Dela via

Så här konfigurerar du webbinnehållsfiltrering för global säker åtkomst

  • Artikel

Med webbinnehållsfiltrering kan du implementera detaljerade Internetåtkomstkontroller för din organisation baserat på webbplatskategorisering.

Microsoft Entra internetåtkomst första SWG-funktioner (Secure Web Gateway) innehåller webbinnehållsfiltrering baserat på domännamn. Microsoft integrerar detaljerade filtreringsprinciper med Microsoft Entra-ID och Villkorsstyrd åtkomst i Microsoft Entra, vilket resulterar i filtreringsprinciper som är användarmedvetna, sammanhangsmedvetna och enkla att hantera.

Webbfiltreringsfunktionen är för närvarande begränsad till användar- och kontextmedveten FQDN-baserad webbkategorifiltrering och FQDN-filtrering.

Förutsättningar

  • Administratörer som interagerar med funktioner för global säker åtkomst måste ha en eller flera av följande rolltilldelningar beroende på vilka uppgifter de utför.

    • Rollen Global administratör för säker åtkomst för att hantera funktionerna för global säker åtkomst.
    • Administratören för villkorlig åtkomst för att skapa och interagera med principer för villkorsstyrd åtkomst.

  • Slutför Kom igång med guiden Global säker åtkomst.

  • Installera Global Secure Access-klienten på slutanvändarenheter.

  • Du måste inaktivera DNS (Domain Name System) via HTTPS (Secure DNS) för att tunneltrafik i nätverket. Använd reglerna för de fullständigt kvalificerade domännamnen (FQDN) i trafikvidarebefordringsprofilen. Mer information finns i Konfigurera DNS-klienten så att den stöder DoH.

  • Inaktivera den inbyggda DNS-klienten i Chrome och Microsoft Edge.

  • IPv6-trafik hämtas inte av klienten och överförs därför direkt till nätverket. Om du vill aktivera all relevant trafik som ska tunneltrafik ställer du in egenskaperna för nätverkskortet på önskad IPv4.

  • UDP-trafik (User Datagram Protocol) (dvs. QUIC) stöds inte i den aktuella förhandsversionen av Internet Access. De flesta webbplatser stöder återställning till TCP (Transmission Control Protocol) när QUIC inte kan upprättas. För en bättre användarupplevelse kan du distribuera en Windows-brandväggsregel som blockerar utgående UDP 443: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.

  • Granska begreppen för webbinnehållsfiltrering. Mer information finns i webbinnehållsfiltrering.

Generella steg

Det finns flera steg för att konfigurera webbinnehållsfiltrering. Notera var du behöver konfigurera en princip för villkorsstyrd åtkomst.

  1. Aktivera vidarebefordran av internettrafik.
  2. Skapa en princip för webbinnehållsfiltrering.
  3. Skapa en säkerhetsprofil.
  4. Länka säkerhetsprofilen till en princip för villkorsstyrd åtkomst.
  5. Tilldela användare eller grupper till trafikvidarebefordringsprofilen.

Aktivera vidarebefordran av Internettrafik

Det första steget är att aktivera vidarebefordransprofilen för Internet Access-trafik. Mer information om profilen och hur du aktiverar den finns i Hantera trafikvidarebefordringsprofilen för InternetÅtkomst.

Skapa en princip för webbinnehållsfiltrering

  1. Bläddra till globalprincip>säker>säker webbinnehållsfiltrering.
  2. Välj Skapa princip.
  3. Ange ett namn och en beskrivning för principen och välj Nästa.
  4. Välj Lägg till regel.
  5. Ange ett namn, välj en webbkategori eller ett giltigt FQDN och välj sedan Lägg till.
    • Giltiga FQDN:er i den här funktionen kan också innehålla jokertecken med hjälp av asterisksymbolen *.
  6. Välj Nästa för att granska principen och välj sedan Skapa princip.

Viktigt!

Det kan ta upp till en timme att distribuera ändringar i webbinnehållsfiltreringen.

Skapa en säkerhetsprofil

Säkerhetsprofiler är en gruppering av filtreringsprinciper. Du kan tilldela eller länka säkerhetsprofiler med principer för villkorsstyrd åtkomst i Microsoft Entra. En säkerhetsprofil kan innehålla flera filtreringsprinciper. Och en säkerhetsprofil kan associeras med flera principer för villkorsstyrd åtkomst.

I det här steget skapar du en säkerhetsprofil för att gruppera filtreringsprinciper. Sedan tilldelar eller länkar du säkerhetsprofilerna med en princip för villkorsstyrd åtkomst för att göra dem användare eller kontextmedvetna.

Kommentar

Mer information om principer för villkorsstyrd åtkomst i Microsoft Entra finns i Skapa en princip för villkorsstyrd åtkomst.

  1. Bläddra till globala profiler för säker åtkomstsäkerhet>>.
  2. Välj Skapa profil.
  3. Ange ett namn och en beskrivning för principen och välj Nästa.
  4. Välj Länka en princip och välj sedan Befintlig princip.
  5. Välj den princip för webbinnehållsfiltrering som du redan har skapat och välj Lägg till.
  6. Välj Nästa för att granska säkerhetsprofilen och den associerade principen.
  7. Välj Skapa en profil.
  8. Välj Uppdatera för att uppdatera profilsidan och visa den nya profilen.

Skapa en princip för villkorlig åtkomst för slutanvändare eller grupper och leverera din säkerhetsprofil via sessionskontroller för villkorsstyrd åtkomst. Villkorsstyrd åtkomst är leveransmekanismen för användar- och kontextmedvetenhet för internetåtkomstprinciper. Mer information om sessionskontroller finns i Villkorsstyrd åtkomst: Session.

  1. Bläddra till Villkorlig åtkomst för identitetsskydd>>.
  2. Välj Skapa ny princip.
  3. Ange ett namn och tilldela en användare eller grupp.
  4. Välj Målresurser och Alla Internetresurser med global säker åtkomst.
  5. Välj Session>Använd global säkerhetsprofil för säker åtkomst och välj en säkerhetsprofil.
  6. Välj Välj.
  7. I avsnittet Aktivera princip kontrollerar du att är valt.
  8. Välj Skapa.

Flödesdiagram för Internetåtkomst

Det här exemplet visar flödet av Microsoft Entra internetåtkomst trafik när du tillämpar principer för webbinnehållsfiltrering.

Följande flödesdiagram illustrerar principer för filtrering av webbinnehåll som blockerar eller tillåter åtkomst till Internetresurser.

Diagrammet visar flödet för principer för filtrering av webbinnehåll som blockerar eller tillåter åtkomst till Internetresurser.

Steg Description
1 Global Secure Access-klienten försöker ansluta till Microsofts Security Service Edge-lösning.
2 Klienten omdirigerar till Microsoft Entra-ID för autentisering och auktorisering.
3 Användaren och enheten autentiseras. Autentisering sker sömlöst när användaren har en giltig primär uppdateringstoken (PRT).
4 När användaren och enheten har autentiserats matchar villkorsstyrd åtkomst ca-regler för Internetåtkomst och lägger till tillämpliga säkerhetsprofiler i token. Den tillämpar tillämpliga auktoriseringsprinciper.
5 Microsoft Entra-ID visar token för Microsoft Security Service Edge för validering.
6 Tunneln upprättas mellan Global Secure Access-klienten och Microsoft Security Service Edge.
7 Trafiken börjar hämtas och tunnlar via Internetåtkomsttunneln.
8 Microsoft Security Service Edge utvärderar säkerhetsprinciperna i åtkomsttoken i prioritetsordning. När den matchar en regel för webbinnehållsfiltrering stoppas utvärdering av webbinnehållsfiltreringsprinciper.
9 Microsoft Security Service Edge tillämpar säkerhetsprinciperna.
10 Princip = blockera resulterar i ett fel för HTTP-trafik eller ett undantag för anslutningsåterställning inträffar för HTTPS-trafik.
11 Princip = tillåt resulterar i trafikvidarebefordring till målet.

Kommentar

Det kan ta upp till 60–90 minuter att tillämpa en ny säkerhetsprofil på grund av att säkerhetsprofilen tillämpas med åtkomsttoken. Användaren måste få en ny åtkomsttoken med det nya säkerhetsprofil-ID:t som ett anspråk innan den börjar gälla. Ändringar i befintliga säkerhetsprofiler börjar tillämpas mycket snabbare.

Användar- och grupptilldelningar

Du kan begränsa Internetåtkomstprofilen till specifika användare och grupper. Mer information om användar- och grupptilldelning finns i Så här tilldelar och hanterar du användare och grupper med profiler för trafikvidarebefordring.

Kontrollera att principen för slutanvändaren tillämpas

När trafiken når Microsofts Secure Service Edge utför Microsoft Entra internetåtkomst säkerhetskontroller på två sätt. För okrypterad HTTP-trafik använder den url:en (Uniform Resource Locator). För HTTPS-trafik som krypterats med Transport Layer Security (TLS) använder den SNI (Server Name Indication).

Använd en Windows-enhet med Global Secure Access-klienten installerad. Logga in som en användare som har tilldelats anskaffningsprofilen för Internettrafik. Testa att navigering till webbplatser tillåts eller begränsas som förväntat.

  1. Högerklicka på klientikonen global säker åtkomst i aktivitetshanterarens>profilen Avancerad diagnostikvidarebefordring. Se till att anskaffningsreglerna för Internetåtkomst finns. Kontrollera också om värdnamnets förvärv och flöden för användarnas Internettrafik hämtas under surfning.

  2. Navigera till tillåtna och blockerade webbplatser och kontrollera om de fungerar korrekt. Bläddra till >för att bekräfta att trafiken blockeras eller tillåts på lämpligt sätt.

Den aktuella blockeringsfunktionen för alla webbläsare innehåller ett fel i webbläsaren i klartext för HTTP-trafik och ett webbläsarfel för "Anslutningsåterställning" för HTTPS-trafik.

Skärmbild som visar ett webbläsarfel i klartext för HTTP-trafik.

Skärmbild som visar webbläsarfelet

Kommentar

Konfigurationsändringar i den globala funktionen för säker åtkomst som rör webbinnehållsfiltrering börjar vanligtvis gälla på mindre än 5 minuter. Konfigurationsändringar i villkorsstyrd åtkomst relaterade till webbinnehållsfiltrering börjar gälla om ungefär en timme.

Nästa steg