Оценка решений, использующих Интернет-доступ Microsoft Entra

Завершено

Оценка решений, использующих Интернет-доступ Microsoft Entra в качестве безопасного веб-шлюза

Интернет-доступ Microsoft Entra предоставляет ориентированное на идентификацию решение безопасного веб-шлюза (SWG) для приложений SaaS (программное обеспечение как услуга) и другого интернет-трафика. Он защищает пользователей, устройства и данные от угроз Интернета широкого диапазона с помощью лучших в своем классе элементов управления безопасностью с возможностью отображения сведений в журналах трафика.

Фильтрация веб-содержимого

Ключевой вводной функцией для Интернет-доступ Microsoft Entra для всех приложений является фильтрация веб-содержимого. Эта функция обеспечивает детализированный контроль доступа для веб-категорий и полных доменных имен (FQDN). Явно блокируя известные неуместные, вредоносные или небезопасные сайты, вы защищаете пользователей и их устройства от любого подключения к Интернету независимо от того, находятся ли они удаленно или в рамках корпоративной сети.

Фильтрация веб-содержимого реализуется с помощью политик фильтрации, которые группируются в профили безопасности, которые могут быть связаны с политиками условного доступа. Дополнительные сведения об условном доступе см. в статье об условном доступе Microsoft Entra.

Профили безопасности

Профили безопасности — это объекты, используемые для группирования политик фильтрации и доставки их с помощью политик условного доступа с учетом пользователей. Например, чтобы заблокировать все веб-сайты новостей , кроме msn.com пользователя angie@contoso.com , создайте две политики фильтрации веб-сайтов и добавьте их в профиль безопасности. Затем вы берете профиль безопасности и связываете его с политикой условного доступа, назначенной angie@contoso.com.

"Security Profile for Angie"       <---- the security profile
    Allow msn.com at priority 100  <---- higher priority filtering policies
    Block News at priority 200     <---- lower priority filtering policy

Логика обработки политик

В профиле безопасности политики применяются в соответствии с упорядочением приоритетов с 100 самым высоким приоритетом и 65000 является самым низким приоритетом (аналогично традиционной логике брандмауэра). Рекомендуется добавить интервал около 100 между приоритетами, чтобы обеспечить гибкость политики в будущем.

После связывания профиля безопасности с политикой условного доступа (ЦС), если совпадают несколько политик ЦС, оба профиля безопасности обрабатываются в порядке приоритета соответствующих профилей безопасности.

Оценка решений, использующих Интернет-доступ Microsoft Entra для доступа к Microsoft 365, включая конфигурации между клиентами

Решения в этой области зависят от Интернет-доступ Microsoft Entra трафика Майкрософт. Это, по сути, профиль пересылки трафика, который позволяет Интернет-доступ Microsoft Entra получать трафик, который собирается службы Майкрософт, включая Microsoft 365.

Профиль Майкрософт управляет следующими группами политик:

• Exchange Online
• SharePoint Online и OneDrive
• Microsoft 365 Common and Office Online (только идентификатор Microsoft Entra и Microsoft Graph)

Дополнительные сведения см. на следующих ресурсах:

• Интернет-доступ Microsoft Entra для Microsoft Traffic.
• Настройте параметры доступа между клиентами для совместной работы B2B.
• Руководство по развертыванию решения Microsoft Security Service Edge для Интернет-доступ Microsoft Entra для проверки концепции трафика Майкрософт.