Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Tirez parti des solutions Security Service Edge (SSE) de Cisco et Microsoft dans un environnement unifié pour exploiter un ensemble robuste de fonctionnalités à partir des deux plateformes et élever votre parcours Secure Access Service Edge (SASE). La synergie entre ces plateformes permet au clients de bénéficier d’une sécurité renforcée et d’une connectivité fluide.
Ce document contient les étapes à suivre pour déployer ces solutions côte à côte, en particulier l’Accès privé Microsoft Entra (avec la fonctionnalité DNS privé activée) et Cisco Umbrella pour l’accès à Internet et la sécurité de la couche DNS.
Présentation de la configuration
Dans Microsoft Entra, vous activez le profil de transfert du trafic d’Accès privé et désactivez les profils de transfert de trafic Accès à Internet et Microsoft 365. Vous activez et configurez également la fonctionnalité DNS privé d’Accès privé. Dans Cisco, vous capturez le trafic Accès à Internet.
Remarque
Les clients doivent être installés sur un appareil Windows 10 ou Windows 11 joint à Microsoft Entra ou joint de manière hybride à Microsoft Entra.
Configuration d’Accès privé Microsoft Entra
Activez le profil de transfert de trafic Accès privé Microsoft Entra pour votre tenant Microsoft Entra. Pour plus d’informations sur l’activation et la désactivation des profils, consultez Profils de transfert de trafic Accès global sécurisé.
Installez et configurez le client Global Secure Access sur les appareils des utilisateurs finaux. Pour plus d’informations sur les clients, consultez Les clients Accès global sécurisé. Pour savoir comment installer le client Windows, consultez Client Accès global sécurisé pour Windows.
Installer et configurer le connecteur de réseau privé Microsoft Entra. Pour savoir comment installer et configurer un connecteur, consultez Comment configurer les connecteurs.
Remarque
La version du connecteur v1.5.3829.0 ou ultérieure est nécessaire pour le DNS privé.
Configurez l’Accès rapide à vos ressources privées et configurez des suffixes DNS et DNS privé. Pour savoir comment configurer l’Accès rapide, consultez Comment configurer l’Accès rapide.
Configuration de Cisco
Ajoutez des suffixes de domaine à partir de l’Accès rapide Microsoft Entra et du nom de domaine complet du service Microsoft Entra dans la liste des domaines internes dans la Gestion de l’arborescence du domaine pour contourner le DNS Umbrella de Cisco. Ajoutez le nom de domaine complet (FQDN) et les adresses IP du service Microsoft Entra dans la liste des domaines externes de la gestion de domaine pour contourner le Secure Web Gateway (SWG) de Cisco.
- À partir du portail Cisco Umbrella, accédez à Déploiements > Configuration > Gestion des domaines.
- Dans la section Domaines internes, ajoutez-les et enregistrez-les.
*.globalsecureaccess.microsoft.comRemarque
Cisco Umbrella a un caractère générique implicite, vous pouvez donc utiliser
globalsecureaccess.microsoft.com.<quickaccessapplicationid>.globalsecureaccess.localRemarque
quickaccessapplicationidest l’ID d’application de l’application Accès rapide que vous avez configurée.- Suffixes DNS que vous avez configurés dans l’application Accès rapide.
- Dans la section Domaines externes et adresses IP, ajoutez ces noms de domaine complets et adresses IP, puis enregistrez-les.
*.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16Remarque
Cisco Umbrella a un caractère générique implicite, ce qui vous permet d’utiliser
globalsecureaccess.microsoft.compour le nom de domaine complet.
- Redémarrez les services clients Cisco Umbrella et Cisco SWG ou redémarrez l’ordinateur sur lequel les clients sont installés.
Une fois les deux clients installés et exécutés côte à côte et les configurations à partir des portails d’administration sont terminés, accédez à la barre système pour vérifier que l’Accès global sécurisé et les clients Cisco sont activés.
Vérifiez la configuration du client Accès global sécurisé.
- Faites un clic droit sur Client Accès global sécurisé > Diagnostics avancés > Profil de transfert et vérifiez que seul les règles d’Accès privé sont appliquées à ce client.
- Dans Diagnostics avancés > Vérification de l’intégrité vérifiez qu’aucune vérification n’échoue.
Tester le flux de trafic
Configuration SSE de Microsoft : activez l’accès privé de Microsoft Entra, désactivez le profil de redirection du trafic Internet et le profil de redirection du trafic de Microsoft 365.
Configuration SSE de Cisco : le trafic Internet est capturé. Le trafic Accès privé est exclu.
- Dans la barre système, faites un clic droit sur l’icône du client Accès global sécurisé, puis sélectionnez Diagnostics avancés. Sélectionnez l’onglet Trafic, puis Démarrer la collecte.
- Accédez aux ressources privées que vous avez configurées avec l’Accès privé Microsoft Entra, comme le partage de fichiers SMB. Ouvrez
\\YourFileServer.yourdomain.comà l’aide du menu Démarrer/Exécuter à partir d’une fenêtre d’explorateur. - Dans la barre système, faites un clic droit sur le client Accès global sécurisé, puis sélectionnez Diagnostics avancés. Dans la boîte de dialogue Trafic réseau, sélectionnez Arrêter la collecte.
- Dans la boîte de dialogue Trafic réseau, faites défiler pour observer le trafic généré afin de confirmer que le trafic de l'Accès privé était pris en charge par le client d'Accès sécurisé global.
- Vous pouvez également vérifier que le trafic est capturé par Microsoft Entra en validant le trafic dans les journaux de trafic Accès global sécurisé à partir du centre d’administration Microsoft Entra dans Accès global sécurisé > Surveiller > Journaux de trafic.
- Accédez aux sites web depuis les navigateurs et vérifiez que le trafic internet n'apparaît pas dans les journaux de trafic de Global Secure Access mais uniquement dans Cisco Umbrella.