En savoir plus sur Microsoft Entra Internet Access pour toutes les applications
Microsoft Entra Internet Access fournit une solution SWG (Secure Web Gateway) centrée sur l’identité pour les applications SaaS (Software as a Service) et d’autres trafics Internet. Il protège les utilisateurs, les appareils et les données du paysage des menaces à l’échelle de l’Internet grâce à des contrôles de sécurité de première classe et une visibilité par le biais de journaux de trafic.
Filtrage de contenu web
La fonctionnalité d’introduction clé pour Microsoft Entra Internet Access pour toutes les applications est le filtrage de contenu web. Cette fonctionnalité fournit un contrôle d’accès granulaire pour les catégories web et les noms de domaine complets (FQDN). En bloquant explicitement les sites inappropriés, malveillants ou dangereux connus, vous protégez vos utilisateurs et leurs appareils contre toute connexion Internet, qu’ils se connectent à distance ou au sein du réseau d’entreprise.
Lorsque le trafic atteint Secure Service Edge de Microsoft, Accès Internet Microsoft Entra effectue des contrôles de sécurité de deux manières. Pour le trafic HTTP non chiffré, il utilise l’URL (Uniform Resource Locator). Pour le trafic HTTPS chiffré avec Transport Layer Security (TLS), il utilise l’indication de nom de serveur (SNI).
Le filtrage de contenu web est implémenté à l’aide de stratégies de filtrage, regroupées en profils de sécurité, qui peuvent être liées aux stratégies d’accès conditionnel. Pour en savoir plus sur l’accès conditionnel, consultez Accès conditionnel Microsoft Entra.
Remarque
Si le filtrage de contenu web est une fonctionnalité essentielle pour toute passerelle web sécurisée, des fonctionnalités similaires existent dans d’autres produits de sécurité, comme des produits de sécurité de point de terminaison tels que Microsoft Defender for Endpoint et des pare-feux tels que Pare-feu Azure. Accès Internet Microsoft Entra fournit une valeur ajoutée en termes de sécurité via l’intégration de stratégie à Microsoft Entra ID, l’application de stratégies sur la périphérie cloud, une prise en charge universelle pour toutes les plateformes d’appareils et des améliorations futures de la sécurité via l’inspection TLS (Transport Layer Security), comme une plus grande fidélité de la catégorisation web. Pour plus d’informations, consultez la FAQ.
Profils de sécurité
Les profils de sécurité sont des objets que vous utilisez pour regrouper les stratégies de filtrage et les remettre via des stratégies d’accès conditionnel prenant en compte l’utilisateur. Par exemple, pour bloquer tous les sites web d’actualités, à l’exception de msn.com
pour l’utilisateur angie@contoso.com
, vous créez deux stratégies de filtrage web et les ajoutez à un profil de sécurité. Vous prenez ensuite le profil de sécurité et le liez à une stratégie d’accès conditionnel affectée à angie@contoso.com
.
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Logique de traitement de la stratégie
Au sein d’un profil de sécurité, les stratégies sont appliquées selon un ordre logique de numéros de priorité uniques, 100 étant la priorité la plus élevée et 65 000 la priorité la plus faible (de façon similaire à la logique d’un pare-feu traditionnel). En guise de meilleure pratique, ajoutez un espacement d'environ 100 entre les priorités afin de permettre la flexibilité de la stratégie à l'avenir.
Une fois que vous avez lié un profil de sécurité à une stratégie d’accès conditionnel, si plusieurs stratégies d’accès conditionnel correspondent, les deux profils de sécurité sont traités dans l’ordre de priorité des profils de sécurité correspondants.
Important
Le profil de sécurité de base s’applique à tout le trafic, même sans le lier à une stratégie d’accès conditionnel. Il applique la stratégie à la priorité la plus basse dans la pile de stratégies, s’appliquant à tout le trafic d’accès Internet routé via le service en tant que stratégie « catch-all ». Le profil de sécurité de base s’exécute même si une stratégie d’accès conditionnel correspond à un autre profil de sécurité.
Limitations connues
- La plateforme gère les ports Standard pour le trafic HTTP/S (ports 80 et 443).
- IPv6 n’est pas encore pris en charge sur cette plateforme.
- Le protocole UDP n’est pas encore pris en charge sur cette plateforme.
- Les notifications conviviales de l’utilisateur final sont en cours de développement.
- La connectivité réseau à distance pour l’accès à Internet est en cours de développement.
- L’arrêt TLS (Transport Layer Security) est en cours de développement.
- Le filtrage basé sur le chemin d’URL et la catégorisation d’URL pour le trafic HTTP et HTTPS sont en cours de développement.
- Actuellement, un administrateur peut créer jusqu’à 100 stratégies de filtrage de contenu web et jusqu’à 1 000 règles basées sur jusqu’à 8 000 FQDN au total. Les administrateurs peuvent également créer jusqu’à 256 profils de sécurité.