Tutoriel : Configurer le filtrage de contenu web avec le profil de base de référence

Microsoft Entra Internet Access fournit un filtrage de contenu web pour contrôler l’accès aux sites web en fonction de leurs noms de domaine complets (FQDN) ou de catégories web telles que les jeux de hasard, les médias sociaux ou les programmes malveillants. Les stratégies sont affectées aux profils de sécurité, qui peuvent ensuite être appliqués à tous les utilisateurs via le profil de base ou à des utilisateurs spécifiques via l’accès conditionnel. Cette approche en couches permet aux organisations d’appliquer des protections étendues tout en activant des exceptions granulaires pour des groupes spécifiques.

Dans ce tutoriel, vous allez apprendre à :

  • Créez une stratégie de filtrage de contenu web qui bloque les sites web de jeu et un domaine spécifique.
  • Liez la stratégie de filtrage au profil de sécurité de base.
  • Vérifiez que les sites web bloqués ne sont pas accessibles.
  • Affichez le trafic bloqué dans le journal du trafic.

Concepts clés

Les profils de sécurité sont des conteneurs qui contiennent une ou plusieurs stratégies de filtrage. Ils sont fournis par le biais de stratégies Microsoft Entra Conditional Access prenant en compte les utilisateurs. Par exemple, pour bloquer tous les sites web IA à l’exception m365.cloud.microsoft de (Enterprise Copilot) pour un groupe spécifique d’utilisateurs :

"Security Profile for Sales Department"   <---- the security profile
    Allow m365.cloud.microsoft at priority 100      <---- higher priority filtering policy (evaluated first)
    Block Artificial Intelligence at priority 200   <---- lower priority filtering policy

  • Priorité de la stratégie : détermine l’ordre d’évaluation :

    • 100 = priorité la plus élevée : évalué en premier.
    • 65 000 = priorité la plus basse : évaluée en dernier.
    • Logique de pare-feu traditionnelle : nombres inférieurs = priorité supérieure.
    • Bonne pratique : Ajoutez un espacement d’environ 100 entre les priorités pour une flexibilité future.

  • Traitement multi-profil : lorsque plusieurs stratégies d’accès conditionnel correspondent au trafic d’un utilisateur, tous les profils de sécurité correspondants sont traités par ordre de priorité des profils de sécurité eux-mêmes.

  • Profil de sécurité de référence : ce profil a un comportement spécial :

    • Il s’applique à tout le trafic Internet routé via le service.
    • Elle ne nécessite pas de liaison à une stratégie d’accès conditionnel.
    • Il agit comme une stratégie catch-all au niveau de la priorité la plus basse (65 000).
    • Il s’exécute toujours, même lorsqu’une stratégie d’accès conditionnel correspond à un autre profil de sécurité.

Exemple de scénario

User "Angie" matches a Conditional Access policy → Custom Security Profile (priority 100)
   ↓
All policies in Custom Security Profile are evaluated
   ↓
Baseline Profile (priority 65,000) ALSO executes ← Always runs as catch-all

Vous pouvez créer des protections à l’échelle de l’organisation dans le profil de base tout en permettant aux profils personnalisés de priorité supérieure de créer des exceptions pour des groupes spécifiques. Les profils de sécurité de priorité supérieure sont toujours prioritaires sur le profil de sécurité de base s’il existe des règles en conflit entre les deux profils.

Objectif

Dans ce tutoriel, vous créez une stratégie de filtrage de contenu web qui bloque l’accès aux sites web de jeu et au moteur de recherche Bing. Vous affectez la stratégie au profil de sécurité de référence et vérifiez que les sites web sont bloqués comme prévu.

Étape 1 : Créer une stratégie de filtrage web

Configurez une stratégie de filtrage de contenu web qui bloque les sites web de jeu et Bing.

  1. Dans le Centre d’administration Microsoft Entra, accédez à Global Secure Access>Filtrage sécurisé du Web>politiques>Créer une politique.
  2. Fournissez les détails suivants :
    • Nom : entrez les sites web bloqués de référence.
    • Description : Ajoutez une description.
    • Action : sélectionnez Bloquer.
  3. Cliquez sur Suivant.
  4. Dans Règles de stratégie, sélectionnez Ajouter une règle.
  5. Dans la boîte de dialogue Ajouter une règle , fournissez les détails suivants :
    • Nom : Entrez Block Gambling.
    • Type de destination : Sélectionnez webCategory.
    • Recherche : recherchez et sélectionnez Jeu de hasard.
  6. Cliquez sur Ajouter.
  7. Sélectionnez à nouveau Ajouter une règle .
  8. Dans la boîte de dialogue Ajouter une règle , fournissez les détails suivants :
    • Nom : entrez Bloquer Bing.
    • Type de destination : sélectionnez fqdn.
    • Destination : sélectionnez www.bing.com,bing.com.
  9. Cliquez sur Ajouter.
  10. Cliquez sur Suivant.
  11. Sélectionnez Créer une stratégie.

Ce tutoriel configure uniquement le FQDN et webCategory le filtrage de contenu web. Le filtrage d’URL nécessite une inspection TLS. L’inspection TLS et le filtrage d’URL sont abordés dans les didacticiels ultérieurs.

Étape 2 : Lier la stratégie de filtrage de contenu web au profil de sécurité de base

Note

Le profil de sécurité de référence s’applique à tout trafic Internet tunnelisé via GSA. Il a la priorité la plus basse (65000), ce qui signifie que tout autre profil de sécurité qui cible un ensemble spécifique d’utilisateurs ou de groupes est prioritaire sur le profil de base.

  1. Dans le Centre d’administration Microsoft Entra, accédez à Accès Sécurisé Global>Sécurisé>Profils de sécurité.
  2. Sélectionnez l’onglet Profil de référence .
  3. Sélectionnez la page Stratégies de lien .
  4. Sélectionnez Lier une stratégie, puis sélectionnez Stratégie de filtrage web existante.
    • Dans la boîte de dialogue Lier une stratégie , sous Nom de stratégie, sélectionnez Sites web bloqués de référence.
    • Priorité : sélectionnez 100.
    • État : Sélectionnez Activé.
  5. Cliquez sur Ajouter.
  6. Dans les stratégies de liaison, vérifiez que les sites web bloqués de référence sont répertoriés .

Étape 3 : Vérifier que les sites Web Bing et de jeu sont bloqués

  1. Connectez-vous à l’appareil avec le client Global Secure Access (GSA).

  2. Ouvrez un navigateur et tentez d’accéder à www.bing.com et www.gambling.com.

    La stratégie peut prendre jusqu’à 20 minutes pour qu’elle s’applique à votre appareil client.

  3. Vérifiez que les pages web ne se chargent pas.

    Capture d’écran montrant la réinitialisation de la connexion.

Vous avez reçu ce message d’erreur, car vous n’avez pas activé l’inspection TLS (Transport Layer Security), qui fournit un message de bloc personnalisable et déverrouille davantage de fonctionnalités de sécurité. Vous voyez un message d’erreur plus convivial dans le didacticiel d’inspection TLS.

Étape 4 : Afficher l’activité dans le journal du trafic

  1. Dans le Microsoft Entra admin center, sélectionnez Global Secure Access>Monitor>Traffic logs. Si nécessaire, sélectionnez Ajouter un filtre. Filtrez sur le nom principal de l'utilisateur, qui contient testuser, et définissez Action sur Bloquer.
  2. Passez en revue les entrées de vos sites web cibles qui affichent le trafic comme bloqué. Il peut y avoir un délai allant jusqu’à 20 minutes pour que les entrées apparaissent dans le journal.

Ce que vous avez appris

Dans cet exercice, vous avez effectué les tâches suivantes :

  • Création d’une stratégie de filtrage de contenu web : Vous avez défini des règles à l’aide du blocage basé sur le nom de domaine complet (domaines spécifiques) et du blocage basé sur les catégories (jeu en tant que catégorie web).
  • Comprenez le profil de base : Vous avez appris que le profil de base s’applique à tout le trafic Internet tunnelisé via GSA, ce qui le rend idéal pour les protections à l’échelle de l’organisation.
  • Stratégies liées aux profils de sécurité : Vous avez appris que les stratégies doivent être liées à un profil de sécurité. Les profils de sécurité doivent être liés aux stratégies d’accès conditionnel à attribuer aux utilisateurs et prendre effet. Le profil de sécurité de base (utilisé dans ce didacticiel) ne nécessite pas d’accès conditionnel et s’applique à tout le trafic Internet.
  • Nous avons observé l’erreur « réinitialisation de connexion » : Vous avez appris que, sans inspection TLS, GSA peut uniquement supprimer la connexion, ce qui entraîne une erreur de navigateur générique plutôt qu’un message utile.

Présentation approfondie : Pourquoi l’erreur « Réinitialisation de connexion » s’est-elle produite ?

Lorsque l’inspection TLS n’est pas activée, la périphérie du service de sécurité (SSE) peut voir :

  • Adresse IP de la destination.
  • Indication du nom de serveur dans l’établissement d’une liaison TLS, qui révèle le nom de domaine complet, comme www.bing.com.

Mais il ne peut pas voir :

  • Chemin d’accès d’URL complet, comme www.google.com/images ou www.google.com/maps.
  • Contenu de requête/réponse HTTP.

Étant donné que l’SSE ne peut pas injecter du contenu dans un flux chiffré, il ne peut arrêter la connexion que. Le résultat est une erreur de « réinitialisation de connexion ». Dans le tutoriel suivant, vous allez activer l'inspection TLS pour déverrouiller des fonctionnalités plus avancées, notamment des pages de bloc personnalisées.

Étape suivante

Tutoriel : Activer l’inspection TLS

  • Last updated on