Dela via


Läs mer om Microsoft Entra internetåtkomst för alla appar

Microsoft Entra internetåtkomst tillhandahåller en identitetscentrerad SWG-lösning (Secure Web Gateway) för SaaS-program (Software as a Service) och annan Internettrafik. Den skyddar användare, enheter och data från Internets breda hotlandskap med förstklassiga säkerhetskontroller och synlighet via trafikloggar.

Webbinnehållsfiltrering

Den viktigaste introduktionsfunktionen för Microsoft Entra internetåtkomst för alla appar är webbinnehållsfiltrering. Den här funktionen ger detaljerad åtkomstkontroll för webbkategorier och fullständigt kvalificerade domännamn (FQDN). Genom att uttryckligen blockera kända olämpliga, skadliga eller osäkra webbplatser skyddar du dina användare och deras enheter från alla Internetanslutningar oavsett om de är fjärranslutna eller inom företagsnätverket.

När trafiken når Microsofts Secure Service Edge utför Microsoft Entra internetåtkomst säkerhetskontroller på två sätt. För okrypterad HTTP-trafik använder den url:en (Uniform Resource Locator). För HTTPS-trafik som krypterats med Transport Layer Security (TLS) använder den SNI (Server Name Indication).

Webbinnehållsfiltrering implementeras med hjälp av filtreringsprinciper som är grupperade i säkerhetsprofiler, som kan länkas till principer för villkorsstyrd åtkomst. Mer information om villkorsstyrd åtkomst finns i Villkorsstyrd åtkomst i Microsoft Entra.

Kommentar

Även om webbinnehållsfiltrering är en viktig funktion för säker webbgateway finns liknande funktioner i andra säkerhetsprodukter, till exempel slutpunktssäkerhetsprodukter som Microsoft Defender för Endpoint och brandväggar som Azure Firewall. Microsoft Entra internetåtkomst ger ytterligare säkerhetsvärde via principintegrering med Microsoft Entra-ID, principframtvingande på molngränsen, universellt stöd för alla enhetsplattformar och framtida säkerhetsförbättringar via TLS-inspektion (Transport Layer Security), till exempel webbkategorisering med högre återgivning. Läs mer i Vanliga frågor och svar.

Säkerhetsprofiler

Säkerhetsprofiler är objekt som du använder för att gruppera filtreringsprinciper och leverera dem via användarmedvetna principer för villkorsstyrd åtkomst. Om du till exempel vill blockera alla nyhetswebbplatser förutom för msn.com användare angie@contoso.com skapar du två webbfiltreringsprinciper och lägger till dem i en säkerhetsprofil. Sedan tar du säkerhetsprofilen och länkar den till en princip för villkorsstyrd åtkomst som tilldelats till angie@contoso.com.

"Security Profile for Angie"       <---- the security profile
    Allow msn.com at priority 100  <---- higher priority filtering policies
    Block News at priority 200     <---- lower priority filtering policy

Logik för principbearbetning

I en säkerhetsprofil tillämpas principer enligt logisk ordning av unika prioritetsnummer, där 100 är högsta prioritet och 65 000 är den lägsta prioriteten (ungefär som traditionell brandväggslogik). Som bästa praxis lägger du till ett avstånd på cirka 100 mellan prioriteringar för att möjliggöra politisk flexibilitet i framtiden.

När du har länkat en säkerhetsprofil till en princip för villkorsstyrd åtkomst (CA) bearbetas båda säkerhetsprofilerna i prioritetsordning för matchande säkerhetsprofiler om flera CA-principer matchar.

Viktigt!

Säkerhetsprofilen för baslinjen gäller för all trafik även utan att länka den till en princip för villkorsstyrd åtkomst. Den tillämpar principen med den lägsta prioriteten i principstacken och tillämpas på all InternetÅtkomsttrafik som dirigeras via tjänsten som en "catch-all"-princip. Baslinjesäkerhetsprofilen körs även om en princip för villkorsstyrd åtkomst matchar en annan säkerhetsprofil.

Kända begränsningar

Den här funktionen har en eller flera kända begränsningar. Mer detaljerad information om kända problem och begränsningar för den här funktionen finns i Kända begränsningar för global säker åtkomst.

Nästa steg