Cara mengaktifkan dan mengelola profil penerusan lalu lintas Microsoft
Dengan mengaktifkan profil Microsoft, Akses Internet Microsoft Entra memperoleh lalu lintas yang akan layanan Microsoft. Profil Microsoft mengelola grup kebijakan berikut:
- Exchange Online
- SharePoint Online dan Microsoft OneDrive.
- Microsoft 365 Common dan Office Online
Prasyarat
Untuk mengaktifkan profil penerusan lalu lintas Microsoft untuk penyewa, Anda harus memiliki:
- Peran Administrator Akses Aman Global di ID Microsoft Entra untuk mengaktifkan profil lalu lintas.
- Peran Administrator Akses Bersyar untuk membuat dan berinteraksi dengan kebijakan Akses Bersyar.
- Produk ini membutuhkan lisensi. Untuk detailnya, lihat bagian lisensi dari Apa itu Akses Aman Global. Jika diperlukan, Anda dapat membeli lisensi atau mendapatkan lisensi uji coba.
Pembatasan yang diketahui
- Layanan individual ditambahkan ke profil lalu lintas Microsoft secara berkelanjutan. Saat ini, ID Microsoft Entra, Microsoft Graph, Exchange Online, dan SharePoint Online didukung sebagai bagian dari profil lalu lintas Microsoft
- Untuk batasan tambahan profil lalu lintas Microsoft, lihat Batasan yang diketahui Klien Windows
Mengaktifkan profil lalu lintas Microsoft
Masuk ke pusat admin Microsoft Entra sebagai Administrator Akses Aman Global.
Telusuri penerusan Lalu Lintas Koneksi>Akses>Aman Global.
Aktifkan profil lalu lintas Microsoft. Lalu lintas Microsoft mulai meneruskan dari semua perangkat klien ke proksi Security Service Edge (SSE) Microsoft, tempat Anda dapat mengonfigurasi fitur keamanan tingkat lanjut khusus untuk lalu lintas Microsoft.
Kebijakan lalu lintas Microsoft
Untuk mengelola detail yang disertakan dalam kebijakan penerusan lalu lintas Microsoft, pilih tautan Tampilkan untuk kebijakan lalu lintas Microsoft.
Grup kebijakan dicantumkan, dengan kotak centang untuk menunjukkan apakah grup kebijakan diaktifkan. Perluas grup kebijakan untuk melihat semua IP dan FQDN yang disertakan dalam grup.
Grup kebijakan mencakup detail berikut:
- Jenis tujuan: FQDN atau subnet IP
- Tujuan: Detail FQDN atau subnet IP
- Port: Port TCP atau UDP yang dikombinasikan dengan alamat IP untuk membentuk titik akhir jaringan
- Protokol: TCP (Protokol Kontrol Transmisi) atau UDP (Protokol Datagram Pengguna)
- Tindakan: Teruskan atau Lewati
Anda dapat mengonfigurasi aturan akuisisi lalu lintas untuk melewati akuisisi lalu lintas. Jika Anda melakukannya, pengguna akan tetap dapat mengakses sumber daya; namun, layanan Akses Aman Global tidak akan memproses lalu lintas. Anda dapat melewati lalu lintas ke FQDN atau alamat IP tertentu, seluruh grup kebijakan dalam profil, atau seluruh profil Microsoft itu sendiri. Jika Anda hanya perlu meneruskan beberapa sumber daya Microsoft dalam grup kebijakan, aktifkan grup, lalu ubah Tindakan dalam detail yang sesuai.
Penting
Ketika aturan diatur ke Bypass, profil lalu lintas Akses Internet tidak akan memperoleh lalu lintas ini. Bahkan dengan profil Akses Internet diaktifkan, lalu lintas yang dilewati akan melewati akuisisi Akses Aman Global dan menggunakan jalur perutean jaringan klien tersebut untuk keluar ke Internet. Lalu lintas yang tersedia untuk akuisisi di profil lalu lintas Microsoft hanya dapat diperoleh di profil lalu lintas Microsoft.
Contoh berikut menunjukkan pengaturan *.sharepoint.com
FQDN ke Bypass sehingga lalu lintas tidak diteruskan ke layanan.
Jika klien Akses Aman Global tidak dapat tersambung ke layanan (misalnya karena otorisasi atau kegagalan Akses Bersyarat), layanan akan melewati lalu lintas. Lalu lintas dikirim langsung dan lokal alih-alih diblokir. Dalam skenario ini, Anda dapat membuat kebijakan Akses Bersyariah untuk pemeriksaan jaringan yang sesuai, untuk memblokir lalu lintas jika klien tidak dapat tersambung ke layanan.
Kebijakan Akses Bersyar yang Ditautkan
Kebijakan Akses Bersyar dibuat dan diterapkan ke profil penerusan lalu lintas di area Akses Bersyar di ID Microsoft Entra. Misalnya, Anda dapat membuat kebijakan yang memerlukan perangkat yang sesuai saat pengguna membuat koneksi jaringan untuk layanan di profil lalu lintas Microsoft.
Jika Anda melihat "Tidak Ada" di bagian Kebijakan Akses Bersyar Tertaut, tidak ada kebijakan Akses Bersyar yang ditautkan ke profil penerusan lalu lintas. Untuk membuat kebijakan Akses Bersyar, lihat Akses Bersyar Universal melalui Akses Aman Global.
Mengedit kebijakan Akses Bersyar yang sudah ada
Jika profil penerusan lalu lintas memiliki kebijakan Akses Bersyar yang ditautkan, Anda dapat melihat dan mengedit kebijakan tersebut.
Pilih tautan Tampilkan untuk Kebijakan Akses Bersyar yang Ditautkan.
Pilih kebijakan dari daftar. Detail kebijakan terbuka di Akses Bersyarah.
Penetapan jaringan jarak jauh profil lalu lintas Microsoft
Profil lalu lintas dapat ditetapkan ke jaringan jarak jauh, sehingga lalu lintas jaringan diteruskan ke Akses Aman Global tanpa harus menginstal klien di perangkat pengguna akhir. Selama perangkat berada di belakang peralatan lokal pelanggan (CPE), klien tidak diperlukan. Anda harus membuat jaringan jarak jauh sebelum bisa menambahkannya ke profil. Untuk informasi selengkapnya, lihat Cara membuat jaringan jarak jauh.
Untuk menetapkan jaringan jarak jauh ke profil Microsoft:
- Masuk ke pusat admin Microsoft Entra sebagai Administrator Akses Aman Global.
- Telusuri penerusan Lalu Lintas Koneksi>Akses>Aman Global.
- Dari bagian Hapus penetapan jaringan, pilih tautan Tampilkan untuk profil.
- Pilih jaringan jarak jauh dari daftar dan pilih Tambahkan.
Penetapan pengguna dan grup
Anda dapat mencakup profil Microsoft ke pengguna dan grup tertentu alih-alih menerapkan profil lalu lintas ke semua pengguna. Untuk mempelajari selengkapnya tentang penetapan pengguna dan grup, lihat Cara menetapkan dan mengelola pengguna dan grup dengan profil penerusan lalu lintas.
Langkah berikutnya
Langkah selanjutnya untuk memulai profil lalu lintas Microsoft adalah menginstal dan mengonfigurasi Klien Akses Aman Global di perangkat pengguna akhir
Untuk informasi selengkapnya tentang penerusan lalu lintas, lihat artikel berikut ini: