Povolení a správa profilu předávání přenosů Microsoftu
Když je profil Microsoftu povolený, Microsoft Entra Přístup k Internetu získá provoz do služby Microsoft. Profil Microsoftu spravuje následující skupiny zásad:
- Exchange Online
- SharePoint Online a Microsoft OneDrive
- Microsoft 365 Common a Office Online
Požadavky
Pokud chcete pro vašeho tenanta povolit profil přesměrování provozu Microsoftu, musíte mít:
- Role globálního správce zabezpečeného přístupu v MICROSOFT Entra ID pro povolení profilů přenosů
- Role správce podmíněného přístupu pro vytváření a interakci se zásadami podmíněného přístupu
- Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
Známá omezení
- Jednotlivé služby se průběžně přidávají do profilu provozu Microsoftu. V současné době se v rámci profilu provozu Microsoftu podporuje MICROSOFT Entra ID, Microsoft Graph, Exchange Online a SharePoint Online.
- Další omezení profilu provozu Microsoftu najdete v tématu Známá omezení klienta systému Windows.
Povolení profilu provozu Microsoftu
Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
Přejděte k předávání přenosů přes globální zabezpečený přístup.>>
Povolte profil provozu Microsoftu. Provoz Microsoftu začíná předávat ze všech klientských zařízení na proxy microsoftu Security Service Edge (SSE), kde můžete nakonfigurovat pokročilé funkce zabezpečení specifické pro provoz Microsoftu.
Zásady provozu Microsoftu
Pokud chcete spravovat podrobnosti zahrnuté v zásadách předávání přenosů Od Microsoftu, vyberte odkaz Zobrazit pro zásady provozu Microsoftu.
Zobrazí se skupiny zásad se zaškrtávacím zaškrtávacím polem, které označuje, jestli je skupina zásad povolená. Rozbalením skupiny zásad zobrazíte všechny IP adresy a plně kvalifikované názvy domén, které jsou součástí skupiny.
Skupiny zásad obsahují následující podrobnosti:
- Typ cíle: Plně kvalifikovaný název domény nebo podsíť PROTOKOLU IP
- Cíl: Podrobnosti o plně kvalifikovaném názvu domény nebo podsíti IP
- Porty: Porty TCP nebo UDP, které jsou kombinovány s IP adresami pro vytvoření koncového bodu sítě
- Protokol: TCP (Transmission Control Protocol) nebo UDP (User Datagram Protocol)
- Akce: Předání nebo obejití
Pravidla získávání provozu můžete nakonfigurovat tak, aby obešla získávání provozu. Pokud to uděláte, uživatelé budou mít stále přístup k prostředkům; Služba globálního zabezpečeného přístupu však nebude zpracovávat provoz. Provoz můžete obejít na konkrétní plně kvalifikovaný název domény nebo IP adresu, celou skupinu zásad v rámci profilu nebo celý samotný profil Microsoftu. Pokud potřebujete předat jenom některé prostředky Microsoftu v rámci skupiny zásad, povolte skupinu a podle toho změňte akci v podrobnostech.
Důležité
Pokud je pravidlo nastaveno na Vynechat, profil provozu Internet Access tento provoz nezíská. I s povoleným profilem internetového přístupu přeskočí vynechaný provoz získání globálního zabezpečeného přístupu a použije cestu směrování sítě klienta k odchozímu přenosu dat do internetu. Provoz dostupný k získání v profilu provozu Microsoftu je možné získat pouze v profilu provozu Microsoftu.
Následující příklad ukazuje nastavení plně kvalifikovaného *.sharepoint.com
názvu domény na Bypass , aby se provoz nepřesměroval do služby.
Pokud se klient globálního zabezpečeného přístupu nemůže připojit ke službě (například kvůli autorizaci nebo selhání podmíněného přístupu), služba provoz obchází . Provoz se odesílá přímo a místně místo blokování. V tomto scénáři můžete vytvořit zásadu podmíněného přístupu pro kontrolu kompatibilní sítě, která zablokuje provoz, pokud se klient nemůže připojit ke službě.
Propojené zásady podmíněného přístupu
Zásady podmíněného přístupu se vytvoří a použijí na profil předávání přenosů v oblasti podmíněného přístupu v Microsoft Entra ID. Můžete například vytvořit zásadu, která vyžaduje vyhovující zařízení, když uživatelé navazují síťové připojení pro služby v profilu provozu Microsoftu.
Pokud se v části Zásady podmíněného přístupu propojeného podmíněného přístupu zobrazí žádná zásada, nejsou zásady podmíněného přístupu propojené s profilem předávání přenosů. Pokud chcete vytvořit zásady podmíněného přístupu, přečtěte si téma Univerzální podmíněný přístup prostřednictvím globálního zabezpečeného přístupu.
Úprava existujících zásad podmíněného přístupu
Pokud má profil předávání přenosů propojenou zásadu podmíněného přístupu, můžete tuto zásadu zobrazit a upravit.
Vyberte odkaz Zobrazit pro propojené zásady podmíněného přístupu.
Vyberte zásadu ze seznamu. Podrobnosti o zásadách otevřených v podmíněném přístupu
Přiřazení vzdálené sítě profilu provozu Microsoftu
Profily přenosů je možné přiřadit ke vzdáleným sítím, aby se síťový provoz předával do globálního zabezpečeného přístupu bez nutnosti instalovat klienta na zařízení koncových uživatelů. Pokud je zařízení za místním vybavením zákazníka (CPE), klient se nevyžaduje. Před přidáním do profilu je nutné vytvořit vzdálenou síť. Další informace naleznete v tématu Vytváření vzdálených sítí.
Přiřazení vzdálené sítě k profilu Microsoftu:
- Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
- Přejděte k předávání přenosů přes globální zabezpečený přístup.>>
- V části Odebrat přiřazení sítě vyberte odkaz Zobrazit profil.
- Ze seznamu vyberte vzdálenou síť a vyberte Přidat.
Přiřazení uživatelů a skupin
Profil Microsoftu můžete nastavit na konkrétní uživatele a skupiny místo použití profilu provozu pro všechny uživatele. Další informace o přiřazení uživatelů a skupin najdete v tématu Přiřazení a správa uživatelů a skupin pomocí profilů přesměrování provozu.
Další kroky
Dalším krokem pro zahájení práce s profilem provozu Microsoftu je instalace a konfigurace globálního klienta zabezpečeného přístupu na zařízeních koncových uživatelů.
Další informace o přesměrování provozu najdete v následujícím článku: