了解适用于所有应用的 Microsoft Entra Internet 访问
Microsoft Entra Internet 访问为软件即服务 (SaaS) 应用程序和其他 Internet 流量提供以标识为中心的安全 Web 网关 (SWG) 解决方案。 它通过流量日志保护用户、设备和数据免受 Internet 中广泛威胁环境的威胁,并提供一流的安全控制和可见性。
Web 内容筛选
适用于所有应用的 Microsoft Entra Internet 访问的主要初步功能是 Web 内容筛选。 此功能针对 Web 类别和完全限定的域名 FQDN (FQDN) 提供精细访问控制。 通过显式阻止已知不当的、恶意的或不安全的站点,可以保护用户及其设备免受任何 Internet 连接的影响,无论是远程还是企业网络内部的连接。
当流量到达 Microsoft 的安全服务边缘时,Microsoft Entra Internet 访问会以两种方式执行安全控制。 对于未加密的 HTTP 流量,它使用统一资源定位器 (URL)。 对于使用传输层安全性 (TLS) 加密的 HTTPS 流量,它使用服务器名称指示 (SNI)。
Web 内容筛选是使用筛选策略实现的,这些策略分组到可以与条件访问策略链接的安全配置文件中。 若要详细了解条件访问,请参阅 Microsoft Entra 条件访问。
注意
虽然 Web 内容筛选是任何安全 Web 网关的核心功能,但类似的功能也存在于其他安全产品中,例如终结点安全产品(如 Microsoft Defender for Endpoint)和防火墙(例如 Azure 防火墙)。 Microsoft Entra Internet 访问通过与 Microsoft Entra ID 的策略集成、云边缘上的策略强制实施、对所有设备平台的通用支持以及通过传输层安全性 (TLS) 检查实现的未来安全增强(如保真度更高的 Web 分类)来提供额外的安全价值。 在常见问题解答中了解详细信息。
安全配置文件
安全配置文件是用于对筛选策略进行分组的对象,并通过用户感知的条件访问策略传送这些策略。 例如,若要对用户 阻止除 msn.com 之外的所有angie@contoso.com网站,请创建两个 Web 筛选策略并将其添加到安全配置文件。 然后,获取安全配置文件并将其链接到分配给 angie@contoso.com 的条件访问策略。
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
策略处理逻辑
在一个安全配置文件中,根据唯一优先级数字的逻辑顺序强制执行策略,100 是最高优先级,65,000 是最低优先级(类似于传统的防火墙逻辑)。 最佳做法是,在优先级之间添加大约 100 个间隔,以便为将来的策略提供灵活性。
将安全配置文件链接到条件访问 (CA) 策略后,如果多个 CA 策略匹配,则会按匹配的安全配置文件的优先级顺序处理这两个安全配置文件。
重要
基线安全配置文件适用于所有流量,即使未将其链接到条件访问策略。 它在策略堆栈中以最低优先级强制实施策略,作为“全覆盖”策略应用于通过服务路由的所有 Internet 访问流量。 即使条件访问策略与另一个安全配置文件匹配,基线安全配置文件也会执行。
已知限制
此功能具有一个或多个已知限制。 有关此功能的已知问题和限制的更多详细信息,请参阅 全局安全访问的已知限制。