了解 Microsoft 和 Zscaler 如何與安全服務邊緣（SSE）整合共存

Microsoft和 Zscaler 的安全存取服務 Edge （SASE） 解決方案可以在統一的環境中一起使用。 一起使用時，您會利用這兩個平台的強大功能套件來加速您的SASE旅程。 這些平臺之間的協同效應可增強安全性，並提供順暢的連線能力。

本檔包含並存部署這些解決方案的步驟，特別是Microsoft Entra Global Secure Access for Internet Access 和 Microsoft 365 應用程式，例如 Exchange Online 和 SharePoint Online，以及適用於私人應用程式的 Zscaler Private Access。 它也包含部署 Entra Global Secure Microsoft 365 Access 應用程式和 Zscaler Internet Access for Internet Access 的步驟。

組態概觀

本文涵蓋兩個組態。

在第一個設定中，您會在 Microsoft Entra 系統管理中心啟用 Microsoft 365 和因特網存取流量轉送配置檔。 您可以在 Microsoft Entra 系統管理中心停用 Private Access 流量轉送設定檔。 全域安全存取用戶端會擷取Microsoft 365 和因特網流量。 Zscaler 用戶端會擷取 Private Access 流量。

注意

客戶端必須安裝在 Windows 10 或 Windows 11 的 Microsoft Entra 加入裝置或 Microsoft Entra 混合式加入裝置上。

在第二個設定中，您會啟用 Microsoft 365 轉送配置檔，並在 Microsoft Entra 系統管理中心停用因特網存取和私人存取流量轉送配置檔。 全域安全存取用戶端會擷取Microsoft 365流量。 Zscaler 用戶端會擷取因特網存取流量。

注意

用戶端必須安裝在已加入 Microsoft Entra 的 Windows 10 或 Windows 11 裝置、Microsoft Entra 混合式已加入裝置，或透過 Intune 公司入口網站註冊至 Entra 的 macOS Monterey 裝置。

Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取 組態

設定 Microsoft Entra 租戶的流量轉送設定檔。 如需啟用和停用配置檔的詳細資訊，請參閱 全域安全存取流量轉送配置檔。

在第一個設定中，啟用Microsoft 365 和因特網存取流量轉送配置檔。 針對第二個配置，僅啟用 Microsoft 365 流量轉送配置檔。

在終端使用者的裝置上安裝並配置全球安全存取用戶端。 如需用戶端的詳細資訊，請參閱 全域安全存取用戶端。 若要了解如何安裝 Windows 用戶端，請參閱適用於 Windows 的全球安全存取用戶端。

Zscaler 設定 1

設定 Zscaler Private Access （ZPA） 的單一登錄 （SSO） 驗證。 如需設定 SSO 的詳細資訊，請參閱 https://help.zscaler.com/zpa/configuration-guide-microsoft-azure-ad。

設定及部署 Zscaler 應用程式連接器。 如需 Zscaler 應用程式連接器的詳細資訊，請參閱 https://help.zscaler.com/zpa/app-connector-management/app-connectors。

1. 流覽至 ZPA 管理入口網站>設定及控制>私人基礎結構>應用程式連接器管理>應用程式連接器>新增應用程式連接器。
2. 遵循個別指南，在您的支援平臺上部署應用程式連接器。
3. 確認已部署的應用程式連接器正在執行且狀況良好。

設定 Zscaler 應用程式區段。 如需 Zscaler 應用程式區段的詳細資訊，請參閱 https://help.zscaler.com/zpa/configuring-application-segments。

1. 流覽至 [資源管理應用程式管理>>應用程式區段>] [新增應用程式區段]。
2. 新增您的私人應用程式的名稱、IP/FQDN、埠和區段群組。
3. 建立存取原則以允許存取私人應用程式（根據預設，ZPA 會封鎖存取使用者的應用程式和區段群組，直到您設定明確允許存取的原則規則為止）。 流覽至 [原則>存取原則>新增規則]。

從 Zscaler Client Connector 入口網站中的 Zscaler Client Connector App Store 下載 Zscaler 用戶端。

1. 流覽至 ZPA 管理入口網站>用戶端連接器>系統管理>用戶端連接器 App Store>新版本>一般可用性。
2. 選取 [平臺為 Windows]，然後下載可執行檔 （EXE） 或 Microsoft Software Installer （MSI） 套件。
3. 啟用組建。

從用戶端連接器入口網站新增轉送配置檔。

1. 轉到 ZPA 管理入口網站>用戶端連接器>管理>轉送設定檔>新增轉送設定檔。
2. 新增一個配置檔名稱，例如 PF 驅動程式通道。
3. 在通道驅動程式類型中選擇封包篩選。

從用戶端連接器入口網站新增應用程式配置檔。

1. 流覽至 ZPA 管理入口網站>用戶端連接器>應用程式設定檔>平臺>Windows>新增 Windows 策略。
2. 新增 名稱，設定 規則順序 ，例如 1，選取 [啟用]，選取 [使用者] ，以套用此原則，然後選取 [ 轉送配置檔]。 例如，選取 [PF 驅動程式通道]。
3. 向下捲動並新增這些 Microsoft SSE 服務的因特網通訊協定 （IP） 位址和完整網域名稱 （FQDN）
   [VPN 閘道的主機名稱或 IP 位址規避] 欄位。 IP：150.171.19.0/24、、150.171.20.0/24、13.107.232.0/24、13.107.233.0/24150.171.15.0/24、150.171.18.0/24、151.206.0.0/16、 6.6.0.0/16。 FQDN：internet.edgediagnostic.globalsecureaccess.microsoft.com、m365.edgediagnostic.globalsecureaccess.microsoft.com、、private.edgediagnostic.globalsecureaccess.microsoft.comaps.globalsecureaccess.microsoft.com、<tenantid>.internet.client.globalsecureaccess.microsoft.com、<tenantid>.m365.client.globalsecureaccess.microsoft.com<tenantid>.private.client.globalsecureaccess.microsoft.com。

安裝客戶端之後，系統會提示使用者登入。 使用者登入之後，聯機圖示會變成藍色，以滑鼠右鍵按兩下圖示並開啟 Zscaler 用戶端，將 [驗證狀態] 顯示為 [已驗證]，並將 [服務狀態] 顯示為 [開啟]。

開啟系統匣，檢查全域安全存取和 Zscaler 用戶端是否已啟用。

確認客戶端的組態。

1. 以滑鼠右鍵按兩下 [全域安全存取用戶端>進階診斷>轉送配置檔 ]，並確認已將此用戶端套用Microsoft 365 和因特網存取規則。
2. 請導航至 進階診斷>健檢，並確保沒有檢查失敗。
3. 以滑鼠右鍵按兩下 Zscaler 用戶端>開啟 Zscaler>更多。 確認 應用程式原則 符合先前步驟中的組態。 驗證其為最新狀態或更新。
4. 流覽至 Zscaler 用戶端私人存取。 確認 服務狀態 為 ON ，且 驗證狀態 為 Authenticated。

測試流量

1. 在系統匣中，以滑鼠右鍵按兩下 [全域安全存取用戶端 ]，然後選取 [ 進階診斷]。 選取 流量 索引標籤，然後選取 開始收集。
2. 從瀏覽器存取這些網站：bing.com、、salesforce.com、Instagram.comOutlook Online （outlook.com、、outlook.office.comoutlook.office365.com、）、SharePoint Online （<yourtenantdomain>.sharepoint.com）。
3. 登入 Microsoft Entra 系統管理中心，並流覽至全域安全存取>>流量記錄。 在全域安全存取流量記錄中擷取與這些網站相關的流量。
4. 存取您的私人應用程式。 例如，使用安全殼層（SSH）。
5. 登入 ZPA 管理控制台，並流覽至儀錶板 > 應用程式和儀錶板 > 使用者或分析 > 診斷記錄 > 。 驗證與私人應用程式相關的流量會出現在儀錶板或流量記錄中。
6. zh-TW: 驗證與 Microsoft 365 和因特網流量相關的流量，例如 Instagram.com、Outlook Online 和 SharePoint Online，是否在 Analytics > Diagnostics > 記錄中的 ZPA 日誌中遺漏。
7. 在系統匣中，以滑鼠右鍵按兩下 [全域安全存取用戶端 ]，然後選取 [ 進階診斷]。 在 [網络流量] 對話框中，選取 [ 停止收集]。
8. 捲動以觀察全域安全存取用戶端 不會 從私人應用程式擷取流量。 此外，請注意 Global Secure Access 用戶端 正在 擷取 Microsoft 365 和其他網際網路流量。

Zscaler 設定 2

設定 Zscaler 因特網存取。 若要深入瞭解如何設定 Zscaler，請參閱 https://help.zscaler.com/zia/step-step-configuration-guide-zia。

設定使用者驗證和布建方法，例如安全性判斷提示標記語言 （SAML） 以進行驗證，以及用於布建的跨網域身分識別管理 （SCIM） 系統。

從 Zscaler Client Connector 入口網站中的 Zscaler Client Connector App Store 下載 Zscaler 用戶端。

1. 導覽至 ZIA 管理員入口>原則>Zscaler 用戶端連接器入口>管理>用戶端連接器 App Store>新版本>一般可用性。
2. 選取 [平臺] 作為 [Windows 或 macOS]，然後下載 EXE 或 MSI 套件。
3. 啟用組建。

從用戶端連接器平台新增轉發配置檔。

1. 流覽至 ZIA 管理入口網站>原則>Zscaler 用戶端連接器入口網站>管理>轉送配置檔>新增轉送配置檔。
2. 新增設定檔名稱，例如 ZIA Tunnel 2.0。
3. 選取 [封包篩選型] 在 [通道驅動程式類型] 中。
4. 選取 [轉送配置檔] 的動作為隧道，然後選取隧道版本。 例如： Z-Tunnel 2.0 。

從用戶端連接器入口網站新增應用程式配置檔。

1. 流覽至 ZIA 管理入口網站>原則>Zscaler 用戶端連接器入口網站>管理>應用配置檔>平台>Windows（或 macOS）>新增 Windows 原則（或 macOS）。
2. 新增 名稱，設定 規則順序 ，例如 1，選取 [啟用]，選取 [使用者] ，以套用此原則，然後選取 [ 轉送配置檔]。 例如，選取 ZIA Tunnel 2.0。
3. 向下卷動，然後新增這些 Microsoft SSE 服務的 IP 和 FQDN
   [VPN 閘道 ] 字段的 [主機名] 或 [IP 位址略過]。 IP：150.171.19.0/24、、150.171.20.0/24、13.107.232.0/24、13.107.233.0/24150.171.15.0/24、150.171.18.0/24、151.206.0.0/16、 6.6.0.0/16。 FQDN：internet.edgediagnostic.globalsecureaccess.microsoft.com、m365.edgediagnostic.globalsecureaccess.microsoft.com、、private.edgediagnostic.globalsecureaccess.microsoft.comaps.globalsecureaccess.microsoft.com、<tenantid>.internet.client.globalsecureaccess.microsoft.com、<tenantid>.m365.client.globalsecureaccess.microsoft.com<tenantid>.private.client.globalsecureaccess.microsoft.com。

安裝客戶端之後，系統會提示使用者登入。 使用者登入之後，聯機圖示會變成藍色，以滑鼠右鍵按兩下圖示並開啟 Zscaler 用戶端，將 [驗證狀態] 顯示為 [已驗證]，並將 [服務狀態] 顯示為 [開啟]。

移至系統匣，檢查全域安全存取和 Zscaler 用戶端是否已啟用。

確認客戶端的組態。

1. 以滑鼠右鍵按兩下 [全域安全存取用戶端>進階診斷>轉送配置檔 ]，並確認已將此用戶端套用Microsoft 365 和因特網存取規則。
2. 流覽至 進階診斷>健康檢查，並確定沒有任何檢查失敗。 您可以忽略 IPV4 優先設定檢查。 您可以藉由建立登錄機碼來解決錯誤。 如需登錄機碼和安裝客戶端的詳細資訊，請參閱 適用於 Windows 的全域安全存取用戶端。
3. 以滑鼠右鍵按兩下 Zscaler 用戶端>開啟 Zscaler>更多。 確認 應用程式原則 符合先前步驟中的組態。 驗證其為最新狀態或更新。
4. 導航到 Zscaler 用戶端>私人存取。 確認 服務狀態 為 ON ，且 驗證狀態 為 Authenticated。

測試流量

1. 在系統匣中，以滑鼠右鍵按兩下 [全域安全存取用戶端 ]，然後選取 [ 進階診斷]。 選取 流量 索引標籤並選取 開始收集。
2. 從瀏覽器存取這些網站：bing.com、、 salesforce.comInstagram.com。
3. 在系統匣中，以滑鼠右鍵按一下 全域安全存取用戶端，然後選取 進階診斷>流量 索引標籤。
4. 捲動以觀察全域安全存取用戶端不會從這些網站擷取流量。
5. 登入 Microsoft Entra 系統管理中心，並流覽至全域安全存取>>流量記錄。 確認這些網站相關的流量是否遺漏在全域安全存取流量記錄中。
6. 登入 Zscaler Internet Access （ZIA） 系統管理入口網站，並流覽至 Analytics>Web Insights>記錄。
7. 驗證與這些網站相關的流量存在於 Zscaler 記錄中。
8. Access Outlook Online （outlook.com， ， outlook.office.com， outlook.office365.com）， SharePoint Online （<yourtenantdomain>.sharepoint.com）。
9. 在系統匣中，以滑鼠右鍵按兩下 [全域安全存取用戶端 ]，然後選取 [ 進階診斷]。 在 [ 流量 ] 對話框中，選取 [ 停止收集]。
10. 捲動以確認全域安全存取用戶端已處理Microsoft 365 流量。
11. 您也可以驗證流量是否已在全域安全存取流量記錄中擷取。 在 Microsoft Entra 系統管理中心，流覽至 [全域安全存取]>監控>流量記錄。
12. 驗證 Analytics>Web Insights> 記錄中 Zscaler 記錄是否遺漏與 Outlook Online 和 SharePoint Online 相關的流量。

下一步

• 什麼是全球安全存取？