Sdílet prostřednictvím

Jak nakonfigurovat filtrování webového obsahu pro globální zabezpečený přístup

Filtrování webového obsahu umožňuje implementovat podrobné internetové řízení přístupu pro vaši organizaci na základě kategorizace webu.

Microsoft Entra Internet Access má mezi svými prvními funkcemi SWG (Secure Web Gateway) filtrování webového obsahu na základě názvů domén. Microsoft integruje podrobné zásady filtrování s Microsoft Entra ID a Microsoft Entra Podmíněný přístup, což vede k zásadám filtrování, které jsou uživatelsky vědomé, kontextově vědomé a snadno spravovatelné.

Funkce webového filtrování je v současné době omezena na filtrování webových kategorií s přihlédnutím k uživateli a kontextu na základě plně kvalifikovaného názvu domény (FQDN) a filtrování podle FQDN.

Požadavky

  • Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu , musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí.

  • Dokončete příručku Začínáme s globálním zabezpečeným přístupem .

  • Nainstalujte klienta globálního zabezpečeného přístupu na zařízení koncových uživatelů.

  • Pokud chcete tunelovat síťový provoz, musíte zakázat dns (Domain Name System) přes HTTPS (Secure DNS). Použijte pravidla plně kvalifikovaných názvů domén (FQDN) v profilu pro směrování přenosu. Další informace naleznete v tématu Konfigurace klienta DNS pro podporu DoH.

  • Zakažte integrovaného klienta DNS v Chromu a Microsoft Edgi.

  • Provoz IPv6 není získáván klientem, a proto je přenášen přímo do sítě. Pokud chcete povolit tunelování všech relevantních přenosů, nastavte upřednostněné vlastnosti síťového adaptéru na IPv4.

  • Přenosy protokolu UDP (User Datagram Protocol) (tj. QUIC) nejsou v aktuální verzi Preview internetového přístupu podporované. Většina webů podporuje náhradní přenos do protokolu TCP (Transmission Control Protocol), když není možné navázat QUIC. Pro vylepšené uživatelské prostředí můžete nasadit pravidlo brány Windows Firewall, které blokuje odchozí UDP 443: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.

  • Projděte si koncepty filtrování webového obsahu. Další informace najdete v tématu Filtrování webového obsahu.

Hlavní kroky

Při konfiguraci filtrování webového obsahu existuje několik kroků. Poznamenejte si, kde je potřeba nakonfigurovat zásady podmíněného přístupu.

  1. Povolte přesměrování internetového provozu.
  2. Vytvořte zásadu filtrování webového obsahu.
  3. Vytvořte profil zabezpečení.
  4. Propojte profil zabezpečení se zásadami podmíněného přístupu.
  5. Přiřaďte uživatele nebo skupiny k profilu přesměrování provozu.

Povolte předávání internetového provozu

Prvním krokem je povolení profilu pro přesměrování provozu internetového připojení. Další informace o profilu a jejím povolení najdete v tématu Správa profilu předávání přenosů z internetu.

Vytvoření zásady filtrování webového obsahu

  1. Přejděte na Globální zabezpečený přístup>zabezpečené>zásady filtrování webového obsahu.
  2. Vyberte Vytvořit politiku.
  3. Zadejte název a popis zásady a vyberte Další.
  4. Vyberte Přidat pravidlo.
  5. Zadejte název, vyberte webovou kategorii nebo platný plně kvalifikovaný název domény a pak vyberte Přidat.
    • Platné FQDN v této funkci mohou také obsahovat zástupné znaky pomocí symbolu hvězdičky, *.
  6. Vyberte Další , chcete-li zásadu zkontrolovat, a pak vyberte Vytvořit zásadu.

Důležité

Nasazení změn filtrování webového obsahu může trvat až hodinu.

Vytvoření profilu zabezpečení

Profily zabezpečení jsou seskupení zásad filtrování. Profily zabezpečení můžete přiřadit nebo propojit pomocí zásad podmíněného přístupu Microsoft Entra. Jeden profil zabezpečení může obsahovat několik zásad filtrování. A jeden profil zabezpečení je možné přidružit k několika zásadám podmíněného přístupu.

V tomto kroku vytvoříte profil zabezpečení pro seskupení zásad filtrování. Potom přiřadíte nebo propojíte profily zabezpečení se zásadami podmíněného přístupu, aby se staly citlivými na uživatele nebo kontext.

Poznámka:

Další informace o zásadách podmíněného přístupu společnosti Microsoft Entra najdete v tématu Vytvoření zásad podmíněného přístupu.

  1. Přejděte do Globálního zabezpečeného přístupu>Zabezpečení>Profilů zabezpečení.
  2. Vyberte Vytvořit profil.
  3. Zadejte název a popis zásady a vyberte Další.
  4. Vyberte Propojit zásadu a pak vyberte Existující zásady.
  5. Vyberte zásadu filtrování webového obsahu, kterou jste už vytvořili, a vyberte Přidat.
  6. Výběrem možnosti Další zkontrolujte profil zabezpečení a přidružené zásady.
  7. Vyberte Vytvořit profil.
  8. Výběrem možnosti Aktualizovat aktualizujte stránku profilů a zobrazte nový profil.

Vytvořte zásadu podmíněného přístupu pro koncové uživatele nebo skupiny a doručte profil zabezpečení prostřednictvím řízení relací podmíněného přístupu. Podmíněný přístup je mechanismus doručení pro uživatele a kontextovou povědomost ve vztahu k zásadám přístupu na internet. Další informace o ovládacích prvcích relací najdete v tématu Podmíněný přístup: Relace.

  1. Přejděte do Entra ID>Podmíněný přístup.
  2. Vyberte Vytvořit novou zásadu.
  3. Zadejte jméno a přiřaďte uživatele nebo skupinu.
  4. Vyberte Cílové prostředky a Všechny internetové prostředky s globálním zabezpečeným přístupem.
  5. Vyberte Relace>Použít bezpečnostní profil globálního zabezpečeného přístupu a zvolte profil zabezpečení.
  6. Vyberte Vybrat.
  7. V části Povolit zásadu se ujistěte, že je vybraná možnost Zapnuto .
  8. Vyberte Vytvořit.

Diagram toku přístupu k internetu

Tento příklad ukazuje tok provozu Microsoft Entra Přístup k Internetu při použití zásad filtrování webového obsahu.

Následující diagram toku znázorňuje zásady filtrování webového obsahu, které blokují nebo umožňují přístup k internetovým prostředkům.

Diagram znázorňuje tok zásad filtrování webového obsahu, které blokují nebo umožňují přístup k internetovým prostředkům.

Krok Popis
1 Klient globálního zabezpečeného přístupu se pokusí připojit k řešení Microsoft Security Service Edge.
2 Klient se přesměruje na Microsoft Entra ID kvůli ověřování a autorizaci.
3 Uživatel a zařízení se ověřují. Ověřování proběhne bezproblémově, když má uživatel platný primární obnovovací token (PRT).
4 Po ověření uživatele a zařízení se podmíněný přístup shoduje s pravidly podmíněného přístupu k internetu a přidá do tokenu příslušné profily zabezpečení. Vynucuje platné zásady autorizace.
5 Microsoft Entra ID představuje token do Microsoft Security Service Edge pro ověření.
6 Tunel se vytvoří mezi klientem globálního zabezpečeného přístupu a Microsoft Security Service Edge.
7 Provoz začíná být zachytáván a je tunelován tunelem Internet Access.
8 Microsoft Security Service Edge vyhodnocuje zásady zabezpečení v přístupovém tokenu v pořadí priority. Jakmile se shoda s pravidlem filtrování webového obsahu nalezne, vyhodnocení politiky filtrování webového obsahu se zastaví.
9 Microsoft Security Service Edge vynucuje zásady zabezpečení.
10 Zásada = blokování způsobí chybu pro provoz HTTP nebo výjimku resetování připojení pro provoz HTTPS.
11 Politika = povolit směrování provozu na cíl.

Poznámka:

Použití nového profilu zabezpečení může trvat až 60 až 90 minut kvůli vynucení profilu zabezpečení s přístupovými tokeny. Uživatel musí před jeho uplatněním obdržet nový přístupový token s novým ID bezpečnostního profilu jako atribut. Změny stávajících profilů zabezpečení se začnou vynucovat mnohem rychleji.

Přiřazení uživatelů a skupin

Profil aplikace Internet Access můžete nastavit na konkrétní uživatele a skupiny. Další informace o přiřazení uživatelů a skupin najdete v tématu Přiřazení a správa uživatelů a skupin pomocí profilů přesměrování provozu.

Ověřte prosazování politiky pro koncové uživatele

Když provoz dosáhne Microsoft's Secure Service Edge, Microsoft Entra Internet Access provádí bezpečnostní kontroly dvěma způsoby. Pro nešifrovaný provoz HTTP používá adresu URL (Uniform Resource Locator). Pro provoz HTTPS šifrovaný pomocí protokolu TLS (Transport Layer Security) používá indikaci názvu serveru (SNI).

Použijte zařízení s Windows s nainstalovaným klientem globálního zabezpečeného přístupu. Přihlaste se jako uživatel, kterému byl přidělen profil pro získávání internetového provozu. Otestujte, že navigace na weby je povolená nebo omezená podle očekávání.

  1. Pravým tlačítkem myši klikněte na ikonu klienta globálního zabezpečeného přístupu v hlavním panelu správce úloh a otevřeteprofil předávání>. Ujistěte se, že jsou k dispozici pravidla získání přístupu k internetu. Zkontrolujte také, zda se při prohlížení získává název hostitele a zda se zaznamenávají toky internetového provozu uživatelů.

  2. Přejděte na povolené a blokované weby a zkontrolujte, jestli se chovají správně. Přejděte k Globální zabezpečený přístup>Monitor>protokolům přenosů a ověřte, že je provoz blokován nebo povolen příslušným způsobem.

Aktuální mechanismus blokování pro všechny prohlížeče zahrnuje chybu prohlížeče ve formátu prostého textu pro provoz HTTP a chybu 'Obnovení připojení' pro provoz HTTPS.

Snímek obrazovky zobrazující chybu prohlížeče v prostém textu při komunikaci přes HTTP.

Snímek obrazovky s chybou prohlížeče „Resetování připojení“ pro provoz HTTPS.

Poznámka:

Změny konfigurace v prostředí globálního zabezpečeného přístupu související s filtrováním webového obsahu se obvykle projeví za méně než 5 minut. Změny konfigurace v podmíněném přístupu související s filtrováním webového obsahu se projeví přibližně za hodinu.

Další kroky