Další informace o koexististenci služby Security Service Edge (SSE) s Microsoftem a Cisco
Využijte řešení Microsoftu a Cisco Security Service Edge (SSE) v jednotném prostředí k využití robustní sady funkcí z obou platforem a zvýšení úrovně cesty ke službě Secure Access Service Edge (SASE). Součinnost mezi těmito platformami umožňuje zákazníkům zajistit lepší zabezpečení a bezproblémové připojení.
Tento dokument obsahuje kroky pro souběžné nasazení těchto řešení, konkrétně Microsoft Entra Soukromý přístup (s povolenou funkcí Privátní DNS) a Cisco Umbrella pro přístup k internetu a zabezpečení vrstvy DNS.
Přehled konfigurace
V Microsoft Entra povolíte profil předávání přenosů privátního přístupu a zakážete profily přesměrování přenosů přes Internet Access a Microsoft 365. Povolíte a nakonfigurujete také funkci Privátní DNS privátního přístupu. V Cisco zachytáváte přenosy přístupu k internetu.
Poznámka:
Klienti musí být nainstalováni na zařízení s Windows 10 nebo Windows 11 připojeném k Microsoft Entra nebo zařízení s hybridním připojeným zařízením Microsoft Entra.
konfigurace Microsoft Entra Soukromý přístup
Povolte profil předávání přenosů Microsoft Entra Soukromý přístup pro vašeho tenanta Microsoft Entra. Další informace o povolení a zakázání profilů najdete v tématu Globální profily předávání přenosů zabezpečeného přístupu.
Nainstalujte a nakonfigurujte globálního klienta zabezpečeného přístupu na zařízeních koncových uživatelů. Další informace o klientech najdete v tématu Globální klienti zabezpečeného přístupu. Informace o tom, jak nainstalovat klienta systému Windows, najdete v tématu globálního klienta zabezpečeného přístupu pro Windows.
Nainstalujte a nakonfigurujte privátní síťový konektor Microsoft Entra. Informace o instalaci a konfiguraci konektoru najdete v tématu Postup konfigurace konektorů.
Poznámka:
Pro Privátní DNS se vyžaduje verze konektoru verze 1.5.3829.0 nebo vyšší.
Nakonfigurujte Rychlý přístup k vašim privátním prostředkům a nastavte přípony Privátní DNS a DNS. Informace o tom, jak nakonfigurovat Rychlý přístup, najdete v tématu Postup konfigurace rychlého přístupu.
Konfigurace Cisco
Přidejte přípony domény z webu Microsoft Entra Quick Access a plně kvalifikovaný název domény služby Microsoft Entra ve službě Domain Management v seznamu interních domén a obejití dns umbrella společnosti Cisco. Přidání plně kvalifikovaného názvu domény a IP adres služby Microsoft Entra ve správě domén v seznamu externích domén pro obejití zabezpečené webové brány Cisco (SWG).
- Na portálu Cisco Umbrella přejděte do části Deployments > Configuration > Domain Management.
- V části Interní domény přidejte tyto a uložte.
*.globalsecureaccess.microsoft.com
Poznámka:
Cisco Umbrella má implicitní zástupný znak, takže můžete použít
globalsecureaccess.microsoft.com
.<quickaccessapplicationid>.globalsecureaccess.local
Poznámka:
quickaccessapplicationid
je ID aplikace pro rychlý přístup, kterou jste nakonfigurovali.- Přípony DNS, které jste nakonfigurovali v aplikaci Rychlý přístup
- V části Externí domény a IP adresy přidejte tyto plně kvalifikované názvy domén a IP adresy a uložte je.
*.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16
Poznámka:
Cisco Umbrella má implicitní zástupný znak, takže můžete použít
globalsecureaccess.microsoft.com
pro plně kvalifikovaný název domény.
- Restartujte klientské služby Cisco Umbrella a Cisco SWG nebo restartujte počítač, na kterém jsou klienti nainstalováni.
Po instalaci a spuštění obou klientů vedle sebe a konfigurace z portálů pro správu jsou hotové, přejděte na hlavním panelu systému a zkontrolujte, jestli jsou povoleni globální zabezpečený přístup a klienti Cisco.
Ověřte konfiguraci pro klienta globálního zabezpečeného přístupu.
- Klikněte pravým tlačítkem myši na profil předávání rozšířené diagnostiky > klienta > globálního zabezpečeného přístupu a ověřte, že se na tohoto klienta použijí pouze pravidla privátního přístupu.
- V nástroji Advanced Diagnostics > Health Check se ujistěte, že selhávají žádné kontroly.
Testování toku provozu
Konfigurace SSE od Microsoftu: Povolte Microsoft Entra Soukromý přístup, zakažte profily předávání přenosů přes Internet Access a Microsoft 365.
Konfigurace Cisco SSE: Zachytává se provoz internetového přístupu. Provoz privátního přístupu je vyloučený.
- Na hlavním panelu systému klikněte pravým tlačítkem myši na ikonu klienta globálního zabezpečeného přístupu a pak vyberte Rozšířená diagnostika. Vyberte kartu Provoz a vyberte Začít shromažďovat.
- Přístup k privátním prostředkům, které jste nakonfigurovali pomocí privátního přístupu Entra, jako je sdílená složka SMB. Otevřete
\\YourFileServer.yourdomain.com
pomocí nabídky Start/Run z okna průzkumníka. - V hlavním panelu systému klikněte pravým tlačítkem myši na klienta globálního zabezpečeného přístupu a pak vyberte Rozšířená diagnostika. V dialogovém okně Síťový provoz vyberte Zastavit shromažďování.
- V dialogovém okně Síťový provoz se posuňte, abyste mohli sledovat provoz vygenerovaný, abyste potvrdili, že provoz privátního přístupu zpracoval klient globálního zabezpečeného přístupu.
- Můžete také ověřit, jestli je provoz zachycený microsoftem Entra, a to ověřením provozu v protokolech přenosů globálního zabezpečeného přístupu z Centra pro správu Microsoft Entra v protokolech provozu globálního monitorování > zabezpečeného přístupu>.
- Přístup ke všem webům z prohlížečů a ověření, že v protokolech přenosů globálního zabezpečeného přístupu chybí internetový provoz, a to pouze v Cisco Umbrella.