评估使用 Microsoft Entra Internet 访问的解决方案

5 分钟

评估将 Microsoft Entra Internet Access 用作安全 Web 网关的解决方案

Microsoft Entra Internet 访问为软件即服务 (SaaS) 应用程序和其他 Internet 流量提供以标识为中心的安全 Web 网关 (SWG) 解决方案。它通过流量日志保护用户、设备和数据免受 Internet 中广泛威胁环境的威胁，并提供一流的安全控制和可见性。

Web 内容筛选

适用于所有应用的 Microsoft Entra Internet 访问的主要初步功能是 Web 内容筛选。此功能针对 Web 类别和完全限定的域名 FQDN (FQDN) 提供精细访问控制。通过显式阻止已知不当的、恶意的或不安全的站点，可以保护用户及其设备免受任何 Internet 连接的影响，无论是远程还是企业网络内部的连接。

Web 内容筛选是使用筛选策略实现的，这些策略分组到可以与条件访问策略链接的安全配置文件中。若要详细了解条件访问，请参阅 Microsoft Entra 条件访问。

安全配置文件

安全配置文件是用于对筛选策略进行分组的对象，并通过用户感知的条件访问策略传送这些策略。例如，若要对用户 angie@contoso.com 阻止除 msn.com 之外的所有新闻网站，请创建两个 Web 筛选策略并将其添加到安全配置文件。然后，获取安全配置文件并将其链接到分配给 angie@contoso.com 的条件访问策略。

"Security Profile for Angie"       <---- the security profile
    Allow msn.com at priority 100  <---- higher priority filtering policies
    Block News at priority 200     <---- lower priority filtering policy

策略处理逻辑

在安全配置文件中，根据优先级顺序强制执行策略，100 是最高优先级，65,000 是最低优先级（类似于传统的防火墙逻辑）。最佳做法是，在优先级之间添加大约 100 个间隔，以便为将来的策略提供灵活性。

将安全配置文件链接到条件访问 (CA) 策略后，如果多个 CA 策略匹配，则会按匹配的安全配置文件的优先级顺序处理这两个安全配置文件。

评估使用 Microsoft Entra Internet Access 访问来访问 Microsoft 365 的解决方案，包括跨租户配置

此区域中的解决方案依赖适用于 Microsoft 流量的 Microsoft Entra Internet 访问。这实质上是一个流量转发配置文件，使 Microsoft Entra Internet 访问能够获取流向 Microsoft 服务（包括 Microsoft 365）的流量。

Microsoft 配置文件管理以下策略组：

Exchange Online
SharePoint Online 和 OneDrive
Microsoft 365 Common 和 Office Online（仅 Microsoft Entra ID 和 Microsoft Graph）