共用方式為

如何管理網際網路存取流量轉送設定檔

  • 發行項

網際網路存取流量轉送設定檔會透過全球安全存取用戶端路由網際網路流量。 啟用此流量轉送設定檔可讓遠端工作者以受控制且安全的方式連線到網際網路。 透過 Microsoft Entra 網際網路存取的功能,您可以控制可存取哪些網際網路網站。 您也可以根據 IP 位址、IP 位址範圍、IP 子網路和完整網域名稱 (FQDN) 來設定要從全球安全存取排除的流量。

必要條件

若要為租用戶啟用網際網路存取轉送設定檔,您必須具備:

網際網路存取流量轉送設定檔原則

檢視與網際網路存取流量轉送設定檔相關的原則。 預設有三個原則。 檢視方法:

  1. 全球安全存取管理員身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [全球安全存取 > [連線] > [流量轉送]
  3. 選取 [網際網路存取原則] 區段中的 [檢視] 連結。

預設的網際網路存取原則包括:

  • 自訂略過 包含從網際網路流量設定檔中排除的使用者定義流量/端點。 換句話說,您會定義設定檔不應取得的流量。 您通常會排除流量,例如 VPN 端點、私人 IP 範圍和 squat IP 範圍,以及利用網路存取控制清單 (ACL) 的端點。
  • 預設略過包含網際網路流量設定檔不會取得的預先定義流量。 例如,私人 IP 範圍。 您無法變更此原則中的規則。
  • 預設取得 定義網際網路流量設定檔會取得的流量。 目前,它是連接埠 80、443 上透過傳輸控制通訊協定 (TCP) 的所有網際網路流量。 評估所有略過規則之後,該原則的優先順序最低。 您無法變更此原則中的規則。

新增自訂略過原則的範例:

  1. 全球安全存取管理員身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [全球安全存取 > [連線] > [流量轉送]
  3. 在 [網際網路存取流量轉送設定檔] 區域的 [網際網路存取原則] 區段中,選取 [檢視] 連結
  4. 展開 [自訂略過] 原則。
  5. 選取新增規則
  6. 選擇目的地類型,例如完整網域名稱 (FQDN)。 您可以新增多個以逗號分隔的目的地值。 請勿新增空白字元。 例如,contoso.com,fabrikam.com10.0.0.1/32,10.0.0.2/32。 連接埠、通訊協定和動作一律為固定且無法變更。
  7. 輸入有效的目的地。
  8. 選取 [儲存]

注意

流量會從上到下進行評估,這表示流量只有在未被其中一個略過規則略過時,網際網路流量設定檔才會取得流量。

使用者與群組指派

您可以將網際網路存取設定檔的範圍設定為特定使用者和群組。

若要深入了解使用者和群組指派,請參閱如何使用流量轉送設定檔來指派和管理使用者和群組

啟用網際網路存取流量轉送設定檔

若要啟用 Microsoft Entra 網際網路存取轉送設定檔以轉送使用者流量:

  1. 全球安全存取管理員身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [全球安全存取 > [連線] > [流量轉送]
  3. 在流量設定檔上設定原則。 例如,設定自訂略過規則以排除特定流量。
  4. 啟用網際網路存取設定檔。 網際網路流量會開始從所有用戶端裝置轉送至 Microsoft 的安全性服務邊緣 (SSE) Proxy,您可以在其中設定細微的安全性原則。

    注意

    當您啟用網際網路存取轉送束定檔時,也應該啟用 Microsoft 流量轉送設定檔,以獲得最佳 Microsoft 流量路由。 您可以在啟用網際網路存取流量轉送設定檔的相同頁面上選取設定檔核取方塊,以啟用 Microsoft 流量設定檔。 若要深入了解 Microsoft 流量轉送設定檔,請參閱如何啟用和管理 Microsoft 設定檔

驗證網際網路存取流量轉送設定檔

新增至原則的規則需要 10-20 分鐘的時間,才能出現在使用者電腦上的用戶端中。 如果規則在此時間之後未出現,請停用然後重新啟用網際網路存取流量轉送設定檔。

若要驗證流量轉送設定檔、流量轉送原則和規則:

  1. 在系統匣中,以滑鼠右鍵按一下全球安全存取用戶端,然後選取 [進階診斷]
  2. 開啟網頁瀏覽器,並瀏覽至內部網路上的目的地。 確認未擷取流量。
  3. 開啟網頁瀏覽器,並瀏覽至略過的目的地。 確認未擷取流量。
  4. 開啟網頁瀏覽器,並瀏覽至設定檔取得的公用目的地。 確認正在 [網際網路通道] 下取得流量。

下一步