Découvrez la coexistence Security Service Edge (SSE) avec Microsoft et Zscaler

Dans le paysage numérique en évolution rapide d’aujourd’hui, les organisations nécessitent des solutions robustes et unifiées pour garantir une connectivité sécurisée et transparente. Microsoft et Zscaler offrent des fonctionnalités SASE (Secure Access Service Edge) complémentaires qui, lorsqu’elles sont intégrées, offrent une sécurité et une connectivité améliorées pour divers scénarios d’accès.

Ce guide explique comment configurer et déployer des solutions Microsoft Entra en même temps que les offres SSE (Security Service Edge) de Zscaler. En utilisant les forces des deux plateformes, vous pouvez optimiser la posture de sécurité de votre organisation tout en conservant une connectivité hautes performances pour les applications privées, le trafic Microsoft 365 et l’accès Internet.

1. Microsoft Entra Private Access avec Zscaler Internet Access

   Dans ce scénario, l’accès sécurisé global gère le trafic d’application privée. Zscaler capture uniquement le trafic Internet. Par conséquent, le module Zscaler Private Access est désactivé à partir du portail Zscaler.

2. Microsoft Entra Private Access avec Zscaler Private Access et Zscaler Internet Access

   Dans ce scénario, les deux clients gèrent le trafic pour des applications privées distinctes. Global Secure Access gère les applications privées dans Microsoft Entra Private Access. Les applications privées dans Zscaler utilisent le module Zscaler Private Access. Zscaler Internet Access gère le trafic Internet.

3. Microsoft Entra Microsoft Access avec Zscaler Private Access et Zscaler Internet Access

   Dans ce scénario, Global Secure Access gère tout le trafic Microsoft 365. Zscaler Private Access gère le trafic des applications privées et L’accès Internet Zscaler gère le trafic Internet.

4. Microsoft Entra Internet Access et Microsoft Entra Microsoft Access avec Zscaler Private Access

   Dans ce scénario, l’accès sécurisé global gère le trafic Internet et Microsoft 365. Zscaler capture uniquement le trafic d’application privée. Par conséquent, le module Zscaler Internet Access est désactivé à partir du portail Zscaler.

Conditions préalables

Pour configurer Microsoft et Zscaler pour une solution SASE unifiée, commencez par configurer Microsoft Entra Internet Access et Microsoft Entra Private Access. Ensuite, configurez Zscaler Private Access et Zscaler Internet Access. Enfin, veillez à établir le nom de domaine complet requis et les contournements IP pour garantir une intégration fluide entre les deux plateformes.

• Configurez Microsoft Entra Internet Access et Microsoft Entra Private Access. Ces produits constituent la solution Global Secure Access.
• Configurer l’accès privé Zscaler et l’accès Internet
• Configurer le FQDN et les contournements IP pour l'accès sécurisé global

Accès sécurisé global Microsoft

Pour configurer Microsoft Entra Global Secure Access et tester tous les scénarios de cette documentation :

• Activez et désactivez différents profils de transfert de trafic Microsoft Global Secure Access pour votre locataire Microsoft Entra. Pour plus d’informations sur l’activation et la désactivation des profils, consultez Profils de transfert de trafic d’accès sécurisé global.
• Installer et configurer le connecteur de réseau privé Microsoft Entra. Pour savoir comment installer et configurer un connecteur, consultez Comment configurer les connecteurs.

  Remarque

  Les connecteurs de réseau privé sont requis pour les applications Microsoft Entra Private Access.

• Configurez l'accès rapide à vos ressources privées et configurez le système de noms de domaine privé (DNS) ainsi que les suffixes DNS. Pour savoir comment configurer l’Accès rapide, consultez Comment configurer l’Accès rapide.
• Installez et configurez le client Accès global sécurisé sur les appareils des utilisateurs finaux. Pour plus d’informations sur les clients, consultez Les clients Accès global sécurisé. Pour savoir comment installer le client Windows, consultez Client Accès global sécurisé pour Windows. Pour macOS, consultez Global Secure Access Client pour macOS.

Zscaler Private Access et Zscaler Internet Access

Pour intégrer Zscaler Private Access et Zscaler Internet Access à Microsoft Global Secure Access, veillez à remplir les conditions préalables suivantes. Ces étapes garantissent une intégration fluide, une meilleure gestion du trafic et une sécurité améliorée.

• Configurez Zscaler Internet Access. Pour en savoir plus sur la configuration de Zscaler, consultez le Guide de configuration pas à pas pour ZIA.
• Configurez Zscaler Private Access. Pour en savoir plus sur la configuration de Zscaler, consultez le Guide de configuration pas à pas pour ZPA.
• Configurez et mettez en place des profils de redirection pour Zscaler Client Connector. Pour en savoir plus sur la configuration de Zscaler, consultez Configuration des profils de transfert pour Zscaler Client Connector.
• Paramétrez et configurez des profils d'application Zscaler Client Connector avec des exceptions d'Accès Sécurisé Global. Pour en savoir plus sur la configuration de Zscaler, consultez Configuration des profils d’application connecteur client Zscaler.

Noms de domaine complets et adresses IP du service Accès sécurisé mondial contournements

Configurez le profil d’application Zscaler Client Connector pour qu’il fonctionne avec les noms de domaine complets (FQDN) du service Microsoft Entra et les adresses IP (Internet Protocol).

Ces entrées doivent être présentes dans les profils d’application pour chaque scénario :

• ADRESSES IP : 150.171.15.0/24, 150.171.18.0/24, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 151.206.0.0/16, 6.6.0.0/16
• Noms de domaine complets : internet.edgediagnostic.globalsecureaccess.microsoft.com, m365.edgediagnostic.globalsecureaccess.microsoft.com, private.edgediagnostic.globalsecureaccess.microsoft.com, aps.globalsecureaccess.microsoft.com, auth.edgediagnostic.globalsecureaccess.microsoft.com, <tenantid>.internet.client.globalsecureaccess.microsoft.com, <tenantid>.m365.client.globalsecureaccess.microsoft.com, <tenantid>.private.client.globalsecureaccess.microsoft.com, <tenantid>.auth.client.globalsecureaccess.microsoft.com, <tenantid>.private-backup.client.globalsecureaccess.microsoft.com, <tenantid>.internet-backup.client.globalsecureaccess.microsoft.com, <tenantid>.m365-backup.client.globalsecureaccess.microsoft.com, <tenantid>.auth-backup.client.globalsecureaccess.microsoft.com.
• Installez et configurez le logiciel Zscaler Client Connector.

Configuration 1 : Microsoft Entra Private Access avec Zscaler Internet Access

Dans ce scénario, Microsoft Entra Private Access gère le trafic d’application privée, tandis que Zscaler Internet Access gère le trafic Internet. Le module Zscaler Private Access est désactivé dans le portail Zscaler. Pour configurer Microsoft Entra Private Access, vous devez effectuer plusieurs étapes. Tout d’abord, activez le profil de transfert. Ensuite, installez le connecteur de réseau privé. Ensuite, configurez l’accès rapide et configurez le DNS privé. Enfin, installez le client Global Secure Access. Pour Zscaler Internet Access, la configuration implique la création d’un profil de transfert et d’un profil d’application, l’ajout de règles de contournement pour les services Microsoft Entra et l’installation du connecteur client Zscaler. Enfin, les configurations sont vérifiées et le flux de trafic est testé pour garantir la gestion appropriée du trafic privé et Internet par les solutions respectives.

Configuration d’Accès privé Microsoft Entra

Pour ce scénario, vous devez :

• Activez le profil de transfert Microsoft Entra Private Access.
• Installez un connecteur de réseau privé pour Microsoft Entra Private Access.
• Configurez l’accès rapide et configurez le DNS privé.
• Installez et configurez le client Global Secure Access pour Windows ou macOS.

Configuration d’accès à Internet Zscaler

Effectuez les actions nécessaires dans le portail Zscaler :

• Installez et configurez l’accès Internet Zscaler.
• Créez un profil de transfert.
• Créez un profil d’application.
• Installer le connecteur client Zscaler

Ajouter un profil de transfert à partir du portail du connecteur client :

1. Accédez à Portail administrateur Zscaler Client Connector>Administration>Profil de transfert>Ajouter un profil de transfert.
2. Ajouter un Nom de profil tel que ZIA Only.
3. Sélectionnez Filtrage de paquets basé dans type de pilote de tunnel.
4. Sélectionnez l'action de profil de routage comme Tunnel et sélectionnez la version de tunnel. Par exemple, Z-Tunnel 2.0
5. Faites défiler pour atteindre l'action de profil de redirection pour ZPA.
6. Sélectionnez Aucun pour toutes les options de cette section.

Ajouter un profil d’application à partir du portail du connecteur client :

1. Accédez au portail d’administration du connecteur client Zscaler>Profils d’application>Windows (ou macOS)>Ajouter une stratégie Windows (ou macOS).
2. Ajoutez Nom, définissez Ordre de règle, par exemple 1, sélectionnez Activer, sélectionnez Utilisateur(s) pour appliquer cette stratégie, puis sélectionnez Profil de transfert. Par exemple, sélectionnez ZIA uniquement.
3. Faites défiler vers le bas et ajoutez les protocoles Internet (IP) du service Microsoft SSE et les noms de domaine entièrement qualifiés (FQDN) dans la section de contournement des noms de domaine entièrement qualifiés du service Global Secure Access et adresses IP, à « NOM D'HÔTE OU CONTOURNEMENT D'ADRESSE IP POUR PASSERELLE VPN ».

Accédez à la barre d’état système pour vérifier que les clients Accès global sécurisé et Zscaler sont activés.

Vérifiez les configurations des clients :

1. Cliquez avec le bouton droit sur Client d'accès sécurisé global>Diagnostics avancés>Profil de transfert et vérifiez que les règles d'accès privé et de DNS privés sont appliquées à ce client.
2. Accédez à Diagnostics avancés>Vérification de l’intégrité et vérifiez qu’aucune vérification n’échoue.
3. Faites un clic droit sur Client Zscaler>Ouvrir Zscaler>Plus. Vérifiez que la stratégie d’application correspond aux configurations dans les étapes précédentes. Vérifiez qu’elle est à jour ou mettez-la à jour.
4. Accédez à Zscaler Client>Internet Security. Vérifiez que l'état du service est ON et que l'état de l'authentification est Authenticated.
5. Accédez à Client Zscaler>Accès privé. Vérifiez que l’état du service est DISABLED.

Remarque

Pour résoudre les échecs de vérification de l'état de santé, consultez Résoudre les problèmes liés aux diagnostics du client Global Secure Access - Vérification de l'état de santé.

Tester le flux de trafic :

1. Dans la barre système, cliquez avec le bouton droit sur Client d’accès global sécurisé, puis sélectionnez Diagnostics avancés. Sélectionnez l’onglet Trafic, puis démarrez la collecte.
2. Accédez à ces sites web à partir du navigateur : bing.com, salesforce.com, Instagram.com.
3. Dans la barre d’état système, cliquez avec le bouton droit sur Global Secure Access Client et sélectionnez Diagnostics avancés, puis l’onglet >.
4. Faites défiler pour observer que le client Global Secure Access ne capture pas le trafic à partir de ces sites web.
5. Connectez-vous au Centre d'administration Microsoft Entra et accédez à Accès global sécurisé>Moniteur>Journaux de trafic. Vérifiez que le trafic lié à ces sites ne figure pas dans les journaux de trafic d’Accès global sécurisé.
6. Connectez-vous au portail d’administration Zscaler Internet Access (ZIA) et accédez à Analyse>Insights web>Journaux d'activité. Vérifiez que le trafic lié à ces sites est présent dans les logs Zscaler.
7. Accédez à votre application privée configurée dans Microsoft Entra Private Access. Par exemple, accédez à un partage de fichiers via le bloc de messages du serveur (SMB).
8. Connectez-vous au Centre d'administration Microsoft Entra et accédez à Accès global sécurisé>Moniteur>Journaux de trafic.
9. Valider que le trafic lié au partage de fichiers est capturé dans les journaux de trafic d'accès sécurisé global.
10. Connectez-vous au portail d’administration Zscaler Internet Access (ZIA) et accédez à Analyse>Insights web>Journaux d'activité. Vérifier que le trafic lié à l'application privée n'est pas présent dans le tableau de bord ou les journaux de trafic.
11. Dans la barre système, cliquez avec le bouton droit sur Client d’accès global sécurisé, puis sélectionnez Diagnostics avancés. Dans la boîte de dialogue Trafic, sélectionnez Arrêter la collecte.
12. Faites défiler pour confirmer que le client Accès sécurisé global a géré uniquement le trafic d’application privée.

Configuration 2 : Microsoft Entra Private Access avec Zscaler Private Access et Zscaler Internet Access

Dans ce scénario, les deux clients gèrent le trafic pour des applications privées distinctes. Global Secure Access gère les applications privées dans Microsoft Entra Private Access. Les applications privées dans Zscaler utilisent le module Zscaler Private Access. Zscaler Internet Access gère le trafic Internet.

Configuration de Microsoft Entra Private Access 2

Pour ce scénario, vous devez :

• Activez le profil de transfert Microsoft Entra Private Access.
• Installez un connecteur de réseau privé pour Microsoft Entra Private Access.
• Configurez l’accès rapide et configurez le DNS privé.
• Installez et configurez le client Global Secure Access pour Windows ou macOS.

Zscaler Private Access et Zscaler Internet Access configuration 2

Effectuez les étapes dans le portail Zscaler :

• Configurez et paramétrez l’accès Internet Zscaler ainsi que Zscaler Private Access.
• Créez un profil de transfert.
• Créez un profil d’application.
• Installez le connecteur client Zscaler.

Ajouter un profil de transfert à partir du portail du connecteur client :

1. Accédez à Portail administrateur Zscaler Client Connector>Administration>Profil de transfert>Ajouter un profil de transfert.
2. Ajouter un Nom de profil tel que ZIA and ZPA.
3. Sélectionnez Filtrage de paquets basé dans type de pilote de tunnel.
4. Sélectionnez l'action de profil de transfert comme Tunnel, puis choisissez la version du tunnel. Par exemple : Z-Tunnel 2.0.
5. Faites défiler pour atteindre l'action de profil de redirection pour ZPA.
6. Sélectionnez Tunnel pour toutes les options de cette section.

Ajouter un profil d’application à partir du portail du connecteur client :

1. Accédez au portail d’administration du connecteur client Zscaler>Profils d’application>Windows (ou macOS)>Ajouter une stratégie Windows (ou macOS).
2. Ajoutez Nom, définissez Ordre de règle, par exemple 1, sélectionnez Activer, sélectionnez Utilisateur(s) pour appliquer cette stratégie, puis sélectionnez Profil de transfert. Par exemple, sélectionnez ZIA et ZPA.
3. Faites défiler vers le bas et ajoutez les protocoles Internet (IP) du service Microsoft SSE et les noms de domaine entièrement qualifiés (FQDN) dans la section de contournement des noms de domaine entièrement qualifiés du service Global Secure Access et adresses IP, à « NOM D'HÔTE OU CONTOURNEMENT D'ADRESSE IP POUR PASSERELLE VPN ».

Accédez à la barre d’état système pour vérifier que les clients Accès global sécurisé et Zscaler sont activés.

Vérifiez les configurations des clients :

1. Cliquez avec le bouton droit sur Client d'accès sécurisé global>Diagnostics avancés>Profil de transfert et vérifiez que les règles d'accès privé et de DNS privés sont appliquées à ce client.
2. Accédez à Diagnostics avancés>Vérification de l’intégrité et vérifiez qu’aucune vérification n’échoue.
3. Faites un clic droit sur Client Zscaler>Ouvrir Zscaler>Plus. Vérifiez que la stratégie d’application correspond aux configurations dans les étapes précédentes. Vérifiez qu’elle est à jour ou mettez-la à jour.
4. Accédez à Zscaler Client>Internet Security. Vérifiez que l'état du service est ON et que l'état de l'authentification est Authenticated.
5. Accédez à Client Zscaler>Accès privé. Vérifiez que l'état du service est ON et que l'état de l'authentification est Authenticated.

Remarque

Pour résoudre les échecs de vérification de l'état de santé, consultez Résoudre les problèmes liés aux diagnostics du client Global Secure Access - Vérification de l'état de santé.

Tester le flux de trafic :

1. Dans la barre système, cliquez avec le bouton droit sur Client d’accès global sécurisé, puis sélectionnez Diagnostics avancés. Sélectionnez l’onglet Trafic, puis démarrez la collecte.
2. Accédez à ces sites web à partir du navigateur : bing.com, salesforce.com, Instagram.com.
3. Dans la barre d’état système, cliquez avec le bouton droit sur Global Secure Access Client et sélectionnez Diagnostics avancés, puis l’onglet >.
4. Faites défiler pour observer que le client Global Secure Access ne capture pas le trafic à partir de ces sites web.
5. Connectez-vous au Centre d'administration Microsoft Entra et accédez à Accès global sécurisé>Moniteur>Journaux de trafic. Vérifiez que le trafic lié à ces sites ne figure pas dans les journaux de trafic d’Accès global sécurisé.
6. Connectez-vous au portail d’administration Zscaler Internet Access (ZIA) et accédez à Analyse>Insights web>Journaux d'activité.
7. Vérifiez que le trafic lié à ces sites est présent dans les logs Zscaler.
8. Accédez à votre application privée configurée dans Microsoft Entra Private Access. Par exemple, accédez à un partage de fichiers via SMB.
9. Accédez à votre application privée configurée dans Zscaler Private Access. Par exemple, ouvrez une session RDP sur un serveur privé.
10. Connectez-vous au Centre d'administration Microsoft Entra et accédez à Accès global sécurisé>Moniteur>Journaux de trafic.
11. Valider que le trafic lié à l'application privée de partage de fichiers SMB est capturé et que le trafic lié à la session RDP n'est pas capturé dans les journaux de trafic Global Secure Access.
12. Connectez-vous au portail d’administration Zscaler Private Access (ZPA) et accédez à Analytics>Diagnostics>journaux. Vérifiez que le trafic lié à la session RDP est présent et que le trafic lié au partage de fichiers SMB n’est pas dans le tableau de bord ou les journaux de diagnostic.
13. Dans la barre système, cliquez avec le bouton droit sur Client d’accès global sécurisé, puis sélectionnez Diagnostics avancés. Dans la boîte de dialogue Trafic, sélectionnez Arrêter la collecte.
14. Faites défiler pour confirmer que le client Accès sécurisé global a géré le trafic d’application privée pour le partage de fichiers SMB et n’a pas géré le trafic de session RDP.

Configuration 3 : Microsoft Entra Microsoft Access avec Zscaler Private Access et Zscaler Internet Access

Dans ce scénario, Global Secure Access gère tout le trafic Microsoft 365. Zscaler Private Access gère le trafic des applications privées et L’accès Internet Zscaler gère le trafic Internet.

Configuration Microsoft Entra Microsoft Access 3

Pour ce scénario, vous devez :

• Activez le profil de transfert Microsoft Entra Access.
• Installez et configurez le client Global Secure Access pour Windows ou macOS.

Zscaler Private Access et Zscaler Internet Access configuration 3

Effectuez les actions nécessaires dans le portail Zscaler :

• Mettez en place et configurez Zscaler Private Access.
• Créez un profil de transfert.
• Créez un profil d’application.
• Installez le connecteur client Zscaler.

Ajouter un profil de transfert à partir du portail du connecteur client :

1. Accédez à Portail administrateur Zscaler Client Connector>Administration>Profil de transfert>Ajouter un profil de transfert.
2. Ajouter un Nom de profil tel que ZIA and ZPA.
3. Sélectionnez Filtrage de paquets basé dans type de pilote de tunnel.
4. Sélectionnez l'action de profil de transfert comme Tunnel, puis choisissez la version du tunnel. Par exemple : Z-Tunnel 2.0.
5. Faites défiler pour atteindre l'action de profil de redirection pour ZPA.
6. Sélectionnez Tunnel pour toutes les options de cette section.

Ajouter un profil d’application à partir du portail du connecteur client :

1. Accédez au portail d’administration du connecteur client Zscaler>Profils d’application>Windows (ou macOS)>Ajouter une stratégie Windows (ou macOS).
2. Ajoutez Nom, définissez Ordre de règle, par exemple 1, sélectionnez Activer, sélectionnez Utilisateur(s) pour appliquer cette stratégie, puis sélectionnez Profil de transfert. Par exemple, sélectionnez ZIA et ZPA.
3. Faites défiler vers le bas et ajoutez les protocoles Internet (IP) du service Microsoft SSE et les noms de domaine entièrement qualifiés (FQDN) dans la section de contournement des noms de domaine entièrement qualifiés du service Global Secure Access et adresses IP, à « NOM D'HÔTE OU CONTOURNEMENT D'ADRESSE IP POUR PASSERELLE VPN ».

Accédez à la barre d’état système pour vérifier que les clients Accès global sécurisé et Zscaler sont activés.

Vérifiez les configurations des clients :

1. Cliquez avec le bouton droit sur Client d’accès sécurisé global>Diagnostics avancés>Profil de transfert et vérifiez que seules les règles Microsoft 365 sont appliquées à ce client.
2. Accédez à Diagnostics avancés>Vérification de l’intégrité et vérifiez qu’aucune vérification n’échoue.
3. Faites un clic droit sur Client Zscaler>Ouvrir Zscaler>Plus. Vérifiez que la stratégie d’application correspond aux configurations dans les étapes précédentes. Vérifiez qu’elle est à jour ou mettez-la à jour.
4. Accédez à Zscaler Client>Internet Security. Vérifiez que l'état du service est ON et que l'état de l'authentification est Authenticated.
5. Accédez à Client Zscaler>Accès privé. Vérifiez que l'état du service est ON et que l'état de l'authentification est Authenticated.

Remarque

Pour résoudre les échecs de vérification de l'état de santé, consultez Résoudre les problèmes liés aux diagnostics du client Global Secure Access - Vérification de l'état de santé.

Tester le flux de trafic :

1. Dans la barre système, cliquez avec le bouton droit sur Client d’accès global sécurisé, puis sélectionnez Diagnostics avancés. Sélectionnez l’onglet Trafic, puis démarrez la collecte.
2. Accédez à ces sites web à partir du navigateur : bing.com, salesforce.com, Instagram.com.
3. Dans la barre d’état système, cliquez avec le bouton droit sur Global Secure Access Client et sélectionnez Diagnostics avancés, puis l’onglet >.
4. Faites défiler pour observer que le client Global Secure Access ne capture pas le trafic à partir de ces sites web.
5. Connectez-vous au Centre d'administration Microsoft Entra et accédez à Accès global sécurisé>Moniteur>Journaux de trafic. Vérifiez que le trafic lié à ces sites ne figure pas dans les journaux de trafic d’Accès global sécurisé.
6. Connectez-vous au portail d’administration Zscaler Internet Access (ZIA) et accédez à Analyse>Insights web>Journaux d'activité.
7. Vérifiez que le trafic lié à ces sites est présent dans les logs Zscaler.
8. Accédez à votre application privée configurée dans Zscaler Private Access. Par exemple, ouvrez une session RDP sur un serveur privé.
9. Connectez-vous au Centre d'administration Microsoft Entra et accédez à Accès global sécurisé>Moniteur>Journaux de trafic.
10. Valider que le trafic lié à la session RDP ne figure pas dans les journaux de trafic d'Accès Sécurisé Global
11. Connectez-vous au portail d’administration Zscaler Private Access (ZPA) et accédez à Analytics>Diagnostics>journaux. Vérifiez que le trafic lié à la session RDP soit présent dans le tableau de bord ou les journaux de diagnostic.
12. Accès à Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
13. Dans la barre système, cliquez avec le bouton droit sur Client d’accès global sécurisé, puis sélectionnez Diagnostics avancés. Dans la boîte de dialogue Trafic, sélectionnez Arrêter la collecte.
14. Faites défiler pour confirmer que le client Accès sécurisé global a géré uniquement le trafic Microsoft 365.
15. Vous pouvez également vérifier que le trafic est capturé dans les journaux de trafic d’Accès global sécurisé. Dans le Centre d’administration Microsoft Entra, accédez à Accès global sécurisé>Surveiller>Journaux de trafic.
16. Vérifier que le trafic lié à Outlook Online et SharePoint Online est manquant dans les journaux de Zscaler Internet Access dans Analytics>Web Insights>Logs.

Configuration 4 : Microsoft Entra Internet Access et Microsoft Entra Access avec Zscaler Private Access

Dans ce scénario, l’accès sécurisé global gère le trafic Internet et Microsoft 365. Zscaler capture uniquement le trafic d’application privée. Par conséquent, le module Zscaler Internet Access est désactivé à partir du portail Zscaler.

Microsoft Entra Internet et Microsoft Access configuration 4

Pour ce scénario, vous devez configurer :

• Activez le profil de transfert Microsoft Entra Microsoft Access et le profil de transfert Microsoft Entra Internet Access.
• Installez et configurez le client Global Secure Access pour Windows ou macOS.
• Ajoutez un contournement personnalisé de stratégie de transfert de trafic Microsoft Entra Internet Access pour exclure le service ZPA.

Ajout d’un contournement personnalisé pour Zscaler dans Global Secure Access :

1. Connectez-vous au Centre d’administration Microsoft Entra et accédez à Global Secure Access>Connect>Transmission du trafic>profil d’accès Internet. Sous Stratégies d’accès à Internet , sélectionnez Afficher.
2. Développez Contournement personnalisé et sélectionnez Ajouter une règle.
3. Laissez le type FQDN de destination et, dans Destination , entrez *.prod.zpath.net.
4. Cliquez sur Enregistrer.

Configuration d’accès privé Zscaler 4

Effectuez la procédure dans le portail Zscaler :

• Mettez en place et configurez Zscaler Private Access.
• Créez un profil de transfert.
• Créez un profil d’application.
• Installez le connecteur client Zscaler.

Ajouter un profil de transfert à partir du portail du connecteur client :

1. Accédez au portail d'administration du connecteur client Zscaler, Administration, Profil de transfert, Ajouter un profil de transfert.
2. Ajouter un Nom de profil tel que ZPA Only.
3. Sélectionnez Filtrage de paquets basé dans type de pilote de tunnel.
4. Sélectionnez l’action de transfert de profil en tant que Aucun.
5. Faites défiler pour atteindre l'action de profil de redirection pour ZPA.
6. Sélectionnez Tunnel pour toutes les options de cette section.

Ajouter un profil d’application à partir du portail du connecteur client :

1. Accédez au portail d’administration du connecteur client Zscaler>Profils d’application>Windows (ou macOS)>Ajouter une stratégie Windows (ou macOS).
2. Ajoutez Nom, définissez Ordre de règle, par exemple 1, sélectionnez Activer, sélectionnez Utilisateur(s) pour appliquer cette stratégie, puis sélectionnez Profil de transfert. Par exemple, sélectionnez ZPA uniquement.
3. Faites défiler vers le bas et ajoutez les protocoles Internet (IP) du service Microsoft SSE et les noms de domaine entièrement qualifiés (FQDN) dans la section de contournement des noms de domaine entièrement qualifiés du service Global Secure Access et adresses IP, à « NOM D'HÔTE OU CONTOURNEMENT D'ADRESSE IP POUR PASSERELLE VPN ».

Ouvrez la barre d’état système pour vérifier que les clients Accès global sécurisé et Zscaler sont activés.

Vérifiez les configurations des clients :

1. Faites un clic droit sur Client Accès global sécurisé>Diagnostics avancés>Profil de transfert et vérifiez que les règles d’accès Microsoft 365 et Internet sont appliquées à ce client.
2. Développez les règles > d’accès Internet Vérifiez que le contournement *.prod.zpath.net personnalisé existe dans le profil.
3. Accédez à Diagnostics avancés>Vérification de l’intégrité et vérifiez qu’aucune vérification n’échoue.
4. Faites un clic droit sur Client Zscaler>Ouvrir Zscaler>Plus. Vérifiez que la stratégie d’application correspond aux configurations dans les étapes précédentes. Vérifiez qu’elle est à jour ou mettez-la à jour.
5. Accédez à Client Zscaler>Accès privé. Vérifiez que l'état du service est ON et que l'état de l'authentification est Authenticated.
6. Accédez à Zscaler Client>Internet Security. Vérifiez que l’état du service est DISABLED.

Remarque

Pour résoudre les échecs de vérification de l'état de santé, consultez Résoudre les problèmes liés aux diagnostics du client Global Secure Access - Vérification de l'état de santé.

Tester le flux de trafic :

1. Dans la barre système, cliquez avec le bouton droit sur Client d’accès global sécurisé, puis sélectionnez Diagnostics avancés. Sélectionnez l’onglet Trafic, puis démarrez la collecte.
2. Accédez à ces sites web à partir du navigateur : bing.com, , salesforce.comInstagram.com, Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
3. Connectez-vous au Centre d'administration Microsoft Entra et accédez à Accès global sécurisé>Moniteur>Journaux de trafic. Vérifiez que le trafic lié à ces sites est capturé dans les journaux de trafic d’Accès global sécurisé.
4. Accédez à votre application privée configurée dans Zscaler Private Access. Par exemple, à l’aide du Bureau à distance (RDP).
5. Connectez-vous au portail d’administration Zscaler Private Access (ZPA) et accédez à Analytics>Diagnostics>journaux. Vérifiez que le trafic lié à la session RDP soit présent dans le tableau de bord ou les journaux de diagnostic.
6. Connectez-vous au portail d’administration Zscaler Internet Access (ZIA) et accédez à Analyse>Insights web>Journaux d'activité. Validez que le trafic lié à Microsoft 365 ainsi que le trafic Internet, comme Instagram.com, Outlook Online et SharePoint Online, n'apparaît pas dans les journaux ZIA.
7. Dans la barre système, cliquez avec le bouton droit sur Client d’accès global sécurisé, puis sélectionnez Diagnostics avancés. Dans la boîte de dialogue Trafic, sélectionnez Arrêter la collecte.
8. Faites défiler pour observer que le client Accès sécurisé global ne capture pas le trafic à partir de l’application privée. Notez également que le client Accès global sécurisé capture le trafic pour Microsoft 365 et d’autres trafics Internet.