Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Explicit Forward Proxy (EFP) verwendet die Authentifizierung und Autorisierung über Microsoft Entra ID für die Überprüfung des Benutzerzugriffs, bevor Netzwerkdatenverkehr zugelassen wird. Dadurch sind adaptive Richtlinien in Microsoft Entra Conditional Access, moderne Anmeldeinformationen wie Hauptschlüssel und eine fortlaufende Zugriffsevaluierung mit Sitzungswiderruf möglich. Klassische Proxyautorisierungsmethoden, z. B. standard, Digest, NTLM oder Kerberos, werden nicht unterstützt.
Important
Die Funktion "Expliziter Weiterleitungsproxy" befindet sich derzeit in der Vorschauversion.
Diese Informationen beziehen sich auf ein Vorabversionsprodukt, das vor der Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.
Einstellungen für die Sitzungsverwaltung
EFP unterstützt intelligente Sitzungsverwaltung (standardmäßig aktiviert), HTTP-Header-basierte Sitzungsaffinität (kann aktiviert werden), IP-basierte Sitzungsaffinität (standardmäßig aktiviert) und cookiebasierte Sitzungsaffinität. Verschiedene Funktionen, die mit unterschiedlichen Affinitätsmethoden zur Verfügung stehen:
| Fähigkeit | IP-Affinität | Sitzungs-ID | HTTP-Header |
|---|---|---|---|
| Standardmäßig aktiviert | Ja | Ja | Nein |
| Kann deaktiviert werden | Nein | Ja | Ja |
| Unterstützt Benutzerprofilzuweisungen | Nein | Ja | Ja |
| Basiert auf EFP-basiertem PAC-Hosting | Nein | Ja | Nein |
Important
Es wird empfohlen, eine Richtlinie für den bedingten Zugriff zu aktivieren, die nur den Zugriff auf EFP aus Ihren vertrauenswürdigen Netzwerken zulässt.
EFP Intelligente Sitzungsverwaltung
Browser fordern PAC-Dateien an, wenn der Browser zum ersten Mal gestartet wird, wenn sich der Netzwerkspeicherort ändert, wenn sich der Energiestatus des Geräts ändert, und alle 12 Stunden. Wenn EFP für das PAC-Dateihosting verwendet wird, gibt EFP eine eindeutige Sitzungs-ID als Teil des in der PAC-Datei definierten EFP-Proxyendpunkts zurück. Jedes Mal, wenn eine PAC-Datei angefordert wird, wird eine neue Sitzungs-ID generiert. Die Verwendung eindeutiger Sitzungsbezeichner ermöglicht es EFP, eindeutige Browsersitzungen bestimmten authentifizierten Benutzern zuzuordnen.
HTTP-Header-Sitzungsverwaltung
EFP unterstützt auch das HTTP-Header-Session-Management. Sie können den ausgehenden Proxy-Dienst Ihrer Organisation so konfigurieren, dass der x-ms-gsa-efp-forwarded-for-Header in den gesamten Datenverkehr für *.internet.efp.globalsecureaccess.microsoft.com mit einer eindeutigen IP-Adresse des Geräts (z. B. interne IP-Adresse) eingefügt wird, sodass EFP x-ms-gsa-efp-forwarded-for-Werte verwenden kann, um authentifizierte Benutzer EFP-Sitzungen zuzuordnen.
IP-basierte Sitzungsaffinität
Sobald die Benutzersitzung authentifiziert und autorisiert wurde, zeichnet EFP die Quell-IP dieser Benutzerverbindung auf. Nachfolgende Anforderungen von derselben IP-Adresse sind zulässig. Wenn neben der Quell-IP kein anderer Sitzungsverwaltungsmechanismus ausgehandelt werden kann, greift EFP auf die grundlegende Durchsetzung des Sicherheitsprofils zurück.
Kontinuierliche Zugriffsauswertung
Wenn die Benutzersitzung widerrufen wird (z. B. aufgrund der Deaktivierung des Kontos, Kennwortzurücksetzung/-änderung, MFA-Methoden zurücksetzen oder Benutzersitzungssperrung), empfängt EFP ein CaE-Signal (Continuous Access Evaluation) von Microsoft Entra ID und macht Sitzungen, die dieser Benutzeridentität zugeordnet sind, in nahezu Echtzeit ungültig (2-5 Minuten). Danach muss der Benutzer erneut mit Microsoft Entra ID authentifiziert werden, und bei Erfolg wird die EFP-Konnektivität wiederhergestellt.