Sdílet prostřednictvím


Další informace o koexististenci služby Security Service Edge (SSE) s Microsoftem a Cisco

Využijte řešení Microsoftu a Cisco Security Service Edge (SSE) v jednotném prostředí k využití robustní sady funkcí z obou platforem a zvýšení úrovně cesty ke službě Secure Access Service Edge (SASE). Součinnost mezi těmito platformami umožňuje zákazníkům zajistit lepší zabezpečení a bezproblémové připojení.

Tento dokument obsahuje kroky pro souběžné nasazení těchto řešení, konkrétně Microsoft Entra Soukromý přístup (s povolenou funkcí Privátní DNS) a Cisco Umbrella pro přístup k internetu a zabezpečení vrstvy DNS.

Přehled konfigurace

V Microsoft Entra povolíte profil předávání přenosů privátního přístupu a zakážete profily přesměrování přenosů přes Internet Access a Microsoft 365. Povolíte a nakonfigurujete také funkci Privátní DNS privátního přístupu. V Cisco zachytáváte přenosy přístupu k internetu.

Poznámka:

Klienti musí být nainstalováni na zařízení s Windows 10 nebo Windows 11 připojeném k Microsoft Entra nebo zařízení s hybridním připojeným zařízením Microsoft Entra.

konfigurace Microsoft Entra Soukromý přístup

Povolte profil předávání přenosů Microsoft Entra Soukromý přístup pro vašeho tenanta Microsoft Entra. Další informace o povolení a zakázání profilů najdete v tématu Globální profily předávání přenosů zabezpečeného přístupu.

Nainstalujte a nakonfigurujte globálního klienta zabezpečeného přístupu na zařízeních koncových uživatelů. Další informace o klientech najdete v tématu Globální klienti zabezpečeného přístupu. Informace o tom, jak nainstalovat klienta systému Windows, najdete v tématu globálního klienta zabezpečeného přístupu pro Windows.

Nainstalujte a nakonfigurujte privátní síťový konektor Microsoft Entra. Informace o instalaci a konfiguraci konektoru najdete v tématu Postup konfigurace konektorů.

Poznámka:

Pro Privátní DNS se vyžaduje verze konektoru verze 1.5.3829.0 nebo vyšší.

Nakonfigurujte Rychlý přístup k vašim privátním prostředkům a nastavte přípony Privátní DNS a DNS. Informace o tom, jak nakonfigurovat Rychlý přístup, najdete v tématu Postup konfigurace rychlého přístupu.

Konfigurace Cisco

Přidejte přípony domény z webu Microsoft Entra Quick Access a plně kvalifikovaný název domény služby Microsoft Entra ve službě Domain Management v seznamu interních domén a obejití dns umbrella společnosti Cisco. Přidání plně kvalifikovaného názvu domény a IP adres služby Microsoft Entra ve správě domén v seznamu externích domén pro obejití zabezpečené webové brány Cisco (SWG).

  1. Na portálu Cisco Umbrella přejděte do části Deployments > Configuration > Domain Management.
  2. V části Interní domény přidejte tyto a uložte.
    • *.globalsecureaccess.microsoft.com

      Poznámka:

      Cisco Umbrella má implicitní zástupný znak, takže můžete použít globalsecureaccess.microsoft.com.

    • <quickaccessapplicationid>.globalsecureaccess.local

      Poznámka:

      quickaccessapplicationid je ID aplikace pro rychlý přístup, kterou jste nakonfigurovali.

    • Přípony DNS, které jste nakonfigurovali v aplikaci Rychlý přístup
  3. V části Externí domény a IP adresy přidejte tyto plně kvalifikované názvy domén a IP adresy a uložte je.
    • *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16

      Poznámka:

      Cisco Umbrella má implicitní zástupný znak, takže můžete použít globalsecureaccess.microsoft.com pro plně kvalifikovaný název domény.

  4. Restartujte klientské služby Cisco Umbrella a Cisco SWG nebo restartujte počítač, na kterém jsou klienti nainstalováni.

Po instalaci a spuštění obou klientů vedle sebe a konfigurace z portálů pro správu jsou hotové, přejděte na hlavním panelu systému a zkontrolujte, jestli jsou povoleni globální zabezpečený přístup a klienti Cisco.

Ověřte konfiguraci pro klienta globálního zabezpečeného přístupu.

  1. Klikněte pravým tlačítkem myši na profil předávání rozšířené diagnostiky > klienta > globálního zabezpečeného přístupu a ověřte, že se na tohoto klienta použijí pouze pravidla privátního přístupu.
  2. V nástroji Advanced Diagnostics > Health Check se ujistěte, že selhávají žádné kontroly.

Testování toku provozu

Konfigurace SSE od Microsoftu: Povolte Microsoft Entra Soukromý přístup, zakažte profily předávání přenosů přes Internet Access a Microsoft 365.

Konfigurace Cisco SSE: Zachytává se provoz internetového přístupu. Provoz privátního přístupu je vyloučený.

  1. Na hlavním panelu systému klikněte pravým tlačítkem myši na ikonu klienta globálního zabezpečeného přístupu a pak vyberte Rozšířená diagnostika. Vyberte kartu Provoz a vyberte Začít shromažďovat.
  2. Přístup k privátním prostředkům, které jste nakonfigurovali pomocí privátního přístupu Entra, jako je sdílená složka SMB. Otevřete \\YourFileServer.yourdomain.com pomocí nabídky Start/Run z okna průzkumníka.
  3. V hlavním panelu systému klikněte pravým tlačítkem myši na klienta globálního zabezpečeného přístupu a pak vyberte Rozšířená diagnostika. V dialogovém okně Síťový provoz vyberte Zastavit shromažďování.
  4. V dialogovém okně Síťový provoz se posuňte, abyste mohli sledovat provoz vygenerovaný, abyste potvrdili, že provoz privátního přístupu zpracoval klient globálního zabezpečeného přístupu.
  5. Můžete také ověřit, jestli je provoz zachycený microsoftem Entra, a to ověřením provozu v protokolech přenosů globálního zabezpečeného přístupu z Centra pro správu Microsoft Entra v protokolech provozu globálního monitorování > zabezpečeného přístupu>.
  6. Přístup ke všem webům z prohlížečů a ověření, že v protokolech přenosů globálního zabezpečeného přístupu chybí internetový provoz, a to pouze v Cisco Umbrella.

Další kroky