Další informace o koexististenci služby Security Service Edge (SSE) s Microsoftem a Palo Alto Networks

Řešení Microsoft a Palo Alto Networks SSE je možné používat společně v jednotném prostředí. Při společném použití využijete robustní sadu schopností z obou platforem, čímž vylepšíte svůj přístup k SASE. Součinnost mezi těmito platformami zvyšuje zabezpečení a poskytuje bezproblémové připojení.

Tento dokument obsahuje kroky pro nasazení těchto řešení vedle sebe v několika různých scénářích přístupu.

1. Konfigurace 1: Privátní přístup Microsoft Entra s Palo Alto Prisma Access pro zabezpečený přístup k internetu

V tomto scénáři bude globální zabezpečený přístup zpracovávat provoz privátních aplikací. Aplikace Prisma Access bude zaznamenávat pouze internetový provoz.

2. Konfigurace 2: Privátní přístup Microsoft Entra s palo Alto Prisma Access pro privátní aplikaci a přístup k internetu

V tomto scénáři budou oba klienti zpracovávat provoz pro samostatné privátní aplikace. Privátní aplikace v privátním přístupu Microsoft Entra budou zpracovávány globálním zabezpečeným přístupem, zatímco privátní aplikace v připojeních služby Prisma Access nebo konektory ZTNA budou přístupné prostřednictvím klienta GlobalProtect. Internetový provoz bude zpracován aplikací Prisma Access.

3. Konfigurace 3: Microsoft Entra Microsoft Access s Palo Alto Prisma Access pro privátní aplikace a přístup k internetu

V tomto scénáři bude globální zabezpečený přístup zpracovávat veškerý provoz Microsoftu 365. Prisma Access bude zpracovávat privátní aplikace prostřednictvím připojení služby nebo konektorů ZTNA. Internetový provoz bude zpracován aplikací Prisma Access.

4. Konfigurace 4: Microsoft Entra Internet Access a Microsoft Entra Microsoft Access s Palo Alto Prisma Access pro privátní přístup k aplikacím

V tomto scénáři bude globální zabezpečený přístup zpracovávat provoz internetu a Microsoftu 365. Prisma Access bude zaznamenávat pouze přenosy privátních aplikací prostřednictvím připojení služby nebo konektorů ZTNA.

Poznámka:

Následující konfigurace byly testovány pro Palo Alto Prisma Access a spravovány pomocí Strata Cloud Manageru. Privátní přístup k aplikacím byl testován prostřednictvím konektorů Service Connections a ZTNA. Připojení ke službě Prisma Access poskytla služba GlobalProtect a otestovala se s konfigurací SSL a IPsec VPN.

Požadavky

Pokud chcete nakonfigurovat Microsoft a Palo Alto Prisma Access pro sjednocené řešení SASE, začněte nastavením microsoft Entra Internet Access a Microsoft Entra Private Access. Dále nakonfigurujte Prisma Access pro privátní přístup k aplikacím pomocí připojení služby nebo konektoru ZTNA. Nakonec nezapomeňte vytvořit požadovaný plně kvalifikovaný název domény a obtékání IP adres, abyste zajistili bezproblémovou integraci mezi těmito dvěma platformami.

• Nastavte microsoft Entra Internet Access a Microsoft Entra Private Access. Tyto produkty tvoří globální řešení zabezpečeného přístupu.
• Nastavení přístupu Palo Alto Prisma pro privátní přístup a přístup k internetu
• Konfigurace plně kvalifikovaného názvu domény globálního zabezpečeného přístupu a obcházejích IP adres

Globální zabezpečený přístup Microsoftu

Pokud chcete nastavit globální zabezpečený přístup a otestovat všechny scénáře v této dokumentaci, budete muset provést následující kroky.

• Povolte a zakažte různé profily směrování provozu globálního zabezpečeného přístupu ve vašem tenantovi Microsoft Entra. Další informace o povolení a zakázání profilů najdete v části Profily předávání provozu pro Globální zabezpečený přístup.

• Nainstalujte a nakonfigurujte privátní síťový konektor Microsoft Entra. Informace o instalaci a konfiguraci konektoru najdete v tématu Postup konfigurace konektorů.

Poznámka:

Konektory privátní sítě jsou vyžadovány pro aplikace Microsoft Entra Private Access.

• Nakonfigurujte rychlý přístup k vašim privátním prostředkům a nastavte privátní systém názvů domén (DNS) a přípony DNS. Informace o tom, jak nakonfigurovat Rychlý přístup, najdete v tématu Postup konfigurace rychlého přístupu.
• Nainstalujte a nakonfigurujte klienta globálního zabezpečeného přístupu na zařízeních koncových uživatelů. Další informace o klientech najdete v tématu Globální klienti zabezpečeného přístupu. Informace o tom, jak nainstalovat klienta systému Windows, najdete v tématu globálního klienta zabezpečeného přístupu pro Windows. Informace o systému macOS najdete v tématu Globální klient zabezpečeného přístupu pro macOS.

Palo Alto Prisma Access

Pokud chcete integrovat Palo Alto Prisma Access se službou Microsoft Global Secure Access, ujistěte se, že splňujete následující požadavky. Tyto kroky zajišťují bezproblémovou integraci, lepší správu provozu a lepší zabezpečení.

• Nastavte připojení služby nebo konektor ZTNA pro Prisma Access, abyste povolili přístup k privátním aplikacím. Další informace o nastavení připojení služby najdete v dokumentaci Palo Alto pro konfiguraci připojení služby. Konektor ZTNA najdete v dokumentaci Palo Alto ke konfiguraci konektoru ZTNA.
• Nastavte globalProtect pro mobilní uživatele, aby povolili vzdálený přístup k privátním aplikacím. Další informace naleznete v dokumentaci k instalaci GlobalProtect.
• Nakonfigurujte nastavení tunelu GlobalProtect a nastavení aplikace pro práci s privátním DNS Microsoft Entra a obejití plně kvalifikovaného názvu domény (FQDN) a IP adres služby Microsoft Entra.

Nastavení tunelu:

1. Na portálu Strata Cloud Manager přejděte do části Pracovní postupy>Prisma Access Nastavení>GlobalProtect>GlobalProtect aplikace>Nastavení tunelu.
2. V části Rozdělené tunelování vylučte provoz přidáním domény a tras: *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16.

Nastavení aplikace:

1. Na portálu Strata Cloud Manager přejděte do Pracovní postupy>Prisma Access Setup>GlobalProtect>GlobalProtect aplikace>Nastavení aplikace
2. Posuňte se na Konfigurace aplikace>Zobrazit rozšířené možnosti>DNS a zrušte zaškrtnutí políčka pro Přeložit všechny plně kvalifikované názvy domén pomocí serverů DNS přiřazených tunelem (pouze Windows).

   Poznámka:

   Nastavení "Překládání všech FQDN prostřednictvím DNS serverů přiřazených tunelem (pouze Windows)" by mělo být zakázáno při používání Microsoft Entra Private DNS (konfigurace 1 a 2). Během testování bylo toto nastavení povoleno (zaškrtnuto ) pro konfigurace 3 a 4.

3. Přejděte do části Pracovní postupy>Nastavení Prisma Access>GlobalProtect>Aplikace GlobalProtect. Vyberte Push konfiguraci a v pravém horním rohu obrazovky vyberte Push.
4. Ověřte, že konfigurace byla odeslaná do klienta GlobalProtect. Přejděte do části Správa>Operace>Stav upozornění.
5. Nainstalujte klienta Palo Alto Networks GlobalProtect. Další informace o instalaci klienta Palo Alto Networks GlobalProtect pro Windows naleznete v tématu GlobalProtect App for Windows. Informace o systému macOS najdete v tématu GlobalProtect App pro macOS. Pokud chcete nastavit klienta GlobalProtect, existuje mnoho možností, například propojení Microsoft Entra ID k vytvoření vašich účtů. Další informace o možnostech najdete v tématu Integrace jednotného přihlašování (SSO) Microsoftu s Palo Alto Networks – GlobalProtect. Pro nejzásadnější nastavení přidejte místního uživatele do GlobalProtect z Správce cloudu Společnosti Palo Alto Networks.
6. Přejděte na >>
7. Vyberte Obor konfigurace>GlobalProtect a pak vyberte Služby identit>Místní uživatelé a skupiny>Místní uživatelé. Přidejte uživatele a heslo pro testování.
8. Po instalaci klienta uživatelé zadají adresu portálu a jejich přihlašovací údaje.
9. Když se uživatelé přihlásí, ikona připojení se změní na modrou a kliknutím se zobrazí v připojeném stavu.

   Poznámka:

   Pokud v konfiguraci 4 dochází k problémům s připojením ke službě GlobalProtect pomocí místních uživatelů, zkuste nastavit jednotné přihlašování Microsoft Entra.

Konfigurace 1: Privátní přístup Microsoft Entra s Palo Alto Prisma Access pro zabezpečený přístup k internetu

V tomto scénáři bude globální zabezpečený přístup zpracovávat provoz privátních aplikací. Aplikace Prisma Access bude zaznamenávat pouze internetový provoz.

Konfigurace privátního přístupu Microsoft Entra

V tomto scénáři budete muset provést následující akce.

• Povolte profil předávání privátního přístupu Microsoft Entra.
• Nainstalujte privátní síťový konektor pro privátní přístup Microsoft Entra.
• Nakonfigurujte Rychlý přístup a nastavte privátní DNS.
• Nainstalujte a nakonfigurujte klienta globálního zabezpečeného přístupu pro Windows nebo macOS.

Konfigurace přístupu Palo Alto Prisma

V tomto scénáři budete muset provést následující kroky na portálu Palo Alto Strata Cloud Manager.

• Nastavte a nakonfigurujte GlobalProtect pro mobilní uživatele.
• Nakonfigurujte nastavení tunelu GlobalProtect a nastavení aplikace tak, aby fungovaly s globálním zabezpečeným přístupem. Postupujte podle pokynů uvedených výše v nastavení tunelu a nastavení aplikace.
• Nainstalujte klienta Palo Alto Networks GlobalProtect pro Windows, aplikaci GlobalProtect pro Windows nebo macOS, Aplikaci GlobalProtect pro macOS.

Po instalaci a spuštění obou klientů vedle sebe a konfigurace z portálů pro správu jsou dokončeny, přejděte na hlavním panelu systému a zkontrolujte, jestli jsou povoleni globální zabezpečený přístup a klienti GlobalProtect.

Ověřte konfiguraci pro klienta globálního zabezpečeného přístupu.

1. Klikněte pravým tlačítkem myši na profil předávání rozšířené diagnostiky > klienta > Globální zabezpečený přístup a ověřte, že jsou pro tohoto klienta použita pravidla privátního přístupu a privátního DNS.
2. Přejděte do Pokročilé diagnostiky – kontrola stavu> a ujistěte se, že žádné kontroly neselhávají.

Poznámka:

Informace o řešení potíží se selháními kontroly stavu najdete v tématu Řešení potíží s globálním klientem zabezpečeného přístupu: Kontrola stavu – Globální zabezpečený přístup | Microsoft Learn.

Testování toku provozu

1. Na hlavním panelu systému klikněte pravým tlačítkem myši na globálního klienta zabezpečeného přístupu a pak vyberte Rozšířená diagnostika. Vyberte kartu Provoz a vyberte Začít shromažďovat.
2. Přístup k těmto webům z prohlížečů: salesforce.com, Instagram.com, yelp.com.
3. Na systémové liště klikněte pravým tlačítkem myši na Global Secure Access Client a vyberte Rozšířenou diagnostiku>kartu Provoz.
4. Posuňte se a všimněte si, že klient globálního zabezpečeného přístupu nezachytává provoz z těchto webů.
5. Přihlaste se do centra pro správu Microsoft Entra a přejděte na Globální zabezpečený přístup>Monitorování>Protokoly provozu. Ověřte, že v protokolech přenosů globálního zabezpečeného přístupu chybí provoz související s těmito weby.
6. Přihlaste se ke Správci cloudu Palo Alto Networks a přejděte na Incidenty a upozornění>Prohlížeč protokolů.
7. Ověřte, jestli se provoz související s těmito weby nachází v protokolech přístupu Prisma.
8. Přistupte k svojí privátní aplikaci nastavené v Microsoft Entra pro soukromý přístup. Například přístup ke sdílené složce prostřednictvím protokolu SMB (Server Message Block).
9. Přihlaste se do centra pro správu Microsoft Entra a přejděte na Globální zabezpečený přístup>Monitorování>Protokoly provozu.
10. Ověřte, že se provoz související se sdílenou složkou zaznamenává v protokolech přenosů globálního zabezpečeného přístupu.
11. Přihlaste se ke Správci cloudu Palo Alto Networks a přejděte na Incidenty a upozornění>Prohlížeč protokolů. Ověřte, že se v protokolech nezobrazuje provoz související s privátní aplikací.
12. Na hlavním panelu systému klikněte pravým tlačítkem myši na globálního klienta zabezpečeného přístupu a pak vyberte Rozšířená diagnostika. V dialogovém okně Provoz vyberte Zastavit shromažďování.
13. Posuňte se a potvrďte, že klient globálního zabezpečeného přístupu zpracovával pouze provoz privátní aplikace.

Konfigurace 2: Privátní přístup Microsoft Entra s palo Alto Prisma Access pro privátní aplikaci a přístup k internetu

V tomto scénáři budou oba klienti zpracovávat provoz pro samostatné privátní aplikace. Privátní aplikace v privátním přístupu Microsoft Entra budou zpracovávány globálním zabezpečeným přístupem, zatímco privátní aplikace v připojeních služby Prisma Access nebo konektory ZTNA budou přístupné prostřednictvím klienta GlobalProtect. Internetový provoz bude zpracován aplikací Prisma Access.

Konfigurace privátního přístupu Microsoft Entra

V tomto scénáři budete muset:

• Povolte profil předávání privátního přístupu Microsoft Entra.
• Nainstalujte privátní síťový konektor pro privátní přístup Microsoft Entra.
• Nakonfigurujte Rychlý přístup a nastavte privátní DNS.
• Nainstalujte a nakonfigurujte klienta globálního zabezpečeného přístupu pro Windows nebo macOS.

Konfigurace Palo Alto Networks

V tomto scénáři budete muset provést následující kroky na portálu Palo Alto Strata Cloud Manager.

• Nastavte a nakonfigurujte GlobalProtect pro mobilní uživatele.
• Nakonfigurujte nastavení tunelu GlobalProtect a nastavení aplikace tak, aby fungovaly s globálním zabezpečeným přístupem. Postupujte podle pokynů uvedených výše v nastavení tunelu a nastavení aplikace.
• Nainstalujte klienta Palo Alto Networks GlobalProtect pro Windows, aplikaci GlobalProtect pro Windows nebo macOS, Aplikaci GlobalProtect pro macOS.

Po instalaci a spuštění obou klientů vedle sebe a konfigurace z portálů pro správu jsou dokončeny, přejděte na hlavním panelu systému a zkontrolujte, jestli jsou povoleni globální zabezpečený přístup a klienti GlobalProtect.

Ověřte konfiguraci pro klienta globálního zabezpečeného přístupu.

1. Klikněte pravým tlačítkem myši na profil předávání rozšířené diagnostiky > klienta > Globální zabezpečený přístup a ověřte, že jsou pro tohoto klienta použita pravidla privátního přístupu a privátního DNS.
2. Přejděte do Pokročilé diagnostiky – kontrola stavu> a ujistěte se, že žádné kontroly neselhávají.

Poznámka:

Informace o řešení potíží se selháními kontroly stavu najdete v tématu Řešení potíží s globálním klientem zabezpečeného přístupu: Kontrola stavu – Globální zabezpečený přístup | Microsoft Learn.

Testování toku provozu

1. Na hlavním panelu systému klikněte pravým tlačítkem myši na globálního klienta zabezpečeného přístupu a pak vyberte Rozšířená diagnostika. Vyberte kartu Provoz a vyberte Začít shromažďovat.
2. Přístup k těmto webům z prohlížečů: salesforce.com, Instagram.com, yelp.com.
3. Na systémové liště klikněte pravým tlačítkem myši na Global Secure Access Client a vyberte Rozšířenou diagnostiku>kartu Provoz.
4. Posuňte se a všimněte si, že klient globálního zabezpečeného přístupu nezachytává provoz z těchto webů.
5. Přihlaste se do centra pro správu Microsoft Entra a přejděte na Globální zabezpečený přístup>Monitorování>Protokoly provozu. Ověřte, že v protokolech přenosů globálního zabezpečeného přístupu chybí provoz související s těmito weby.
6. Přihlaste se ke Správci cloudu Palo Alto Networks a přejděte na Incidenty a upozornění>Prohlížeč protokolů.
7. Ověřte, jestli se provoz související s těmito weby nachází v protokolech přístupu Prisma.
8. Přistupte k svojí privátní aplikaci nastavené v Microsoft Entra pro soukromý přístup. Například přístup ke sdílené složce prostřednictvím protokolu SMB (Server Message Block).
9. Přístup k privátní aplikaci nastavené v aplikaci Prisma Access prostřednictvím připojení služby nebo konektoru ZTNA Otevřete například relaci protokolu RDP pro privátní server.
10. Přihlaste se do centra pro správu Microsoft Entra a přejděte na Globální zabezpečený přístup>Monitorování>Protokoly provozu.
11. Ověřte, že se zaznamenává provoz související s privátní aplikací sdílené složky SMB a že se v protokolech přenosů globálního zabezpečeného přístupu nezachytává provoz související s relací protokolu RDP.
12. Přihlaste se ke Správci cloudu Palo Alto Networks a přejděte na Incidenty a upozornění>Prohlížeč protokolů. Ověřte, že je k dispozici provoz související s privátní relací protokolu RDP a že přenosy související se sdílenou složkou SMB nejsou v protokolech.
13. Na hlavním panelu systému klikněte pravým tlačítkem myši na globálního klienta zabezpečeného přístupu a pak vyberte Rozšířená diagnostika. V dialogovém okně síťového provozu vyberte Zastavit shromažďování.
14. Přejděte dolů, abyste potvrdili, že klient globálního zabezpečeného přístupu zpracovával provoz soukromých aplikací pro sdílenou složku SMB a nezpracovával provoz relací RDP.

Konfigurace 3: Microsoft Entra Microsoft Access s Palo Alto Prisma Access pro privátní aplikace a přístup k internetu

V tomto scénáři bude globální zabezpečený přístup zpracovávat veškerý provoz Microsoftu 365. Prisma Access bude zpracovávat privátní aplikace prostřednictvím připojení služeb nebo konektorů ZTNA a internetového provozu.

Konfigurace Microsoft Entra Microsoft Accessu

V tomto scénáři budete muset:

• Povolte profil předávání v Microsoft Entra Accessu.
• Nainstalujte a nakonfigurujte klienta globálního zabezpečeného přístupu pro Windows nebo macOS.

Konfigurace Palo Alto Networks

V tomto scénáři budete muset provést následující kroky na portálu Palo Alto Strata Cloud Manager.

• Nastavte a nakonfigurujte GlobalProtect pro mobilní uživatele.
• Nakonfigurujte nastavení tunelu GlobalProtect a nastavení aplikace tak, aby fungovaly s globálním zabezpečeným přístupem. Postupujte podle pokynů uvedených výše v nastavení tunelu a nastavení aplikace.
• Nainstalujte klienta Palo Alto Networks GlobalProtect pro Windows, aplikaci GlobalProtect pro Windows nebo macOS, Aplikaci GlobalProtect pro macOS.

Poznámka:

Pro tuto konfiguraci povolte vyřešení všech plně kvalifikovaných názvů domén pomocí serverů DNS poskytovaných tunelem (pouze pro Windows) v nastavení aplikace.

Po instalaci a spuštění obou klientů vedle sebe a konfigurace z portálů pro správu jsou dokončeny, přejděte na hlavním panelu systému a zkontrolujte, jestli jsou povoleni globální zabezpečený přístup a klienti GlobalProtect.

Ověřte konfiguraci pro klienta globálního zabezpečeného přístupu.

1. Pravým tlačítkem myši klikněte na klienta > globálního zabezpečeného přístupu > profil rozšířené diagnostiky přesměrování a ověřte, že jsou pro tohoto klienta použita pravidla Microsoft 365.
2. Přejděte do Pokročilé diagnostiky – kontrola stavu> a ujistěte se, že žádné kontroly neselhávají.

Poznámka:

Informace o řešení potíží se selháními kontroly stavu najdete v tématu Řešení potíží s globálním klientem zabezpečeného přístupu: Kontrola stavu – Globální zabezpečený přístup | Microsoft Learn.

Testování toku provozu

1. Na hlavním panelu systému klikněte pravým tlačítkem myši na globálního klienta zabezpečeného přístupu a pak vyberte Rozšířená diagnostika. Vyberte kartu Provoz a vyberte Začít shromažďovat.
2. Přístup k těmto webům z prohlížečů: salesforce.com, Instagram.com, yelp.com.
3. Na systémové liště klikněte pravým tlačítkem myši na Global Secure Access Client a vyberte Rozšířenou diagnostiku>kartu Provoz.
4. Posuňte se a všimněte si, že klient globálního zabezpečeného přístupu nezachytává provoz z těchto webů.
5. Přihlaste se do centra pro správu Microsoft Entra a přejděte na Globální zabezpečený přístup>Monitorování>Protokoly provozu. Ověřte, že v protokolech přenosů globálního zabezpečeného přístupu chybí provoz související s těmito weby.
6. Přihlaste se ke Správci cloudu Palo Alto Networks a přejděte na Incidenty a upozornění>Prohlížeč protokolů.
7. Ověřte, jestli se provoz související s těmito weby nachází v protokolech přístupu Prisma.
8. Přístup k privátní aplikaci nastavené v aplikaci Prisma Access prostřednictvím připojení služby nebo konektoru ZTNA Otevřete například relaci protokolu RDP pro privátní server.
9. Přihlaste se do centra pro správu Microsoft Entra a přejděte na Globální zabezpečený přístup>Monitorování>Protokoly provozu.
10. Ověřte, zda provoz související s relací RDP není v záznamech o provozu globálního zabezpečeného přístupu.
11. Přihlaste se ke Správci cloudu Palo Alto Networks a přejděte na Incidenty a upozornění>Prohlížeč protokolů. Ověřte, že se v protokolech Prisma Access nachází provoz spojený s relací RDP.
12. Access Outlook Online (outlook.com, outlook.office.com, ), outlook.office365.comSharePoint Online (<yourtenantdomain>.sharepoint.com).
13. Na hlavním panelu systému klikněte pravým tlačítkem myši na globálního klienta zabezpečeného přístupu a pak vyberte Rozšířená diagnostika. V dialogovém okně Provoz vyberte Zastavit shromažďování.
14. Posuňte se dolů a potvrďte, že klient Global Secure Access zpracovával pouze provoz Microsoft 365.
15. Můžete také ověřit, že se provoz zachytává v protokolech přenosů globálního zabezpečeného přístupu. V Centru pro správu Microsoft Entra přejděte do Globálního zabezpečeného přístupu>Monitorování>Protokolů provozu.
16. Ověřte, zda v protokolech Prisma Access v Strata Cloud Manageru Incidents & AlertsProhlížeče protokolů chybí přenosy související s Outlookem Online a SharePointem Online.

Konfigurace 4: Microsoft Entra Internet Access a Microsoft Entra Microsoft Access s Palo Alto Prisma Access pro privátní přístup k aplikacím

V tomto scénáři bude globální zabezpečený přístup zpracovávat internet a provoz Microsoftu. Prisma Access bude zaznamenávat pouze přenosy privátních aplikací prostřednictvím připojení služby nebo konektorů ZTNA.

Konfigurace aplikace Microsoft Entra Internet a Microsoft Access

V tomto scénáři budete muset provést následující akce.

• Povolte profil předávání Microsoft Entra Access a profil předávání Microsoft Entra Internet Access.
• Nainstalujte a nakonfigurujte klienta globálního zabezpečeného přístupu pro Windows nebo macOS.
• Přidejte vlastní obejití profilu předávání přenosu služby Microsoft Entra Internet Access, abyste vyloučili FQDN služby Prisma Access.

Přidejte vlastní obejití pro Prisma Access v rámci služby Global Secure Access:

1. Přihlaste se do Centra pro správu Microsoft Entra a přejděte na Global Secure Access>Connect>Traffic forwarding>Internet access profile> pod Internet access policies> zvolte "Zobrazit" (View).
2. Rozbalit Vlastní obejití> Vyberte Přidat pravidlo.
3. Ponechte typ cíle FQDN a do Cíl zadejte *.gpcloudservice.com.
4. Zvolte Uložit.

Konfigurace Palo Alto Networks

V tomto scénáři budete muset provést následující kroky na portálu Palo Alto Strata Cloud Manager.

• Nastavte a nakonfigurujte GlobalProtect pro mobilní uživatele.
• Nakonfigurujte nastavení tunelu GlobalProtect a nastavení aplikace tak, aby fungovaly s globálním zabezpečeným přístupem. Postupujte podle pokynů uvedených výše v nastavení tunelu a nastavení aplikace.
• Nainstalujte klienta Palo Alto Networks GlobalProtect pro Windows, aplikaci GlobalProtect pro Windows nebo macOS, Aplikaci GlobalProtect pro macOS.

Poznámka:

Pro tuto konfiguraci povolte vyřešení všech plně kvalifikovaných názvů domén pomocí serverů DNS poskytovaných tunelem (pouze pro Windows) v nastavení aplikace.

Po instalaci a spuštění obou klientů vedle sebe a konfigurace z portálů pro správu jsou dokončeny, přejděte na hlavním panelu systému a zkontrolujte, jestli jsou povoleni globální zabezpečený přístup a klienti GlobalProtect.

Ověřte konfiguraci pro klienta globálního zabezpečeného přístupu.

1. Klikněte pravým tlačítkem myši na klienta globálního zabezpečeného přístupu > profil rozšířeného diagnostikování > přeposílání a ověřte, že jsou pro tohoto klienta použita pravidla Microsoft 365 a pravidla internetového přístupu.
2. Přejděte do Pokročilé diagnostiky – kontrola stavu> a ujistěte se, že žádné kontroly neselhávají.

Poznámka:

Informace o řešení potíží se selháními kontroly stavu najdete v tématu Řešení potíží s globálním klientem zabezpečeného přístupu: Kontrola stavu – Globální zabezpečený přístup | Microsoft Learn.

Testování toku provozu

1. Na hlavním panelu systému klikněte pravým tlačítkem myši na globálního klienta zabezpečeného přístupu a pak vyberte Rozšířená diagnostika. Vyberte kartu Provoz a vyberte Začít shromažďovat.
2. Přístup k těmto webům z prohlížeče: bing.com, , , salesforce.comOutlook Online (Instagram.com, outlook.com, ), outlook.office.comSharePoint Online (outlook.office365.com<yourtenantdomain>.sharepoint.com).
3. Přihlaste se do centra pro správu Microsoft Entra a přejděte na Globální zabezpečený přístup>Monitorování>Protokoly provozu. Ověřte, že se provoz související s těmito lokalitami zaznamenává v protokolech přenosů globálního zabezpečeného přístupu.
4. Přístup k privátní aplikaci nastavené v aplikaci Prisma Access prostřednictvím připojení služby nebo konektoru ZTNA Otevřete například relaci protokolu RDP pro privátní server.
5. Přihlaste se ke Správci cloudu Palo Alto Networks a přejděte na Incidenty a upozornění>Prohlížeč protokolů. Ověřte, že se v protokolech Prisma Accessu nachází provoz související s relací protokolu RDP a že v těchto protokolech chybí provoz související s Microsoftem 365 a internetovým provozem, jako je Outlook Online a SharePoint Online.
6. Na hlavním panelu systému klikněte pravým tlačítkem myši na globálního klienta zabezpečeného přístupu a pak vyberte Rozšířená diagnostika. V dialogovém okně síťového provozu vyberte Zastavit shromažďování.
7. Posuňte se a všimněte si, že klient globálního zabezpečeného přístupu nezachytává provoz z privátní aplikace. Všimněte si také, že klient globálního zabezpečeného přístupu zaznamenává provoz pro Microsoft 365 a další internetový provoz.

Další kroky

- Co je globální zabezpečený přístup?