Freigeben über

Konfigurationsanleitung für die Webinhaltsfilterung beim Global Secure Access

Mithilfe der Webinhaltsfilterung können Sie granulare Internetzugriffssteuerelemente für Ihre Organisation basierend auf der Websitekategorisierung implementieren.

Die ersten SWG-Features (Secure Web Gateway) von Microsoft Entra Internet Access umfassen die Webinhaltsfilterung basierend auf Domänennamen. Microsoft integriert granulare Filterrichtlinien in Microsoft Entra ID und Microsoft Entra Conditional Access, was zu Filterrichtlinien führt, die benutzerfreundlich, kontextfähig und einfach zu verwalten sind.

Die Webfilterfunktion ist derzeit beschränkt auf benutzer- und kontextbezogene, auf vollqualifizierte Domänennamen (FQDN) basierende Webkategoriefilterung und FQDN-Filterung.

Voraussetzungen

  • Administratoren, die Features des globalen sicheren Zugriffs verwenden, müssen abhängig von den durch sie ausgeführten Aufgaben über die folgenden Rollenzuweisungen verfügen.

  • Gehen Sie den Leitfaden Erste Schritte mit dem globalen sicheren Zugriff vollständig durch.

  • Installieren Sie den globalen sicheren Zugriffs-Client auf Endbenutzergeräten.

  • Sie müssen das Domain Name System (DNS) über HTTPS (Secure DNS) deaktivieren, um Netzwerkdatenverkehr zu tunneln. Verwenden Sie die Regeln der vollqualifizierten Domänennamen (FQDNs) im Datenverkehrsweiterleitungsprofil. Weitere Informationen finden Sie unter Konfigurieren des DNS-Client zur Unterstützung von DoH.

  • Deaktivieren Sie den integrierten DNS-Client in Chrome und Microsoft Edge.

  • IPv6-Datenverkehr wird nicht vom Client erworben und wird daher direkt in das Netzwerk übertragen. Um die Tunnelung des gesamten relevanten Datenverkehrs zu ermöglichen, legen Sie die Eigenschaften des Netzwerkadapters auf IPv4 bevorzugt fest.

  • Der UDP (User Datagram Protocol)-Datenverkehr (d. h. QUIC) wird in der aktuellen Vorschau des Internetzugriffs nicht unterstützt. Die meisten Websites unterstützen das Fallback auf Transmission Control-Protokoll (TCP), wenn QUIC nicht eingerichtet werden kann. Um die Benutzererfahrung zu verbessern, können Sie eine Windows-Firewall-Regel bereitstellen, die ausgehenden Datenverkehr über UDP 443 blockiert: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.

  • Sehen Sie sich die Konzepte für Webinhaltsfilterung an. Weitere Informationen dazu finden Sie unter Webinhaltsfilterung.

Schritte auf oberer Ebene

Es gibt mehrere Schritte zum Konfigurieren der Webinhaltsfilterung. Beachten Sie, wo Sie eine Richtlinie für bedingten Zugriff konfigurieren müssen.

  1. Aktivieren Sie das Weiterleiten von Internetdatenverkehr.
  2. Erstellen einer Webinhaltsfilterrichtlinie.
  3. Erstellen Sie ein Sicherheitsprofil.
  4. Verknüpfen Sie das Sicherheitsprofil mit einer Richtlinie für bedingten Zugriff.
  5. Weisen Sie dem Datenverkehrsweiterleitungsprofil Benutzer oder Gruppen zu.

Aktivieren des Weiterleitens von Internetdatenverkehr

Der erste Schritt besteht darin, das Datenverkehrsweiterleitungsprofil für den Internetzugriff zu aktivieren. Weitere Informationen zum Profil und zur Aktivierung finden Sie unter Verwalten des Datenverkehrsweiterleitungsprofils für den Internetzugriff.

Erstellen einer Webinhaltsfilterrichtlinie

  1. Navigieren Sie zu Global Secure Access>Sicher>Webinhaltsfilterrichtlinie.
  2. Wählen Sie Create policy (Richtlinie erstellen) aus.
  3. Geben Sie einen Namen und eine Beschreibung für die neue Richtlinie ein und wählen Sie dann Weiter aus.
  4. Wählen Sie Regel hinzufügen aus.
  5. Geben Sie einen Namen ein, wählen Sie eine Webkategorie oder einen gültigen FQDN aus und wählen Sie dann Hinzufügen aus.
    • Gültige FQDNs in diesem Feature können auch Wildcards mit dem Sternchen-Symbol * enthalten.
  6. Wählen Sie Weiter aus, um die Richtlinie zu überprüfen, und wählen Sie dann Richtlinie erstellen aus.

Wichtig

Änderungen an der Webinhaltsfilterung können bis zu einer Stunde dauern, bis sie bereitgestellt werden.

Erstellen eines Sicherheitsprofils

Sicherheitsprofile sind eine Gruppierung von Filterrichtlinien. Sie können Sicherheitsprofile mit Microsoft Entra-Richtlinien für bedingten Zugriff zuweisen oder verknüpfen. Ein Sicherheitsprofil kann mehrere Filterrichtlinien enthalten. Und ein einzelnes Sicherheitsprofil kann mehreren Richtlinien für bedingten Zugriff zugeordnet werden.

In diesem Schritt erstellen Sie ein Sicherheitsprofil zum Gruppieren von Filterrichtlinien. Anschließend weisen Sie die Sicherheitsprofile einer Richtlinie für bedingten Zugriff zu (bzw. verknüpfen diese), um sie benutzer- oder kontextbewusst zu machen.

Hinweis

Weitere Informationen zu den Microsoft Entra-Richtlinien zum bedingten Zugriff finden Sie unter Erstellen einer Richtlinie für bedingten Zugriff.

  1. Navigieren Sie zum globalen sicheren Zugriff>Sicher>Sicherheitsprofile.
  2. Wählen Sie Profil erstellen aus.
  3. Geben Sie einen Namen und eine Beschreibung für die neue Richtlinie ein und wählen Sie dann Weiter aus.
  4. Wählen Sie Eine Richtlinie verknüpfen und dann Vorhandene Richtlinie aus.
  5. Wählen Sie die bereits erstellte Webinhaltsfilterrichtlinie und Hinzufügen aus.
  6. Wählen Sie Weiter aus, um das Sicherheitsprofil und die zugehörige Richtlinie zu überprüfen.
  7. Wählen Sie Ein Profil erstellen aus.
  8. Wählen Sie Aktualisieren aus, um die Profilseite zu aktualisieren und das neue Profil anzuzeigen.

Erstellen Sie eine Richtlinie für bedingten Zugriff für Endbenutzer oder Gruppen, und stellen Sie Ihr Sicherheitsprofil über die Sitzungssteuerungen für bedingten Zugriff bereit. Bedingter Zugriff ist der Zustellmechanismus für Benutzer- und Kontextbewusstsein für Internetzugriffsrichtlinien. Weitere Informationen zu Sitzungssteuerelementen finden Sie unter Bedingter Zugriff: Sitzung.

  1. Navigieren Sie zu Entra ID>Bedingter Zugriff.
  2. Wählen Sie Neue Richtlinie erstellen aus.
  3. Geben Sie einen Namen ein, und weisen Sie einen Benutzer oder eine Gruppe zu.
  4. Wählen Sie Zielressourcen und Alle Internetressourcen mit globalen sicheren Zugriff aus.
  5. Wählen Sie Sitzung>Sicherheitsprofil für globalen sicheren Zugriffs verwenden aus, und wählen Sie eine Sicherheitsprofil.
  6. Wählen Sie Auswählen aus.
  7. Stellen Sie im Abschnitt Richtlinie aktivieren sicher, dass Ein ausgewählt ist.
  8. Klicken Sie auf Erstellen.

Flussdiagramm für Internetzugriff

In diesem Beispiel wird der Fluss von Microsoft Entra Internet Access-Datenverkehr veranschaulicht, wenn Sie Richtlinien für die Webinhaltsfilterung anwenden.

Das folgende Flussdiagramm veranschaulicht das Blockieren von Richtlinien für die Webinhaltsfilterung oder das Zulassen des Zugriffs auf Internetressourcen.

Das Diagramm zeigt den Ablauf der Webinhaltsfilterrichtlinien, die den Zugriff auf Internetressourcen blockieren oder erlauben.

Schritt Beschreibung
1 Der Client für globalen sicheren Zugriff versucht, eine Verbindung mit der Security Service Edge-Lösung von Microsoft herzustellen.
2 Der Client leitet zur Authentifizierung und Autorisierung zu Microsoft Entra ID um.
3 Der Benutzer und das Gerät authentifizieren sich. Die Authentifizierung erfolgt nahtlos, wenn der Benutzer über ein gültiges primäres Aktualisierungstoken (Primary Refresh Token, PRT) verfügt.
4 Nachdem der Benutzer und das Gerät authentifiziert wurden, stimmt der bedingte Zugriff mit den Regeln für bedingten Internetzugriff überein und fügt dem Token entsprechende Sicherheitsprofile hinzu. Dies erzwingt anwendbare Autorisierungsrichtlinien.
5 Microsoft Entra ID zeigt das Token zur Überprüfung an Microsoft Security Service Edge an.
6 Der Tunnel wird zwischen dem Client für globalen sicheren Zugriff und dem Microsoft Security Service Edge eingerichtet.
7 Der Datenverkehr wird erfasst und durch den Internetzugriffstunnel getunnelt.
8 Microsoft Security Service Edge wertet die Sicherheitsrichtlinien im Zugriffstoken in Prioritätsreihenfolge aus. Nachdem sie mit einer Webinhaltsfilterregel übereinstimmt, wird die Auswertung der Richtlinie für Webinhaltsfilterung beendet.
9 Microsoft Security Service Edge erzwingt die Sicherheitsrichtlinien.
10 Richtlinie = Ergebnisse in einem Fehler für HTTP-Datenverkehr blockieren, ansonsten tritt eine Ausnahme zum Zurücksetzen von Verbindungen für HTTPS-Datenverkehr auf.
11 Richtlinie = Ergebnisse der Datenverkehrsweiterleitung an das Ziel zulassen.

Hinweis

Das Anwenden eines neuen Sicherheitsprofils kann aufgrund der Durchsetzung von Sicherheitsprofilen mit Zugriffstoken bis zu 60-90 Minuten dauern. Der Benutzende muss ein neues Zugriffstoken mit der neuen Sicherheitsprofil-ID als Anspruch erhalten, bevor es wirksam wird. Änderungen an vorhandenen Sicherheitsprofilen werden viel schneller erzwungen.

Benutzer- und Gruppenzuweisungen

Sie können das Internetzugriffsprofil auf bestimmte Benutzer und Benutzerinnen sowie Gruppen beschränken. Weitere Informationen zur Benutzer- und Gruppenzuweisung finden Sie unter Zuweisen und Verwalten von Benutzern und Gruppen mit Datenverkehrsweiterleitungsprofilen.

Überprüfen der Durchsetzung von Endbenutzerrichtlinien

Wenn der Datenverkehr den Secure Service Edge von Microsoft erreicht, führt Microsoft Entra Internet Access auf zwei Arten Sicherheitskontrollen durch. Für unverschlüsselten HTTP-Datenverkehr wird die URL (Uniform Resource Locator) verwendet. Für HTTPS-Datenverkehr, der mit TLS (Transport Layer Security) verschlüsselt ist, wird die Servernamenanzeige (Server Name Indication, SNI) verwendet.

Verwenden Sie ein Windows-Gerät mit installiertem Global Secure Access-Client. Melden Sie sich als Benutzer an, dem das Internetverkehrs-Erfassungsprofil zugewiesen ist. Testen Sie, ob die Navigation zu Websites wie erwartet zulässig oder eingeschränkt ist.

  1. Klicken Sie mit der rechten Maustaste auf das Symbol des globalen sicheren Zugriffs-Client im Task-Manager-Tray und öffnen Sie Erweiterte Diagnose>Weiterleitungsprofil. Stellen Sie sicher, dass die Erwerbsregeln für den Internetzugriff vorhanden sind. Überprüfen Sie außerdem, ob der Erwerb von Hostname und Datenflüsse für den Internetdatenverkehr der Benutzer beim Browsen erfasst werden.

  2. Navigieren Sie zu zugelassenen und blockierten Websites, und überprüfen Sie, ob sie sich ordnungsgemäß verhalten. Navigieren Sie zu Global Secure Access>Monitor>Datenverkehrsprotokollen, um zu bestätigen, dass Datenverkehr blockiert oder ordnungsgemäß zugelassen wird.

Die aktuelle Erfahrung zum Blockierung für alle Browser enthält einen Klartext-Browserfehler für HTTP-Datenverkehr und einen Browserfehler „Verbindungszurücksetzung“ für HTTPS-Datenverkehr.

Screenshot eines Klartext-Browserfehlers für HTTP-Datenverkehr.

Screenshot eines Browserfehlers 'Connection Reset' für HTTPS-Datenverkehr.

Hinweis

Konfigurationsänderungen im globalen sicheren Zugriff, die sich auf die Filterung von Webinhalten beziehen, werden in der Regel in weniger als 5 Minuten wirksam. Konfigurationsänderungen im bedingten Zugriff im Zusammenhang mit der Webinhaltsfilterung werden in etwa einer Stunde wirksam.

Nächste Schritte