Freigeben über

Informationen über die Koexistenz von Security Service Edge (SSE) mit Microsoft und Palo Alto Networks

Microsoft- und Palo Alto Networks SSE-Lösungen können in einer einheitlichen Umgebung verwendet werden. Bei gemeinsamer Verwendung profitieren Sie von robusten Funktionen von beiden Plattformen, die Ihre SASE-Journey verbessern. Die Synergie zwischen diesen Plattformen verbessert die Sicherheit und bietet nahtlose Konnektivität.

Dieses Dokument enthält Schritte zum Bereitstellen dieser Lösungen nebeneinander in verschiedenen Zugriffsszenarien.

  1. Konfiguration 1: Microsoft Entra Private Access mit Palo Alto Prisma Access für sicheren Internetzugriff

In diesem Szenario behandelt der globale sichere Zugriff private Anwendungsdatenverkehr. Prisma Access erfasst nur Internetdatenverkehr.

  1. Konfiguration 2: Microsoft Entra Private Access mit Palo Alto Prisma Access für private Anwendungen und Internetzugriff

In diesem Szenario behandeln beide Clients Datenverkehr für separate private Anwendungen. Private Anwendungen in Microsoft Entra Private Access werden von Global Secure Access behandelt, während private Anwendungen in Prisma Access-Dienstverbindungen oder ZTNA-Connectors über den GlobalProtect-Client aufgerufen werden. Internetdatenverkehr wird von Prisma Access verarbeitet.

  1. Konfiguration 3: Microsoft Entra Microsoft Access mit Palo Alto Prisma Access für private Anwendungen und Internetzugriff

In diesem Szenario behandelt der globale sichere Zugriff den gesamten Microsoft 365-Datenverkehr. Prisma Access verarbeitet private Anwendungen über Dienstverbindung oder ZTNA-Connectors. Internetdatenverkehr wird von Prisma Access verarbeitet.

  1. Konfiguration 4: Microsoft Entra Internet Access und Microsoft Entra Microsoft Access mit Palo Alto Prisma Access für private Anwendungszugriff

In diesem Szenario behandelt der globale sichere Zugriff Internet- und Microsoft 365-Datenverkehr. Prisma Access erfasst nur privaten Anwendungsdatenverkehr über die Dienstverbindung oder ZTNA-Connectors.

Hinweis

Die folgenden Konfigurationen wurden für Palo Alto Prisma Access getestet und mit Strata Cloud Manager verwaltet. Der Zugriff auf private Anwendungen wurde über Dienstverbindungen und ZTNA-Connectors getestet. Die Verbindung mit dem Prisma Access-Dienst wurde von GlobalProtect bereitgestellt und mit SSL- und IPsec-VPN-Konfigurationen getestet.

Voraussetzungen

Um Microsoft und Palo Alto Prisma Access für eine einheitliche SASE-Lösung zu konfigurieren, richten Sie zunächst Microsoft Entra Internet Access und Microsoft Entra Private Access ein. Konfigurieren Sie als Nächstes Prisma Access für den Zugriff auf private Anwendungen nach Dienstverbindung oder ZTNA-Connector. Stellen Sie abschließend sicher, dass Sie die erforderlichen FQDN- und IP-Umgehungen einrichten, um eine reibungslose Integration zwischen den beiden Plattformen sicherzustellen.

  • Richten Sie Microsoft Entra Internet Access und Microsoft Entra Private Access ein. Diese Produkte bilden die Globale Lösung für den sicheren Zugriff.
  • Einrichten von Palo Alto Prisma Access für privaten Zugriff und Internetzugriff
  • Konfigurieren Sie die FQDN-Umgehungen und IP-Umgehungen für den globalen sicheren Zugriff.

Microsoft Global Secure Access

Um globalen sicheren Zugriff einzurichten und alle Szenarien in dieser Dokumentation zu testen, müssen Sie Folgendes ausführen.

  • Aktivieren und deaktivieren Sie verschiedene Verkehrsweiterleitungsprofile für den globalen sicheren Zugriff in Ihrem Microsoft Entra-Mandanten. Weitere Informationen zum Aktivieren und Deaktivieren von Profilen finden Sie im Artikel Datenverkehrsweiterleitungsprofile für globalen sicheren Zugriff.

  • Installieren und Konfigurieren des privaten Microsoft Entra-Netzwerkconnectors Informationen zum Installieren und Konfigurieren des Connectors finden Sie unter Konfigurieren von Connectors.

Hinweis

Private Netzwerk-Steckverbinder sind für Microsoft Entra Private Access Anwendungen erforderlich.

Palo Alto Prisma Access

Um Palo Alto Prisma Access in Microsoft Global Secure Access zu integrieren, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen. Diese Schritte sorgen für eine reibungslose Integration, eine bessere Verkehrsverwaltung und eine verbesserte Sicherheit.

  • Richten Sie eine Dienstverbindung oder einen ZTNA-Connector für Prisma Access ein, um den Zugriff auf private Anwendungen zu ermöglichen. Weitere Informationen zum Einrichten einer Dienstverbindung finden Sie in der Palo Alto-Dokumentation zum Konfigurieren einer Dienstverbindung. Informationen zum ZTNA Connector finden Sie in der Palo Alto-Dokumentation zum Konfigurieren eines ZTNA-Connectors.
  • Richten Sie GlobalProtect für mobile Benutzer ein, um den Remotezugriff auf private Anwendungen zuzulassen. Weitere Informationen finden Sie in der Dokumentation zum GlobalProtect-Setup.
  • Konfigurieren Sie die GlobalProtect-Tunneleinstellungen und App-Einstellungen, um mit Microsoft Entra Private DNS zu arbeiten, und umgehen Sie den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Microsoft Entra-Dienstes und die IP-Adressen (Internet Protocol).

Tunneleinstellungen:

  1. Wechseln Sie im Strata Cloud Manager-Portal zu Workflows>Prisma Access Setup>GlobalProtect>GlobalProtect App>Tunnel-Einstellungen.
  2. Schließen Sie im Abschnitt Split-Tunneling Datenverkehr aus, indem Sie die Domäne und Routen hinzufügen: *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16.

App-Einstellungen:

  1. Wechseln Sie im Strata Cloud Manager-Portal zu Workflows>Prisma Access Setup>GlobalProtect>GlobalProtect App>App-Einstellungen
  2. Scrollen Sie zu App-Konfiguration>" Erweiterte Optionen>DNS anzeigen" und deaktivieren Sie das Kontrollkästchen für "Alle FQDNs mit DNS-Servern auflösen", die vom Tunnel zugewiesen wurden (nur Windows)

    Hinweis

    Die Einstellung "Alle FQDNs über DNS-Server zugewiesen durch den Tunnel (Nur Windows)" sollte deaktiviert werden, wenn Microsoft Entra Private DNS (Konfigurationen 1 und 2) verwendet wird. Während des Tests wurde diese Einstellung für Konfigurationen 3 und 4 aktiviert (überprüft).

  3. Navigieren Sie zu Workflows>Prisma Access Setup>GlobalProtect>GlobalProtect-App. Wählen Sie Pushkonfiguration aus, und wählen Sie Push oben rechts auf dem Bildschirm aus.
  4. Überprüfen Sie, ob die Konfiguration an den GlobalProtect-Client übertragen wurde. Navigieren Sie zu Verwalten>Vorgänge>Pushstatus.
  5. Installieren Sie den Palo Alto Networks GlobalProtect-Client. Weitere Informationen zum Installieren des Palo Alto Networks GlobalProtect-Clients für Windows finden Sie unter GlobalProtect-App für Windows. Informationen zu macOS finden Sie unter GlobalProtect App für macOS. Zum Einrichten des GlobalProtect-Clients gibt es viele Optionen, wie z.B. die Integration von Microsoft Entra ID zur Erstellung Ihrer Konten. Weitere Informationen zu den Optionen finden Sie unter Microsoft Entra Single Sign-On (SSO)-Integration in Palo Alto Networks – GlobalProtect. Fügen Sie für die einfachste Einrichtung einen lokalen Benutzer zum GlobalProtect von Palo Alto Networks Strata Cloud Manager hinzu.
  6. Navigieren Sie zu Verwalten>Konfiguration>NGFW und Prisma Access.
  7. Wählen Sie Configuration Scope>GlobalProtect und dann Identity Services>Local Users & Groups>Local Users. Fügen Sie einen Benutzer und ein Kennwort für Tests hinzu.
  8. Nachdem der Client installiert wurde, geben Benutzer die Portaladresse und ihre Anmeldeinformationen ein.
  9. Nachdem sich Benutzer angemeldet haben, wird das Verbindungssymbol blau und durch Klicken darauf wird es in einem verbundenen Status angezeigt.

    Hinweis

    Wenn Sie in Configuration 4 Probleme beim Herstellen einer Verbindung mit GlobalProtect mithilfe lokaler Benutzer haben, versuchen Sie, Microsoft Entra SSO einzurichten.

Konfiguration 1: Microsoft Entra Private Access mit Palo Alto Prisma Access für sicheren Internetzugriff

In diesem Szenario behandelt der globale sichere Zugriff private Anwendungsdatenverkehr. Prisma Access erfasst nur Internetdatenverkehr.

Microsoft Entra Private Access-Konfiguration

Für dieses Szenario müssen Sie die folgenden Schritte ausführen.

Palo Alto Prisma Access-Konfiguration

Für dieses Szenario müssen Sie folgendes im Palo Alto Strata Cloud Manager-Portal ausführen.

Nachdem beide Clients installiert und parallel ausgeführt werden, und Konfigurationen von Administratorportalen sind abgeschlossen, wechseln Sie zur Taskleiste, um zu überprüfen, ob globaler sicherer Zugriff und GlobalProtect-Clients aktiviert sind.

Überprüfen Sie die Konfiguration für den Client für globalen sicheren Zugriff.

  1. Klicken Sie mit der rechten Maustaste auf den globalen Secure Access-Client > Advanced Diagnostics > Forwarding Profile , und stellen Sie sicher, dass private Zugriffs- und private DNS-Regeln auf diesen Client angewendet werden.
  2. Navigieren Sie zu Erweiterte Diagnosen> Gesundheits-Check und stellen Sie sicher, dass keine Prüfungen fehlschlagen.

Hinweis

Informationen zur Problembehandlung von Integritätsprüfungsfehlern finden Sie unter Problembehandlung für den globalen Client für den sicheren Zugriff: Integritätsprüfung – Globaler sicherer Zugriff | Microsoft Learn.

Testen des Datenverkehrsflusses

  1. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie die Registerkarte Datenverkehr aus, und wählen Sie Erfassung starten aus.
  2. Greifen Sie über die folgenden Browser auf diese Websites zu: salesforce.com, Instagram.com, yelp.com.
  3. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie Erweiterte Diagnose>Registerkarte „Datenverkehr“ aus.
  4. Scrollen Sie, um zu beobachten, dass der globale Secure Access-Client keinen Datenverkehr von diesen Websites erfasst.
  5. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle. Überprüfen sie, ob Datenverkehr im Zusammenhang mit diesen Websites in den Datenverkehrsprotokollen für globalen sicheren Zugriff fehlt.
  6. Melden Sie sich bei Palo Alto Networks‘ Strata Cloud Manager an, und navigieren Sie zu Vorfälle und Warnungen>Protokollanzeige.
  7. Verifizieren Sie in den Prisma Access-Protokollen den Datenverkehr, der sich auf diese Websites bezieht.
  8. Greifen Sie in Microsoft Entra Private Access auf Ihre private Anwendung zu. Greifen Sie beispielsweise über SMB (Server Message Block) auf eine Dateifreigabe zu.
  9. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle.
  10. Überprüfen Sie, ob der Datenverkehr, der mit der Dateifreigabe in Verbindung steht, in den Global Secure Access-Datenverkehrsprotokollen erfasst wird.
  11. Melden Sie sich bei Palo Alto Networks‘ Strata Cloud Manager an, und navigieren Sie zu Vorfälle und Warnungen>Protokollanzeige. Überprüfen Sie, ob der Datenverkehr im Zusammenhang mit der privaten Anwendung nicht in den Protokollen vorhanden ist.
  12. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie im Dialogfeld Datenverkehr die Option Sammeln beenden aus.
  13. Scrollen Sie, um zu bestätigen, dass der globale Secure Access-Client nur privaten Anwendungsdatenverkehr verarbeitet hat.

Konfiguration 2: Microsoft Entra Private Access mit Palo Alto Prisma Access für private Anwendungen und Internetzugriff

In diesem Szenario behandeln beide Clients Datenverkehr für separate private Anwendungen. Private Anwendungen in Microsoft Entra Private Access werden von Global Secure Access behandelt, während private Anwendungen in Prisma Access-Dienstverbindungen oder ZTNA-Connectors über den GlobalProtect-Client aufgerufen werden. Internetdatenverkehr wird von Prisma Access verarbeitet.

Microsoft Entra Private Access-Konfiguration

Für dieses Szenario müssen Sie Folgendes ausführen:

Palo Alto Networks-Konfiguration

Für dieses Szenario müssen Sie folgendes im Palo Alto Strata Cloud Manager-Portal ausführen.

Nachdem beide Clients installiert und parallel ausgeführt werden, und Konfigurationen von Administratorportalen sind abgeschlossen, wechseln Sie zur Taskleiste, um zu überprüfen, ob globaler sicherer Zugriff und GlobalProtect-Clients aktiviert sind.

Überprüfen Sie die Konfiguration für den Client für globalen sicheren Zugriff.

  1. Klicken Sie mit der rechten Maustaste auf den globalen Secure Access-Client > Advanced Diagnostics > Forwarding Profile , und stellen Sie sicher, dass private Zugriffs- und private DNS-Regeln auf diesen Client angewendet werden.
  2. Navigieren Sie zu Erweiterte Diagnosen> Gesundheits-Check und stellen Sie sicher, dass keine Prüfungen fehlschlagen.

Hinweis

Informationen zur Problembehandlung von Integritätsprüfungsfehlern finden Sie unter Problembehandlung für den globalen Client für den sicheren Zugriff: Integritätsprüfung – Globaler sicherer Zugriff | Microsoft Learn.

Testen des Datenverkehrsflusses

  1. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie die Registerkarte Datenverkehr aus, und wählen Sie Erfassung starten aus.
  2. Greifen Sie über die folgenden Browser auf diese Websites zu: salesforce.com, Instagram.com, yelp.com.
  3. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie Erweiterte Diagnose>Registerkarte „Datenverkehr“ aus.
  4. Scrollen Sie, um zu beobachten, dass der globale Secure Access-Client keinen Datenverkehr von diesen Websites erfasst.
  5. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle. Überprüfen sie, ob Datenverkehr im Zusammenhang mit diesen Websites in den Datenverkehrsprotokollen für globalen sicheren Zugriff fehlt.
  6. Melden Sie sich bei Palo Alto Networks‘ Strata Cloud Manager an, und navigieren Sie zu Vorfälle und Warnungen>Protokollanzeige.
  7. Verifizieren Sie in den Prisma Access-Protokollen den Datenverkehr, der sich auf diese Websites bezieht.
  8. Greifen Sie in Microsoft Entra Private Access auf Ihre private Anwendung zu. Greifen Sie beispielsweise über SMB (Server Message Block) auf eine Dateifreigabe zu.
  9. Greifen Sie über eine Dienstverbindung oder einen ZTNA-Connector auf Ihre private Anwendung in Prisma Access zu. Öffnen Sie beispielsweise eine RDP-Sitzung auf einem privaten Server.
  10. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle.
  11. Validieren Sie, dass der Datenverkehr im Zusammenhang mit der privaten SMB-Dateifreigabe-App erfasst wird und der Datenverkehr im Zusammenhang mit der RDP-Sitzung nicht in den Global Secure Access-Datenverkehrsprotokollen erfasst wird.
  12. Melden Sie sich bei Palo Alto Networks‘ Strata Cloud Manager an, und navigieren Sie zu Vorfälle und Warnungen>Protokollanzeige. Überprüfen Sie, ob der Datenverkehr im Zusammenhang mit der privaten RDP-Sitzung vorhanden ist und dass der Datenverkehr im Zusammenhang mit der SMB-Dateifreigabe nicht in den Protokollen ist.
  13. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie im Dialogfeld „Netzwerkdatenverkehr“ die Option Sammeln beenden aus.
  14. Scrollen Sie, um zu bestätigen, dass der Global Secure Access-Client den privaten Anwendungsdatenverkehr für die SMB-Dateifreigabe bearbeitet und den RDP-Sitzungsdatenverkehr nicht bearbeitet hat.

Konfiguration 3: Microsoft Entra Microsoft Access mit Palo Alto Prisma Access für private Anwendungen und Internetzugriff

In diesem Szenario behandelt der globale sichere Zugriff den gesamten Microsoft 365-Datenverkehr. Prisma Access wird private Anwendungen über eine Dienstverbindung oder ZTNA-Connector und Internetverkehr bearbeiten.

Microsoft Entra Microsoft Access-Konfiguration

Für dieses Szenario müssen Sie Folgendes ausführen:

Palo Alto Networks-Konfiguration

Für dieses Szenario müssen Sie folgendes im Palo Alto Strata Cloud Manager-Portal ausführen.

Hinweis

Aktivieren Sie für diese Konfiguration in den App-Einstellungen die Option „Alle FQDNs unter Verwendung von DNS-Servern auflösen, die vom Tunnel zugewiesen wurden (nur Windows)“.

Nachdem beide Clients installiert und parallel ausgeführt werden, und Konfigurationen von Administratorportalen sind abgeschlossen, wechseln Sie zur Taskleiste, um zu überprüfen, ob globaler sicherer Zugriff und GlobalProtect-Clients aktiviert sind.

Überprüfen Sie die Konfiguration für den Client für globalen sicheren Zugriff.

  1. Klicken Sie mit der rechten Maustaste auf den globalen Secure Access-Client > Advanced Diagnostics > Forwarding Profile , und stellen Sie sicher, dass Microsoft 365-Regeln auf diesen Client angewendet werden.
  2. Navigieren Sie zu Erweiterte Diagnosen> Gesundheits-Check und stellen Sie sicher, dass keine Prüfungen fehlschlagen.

Hinweis

Informationen zur Problembehandlung von Integritätsprüfungsfehlern finden Sie unter Problembehandlung für den globalen Client für den sicheren Zugriff: Integritätsprüfung – Globaler sicherer Zugriff | Microsoft Learn.

Testen des Datenverkehrsflusses

  1. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie die Registerkarte Datenverkehr aus, und wählen Sie Erfassung starten aus.
  2. Greifen Sie über die folgenden Browser auf diese Websites zu: salesforce.com, Instagram.com, yelp.com.
  3. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie Erweiterte Diagnose>Registerkarte „Datenverkehr“ aus.
  4. Scrollen Sie, um zu beobachten, dass der globale Secure Access-Client keinen Datenverkehr von diesen Websites erfasst.
  5. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle. Überprüfen sie, ob Datenverkehr im Zusammenhang mit diesen Websites in den Datenverkehrsprotokollen für globalen sicheren Zugriff fehlt.
  6. Melden Sie sich bei Palo Alto Networks‘ Strata Cloud Manager an, und navigieren Sie zu Vorfälle und Warnungen>Protokollanzeige.
  7. Verifizieren Sie in den Prisma Access-Protokollen den Datenverkehr, der sich auf diese Websites bezieht.
  8. Greifen Sie über eine Dienstverbindung oder einen ZTNA-Connector auf Ihre private Anwendung in Prisma Access zu. Öffnen Sie beispielsweise eine RDP-Sitzung auf einem privaten Server.
  9. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle.
  10. Überprüfen Sie, ob der Datenverkehr im Zusammenhang mit der RDP-Sitzung sich nicht in den Global Secure Access-Datenverkehrsprotokollen befindet
  11. Melden Sie sich bei Palo Alto Networks‘ Strata Cloud Manager an, und navigieren Sie zu Vorfälle und Warnungen>Protokollanzeige. Überprüfen Sie, ob der Datenverkehr im Zusammenhang mit der RDP-Sitzung in den Prisma Access-Protokollen vorhanden ist.
  12. Greifen Sie auf Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com) zu.
  13. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie im Dialogfeld Datenverkehr die Option Sammeln beenden aus.
  14. Scrollen Sie, um zu bestätigen, dass der globale Secure Access-Client nur Microsoft 365-Datenverkehr verarbeitet hat.
  15. Sie können auch überprüfen, ob der Datenverkehr in den Datenverkehrsprotokollen für globalen sicheren Zugriff erfasst wird. Navigieren Sie im Microsoft Entra Admin Center zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle.
  16. Überprüfen Sie, ob der Datenverkehr im Zusammenhang mit Outlook Online und SharePoint Online in den Prisma Access-Protokollen des Strata Cloud Manager Incidents & Alerts>Log Viewer fehlt.

Konfiguration 4: Microsoft Entra Internet Access und Microsoft Entra Access mit Palo Alto Prisma Access für den Zugriff auf private Anwendungen

In diesem Szenario behandelt der globale sichere Zugriff Internet- und Microsoft-Datenverkehr. Prisma Access erfasst nur privaten Anwendungsdatenverkehr über die Dienstverbindung oder ZTNA-Connectors.

Microsoft Entra Internet- und Microsoft Access-Konfiguration

Für dieses Szenario müssen Sie die folgenden Schritte ausführen.

Fügen Sie eine benutzerdefinierte Umgehung für Prisma Access in Global Secure Access hinzu.

  1. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Global Secure Access>Connect>Traffic Forwarding>Internet access profile> Under Internet access policies> Select "View".
  2. Erweitern Benutzerdefinierte Umgehung> Wählen Sie Regel hinzufügen.
  3. Lassen Sie den Zieltyp FQDN unverändert und geben Sie bei Ziel*.gpcloudservice.com ein.
  4. Wählen Sie "Speichern" aus.

Palo Alto Networks-Konfiguration

Für dieses Szenario müssen Sie folgendes im Palo Alto Strata Cloud Manager-Portal ausführen.

Hinweis

Aktivieren Sie für diese Konfiguration in den App-Einstellungen die Option „Alle FQDNs unter Verwendung von DNS-Servern auflösen, die vom Tunnel zugewiesen wurden (nur Windows)“.

Nachdem beide Clients installiert und parallel ausgeführt werden, und Konfigurationen von Administratorportalen sind abgeschlossen, wechseln Sie zur Taskleiste, um zu überprüfen, ob globaler sicherer Zugriff und GlobalProtect-Clients aktiviert sind.

Überprüfen Sie die Konfiguration für den Client für globalen sicheren Zugriff.

  1. Klicken Sie mit der rechten Maustaste auf den globalen Secure Access-Client > Advanced Diagnostics > Forwarding Profile , und stellen Sie sicher, dass Microsoft 365- und Internetzugriffsregeln auf diesen Client angewendet werden.
  2. Navigieren Sie zu Erweiterte Diagnosen> Gesundheits-Check und stellen Sie sicher, dass keine Prüfungen fehlschlagen.

Hinweis

Informationen zur Problembehandlung von Integritätsprüfungsfehlern finden Sie unter Problembehandlung für den globalen Client für den sicheren Zugriff: Integritätsprüfung – Globaler sicherer Zugriff | Microsoft Learn.

Testen des Datenverkehrsflusses

  1. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie die Registerkarte Datenverkehr aus, und wählen Sie Erfassung starten aus.
  2. Greifen Sie über den Browser auf diese Websites zu: bing.com, , salesforce.comInstagram.com, Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
  3. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle. Überprüfen sie, ob Datenverkehr im Zusammenhang mit diesen Websites in den Datenverkehrsprotokollen für globalen sicheren Zugriff erfasst wird.
  4. Greifen Sie über eine Dienstverbindung oder einen ZTNA-Connector auf Ihre private Anwendung in Prisma Access zu. Öffnen Sie beispielsweise eine RDP-Sitzung auf einem privaten Server.
  5. Melden Sie sich bei Palo Alto Networks‘ Strata Cloud Manager an, und navigieren Sie zu Vorfälle und Warnungen>Protokollanzeige. Überprüfen Sie, ob der Datenverkehr im Zusammenhang mit der RDP-Sitzung vorhanden ist und der Datenverkehr im Zusammenhang mit Microsoft 365 sowie Internetdatenverkehr wie Instagram.com, Outlook Online und SharePoint Online in den Prisma Access-Protokollen nicht vorhanden ist.
  6. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie im Dialogfeld „Netzwerkdatenverkehr“ die Option Sammeln beenden aus.
  7. Scrollen Sie, um zu beobachten, dass der Client für globalen sicheren Zugriff nicht den Datenverkehr aus der privaten Anwendung erfasst. Beachten Sie außerdem, dass der Client für globalen sicheren Zugriff den Datenverkehr für Microsoft 365 und anderen Internetdatenverkehr erfasst.

Nächste Schritte

- Was ist Global Secure Access?