Freigeben über


Informationen über die Koexistenz von Security Service Edge (SSE) mit Microsoft und Zscaler

In der sich schnell entwickelnden digitalen Landschaft benötigen Organisationen robuste und einheitliche Lösungen, um eine sichere und nahtlose Konnektivität zu gewährleisten. Microsoft und Zscaler bieten ergänzende SASE-Funktionen (Secure Access Service Edge), die bei der Integration erweiterte Sicherheit und Konnektivität für verschiedene Zugriffsszenarien bieten.

In diesem Leitfaden wird beschrieben, wie Sie Microsoft Entra-Lösungen zusammen mit den SSE-Angeboten (Security Service Edge) von Zscaler konfigurieren und bereitstellen. Mithilfe der Stärken beider Plattformen können Sie den Sicherheitsstatus Ihrer Organisation optimieren und gleichzeitig eine leistungsstarke Konnektivität für private Anwendungen, Microsoft 365-Datenverkehr und Internetzugriff beibehalten.

  1. Microsoft Entra Private Access mit Zscaler Internetzugriff

    In diesem Szenario behandelt der globale sichere Zugriff private Anwendungsdatenverkehr. Zscaler erfasst nur Internetdatenverkehr. Daher ist das Zscaler Private Access-Modul vom Zscaler-Portal deaktiviert.

  2. Microsoft Entra Private Access in Verbindung mit Zscaler Private Access und Zscaler Internet Access

    In diesem Szenario behandeln beide Clients Datenverkehr für separate private Anwendungen. Der globale sichere Zugriff behandelt private Anwendungen in Microsoft Entra Private Access. Private Anwendungen in Zscaler verwenden das Zscaler Private Access-Modul. Zscaler Internet Access verarbeitet den Internetdatenverkehr.

  3. Microsoft Entra, Microsoft Access mit Zscaler Private Access und Zscaler Internet Access

    In diesem Szenario behandelt der globale sichere Zugriff den gesamten Microsoft 365-Datenverkehr. Zscaler Private Access behandelt privaten Anwendungsdatenverkehr und Zscaler Internet Access verarbeitet Internetdatenverkehr.

  4. Microsoft Entra Internetzugang und Microsoft Entra Access mit Zscaler Private Access

    In diesem Szenario behandelt der globale sichere Zugriff Internet- und Microsoft 365-Datenverkehr. Zscaler erfasst nur privaten Anwendungsdatenverkehr. Daher ist das Zscaler Internet Access-Modul über das Zscaler-Portal deaktiviert.

Voraussetzungen

Um Microsoft und Zscaler für eine einheitliche SASE-Lösung zu konfigurieren, richten Sie zunächst Microsoft Entra Internet Access und Microsoft Entra Private Access ein. Konfigurieren Sie als Nächstes Zscaler Private Access und Zscaler Internet Access. Stellen Sie abschließend sicher, dass Sie die erforderlichen FQDN- und IP-Umgehungen einrichten, um eine reibungslose Integration zwischen den beiden Plattformen sicherzustellen.

  • Richten Sie Microsoft Entra Internet Access und Microsoft Entra Private Access ein. Diese Produkte bilden die Globale Lösung für den sicheren Zugriff.
  • Einrichten des privaten Zscaler-Zugriffs und des Internetzugriffs
  • Konfigurieren Sie die FQDN-Umgehungen und IP-Umgehungen für den globalen sicheren Zugriff.

Microsoft Global Secure Access

So richten Sie den globalen sicheren Zugriff von Microsoft Entra ein, und testen Sie alle Szenarien in dieser Dokumentation:

Privater Zscaler-Zugriff und Internetzugriff

Um Zscaler Private Access und Zscaler Internet Access in Microsoft Global Secure Access zu integrieren, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen. Diese Schritte sorgen für eine reibungslose Integration, eine bessere Verkehrsverwaltung und eine verbesserte Sicherheit.

FQDNs und IPs zur Umgehung des Global Secure Access-Dienstes

Konfigurieren Sie das App-Profil des Zscaler Client Connectors, um mit Microsoft Entra-Diensten, vollqualifizierten Domänennamen (FQDNs) und IP-Adressen zu arbeiten.

Diese Einträge müssen in den App-Profilen für jedes Szenario vorhanden sein:

  • IPs: 150.171.15.0/24, 150.171.18.0/24, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, , 13.107.233.0/24, 151.206.0.0/16, 6.6.0.0/16
  • FQDNs: internet.edgediagnostic.globalsecureaccess.microsoft.com, m365.edgediagnostic.globalsecureaccess.microsoft.com, private.edgediagnostic.globalsecureaccess.microsoft.com, aps.globalsecureaccess.microsoft.com, <tenantid>.auth-backup.client.globalsecureaccess.microsoft.comauth.edgediagnostic.globalsecureaccess.microsoft.com<tenantid>.auth.client.globalsecureaccess.microsoft.com<tenantid>.internet.client.globalsecureaccess.microsoft.com<tenantid>.internet-backup.client.globalsecureaccess.microsoft.com<tenantid>.m365.client.globalsecureaccess.microsoft.com<tenantid>.private-backup.client.globalsecureaccess.microsoft.com<tenantid>.private.client.globalsecureaccess.microsoft.com<tenantid>.m365-backup.client.globalsecureaccess.microsoft.com.
  • Installieren und Konfigurieren der Zscaler Client Connector-Software.

Konfiguration 1: Microsoft Entra Private Access mit Zscaler Internet Access

In diesem Szenario behandelt Microsoft Entra Private Access privaten Anwendungsdatenverkehr, während Zscaler Internet Access Internetdatenverkehr verwaltet. Das Zscaler Private Access-Modul ist im Zscaler-Portal deaktiviert. Zum Konfigurieren von Microsoft Entra Private Access müssen Sie mehrere Schritte ausführen. Aktivieren Sie zunächst das Weiterleitungsprofil. Installieren Sie als Nächstes den privaten Netzwerkconnector. Richten Sie danach den Schnellzugriff ein, und konfigurieren Sie privates DNS. Installieren Sie schließlich den globalen Secure Access-Client. Bei Zscaler Internet Access umfasst die Konfiguration das Erstellen eines Weiterleitungsprofils und Eines App-Profils, das Hinzufügen von Umgehungsregeln für Microsoft Entra-Dienste und die Installation des Zscaler-Clientconnectors. Schließlich werden die Konfigurationen überprüft, und der Datenverkehrsfluss wird getestet, um eine ordnungsgemäße Handhabung des privaten und Internetdatenverkehrs durch die jeweiligen Lösungen sicherzustellen.

Microsoft Entra-Privatzugriff-Konfiguration

Für dieses Szenario müssen Sie Folgendes ausführen:

Zscaler Internet Access-Konfiguration

Führen Sie im Zscaler-Portal Aufgaben aus.

  • Einrichten und Konfigurieren von Zscaler Internet Access.
  • Erstellen Sie ein Weiterleitungsprofil.
  • Erstellen Sie ein App-Profil.
  • Installieren des Zscaler-Client-Connectors

Hinzufügen eines Weiterleitungsprofils im Client Connector-Portal:

  1. Navigieren Sie zu Zscaler Client Connector Admin Portal>Administration>Forwarding Profile>Weiterleitungsprofil hinzufügen.
  2. Fügen Sie einen Profilnamen wie ZIA Only hinzu.
  3. Wählen Sie im TunneltreibertypPaketfilter-basiert aus.
  4. Wählen Sie die Weiterleitungsprofilaktion als Tunnel aus , und wählen Sie die Tunnelversion aus. Beispiel: Z-Tunnel 2.0
  5. Blättern Sie nach unten zur Aktion des Weiterleitungsprofils für ZPA.
  6. Wählen Sie "Keine" für alle Optionen in diesem Abschnitt aus.

App-Profil aus dem Client Connector Portal hinzufügen:

  1. Navigieren Sie zu Zscaler Client Connector Admin Portal>App Profiles>Windows (oder macOS)>Fügen Sie Windows-Richtlinie (oder macOS) hinzu.
  2. Fügen Sie Namehinzu, legen Sie Regelreihenfolge fest, z. B. 1, wählen Sie Aktivieren und Benutzer aus, um diese Richtlinie anzuwenden, und wählen Sie das Weiterleitungsprofil aus. Wählen Sie z. B. nur ZIA aus.
  3. Scrollen Sie nach unten, und fügen Sie die IP-Adressen (Microsoft SSE Service Internet Protocol) und vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) im Abschnitt "Global Secure Access Service FQDNs and IPs bypasses" zum Feld "HOSTNAME OR IP ADDRESS BYPASS FOR VPN GATEWAY" hinzu.

Verwenden Sie die Taskleiste, um zu überprüfen, ob der globale sichere Zugriff und Zscaler-Clients aktiviert sind.

Überprüfen von Konfigurationen für Clients:

  1. Klicken Sie mit der rechten Maustaste auf das Global Secure Access Client>Advanced Diagnostics>Forwarding Profile , und überprüfen Sie, ob private Zugriffsregeln und private DNS-Regeln auf diesen Client angewendet werden.
  2. Navigieren Sie zu Advanced Diagnostics>Health Check (Erweiterte Diagnose > Integritätsprüfung), und stellen Sie sicher, dass die Überprüfungen nicht fehlschlagen.
  3. Klicken Sie mit der rechten Maustaste auf Zscaler-Client>Zscaler öffnen>Weitere. Überprüfen Sie, ob die App-Richtlinie mit den Konfigurationen in den vorherigen Schritten übereinstimmt. Überprüfen Sie, ob sie auf dem neuesten Stand ist, oder aktualisieren Sie sie.
  4. Navigieren Sie zu Zscaler Client>Internet Security. Stellen Sie sicher, dass der Dienststatus bei ON und der Authentifizierungsstatus bei Authenticated ist.
  5. Navigieren Sie zu Zscaler-Client>Private Access. Überprüfen Sie, ob der Dienststatus lautet DISABLED.

Hinweis

Informationen zur Fehlerbehebung bei Fehlern des Integritäts-Checks finden Sie unter "Fehlerbehebung bei der Global Secure Access-Client-Diagnose – Integritäts-Check".

Datenverkehrsfluss testen:

  1. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie die Registerkarte Datenverkehr aus, und wählen Sie Erfassung starten aus.
  2. Greifen Sie über den Browser auf diese Websites zu: bing.com, salesforce.com, Instagram.com.
  3. Klicken Sie in der Taskleiste mit der rechten Maustaste auf Global Secure Access Client, und wählen Sie die Registerkarte Erweiterte Diagnosen>Verkehr aus.
  4. Scrollen Sie, um zu beobachten, dass der globale Secure Access-Client keinen Datenverkehr von diesen Websites erfasst.
  5. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle. Überprüfen sie, ob Datenverkehr im Zusammenhang mit diesen Websites in den Datenverkehrsprotokollen für globalen sicheren Zugriff fehlt.
  6. Melden Sie sich beim Zscaler Internet Access (ZIA)-Verwaltungsportal an, und navigieren Sie zu Analysen>Web-Insights>Protokolle. Überprüfen Sie, ob Datenverkehr, der im Zusammenhang mit diesen Websites steht, in Zscaler-Protokollen vorhanden ist.
  7. Greifen Sie in Microsoft Entra Private Access auf Ihre private Anwendung zu. Greifen Sie beispielsweise über SMB (Server Message Block) auf eine Dateifreigabe zu.
  8. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle.
  9. Stellen Sie sicher, dass der im Zusammenhang mit der Dateifreigabe stehende Datenverkehr in den Global Secure Access-Datenverkehrsprotokollen erfasst wird.
  10. Melden Sie sich beim Zscaler Internet Access (ZIA)-Verwaltungsportal an, und navigieren Sie zu Analysen>Web-Insights>Protokolle. Überprüfen sie, ob Datenverkehr im Zusammenhang mit der privaten Anwendung im Dashboard oder in den Datenverkehrsprotokollen nicht vorhanden ist.
  11. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie im Dialogfeld Datenverkehr die Option Sammeln beenden aus.
  12. Scrollen Sie, um zu bestätigen, dass der globale Secure Access-Client nur privaten Anwendungsdatenverkehr verarbeitet hat.

Konfiguration 2: Microsoft Entra Private Access mit Zscaler Private Access und Zscaler Internet Access

In diesem Szenario behandeln beide Clients Datenverkehr für separate private Anwendungen. Der globale sichere Zugriff behandelt private Anwendungen in Microsoft Entra Private Access. Private Anwendungen in Zscaler verwenden das Zscaler Private Access-Modul. Zscaler Internet Access verarbeitet den Internetdatenverkehr.

Microsoft Entra Private Access-Konfiguration 2

Für dieses Szenario müssen Sie:

Konfiguration von Zscaler Private Access und Zscaler Internet Access 2

Führen Sie die Schritte im Zscaler-Portal aus:

  • Einrichten und Konfigurieren von Zscaler Internet Access und Zscaler Private Access.
  • Erstellen Sie ein Weiterleitungsprofil.
  • Erstellen Sie ein App-Profil.
  • Installieren Sie den Zscaler-Clientconnector.

Hinzufügen eines Weiterleitungsprofils im Client Connector-Portal:

  1. Navigieren Sie zu Zscaler Client Connector Admin Portal>Administration>Forwarding Profile>Weiterleitungsprofil hinzufügen.
  2. Fügen Sie einen Profilnamen wie ZIA and ZPA hinzu.
  3. Wählen Sie im TunneltreibertypPaketfilter-basiert aus.
  4. Wählen Sie die Weiterleitungsprofilaktion Tunnel und die Tunnelversion aus. Beispiel: Z-Tunnel 2.0.
  5. Blättern Sie nach unten zur Aktion des Weiterleitungsprofils für ZPA.
  6. Wählen Sie "Tunnel" für alle Optionen in diesem Abschnitt aus.

App-Profil aus dem Client Connector Portal hinzufügen:

  1. Navigieren Sie zu Zscaler Client Connector Admin Portal>App Profiles>Windows (oder macOS)>Fügen Sie Windows-Richtlinie (oder macOS) hinzu.
  2. Fügen Sie Namehinzu, legen Sie Regelreihenfolge fest, z. B. 1, wählen Sie Aktivieren und Benutzer aus, um diese Richtlinie anzuwenden, und wählen Sie das Weiterleitungsprofil aus. Wählen Sie z. B. ZIA und ZPA aus.
  3. Scrollen Sie nach unten, und fügen Sie die IP-Adressen (Microsoft SSE Service Internet Protocol) und vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) im Abschnitt "Global Secure Access Service FQDNs and IPs bypasses" zum Feld "HOSTNAME OR IP ADDRESS BYPASS FOR VPN GATEWAY" hinzu.

Verwenden Sie die Taskleiste, um zu überprüfen, ob der globale sichere Zugriff und Zscaler-Clients aktiviert sind.

Überprüfen von Konfigurationen für Clients:

  1. Klicken Sie mit der rechten Maustaste auf das Global Secure Access Client>Advanced Diagnostics>Forwarding Profile , und überprüfen Sie, ob private Zugriffsregeln und private DNS-Regeln auf diesen Client angewendet werden.
  2. Navigieren Sie zu Advanced Diagnostics>Health Check (Erweiterte Diagnose > Integritätsprüfung), und stellen Sie sicher, dass die Überprüfungen nicht fehlschlagen.
  3. Klicken Sie mit der rechten Maustaste auf Zscaler-Client>Zscaler öffnen>Weitere. Überprüfen Sie, ob die App-Richtlinie mit den Konfigurationen in den vorherigen Schritten übereinstimmt. Überprüfen Sie, ob sie auf dem neuesten Stand ist, oder aktualisieren Sie sie.
  4. Navigieren Sie zu Zscaler Client>Internet Security. Stellen Sie sicher, dass der Dienststatus bei ON und der Authentifizierungsstatus bei Authenticated ist.
  5. Navigieren Sie zu Zscaler-Client>Private Access. Stellen Sie sicher, dass der Dienststatus bei ON und der Authentifizierungsstatus bei Authenticated ist.

Hinweis

Informationen zur Fehlerbehebung bei Fehlern des Integritäts-Checks finden Sie unter "Fehlerbehebung bei der Global Secure Access-Client-Diagnose – Integritäts-Check".

Datenverkehrsfluss testen:

  1. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie die Registerkarte Datenverkehr aus, und wählen Sie Erfassung starten aus.
  2. Greifen Sie über den Browser auf diese Websites zu: bing.com, salesforce.com, Instagram.com.
  3. Klicken Sie in der Taskleiste mit der rechten Maustaste auf Global Secure Access Client, und wählen Sie die Registerkarte Erweiterte Diagnosen>Verkehr aus.
  4. Scrollen Sie, um zu beobachten, dass der globale Secure Access-Client keinen Datenverkehr von diesen Websites erfasst.
  5. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle. Überprüfen sie, ob Datenverkehr im Zusammenhang mit diesen Websites in den Datenverkehrsprotokollen für globalen sicheren Zugriff fehlt.
  6. Melden Sie sich beim Zscaler Internet Access (ZIA)-Verwaltungsportal an, und navigieren Sie zu Analysen>Web-Insights>Protokolle.
  7. Überprüfen Sie, ob Datenverkehr, der im Zusammenhang mit diesen Websites steht, in Zscaler-Protokollen vorhanden ist.
  8. Greifen Sie in Microsoft Entra Private Access auf Ihre private Anwendung zu. Greifen Sie beispielsweise über SMB auf eine Dateifreigabe zu.
  9. Greifen Sie auf Ihre private Anwendung zu, die in Zscaler Private Access eingerichtet ist. Öffnen Sie beispielsweise eine RDP-Sitzung auf einem privaten Server.
  10. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle.
  11. Überprüfen Sie, ob der Datenverkehr im Zusammenhang mit der privaten SMB-Dateifreigabe-Anwendung erfasst wird und der Datenverkehr im Zusammenhang mit der RDP-Sitzung nicht in den Global Secure Access-Datenverkehrsprotokollen erfasst wird.
  12. Melden Sie sich beim Zscaler Private Access (ZPA)-Verwaltungsportal an und navigieren Sie zu Analytik>Diagnose>Protokolle. Überprüfen Des Datenverkehrs im Zusammenhang mit der RDP-Sitzung ist vorhanden, und der Datenverkehr im Zusammenhang mit der SMB-Dateifreigabe befindet sich nicht in den Dashboard- oder Diagnoseprotokollen .
  13. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie im Dialogfeld Datenverkehr die Option Sammeln beenden aus.
  14. Scrollen Sie, um zu bestätigen, dass der Global Secure Access-Client den privaten Anwendungsdatenverkehr für die SMB-Dateifreigabe bearbeitet und den RDP-Sitzungsdatenverkehr nicht bearbeitet hat.

Konfiguration 3: Microsoft Entra Microsoft Access mit Zscaler Private Access und Zscaler Internet Access

In diesem Szenario behandelt der globale sichere Zugriff den gesamten Microsoft 365-Datenverkehr. Zscaler Private Access behandelt privaten Anwendungsdatenverkehr und Zscaler Internet Access verarbeitet Internetdatenverkehr.

Microsoft Entra Microsoft Access-Konfiguration 3

Für dieses Szenario müssen Sie:

Konfiguration von Zscaler Private Access und Zscaler Internet Access 3

Führen Sie im Zscaler-Portal Aufgaben aus.

  • Einrichten und Konfigurieren des privaten Zscaler-Zugriffs.
  • Erstellen Sie ein Weiterleitungsprofil.
  • Erstellen Sie ein App-Profil.
  • Installieren Sie den Zscaler-Clientconnector.

Hinzufügen eines Weiterleitungsprofils im Client Connector-Portal:

  1. Navigieren Sie zu Zscaler Client Connector Admin Portal>Administration>Forwarding Profile>Weiterleitungsprofil hinzufügen.
  2. Fügen Sie einen Profilnamen wie ZIA and ZPA hinzu.
  3. Wählen Sie im TunneltreibertypPaketfilter-basiert aus.
  4. Wählen Sie die Weiterleitungsprofilaktion Tunnel und die Tunnelversion aus. Beispiel: Z-Tunnel 2.0.
  5. Blättern Sie nach unten zur Aktion des Weiterleitungsprofils für ZPA.
  6. Wählen Sie "Tunnel" für alle Optionen in diesem Abschnitt aus.

App-Profil aus dem Client Connector Portal hinzufügen:

  1. Navigieren Sie zu Zscaler Client Connector Admin Portal>App Profiles>Windows (oder macOS)>Fügen Sie Windows-Richtlinie (oder macOS) hinzu.
  2. Fügen Sie Namehinzu, legen Sie Regelreihenfolge fest, z. B. 1, wählen Sie Aktivieren und Benutzer aus, um diese Richtlinie anzuwenden, und wählen Sie das Weiterleitungsprofil aus. Wählen Sie z. B. ZIA und ZPA aus.
  3. Scrollen Sie nach unten, und fügen Sie die IP-Adressen (Microsoft SSE Service Internet Protocol) und vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) im Abschnitt "Global Secure Access Service FQDNs and IPs bypasses" zum Feld "HOSTNAME OR IP ADDRESS BYPASS FOR VPN GATEWAY" hinzu.

Verwenden Sie die Taskleiste, um zu überprüfen, ob der globale sichere Zugriff und Zscaler-Clients aktiviert sind.

Überprüfen von Konfigurationen für Clients:

  1. Klicken Sie mit der rechten Maustaste auf das Global Secure Access Client>Advanced Diagnostics>Forwarding Profile , und stellen Sie sicher, dass nur Microsoft 365-Regeln auf diesen Client angewendet werden.
  2. Navigieren Sie zu Advanced Diagnostics>Health Check (Erweiterte Diagnose > Integritätsprüfung), und stellen Sie sicher, dass die Überprüfungen nicht fehlschlagen.
  3. Klicken Sie mit der rechten Maustaste auf Zscaler-Client>Zscaler öffnen>Weitere. Überprüfen Sie, ob die App-Richtlinie mit den Konfigurationen in den vorherigen Schritten übereinstimmt. Überprüfen Sie, ob sie auf dem neuesten Stand ist, oder aktualisieren Sie sie.
  4. Navigieren Sie zu Zscaler Client>Internet Security. Stellen Sie sicher, dass der Dienststatus bei ON und der Authentifizierungsstatus bei Authenticated ist.
  5. Navigieren Sie zu Zscaler-Client>Private Access. Stellen Sie sicher, dass der Dienststatus bei ON und der Authentifizierungsstatus bei Authenticated ist.

Hinweis

Informationen zur Fehlerbehebung bei Fehlern des Integritäts-Checks finden Sie unter "Fehlerbehebung bei der Global Secure Access-Client-Diagnose – Integritäts-Check".

Datenverkehrsfluss testen:

  1. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie die Registerkarte Datenverkehr aus, und wählen Sie Erfassung starten aus.
  2. Greifen Sie über den Browser auf diese Websites zu: bing.com, salesforce.com, Instagram.com.
  3. Klicken Sie in der Taskleiste mit der rechten Maustaste auf Global Secure Access Client, und wählen Sie die Registerkarte Erweiterte Diagnosen>Verkehr aus.
  4. Scrollen Sie, um zu beobachten, dass der globale Secure Access-Client keinen Datenverkehr von diesen Websites erfasst.
  5. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle. Überprüfen sie, ob Datenverkehr im Zusammenhang mit diesen Websites in den Datenverkehrsprotokollen für globalen sicheren Zugriff fehlt.
  6. Melden Sie sich beim Zscaler Internet Access (ZIA)-Verwaltungsportal an, und navigieren Sie zu Analysen>Web-Insights>Protokolle.
  7. Überprüfen Sie, ob Datenverkehr, der im Zusammenhang mit diesen Websites steht, in Zscaler-Protokollen vorhanden ist.
  8. Greifen Sie auf Ihre private Anwendung zu, die in Zscaler Private Access eingerichtet ist. Öffnen Sie beispielsweise eine RDP-Sitzung auf einem privaten Server.
  9. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle.
  10. Überprüfen Sie, ob der Datenverkehr im Zusammenhang mit der RDP-Sitzung sich nicht in den Global Secure Access-Datenverkehrsprotokollen befindet
  11. Melden Sie sich beim Zscaler Private Access (ZPA)-Verwaltungsportal an und navigieren Sie zu Analytik>Diagnose>Protokolle. Überprüfen Sie, ob der Datenverkehr im Zusammenhang mit der RDP-Sitzung in den Dashboard- oder Diagnoseprotokollen vorhanden ist.
  12. Greifen Sie auf Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com) zu.
  13. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie im Dialogfeld Datenverkehr die Option Sammeln beenden aus.
  14. Scrollen Sie, um zu bestätigen, dass der globale Secure Access-Client nur Microsoft 365-Datenverkehr verarbeitet hat.
  15. Sie können auch überprüfen, ob der Datenverkehr in den Datenverkehrsprotokollen für globalen sicheren Zugriff erfasst wird. Navigieren Sie im Microsoft Entra Admin Center zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle.
  16. Die Validierung des Datenverkehrs im Zusammenhang mit Outlook Online und SharePoint Online fehlt in den Zscaler Internet Access Protokollen unter Analytics>Web Insights>Logs.

Konfiguration 4: Microsoft Entra Internet Access und Microsoft Entra Microsoft Access und mit Zscaler Private Access

In diesem Szenario behandelt der globale sichere Zugriff Internet- und Microsoft 365-Datenverkehr. Zscaler erfasst nur privaten Anwendungsdatenverkehr. Daher ist das Zscaler Internet Access-Modul über das Zscaler-Portal deaktiviert.

Microsoft Entra Internet- und Microsoft Access-Konfiguration 4

Für dieses Szenario müssen Sie Folgendes konfigurieren:

Hinzufügen einer benutzerdefinierten Umgehung für Zscaler im globalen sicheren Zugriff:

  1. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zum Global Secure Access>Connect>Traffic Forwarding>Internet Access-Zugriffsprofil. Wählen Sie unter "Internetzugriffsrichtlinien" die Option "Ansicht" aus.
  2. Erweitern Sie Benutzerdefiniertes Bypass und wählen Sie "Regel hinzufügen" aus.
  3. Lassen Sie den Zieltyp FQDN und geben Sie unter Destination*.prod.zpath.net ein.
  4. Wählen Sie Speichern aus.

Zscaler Private Access-Konfiguration 4

Führen Sie die Prozedur im Zscaler-Portal aus:

  • Einrichten und Konfigurieren des privaten Zscaler-Zugriffs.
  • Erstellen Sie ein Weiterleitungsprofil.
  • Erstellen Sie ein App-Profil.
  • Installieren Sie den Zscaler-Clientconnector.

Hinzufügen eines Weiterleitungsprofils im Client Connector-Portal:

  1. Navigieren Sie zum Zscaler Client Connector Admin-Portal>Verwaltung>Weiterleitungsprofil>Weiterleitungsprofil hinzufügen.
  2. Fügen Sie einen Profilnamen wie ZPA Only hinzu.
  3. Wählen Sie im TunneltreibertypPaketfilter-basiert aus.
  4. Wählen Sie die Weiterleitungsprofilaktion als "Keine" aus.
  5. Blättern Sie nach unten zur Aktion des Weiterleitungsprofils für ZPA.
  6. Wählen Sie "Tunnel" für alle Optionen in diesem Abschnitt aus.

App-Profil aus dem Client Connector Portal hinzufügen:

  1. Navigieren Sie zu Zscaler Client Connector Admin Portal>App Profiles>Windows (oder macOS)>Fügen Sie Windows-Richtlinie (oder macOS) hinzu.
  2. Fügen Sie Namehinzu, legen Sie Regelreihenfolge fest, z. B. 1, wählen Sie Aktivieren und Benutzer aus, um diese Richtlinie anzuwenden, und wählen Sie das Weiterleitungsprofil aus. Wählen Sie z. B. nur ZPA aus.
  3. Scrollen Sie nach unten, und fügen Sie die IP-Adressen (Microsoft SSE Service Internet Protocol) und vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) im Abschnitt "Global Secure Access Service FQDNs and IPs bypasses" zum Feld "HOSTNAME OR IP ADDRESS BYPASS FOR VPN GATEWAY" hinzu.

Öffnen Sie die Taskleiste, um zu überprüfen, ob der globale sichere Zugriff und Zscaler-Clients aktiviert sind.

Überprüfen von Konfigurationen für Clients:

  1. Klicken Sie mit der rechten Maustaste auf Client für globalen sicheren Zugriff>Erweiterte Diagnose>Weiterleitungsprofil und überprüfen Sie, ob Microsoft 365- und Internetzugriffsregeln auf diesen Client angewendet werden.
  2. Erweitern Sie die Internetzugriffsregeln > und überprüfen Sie, ob die benutzerdefinierte Umgehung *.prod.zpath.net im Profil vorhanden ist.
  3. Navigieren Sie zu Advanced Diagnostics>Health Check (Erweiterte Diagnose > Integritätsprüfung), und stellen Sie sicher, dass die Überprüfungen nicht fehlschlagen.
  4. Klicken Sie mit der rechten Maustaste auf Zscaler-Client>Zscaler öffnen>Weitere. Überprüfen Sie, ob die App-Richtlinie mit den Konfigurationen in den vorherigen Schritten übereinstimmt. Überprüfen Sie, ob sie auf dem neuesten Stand ist, oder aktualisieren Sie sie.
  5. Navigieren Sie zu Zscaler-Client>Private Access. Stellen Sie sicher, dass der Dienststatus bei ON und der Authentifizierungsstatus bei Authenticated ist.
  6. Navigieren Sie zu Zscaler Client>Internet Security. Überprüfen Sie, ob der Dienststatus lautet DISABLED.

Hinweis

Informationen zur Fehlerbehebung bei Fehlern des Integritäts-Checks finden Sie unter "Fehlerbehebung bei der Global Secure Access-Client-Diagnose – Integritäts-Check".

Datenverkehrsfluss testen:

  1. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie die Registerkarte Datenverkehr aus, und wählen Sie Erfassung starten aus.
  2. Greifen Sie über den Browser auf diese Websites zu: bing.com, , salesforce.comInstagram.com, Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
  3. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Globaler sicherer Zugriff>Überwachen>Datenverkehrsprotokolle. Überprüfen sie, ob Datenverkehr im Zusammenhang mit diesen Websites in den Datenverkehrsprotokollen für globalen sicheren Zugriff erfasst wird.
  4. Greifen Sie auf Ihre private Anwendung zu, die in Zscaler Private Access eingerichtet ist. Verwenden Sie z. B. Remotedesktop (RDP).
  5. Melden Sie sich beim Zscaler Private Access (ZPA)-Verwaltungsportal an und navigieren Sie zu Analytik>Diagnose>Protokolle. Überprüfen Sie, ob der Datenverkehr im Zusammenhang mit der RDP-Sitzung in den Dashboard- oder Diagnoseprotokollen vorhanden ist.
  6. Melden Sie sich beim Zscaler Internet Access (ZIA)-Verwaltungsportal an, und navigieren Sie zu Analysen>Web-Insights>Protokolle. Überprüfen Sie, ob der Datenverkehr im Zusammenhang mit Microsoft 365 und Internetdatenverkehr, wie Instagram.com, Outlook Online und SharePoint Online, in den ZIA-Protokollen fehlt.
  7. Klicken Sie auf der Taskleiste mit der rechten Maustaste auf Client für globalen sicheren Zugriff und wählen Sie dann Erweiterte Diagnose aus. Wählen Sie im Dialogfeld Datenverkehr die Option Sammeln beenden aus.
  8. Scrollen Sie, um zu beobachten, dass der Client für globalen sicheren Zugriff nicht den Datenverkehr aus der privaten Anwendung erfasst. Beachten Sie außerdem, dass der Client für globalen sicheren Zugriff den Datenverkehr für Microsoft 365 und anderen Internetdatenverkehr erfasst.