступа" отображается "Нет", политика условного доступа не связана с профилем пересылки трафика. Сведения о создании политики условного доступа см. в статье "Универсальный условный доступ" с помощью глобального безопасного доступа.
Изменение существующей политики условного доступа
Если профиль пересылки трафика имеет связанную политику условного доступа, вы можете просмотреть и изменить эту политику.
Выберите ссылку "Вид " для политик связанного условного доступа.
Выберите политику в списке. Сведения о политике, открытой в условном доступе.
Назначения удаленной сети профиля трафика Майкрософт
Профили трафика можно назначать удаленным сетям, чтобы сетевой трафик перенаправился в глобальный безопасный доступ, не устанавливая клиент на устройствах конечных пользователей. Если устройство находится за клиентским локальным оборудованием (CPE), клиент не требуется. Прежде чем добавить его в профиль, необходимо создать удаленную сеть. Дополнительные сведения см. в разделе "Создание удаленных сетей".
Чтобы назначить удаленную сеть профилю Майкрософт, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к >.
- В разделе "Удаление сетевых назначений" выберите ссылку "Вид" для профиля.
- Выберите удаленную сеть из списка и нажмите кнопку "Добавить".
Назначения пользователей и групп
Профиль Майкрософт можно ограничить определенными пользователями и группами, а не применять профиль трафика ко всем пользователям. Дополнительные сведения о назначении пользователей и групп см. в статье "Назначение пользователей и групп" и управление ими с помощью профилей пересылки трафика.
Следующие шаги
Следующий шаг для начала работы с профилем трафика Майкрософт — установка и настройка клиента глобального безопасного доступа на устройствах конечных пользователей
Дополнительные сведения о переадресации трафика см. в следующей статье: