Comment configurer le filtrage de contenu Web pour Global Secure Access (préversion)

Le filtrage de contenu web vous permet d’implémenter des contrôles d’accès Internet granulaires pour votre organisation en fonction de la catégorisation du site web.

Les premières fonctionnalités SWG (Secure Web Gateway) de Microsoft Entra Internet Access incluent le filtrage de contenu Web en fonction des noms de domaine. Microsoft intègre des stratégies de filtrage granulaires avec Microsoft Entra ID et l’accès conditionnel Microsoft Entra, ce qui entraîne des stratégies de filtrage faciles à gérer qui prennent en compte les utilisateurs et le contexte.

La fonctionnalité de filtrage web est actuellement limitée au filtrage de catégorie web basé sur le nom de domaine complet (FQDN) et au filtrage de noms de domaine complets qui prennent en compte les utilisateurs et le contexte.

Prérequis

• Les administrateurs interagissant avec les fonctionnalités Global Secure Access (préversion) doivent avoir une ou plusieurs des attributions de rôles suivantes en fonction des tâches qu’ils effectuent.
  • Le rôle Administrateur Global Secure Access pour gérer les fonctionnalités d’évaluation de Global Secure Access.
  • Administrateur de l’accès conditionnel ou Administrateur de la sécurité pour créer des stratégies d’accès conditionnel et interagir avec elles.
• Suivez le guide Prise en main de Global Secure Access.
• Installez le client Global Secure Access sur les appareils des utilisateurs finaux.
• Vous devez désactiver DNS (Domain Name System) via HTTPS (Secure DNS) pour tunneliser le trafic réseau. Utilisez les règles des noms de domaine complets (FQDN) dans le profil de transfert de trafic. Pour plus d’informations, consultez Configurer le client DNS pour prendre en charge DoH.
• Désactivez le client DNS intégré sur Chrome et Microsoft Edge.
• Le trafic UDP (User Datagram Protocol) n’est pas pris en charge dans la préversion actuelle. Si vous envisagez de tunneliser le trafic Exchange Online, désactivez le protocole QUIC (443 UDP). Pour plus d’informations, consultez Bloquer le QUIC lors du tunneling du trafic Exchange Online.
• Passez en revue les concepts de filtrage de contenu Web. Pour plus d’informations, consultez Filtrage de contenu Web.

Étapes de haut niveau

La configuration du filtrage de contenu web comprend plusieurs étapes. Notez l’endroit où vous devez configurer une stratégie d’accès conditionnel.

1. Activez le transfert du trafic Internet.
2. Créer une politique de filtrage de contenu Web
3. Créez un profil de sécurité.
4. Liez le profil de sécurité à une stratégie d’accès conditionnel.

Activer le transfert du trafic Internet

Pour activer le profil de transfert Microsoft Entra Internet Access pour transférer le trafic utilisateur :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access.
2. Accédez à Global Secure Access>Connecter>Transfert de trafic.
3. Activez le profil d’accès Internet. Le trafic Internet démarre le transfert de tous les appareils clients vers le proxy SSE (Security Service Edge) de Microsoft, où vous configurez des stratégies de sécurité granulaires.

Créer une politique de filtrage de contenu Web

1. Accédez à la politique de filtrage de contenu Web de Global Secure Access Secure>>.
2. Sélectionnez Créer une stratégie.
3. Entrez un nom et une description pour la stratégie, puis sélectionnez Suivant.
4. Sélectionnez Ajouter une règle.
5. Saisissez un nom, sélectionnez une catégorie web ou un FQDN valide, puis sélectionnez Ajouter.
   • Les noms de domaine complets valides dans cette fonctionnalité peuvent également inclure des caractères génériques carte à l’aide du symbole astérisque *.
6. Sélectionnez Suivant pour passer en revue la stratégie, puis sélectionnez Créer une stratégie.

Créer un profil de sécurité

Les profils de sécurité sont un regroupement de stratégies de filtrage. Vous pouvez attribuer, ou lier, des profils de sécurité avec des stratégies d’accès conditionnel Microsoft Entra. Un profil de sécurité peut contenir plusieurs stratégies de filtrage. Un profil de sécurité peut également être associé à plusieurs stratégies d’accès conditionnel.

Dans cette étape, vous créez un profil de sécurité pour regrouper des stratégies de filtrage. Ensuite, vous affectez, ou liez, les profils de sécurité avec une stratégie d’accès conditionnel pour les rendre sensibles à l’utilisateur ou au contexte.

Remarque

Pour en savoir plus sur les stratégies d’accès conditionnel Microsoft Entra, consultez Création d’une stratégie d’accès conditionnel.

1. Accédez à Global Secure Access>Sécuriser>Profils de sécurité.
2. Sélectionnez Créer un profil.
3. Entrez un nom et une description pour la stratégie, puis sélectionnez Suivant.
4. Sélectionnez Lier une stratégie, puis Stratégie existante.
5. Sélectionnez la politique de filtrage de contenu Web que vous avez déjà créée et sélectionnez Ajouter.
6. Sélectionnez Suivant pour passer en revue le profil de sécurité et la stratégie associée.
7. Sélectionnez Créer un profil.
8. Sélectionnez Actualiser pour actualiser la page des profils et afficher le nouveau profil.

Créer et lier une stratégie d’accès conditionnel

Créez une stratégie d’accès conditionnel pour les utilisateurs finaux ou les groupes et fournissez votre profil de sécurité via des contrôles de session d’accès conditionnel. L’accès conditionnel est le mécanisme de remise pour la sensibilisation aux utilisateurs et au contexte des stratégies d’accès à Internet. Pour en savoir plus sur les contrôles de sessions, consultez Accès conditionnel : Session.

1. Accédez à Identité>Protection>Accès conditionnel.
2. Sélectionnez Créer une stratégie.
3. Entrez un nom et attribuez un utilisateur ou un groupe.
4. Sélectionnez Ressources cibles et Accès global sécurisé (préversion) dans le menu déroulant pour définir ce à quoi la stratégie s’applique.
5. Sélectionnez Trafic Internet dans le menu déroulant pour définir le profil de trafic à laquelle cette stratégie s’applique.
6. Sélectionnez Session>Utiliser le profil de sécurité Global Secure Access et choisissez un profil de sécurité.
7. Sélectionnez Sélectionner.
8. Dans la section Activer la stratégie, vérifiez que Activée est sélectionné.
9. Sélectionnez Créer.

Vérifier l’application de la stratégie à l’utilisateur final

Utilisez un appareil Windows sur lequel le client Accès global sécurisé est installé. Connectez-vous en tant qu’utilisateur qui reçoit le profil d’acquisition du trafic Internet. Testez que la navigation vers des sites web est autorisée ou restreinte comme prévu.

1. Cliquez avec le bouton droit sur l’icône du client Global Secure Access dans la barre d’état du gestionnaire des tâches et ouvrez Diagnostic avancé>Profil de transfert. Vérifiez que les règles d’acquisition d’accès à Internet sont présentes. Vérifiez également si l’acquisition du nom d’hôte et les flux pour le trafic Internet des utilisateurs sont acquis lors de la navigation.

2. Accédez à un site autorisé et vérifiez s’il se charge correctement.

3. Accédez à un site bloqué et vérifiez que le site est bloqué.

4. Accédez à Global Secure Access>Surveillance>Journaux de trafic pour confirmer que le trafic est bloqué ou autorisé comme il se doit. L’affichage des nouvelles entrées prend environ 15 minutes.

Remarque

Les modifications de configuration de l’expérience de l’accès global sécurisé liées au filtrage de contenu web généralement vont prendre effet en moins de 5 minutes. Les modifications de configuration dans l’accès conditionnel liés au filtrage de contenu web vont prendre effet dans environ une heure. De plus, l’expérience de blocage actuelle pour tous les navigateurs et processus inclut une erreur de navigateur « Réinitialisation de connexion » pour le trafic HTTPS et « DeniedTraffic » pour le trafic HTTP.

Limitations connues

• Les notifications de l’utilisateur final sur les blocs, à partir du client ou du navigateur, ne sont pas fournies.
• Les profils d’acquisition de trafic Internet pour le client ne peuvent pas être configurés.
• La stratégie d’acquisition du trafic client inclut les ports TCP (Transmission Control Protocol) 80/443.
• Ports standard pour le trafic HTTP/S (ports 80 et 443).
• *microsoft.com est actuellement acquis par le profil d’accès Microsoft 365
• IPv6 n’est pas pris en charge sur cette plateforme.
• Hyper-V n’est pas pris en charge sur cette plateforme.
• La connectivité réseau à distance pour l’accès à Internet est en cours de développement.
• Le filtrage open Systems Intercommunication (OSI) 3 et 4 n’est pas pris en charge.
• Aucune prise en charge du portail captif. La connexion au WiFi public via l’accès au portail captif échoue, car ces points de terminaison sont actuellement acquis par le client.
• L’arrêt TLS (Transport Layer Security) est en cours de développement.
• Aucun filtrage basé sur le chemin d’accès d’URL ou catégorisation d’URL pour le trafic HTTP et HTTPS.
• Actuellement, un administrateur peut créer jusqu’à 100 stratégies de filtrage de contenu web et jusqu’à 1 000 règles basées sur jusqu’à 8 000 FQDN au total. Les administrateurs peuvent également créer jusqu’à 256 profils de sécurité.
  • Ces limites initiales sont des espaces réservés jusqu’à ce que d’autres fonctionnalités soient ajoutées à cette plateforme.

Étapes suivantes

• Découvrez plus d’informations sur le tableau de bord du trafic