Megosztás a következőn keresztül:


Tudnivalók a Security Service Edge (SSE) és a Microsoft és a Cisco együttes használatáról

A Microsoft és a Cisco Security Service Edge (SSE) megoldásait egységes környezetben használhatja ki, hogy mindkét platformról robusztus képességeket használjon ki, és emelje fel a Secure Access Service Edge (SASE) útját. A platformok közötti szinergia fokozott biztonságot és zökkenőmentes kapcsolatot biztosít az ügyfelek számára.

Ez a dokumentum a megoldások egymás melletti üzembe helyezésének lépéseit tartalmazza, különösen a Microsoft Entra privát hozzáférés (saját DNS funkció engedélyezve van) és a Cisco Umbrellat az internet-hozzáféréshez és a DNS-réteg biztonságához.

Konfiguráció áttekintése

A Microsoft Entra-ban engedélyezi a privát hozzáférésű adattovábbítási profilt, és letiltja az Internet Access és a Microsoft 365 adattovábbítási profiljait. A privát hozzáférés saját DNS funkcióját is engedélyezheti és konfigurálhatja. A Cisco-ban az Internet Access-forgalmat rögzíti.

Feljegyzés

Az ügyfeleket Windows 10 vagy Windows 11 Microsoft Entra csatlakoztatott eszközre vagy Hibrid Microsoft Entra-eszközre kell telepíteni.

Microsoft Entra privát hozzáférés konfiguráció

Engedélyezze a Microsoft Entra privát hozzáférés forgalomtovábbítási profilt a Microsoft Entra-bérlőjéhez. A profilok engedélyezésével és letiltásával kapcsolatos további információkért lásd: Global Secure Access traffic forwarding profiles.

Telepítse és konfigurálja a globális biztonságos hozzáférési ügyfelet végfelhasználói eszközökön. További információ az ügyfelekről: Global Secure Access-ügyfelek. A Windows-ügyfél telepítésének módjáról további információt a Windows globális biztonságos hozzáférésű ügyfélprogramjában talál.

Telepítse és konfigurálja a Microsoft Entra magánhálózati összekötőt. Az összekötő telepítéséről és konfigurálásáról az Összekötők konfigurálása című témakörben olvashat.

Feljegyzés

Az összekötő 1.5.3829.0-s vagy újabb verziója szükséges a saját DNS.

Konfigurálja a privát erőforrások gyors elérését, és állítsa be saját DNS és DNS-utótagokat. A gyorselérés konfigurálásáról a Gyorselérés konfigurálása című témakörben olvashat.

Cisco-konfiguráció

Adja hozzá a tartomány utótagjait a Microsoft Entra Gyorselérés és a Microsoft Entra szolgáltatás teljes tartománynevével a belső tartományok tartománykezelésében a Cisco Esernyő DNS-ének megkerüléséhez. Adja hozzá a Microsoft Entra szolgáltatás teljes tartománynevét és IP-címét a külső tartományok tartománykezelésében a Cisco biztonságos webátjárójának (SWG) megkerüléséhez.

  1. A Cisco Umbrella portálon lépjen az Üzembe helyezések konfigurációs > > tartománykezelésére.
  2. A Belső tartományok szakaszban adja hozzá ezeket, és mentse őket.
    • *.globalsecureaccess.microsoft.com

      Feljegyzés

      Cisco Umbrella egy hallgatólagos helyettesítő karakter, így használhatja globalsecureaccess.microsoft.com.

    • <quickaccessapplicationid>.globalsecureaccess.local

      Feljegyzés

      quickaccessapplicationid A konfigurált gyorselérési alkalmazás alkalmazásazonosítója.

    • A gyorselérési alkalmazásban konfigurált DNS-utótagok.
  3. A Külső tartományok és IP-címek szakaszban adja hozzá ezeket a teljes tartományneveket és IP-címeket, és mentse őket.
    • *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16

      Feljegyzés

      A Cisco Umbrella egy implicit helyettesítő karaktert tartalmaz, így használhatja globalsecureaccess.microsoft.com a teljes tartománynevet.

  4. Indítsa újra a Cisco Umbrella és a Cisco SWG ügyfélszolgáltatásokat, vagy indítsa újra azt a gépet, amelyen az ügyfelek telepítve vannak.

Miután mindkét ügyfél egymás mellett lett telepítve és fut, és a felügyeleti portálok konfigurációi befejeződtek, lépjen a rendszertálcára, és ellenőrizze, hogy engedélyezve van-e a globális biztonságos hozzáférés és a Cisco-ügyfelek.

Ellenőrizze a Global Secure Access-ügyfél konfigurációját.

  1. Kattintson a jobb gombbal a Global Secure Access ügyfél > speciális diagnosztikai továbbítási > profiljára , és ellenőrizze, hogy csak a privát hozzáférési szabályok vonatkoznak-e az ügyfélre.
  2. Az Advanced Diagnostics Health Check (Speciális diagnosztika állapotellenőrzése > ) területen győződjön meg arról, hogy az ellenőrzések nem meghiúsulnak.

Forgalom tesztelése

A Microsoft SSE-konfigurációja: Engedélyezze a Microsoft Entra privát hozzáférés, tiltsa le az Internet Access és a Microsoft 365 forgalomátirányítási profilokat.

Cisco SSE-konfiguráció: Az internet-hozzáférési forgalom rögzítve van. A privát hozzáférésű forgalom ki van zárva.

  1. A tálcán kattintson a jobb gombbal a Global Secure Access ügyfélikonra, majd válassza a Speciális diagnosztika lehetőséget. Válassza a Forgalom lapot, és válassza a Gyűjtés indítása lehetőséget.
  2. Hozzáférés az Entra Private Access szolgáltatással konfigurált privát erőforrásokhoz, például az SMB-fájlmegosztáshoz. Nyissa meg \\YourFileServer.yourdomain.com a Start/Futtatás menüt egy kezelőablakból.
  3. A tálcán kattintson a jobb gombbal a Global Secure Access-ügyfélre, majd válassza a Speciális diagnosztika lehetőséget. A Hálózati forgalom párbeszédpanelen válassza a Adatgyűjtés leállítása lehetőséget.
  4. A Hálózati forgalom párbeszédpanelen görgessen, és figyelje meg a generált forgalmat annak ellenőrzéséhez, hogy a Privát hozzáférés forgalmat a Globális biztonságos hozzáférés ügyfél kezelte-e.
  5. Azt is ellenőrizheti, hogy a forgalmat a Microsoft Entra rögzíti-e, ha ellenőrzi a globális biztonságos hozzáférésű hozzáférés forgalmi naplóinak forgalmát a Microsoft Entra felügyeleti központjából a Globális biztonságos hozzáférés-figyelő forgalmi naplóiban.> >
  6. A böngészőkből elérheti a webhelyeket, és ellenőrizheti, hogy hiányzik-e az internetes forgalom a globális biztonságos hozzáférés forgalmi naplóiból, és csak a Cisco Umbrellaben rögzítve.

Következő lépések