Más información sobre la coexistencia del Servicio de seguridad de Edge (SSE) con Microsoft y Zscaler

En el panorama digital en constante evolución actual, las organizaciones requieren soluciones sólidas y unificadas para garantizar una conectividad segura y sin problemas. Microsoft y Zscaler ofrecen funcionalidades complementarias de Secure Access Service Edge (SASE) que, cuando se integran, proporcionan una mayor seguridad y conectividad para diversos escenarios de acceso.

En esta guía se describe cómo configurar e implementar soluciones de Microsoft Entra junto con las ofertas de Security Service Edge (SSE) de Zscaler. Mediante el uso de las ventajas de ambas plataformas, puede optimizar la posición de seguridad de su organización al tiempo que mantiene la conectividad de alto rendimiento para las aplicaciones privadas, el tráfico de Microsoft 365 y el acceso a Internet.

1. Microsoft Entra Private Access con Zscaler Internet Access

   En este escenario, Global Secure Access controla el tráfico de aplicaciones privadas. Zscaler solo captura el tráfico de Internet. Por lo tanto, el módulo Zscaler Private Access está deshabilitado desde el portal de Zscaler.

2. Acceso privado de Microsoft Entra con Zscaler Private Access y Zscaler Internet Access

   En este escenario, ambos clientes controlan el tráfico para aplicaciones privadas independientes. Global Secure Access controla las aplicaciones privadas en Microsoft Entra Private Access. Las aplicaciones privadas de Zscaler usan el módulo Zscaler Private Access. Zscaler Internet Access controla el tráfico de Internet.

3. Microsoft Entra Microsoft Access con Zscaler Private Access y Zscaler Internet Access

   En este escenario, Global Secure Access controla todo el tráfico de Microsoft 365. Zscaler Private Access controla el tráfico de aplicaciones privadas y Zscaler Internet Access controla el tráfico de Internet.

4. Acceso a Internet de Microsoft Entra y Microsoft Entra Microsoft Access con Zscaler Private Access

   En este escenario, el acceso seguro global controla el tráfico de Internet y Microsoft 365. Zscaler solo captura el tráfico de aplicaciones privadas. Por lo tanto, el módulo Zscaler Internet Access está deshabilitado desde el portal de Zscaler.

Prerrequisitos

Para configurar Microsoft y Zscaler para una solución SASE unificada, empiece por configurar Microsoft Entra Internet Access y Microsoft Entra Private Access. A continuación, configure Zscaler Private Access y Zscaler Internet Access. Por último, asegúrate de establecer los FQDN y las omisiones de IP necesarios para garantizar una integración fluida entre las dos plataformas.

• Configure Microsoft Entra Internet Access y Microsoft Entra Private Access. Estos productos componen la solución Global Secure Access.
• Configuración del acceso privado de Zscaler y acceso a Internet
• Configura el FQDN de Acceso Seguro Global y las omisiones de IP

Acceso seguro global de Microsoft

Para configurar Microsoft Entra Global Secure Access y probar todos los escenarios de esta documentación:

• Habilite y deshabilite diferentes perfiles de reenvío de tráfico de Acceso Seguro Global de Microsoft para su entorno de Microsoft Entra. Para más información sobre cómo habilitar y deshabilitar perfiles, consulte los perfiles de reenvío de tráfico de Acceso global seguro.
• Instale y configure el conector de red privada de Microsoft Entra. Para obtener información sobre cómo instalar y configurar el conector, consulte Configuración de conectores.

  Nota:

  Los conectores de red privada son necesarios para las aplicaciones de Microsoft Entra Private Access.

• Configure el acceso rápido a los recursos privados y configure el sistema de nombres de dominio privado (DNS) y los sufijos DNS. Para obtener información sobre cómo configurar el Acceso rápido, consulte Configuración del Acceso rápido.
• Instale y configure el cliente de Acceso global seguro en dispositivos del usuario final. Para más información sobre los clientes, consulte Clientes de Acceso global seguro. Para obtener información sobre cómo instalar el cliente de Windows, consulte Cliente de Acceso global seguro para Windows. Para macOS, consulte Cliente de acceso seguro global para macOS.

Acceso privado y acceso a Internet de Zscaler

Para integrar Zscaler Private Access y Zscaler Internet Access con Microsoft Global Secure Access, asegúrese de completar los siguientes requisitos previos. Estos pasos garantizan una integración fluida, una mejor administración del tráfico y una mayor seguridad.

• Configure el Acceso a Internet de Zscaler. Para obtener más información sobre cómo configurar Zscaler, consulte Guía de configuración paso a paso para ZIA.
• Configurar acceso privado de Zscaler. Para obtener más información sobre la configuración de Zscaler, consulte Step-by-Step Configuration Guide for ZPA (Guía de configuración paso a paso para ZPA).
• Configura y establece perfiles de reenvío del Conector de Cliente de Zscaler. Para más información sobre cómo configurar Zscaler, consulte Configuración de perfiles de reenvío para Zscaler Client Connector.
• Configure y configure perfiles de aplicación del conector de cliente de Zscaler con omisión de acceso seguro global. Para más información sobre cómo configurar Zscaler, consulte Configuración de perfiles de aplicación del conector de cliente de Zscaler.

Exclusiones para los dominios de FQDN y direcciones IP del servicio de acceso seguro global

Configure el perfil de aplicación Zscaler Client Connector para que funcione con nombres de dominio completos (FQDN) y direcciones de protocolo de Internet (IP) del servicio Microsoft Entra.

Estas entradas deben estar presentes en los perfiles de aplicación para cada escenario:

• Direcciones IP: 150.171.15.0/24, 150.171.18.0/24, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, , 151.206.0.0/166.6.0.0/16
• FQDN: internet.edgediagnostic.globalsecureaccess.microsoft.com, , m365.edgediagnostic.globalsecureaccess.microsoft.com, private.edgediagnostic.globalsecureaccess.microsoft.com, aps.globalsecureaccess.microsoft.com<tenantid>.private.client.globalsecureaccess.microsoft.com<tenantid>.auth.client.globalsecureaccess.microsoft.comauth.edgediagnostic.globalsecureaccess.microsoft.com<tenantid>.internet-backup.client.globalsecureaccess.microsoft.com<tenantid>.internet.client.globalsecureaccess.microsoft.com<tenantid>.auth-backup.client.globalsecureaccess.microsoft.com<tenantid>.m365.client.globalsecureaccess.microsoft.com<tenantid>.private-backup.client.globalsecureaccess.microsoft.com<tenantid>.m365-backup.client.globalsecureaccess.microsoft.com.
• Instale y configure el software Zscaler Client Connector.

Configuración 1: Microsoft Entra Private Access con Zscaler Internet Access

En este escenario, Microsoft Entra Private Access controla el tráfico de la aplicación privada, mientras que Zscaler Internet Access administra el tráfico de Internet. El módulo Zscaler Private Access está deshabilitado en el portal de Zscaler. Para configurar Microsoft Entra Private Access, debe completar varios pasos. En primer lugar, habilite el perfil de reenvío. A continuación, instale el conector de red privada. Después, configure acceso rápido y configure DNS privado. Por último, instale el cliente de Acceso seguro global. Para el acceso a Internet de Zscaler, la configuración implica crear un perfil de reenvío y un perfil de aplicación, agregar reglas de omisión para los servicios de Microsoft Entra e instalar el conector de cliente Zscaler. Por último, se comprueban las configuraciones y el flujo de tráfico se prueba para garantizar el control adecuado del tráfico privado e Internet por las soluciones respectivas.

Configuración de Acceso privado de Microsoft Entra

Para este escenario, necesita:

• Habilitar el perfil de reenvío de Microsoft Entra Private Access.
• Instale un conector de red privada para Microsoft Entra Private Access.
• Configure el acceso rápido y configure DNS privado.
• Instale y configure el cliente de Acceso seguro global para Windows o macOS.

Configuración de acceso a Internet de Zscaler

Realice en el portal de Zscaler:

• Instalar y configurar Zscaler Internet Access.
• Cree un perfil de reenvío.
• Cree un perfil de aplicación.
• Instalación del conector de cliente Zscaler

Agregue el perfil de reenvío desde el portal del conector de cliente:

1. Vaya al portal de administración> Zscaler Client Connector Administración>Perfil de Reenvío>Agregar perfil de reenvío.
2. Agregue un Nombre de perfil como ZIA Only.
3. Seleccione Packet Filter-Based in Tunnel Driver Type (Basado en filtro de paquetes) en Tunnel Driver Type (Tipo de controlador de túnel).
4. Seleccione la acción de perfil de reenvío como Tunnel y seleccione la versión del túnel. Por ejemplo: Z-Tunnel 2.0
5. Desplácese hacia abajo hasta acción de reenvío de perfil para ZPA.
6. Seleccione Ninguno para todas las opciones de esta sección.

Añadir perfil de aplicación desde el portal Cliente Conector

1. Vaya al portal de administración de Zscaler Client Connector>App Profiles>Windows (o macOS)>Agregar directiva de Windows (o macOS).
2. Agregue Nombre, establezca Orden de reglas como 1, seleccione Habilitar, seleccione Usuario(s) para aplicar esta directiva y seleccione el Perfil de reenvío. Por ejemplo, seleccione Solo ZIA.
3. Desplácese hacia abajo y agregue las direcciones del Protocolo de Internet (IP) del servicio SSE de Microsoft y los nombres de dominio completos (FQDN) en la sección de excepciones de FQDN y direcciones IP del servicio global de acceso seguro, en el campo "HOSTNAME OR IP ADDRESS BYPASS FOR VPN GATEWAY".

Vaya a la bandeja del sistema para comprobar que los clientes de Acceso seguro global y Zscaler están habilitados.

Compruebe las configuraciones de los clientes:

1. Haga clic con el botón derecho en Global Secure Access Client>Advanced Diagnostics>Forwarding Profile y compruebe que las reglas de acceso privado y DNS privado se aplican a este cliente.
2. Vaya a Diagnóstico avanzado>Comprobación de estado y asegúrese de que no falla ninguna comprobación.
3. Haga clic con el botón derecho en Cliente Zscaler>Abrir Zscaler>Más. Compruebe que Política de aplicación coincide con las configuraciones de los pasos anteriores. Valide que esté al día o actualícelo.
4. Vaya a Zscaler Client>Internet Security. Compruebe que el estado del servicio es ON y el estado de autenticación es Authenticated.
5. Vaya a cliente de Zscaler>Acceso privado. Compruebe que el estado del servicio es DISABLED.

Nota:

Para obtener información sobre cómo solucionar errores de comprobación de estado, consulte Solución de problemas de diagnóstico del cliente Global de Acceso Seguro: comprobación de estado.

Flujo de tráfico de prueba:

1. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. Seleccione la pestaña Tráfico y seleccione Iniciar recopilación.
2. Acceda a estos sitios web desde el explorador: bing.com, salesforce.com, Instagram.com.
3. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione la pestaña Tráfico de diagnóstico> avanzado.
4. Desplácese para observar que el cliente global de acceso seguro no captura el tráfico de estos sitios web.
5. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico. Verifique si falta tráfico relacionado con estos sitios en los registros de tráfico de Global Secure Access.
6. Inicie sesión en el portal de administración de acceso a Internet de Zscaler (ZIA) y vaya a Analytics>Web Insights>Registros. Valide que el tráfico relacionado con estos sitios está presente en los registros de Zscaler.
7. Acceda a la aplicación privada configurada en Microsoft Entra Private Access. Por ejemplo, acceda a un recurso compartido de archivos a través del bloque de mensajes del servidor (SMB).
8. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico.
9. Valide que el tráfico relacionado con el recurso compartido de archivos se captura en los registros de tráfico de acceso seguro global.
10. Inicie sesión en el portal de administración de acceso a Internet de Zscaler (ZIA) y vaya a Analytics>Web Insights>Registros. Validar el tráfico relacionado con la aplicación privada no está presente en el panel ni en los registros de tráfico.
11. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. En el cuadro de diálogo Tráfico, seleccione Detener recopilación.
12. Desplácese para confirmar que el cliente de acceso seguro global solo controló el tráfico de la aplicación privada.

Configuración 2: Microsoft Entra Private Access con Zscaler Private Access y Zscaler Internet Access

En este escenario, ambos clientes controlan el tráfico para aplicaciones privadas independientes. Global Secure Access controla las aplicaciones privadas en Microsoft Entra Private Access. Las aplicaciones privadas de Zscaler usan el módulo Zscaler Private Access. Zscaler Internet Access controla el tráfico de Internet.

Configuración de Microsoft Entra Private Access 2

Para este escenario, debéis:

• Habilitar el perfil de reenvío de Microsoft Entra Private Access.
• Instale un conector de red privada para Microsoft Entra Private Access.
• Configure el acceso rápido y configure DNS privado.
• Instale y configure el cliente de Acceso seguro global para Windows o macOS.

Zscaler Private Access y Zscaler Internet Access configuración 2

Realice los pasos del portal de Zscaler:

• Configurar e instalar Zscaler Internet Access y Zscaler Private Access.
• Cree un perfil de reenvío.
• Cree un perfil de aplicación.
• Instale el conector de cliente Zscaler.

Agregue el perfil de reenvío desde el portal del conector de cliente:

1. Vaya al portal de administración> Zscaler Client Connector Administración>Perfil de Reenvío>Agregar perfil de reenvío.
2. Agregue un Nombre de perfil como ZIA and ZPA.
3. Seleccione Packet Filter-Based in Tunnel Driver Type (Basado en filtro de paquetes) en Tunnel Driver Type (Tipo de controlador de túnel).
4. Seleccione la acción de reenvío del perfil como túnel y seleccione la versión de túnel. Por ejemplo: Z-Tunnel 2.0.
5. Desplácese hacia abajo hasta acción de reenvío de perfil para ZPA.
6. Seleccione Tunnel para todas las opciones de esta sección.

Añadir perfil de aplicación desde el portal Cliente Conector

1. Vaya al portal de administración de Zscaler Client Connector>App Profiles>Windows (o macOS)>Agregar directiva de Windows (o macOS).
2. Agregue Nombre, establezca Orden de reglas como 1, seleccione Habilitar, seleccione Usuario(s) para aplicar esta directiva y seleccione el Perfil de reenvío. Por ejemplo, seleccione ZIA y ZPA.
3. Desplácese hacia abajo y agregue las direcciones del Protocolo de Internet (IP) del servicio SSE de Microsoft y los nombres de dominio completos (FQDN) en la sección de excepciones de FQDN y direcciones IP del servicio global de acceso seguro, en el campo "HOSTNAME OR IP ADDRESS BYPASS FOR VPN GATEWAY".

Vaya a la bandeja del sistema para comprobar que los clientes de Acceso seguro global y Zscaler están habilitados.

Compruebe las configuraciones de los clientes:

1. Haga clic con el botón derecho en Global Secure Access Client>Advanced Diagnostics>Forwarding Profile y compruebe que las reglas de acceso privado y DNS privado se aplican a este cliente.
2. Vaya a Diagnóstico avanzado>Comprobación de estado y asegúrese de que no falla ninguna comprobación.
3. Haga clic con el botón derecho en Cliente Zscaler>Abrir Zscaler>Más. Compruebe que Política de aplicación coincide con las configuraciones de los pasos anteriores. Valide que esté al día o actualícelo.
4. Vaya a Zscaler Client>Internet Security. Compruebe que el estado del servicio es ON y el estado de autenticación es Authenticated.
5. Vaya a cliente de Zscaler>Acceso privado. Compruebe que el estado del servicio es ON y el estado de autenticación es Authenticated.

Nota:

Para obtener información sobre cómo solucionar errores de comprobación de estado, consulte Solución de problemas de diagnóstico del cliente Global de Acceso Seguro: comprobación de estado.

Flujo de tráfico de prueba:

1. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. Seleccione la pestaña Tráfico y seleccione Iniciar recopilación.
2. Acceda a estos sitios web desde el explorador: bing.com, salesforce.com, Instagram.com.
3. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione la pestaña Tráfico de diagnóstico> avanzado.
4. Desplácese para observar que el cliente global de acceso seguro no captura el tráfico de estos sitios web.
5. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico. Verifique si falta tráfico relacionado con estos sitios en los registros de tráfico de Global Secure Access.
6. Inicie sesión en el portal de administración de acceso a Internet de Zscaler (ZIA) y vaya a Analytics>Web Insights>Registros.
7. Valide que el tráfico relacionado con estos sitios está presente en los registros de Zscaler.
8. Acceda a la aplicación privada configurada en Microsoft Entra Private Access. Por ejemplo, acceda a un recurso compartido de archivos a través de SMB.
9. Acceda a la aplicación privada configurada en Zscaler Private Access. Por ejemplo, abra una sesión RDP en un servidor privado.
10. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico.
11. Validar que el tráfico relacionado con la aplicación privada del recurso compartido de archivos SMB se captura y que el tráfico relacionado con la sesión RDP no se captura en los registros de tráfico de Acceso seguro global
12. Inicie sesión en el portal de administración de Zscaler Private Access (ZPA) y navegue a Análisis>Diagnóstico>Registros. Valide que el tráfico relacionado con la sesión RDP esté presente y que el tráfico relacionado con el recurso compartido de archivos SMB no aparezca en los registros del Dashboard o de diagnóstico.
13. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. En el cuadro de diálogo Tráfico, seleccione Detener recopilación.
14. Desplácese para confirmar que el cliente de acceso seguro global controló el tráfico de la aplicación privada para el recurso compartido de archivos SMB y no controló el tráfico de sesión RDP.

Configuración 3: Microsoft Entra Microsoft Access con Zscaler Private Access y Zscaler Internet Access

En este escenario, Global Secure Access controla todo el tráfico de Microsoft 365. Zscaler Private Access controla el tráfico de aplicaciones privadas y Zscaler Internet Access controla el tráfico de Internet.

Configuración 3 de Microsoft Entra Microsoft Access

Para este escenario, debéis:

• Habilite el perfil de reenvío de Microsoft Entra Access.
• Instale y configure el cliente de Acceso seguro global para Windows o macOS.

Zscaler Private Access y Zscaler Internet Access configuration 3

Realice en el portal de Zscaler:

• Configure y configure Zscaler Private Access.
• Cree un perfil de reenvío.
• Cree un perfil de aplicación.
• Instale el conector de cliente Zscaler.

Agregue el perfil de reenvío desde el portal del conector de cliente:

1. Vaya al portal de administración> Zscaler Client Connector Administración>Perfil de Reenvío>Agregar perfil de reenvío.
2. Agregue un Nombre de perfil como ZIA and ZPA.
3. Seleccione Packet Filter-Based in Tunnel Driver Type (Basado en filtro de paquetes) en Tunnel Driver Type (Tipo de controlador de túnel).
4. Seleccione la acción de reenvío del perfil como túnel y seleccione la versión de túnel. Por ejemplo: Z-Tunnel 2.0.
5. Desplácese hacia abajo hasta acción de reenvío de perfil para ZPA.
6. Seleccione Tunnel para todas las opciones de esta sección.

Añadir perfil de aplicación desde el portal Cliente Conector

1. Vaya al portal de administración de Zscaler Client Connector>App Profiles>Windows (o macOS)>Agregar directiva de Windows (o macOS).
2. Agregue Nombre, establezca Orden de reglas como 1, seleccione Habilitar, seleccione Usuario(s) para aplicar esta directiva y seleccione el Perfil de reenvío. Por ejemplo, seleccione ZIA y ZPA.
3. Desplácese hacia abajo y agregue las direcciones del Protocolo de Internet (IP) del servicio SSE de Microsoft y los nombres de dominio completos (FQDN) en la sección de excepciones de FQDN y direcciones IP del servicio global de acceso seguro, en el campo "HOSTNAME OR IP ADDRESS BYPASS FOR VPN GATEWAY".

Vaya a la bandeja del sistema para comprobar que los clientes de Acceso seguro global y Zscaler están habilitados.

Compruebe las configuraciones de los clientes:

1. Haga clic con el botón derecho en Cliente de Acceso Seguro Global>Diagnósticos Avanzados>Perfil de Reenvío y compruebe que solo se aplican reglas de Microsoft 365 a este cliente.
2. Vaya a Diagnóstico avanzado>Comprobación de estado y asegúrese de que no falla ninguna comprobación.
3. Haga clic con el botón derecho en Cliente Zscaler>Abrir Zscaler>Más. Compruebe que Política de aplicación coincide con las configuraciones de los pasos anteriores. Valide que esté al día o actualícelo.
4. Vaya a Zscaler Client>Internet Security. Compruebe que el estado del servicio es ON y el estado de autenticación es Authenticated.
5. Vaya a cliente de Zscaler>Acceso privado. Compruebe que el estado del servicio es ON y el estado de autenticación es Authenticated.

Nota:

Para obtener información sobre cómo solucionar errores de comprobación de estado, consulte Solución de problemas de diagnóstico del cliente Global de Acceso Seguro: comprobación de estado.

Flujo de tráfico de prueba:

1. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. Seleccione la pestaña Tráfico y seleccione Iniciar recopilación.
2. Acceda a estos sitios web desde el explorador: bing.com, salesforce.com, Instagram.com.
3. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione la pestaña Tráfico de diagnóstico> avanzado.
4. Desplácese para observar que el cliente global de acceso seguro no captura el tráfico de estos sitios web.
5. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico. Verifique si falta tráfico relacionado con estos sitios en los registros de tráfico de Global Secure Access.
6. Inicie sesión en el portal de administración de acceso a Internet de Zscaler (ZIA) y vaya a Analytics>Web Insights>Registros.
7. Valide que el tráfico relacionado con estos sitios está presente en los registros de Zscaler.
8. Acceda a la aplicación privada configurada en Zscaler Private Access. Por ejemplo, abra una sesión RDP en un servidor privado.
9. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico.
10. Validar que el tráfico relacionado con la sesión RDP no está en los registros de tráfico de acceso seguro global
11. Inicie sesión en el portal de administración de Zscaler Private Access (ZPA) y navegue a Análisis>Diagnóstico>Registros. Valide que el tráfico relacionado con la sesión RDP esté presente en los registros del Panel de control o de diagnóstico.
12. Acceso a Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
13. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. En el cuadro de diálogo Tráfico, seleccione Detener recopilación.
14. Desplácese para confirmar que el cliente de Acceso seguro global solo controló el tráfico de Microsoft 365.
15. También puede validar que el tráfico se captura en los registros de tráfico de acceso global seguro. En el centro de administración de Microsoft Entra, vaya a Acceso global seguro>Monitorización>Registros de tráfico.
16. Valide que el tráfico relacionado con Outlook Online y SharePoint Online falta en los registros de Acceso a Internet de Zscaler en Analytics>Web Insights>Logs.

Configuración 4: Microsoft Entra Internet Access y Microsoft Entra Microsoft Access y con Zscaler Private Access

En este escenario, el acceso seguro global controla el tráfico de Internet y Microsoft 365. Zscaler solo captura el tráfico de aplicaciones privadas. Por lo tanto, el módulo Zscaler Internet Access está deshabilitado desde el portal de Zscaler.

Configuración 4 de Microsoft Entra Internet y Microsoft Access

Para este escenario, debe configurar:

• Habilite el perfil de reenvío de Microsoft Entra Microsoft Access y el perfil de reenvío de Microsoft Entra Internet Access.
• Instale y configure el cliente de Acceso seguro global para Windows o macOS.
• Agregue una directiva personalizada de reenvío de tráfico de Acceso a Internet de Microsoft Entra para excluir el servicio ZPA.

Adición de una omisión personalizada para Zscaler en Acceso seguro global:

1. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Global Secure Access>Connect>Reenvío de tráfico>Perfil de acceso a Internet. En Directivas de acceso a Internet , seleccione Ver.
2. Expanda Omisión personalizada y seleccione Agregar regla.
3. Deje el tipo de FQDN destino y, en Destino , escriba *.prod.zpath.net.
4. Haga clic en Guardar.

Configuración de acceso privado de Zscaler 4

Realice el procedimiento en el portal de Zscaler:

• Configure y configure Zscaler Private Access.
• Cree un perfil de reenvío.
• Cree un perfil de aplicación.
• Instale el conector de cliente Zscaler.

Agregue el perfil de reenvío desde el portal del conector de cliente:

1. Vaya al portal de administración de> Zscaler Client Connector Administración>Perfil de reenvío>Agregar perfil de reenvío.
2. Agregue un Nombre de perfil como ZPA Only.
3. Seleccione Packet Filter-Based in Tunnel Driver Type (Basado en filtro de paquetes) en Tunnel Driver Type (Tipo de controlador de túnel).
4. Seleccione la acción de reenvío de perfil como Ninguno.
5. Desplácese hacia abajo hasta acción de reenvío de perfil para ZPA.
6. Seleccione Tunnel para todas las opciones de esta sección.

Añadir perfil de aplicación desde el portal Cliente Conector

1. Vaya al portal de administración de Zscaler Client Connector>App Profiles>Windows (o macOS)>Agregar directiva de Windows (o macOS).
2. Agregue Nombre, establezca Orden de reglas como 1, seleccione Habilitar, seleccione Usuario(s) para aplicar esta directiva y seleccione el Perfil de reenvío. Por ejemplo, seleccione Solo ZPA.
3. Desplácese hacia abajo y agregue las direcciones del Protocolo de Internet (IP) del servicio SSE de Microsoft y los nombres de dominio completos (FQDN) en la sección de excepciones de FQDN y direcciones IP del servicio global de acceso seguro, en el campo "HOSTNAME OR IP ADDRESS BYPASS FOR VPN GATEWAY".

Abra la bandeja del sistema para comprobar que los clientes de Acceso seguro global y Zscaler están habilitados.

Compruebe las configuraciones de los clientes:

1. Haga clic con el botón derecho del ratón en Cliente global de acceso seguro>Diagnósticos avanzados>Perfil de reenvío y compruebe que las reglas de Microsoft 365 e Internet Access se aplican a este cliente.
2. Expanda las reglas > de acceso a Internet Compruebe que la omisión *.prod.zpath.net personalizada existe en el perfil.
3. Vaya a Diagnóstico avanzado>Comprobación de estado y asegúrese de que no falla ninguna comprobación.
4. Haga clic con el botón derecho en Cliente Zscaler>Abrir Zscaler>Más. Compruebe que Política de aplicación coincide con las configuraciones de los pasos anteriores. Valide que esté al día o actualícelo.
5. Vaya a cliente de Zscaler>Acceso privado. Compruebe que el estado del servicio es ON y el estado de autenticación es Authenticated.
6. Vaya a Zscaler Client>Internet Security. Compruebe que el estado del servicio es DISABLED.

Nota:

Para obtener información sobre cómo solucionar errores de comprobación de estado, consulte Solución de problemas de diagnóstico del cliente Global de Acceso Seguro: comprobación de estado.

Flujo de tráfico de prueba:

1. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. Seleccione la pestaña Tráfico y seleccione Iniciar recopilación.
2. Acceda a estos sitios web desde el explorador: bing.com, , , salesforce.comOutlook Online (Instagram.com, outlook.com, outlook.office.com), SharePoint Online (outlook.office365.com<yourtenantdomain>.sharepoint.com).
3. Inicie sesión en el Centro de administración de Microsoft Entra y vaya a Acceso seguro global>Monitor>Registros de tráfico. Verifique que el tráfico relacionado con estos sitios se capture en los registros de tráfico de Acceso Seguro Global.
4. Acceda a la aplicación privada configurada en Zscaler Private Access. Por ejemplo, mediante Escritorio remoto (RDP).
5. Inicie sesión en el portal de administración de Zscaler Private Access (ZPA) y navegue a Análisis>Diagnóstico>Registros. Valide que el tráfico relacionado con la sesión RDP esté presente en los registros del Panel de control o de diagnóstico.
6. Inicie sesión en el portal de administración de acceso a Internet de Zscaler (ZIA) y vaya a Analytics>Web Insights>Registros. Valide el tráfico relacionado con Microsoft 365 y el tráfico de Internet, tal como Instagram.com, Outlook Online y SharePoint Online, que falta en los registros de ZIA.
7. En la bandeja del sistema, haga clic con el botón derecho en Cliente de acceso seguro global y seleccione Diagnósticos avanzados. En el cuadro de diálogo Tráfico, seleccione Detener recopilación.
8. Desplácese para observar que el cliente de Acceso seguro global no está capturando tráfico de la aplicación privada. Además, observe que el cliente de Acceso seguro global está capturando tráfico para Microsoft 365 y otro tráfico de Internet.