Informationen über Microsoft Entra Internet Access für alle Apps
Microsoft Entra Internet Access bietet eine identitätsorientierte Secure Web Gateway (SWG)-Lösung für Software as a Service (SaaS)-Anwendungen und anderen Internetdatenverkehr. Es schützt Benutzer, Geräte und Daten mit erstklassigen Sicherheitskontrollen und Sichtbarkeit über Datenverkehrsprotokolle vor der breiten Bedrohungslandschaft des Internets.
Webinhaltsfilterung
Die wichtige Einführungsfunktion für Microsoft Entra Internet Access für alle Apps ist Webinhaltsfilterung. Diese Funktion bietet eine präzise Zugriffssteuerung für Webkategorien und vollqualifizierten Domänennamen (FQDNs). Indem Sie bekannte unangemessene, böswillige oder unsichere Websites explizit blockieren, schützen Sie Ihre Benutzer und deren Geräte vor jeder Internetverbindung, unabhängig davon, ob sie remote oder innerhalb des Unternehmensnetzwerks sind.
Wenn der Datenverkehr den Secure Service Edge von Microsoft erreicht, führt Microsoft Entra Internet Access auf zwei Arten Sicherheitskontrollen durch. Für unverschlüsselten HTTP-Datenverkehr wird die URL (Uniform Resource Locator) verwendet. Für HTTPS-Datenverkehr, der mit TLS (Transport Layer Security) verschlüsselt ist, wird die Servernamenanzeige (Server Name Indication, SNI) verwendet.
Die Webinhaltsfilterung wird mithilfe von Filterrichtlinien implementiert, die in Sicherheitsprofile gruppiert sind, die mit Richtlinien für bedingten Zugriff verknüpft werden können. Mehr Informationen zum bedingten Zugriff finden Sie unter Bedingter Microsoft Entra-Zugriff.
Hinweis
Während die Webinhaltsfilterung eine Kernfunktion für jedes Secure Web Gateway ist, gibt es ähnliche Funktionen in anderen Sicherheitsprodukten wie z. B. Endpunktsicherheitsprodukten wie Microsoft Defender for Endpoint und Firewalls wie Azure Firewall. Microsoft Entra Internet Access bietet zusätzlichen Sicherheitswert über die Richtlinienintegration in Microsoft Entra ID, Richtlinienerzwingung am Cloud-Edge, universelle Unterstützung für alle Geräteplattformen und zukünftige Sicherheitsverbesserungen über TLS-Überprüfung (Transport Layer Security), z. B. die Webkategorisierung mit höherer Genauigkeit. Weitere Informationen finden Sie unter Häufig gestellte Fragen.
Sicherheitsprofile
Sicherheitsprofile sind Objekte, die Sie zum Gruppieren von Filterrichtlinien verwenden, und um diese über Richtlinien für bedingten Zugriff bereitstellen. Wenn Sie beispielsweise alle News-Websites mit Ausnahme von msn.com für Benutzer angie@contoso.com blockieren möchten, erstellen Sie zwei Webfilterrichtlinien und fügen sie einem Sicherheitsprofil hinzu. Anschließend übernehmen Sie das Sicherheitsprofil und verknüpfen es mit einer Richtlinie für bedingten Zugriff, die angie@contoso.com zugewiesen ist.
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Richtlinienverarbeitungslogik
Innerhalb eines Sicherheitsprofils werden Richtlinien gemäß der logischen Reihenfolge der eindeutigen Prioritätsnummern erzwungen, wobei 100 die höchste Priorität und 65.000 die niedrigste Priorität darstellt (ähnlich der herkömmlichen Firewall-Logik). Fügen Sie als bewährte Methode einen Abstand von etwa 100 zwischen Prioritäten hinzu, um in Zukunft hinsichtlich der geltenden Richtlinien flexibel zu bleiben.
Sobald Sie ein Sicherheitsprofil mit einer Richtlinie für bedingten Zugriff (Conditional Access, CA) verknüpfen, werden beide Sicherheitsprofile in der Prioritätsordnung der übereinstimmenden Sicherheitsprofile verarbeitet.
Wichtig
Das Baseline-Sicherheitsprofil gilt für den gesamten Datenverkehr, auch ohne mit einer Richtlinie für bedingten Zugriff verknüpft zu sein. Es setzt die Richtlinie mit der niedrigsten Priorität im Richtlinienstapel als „Catch-All“-Richtlinie für den gesamten Datenverkehr des Internetzugriffs durch, der durch den Dienst geleitet wird. Das Baselinesicherheitsprofil wird auch dann ausgeführt, wenn eine Richtlinie für bedingten Zugriff mit einem anderen Sicherheitsprofil übereinstimmt.
Bekannte Einschränkungen
- Derzeit geht die Plattform von Standardports für HTTP/S-Datenverkehr (Ports 80 und 443) aus.
- IPv6 wird auf dieser Plattform noch nicht unterstützt.
- UDP wird auf dieser Plattform noch nicht unterstützt.
- Benutzerfreundliche Endbenutzerbenachrichtigungen befinden sich in der Entwicklung.
- Die Remotenetzwerkkonnektivität für Internetzugriff befindet sich in der Entwicklung.
- TLS-Abschluss (Transport Layer Security) befindet sich in der Entwicklung.
- Die URL-pfadbasierte Filterung und URL-Kategorisierung für HTTP- und HTTPS-Datenverkehr werden entwickelt.
- Derzeit kann ein Administrator bis zu 100 Webinhaltsfilterrichtlinien und bis zu 1.000 Regeln basierend auf bis zu 8.000 Gesamt-FQDNs erstellen. Administratoren können auch bis zu 256 Sicherheitsprofile erstellen.