Pelajari tentang koeksistensi Security Service Edge (SSE) dengan Microsoft dan Zscaler

Dalam lanskap digital yang berkembang pesat saat ini, organisasi memerlukan solusi yang kuat, dan terpadu untuk memastikan konektivitas yang aman dan mulus. Microsoft dan Zscaler menawarkan kemampuan Secure Access Service Edge (SASE) yang, saat terintegrasi, memberikan keamanan dan konektivitas yang ditingkatkan untuk skenario akses yang beragam.

Panduan ini menguraikan cara mengonfigurasi dan menyebarkan solusi Microsoft Entra bersama penawaran Security Service Edge (SSE) Zscaler. Dengan menggunakan kekuatan kedua platform, Anda dapat mengoptimalkan postur keamanan organisasi sambil mempertahankan konektivitas berkinerja tinggi untuk aplikasi privat, lalu lintas Microsoft 365, dan akses internet.

1. Akses Pribadi Microsoft Entra dengan Zscaler Internet Access

   Dalam skenario ini, Akses Aman Global menangani lalu lintas aplikasi privat. Zscaler hanya menangkap lalu lintas Internet. Oleh karena itu, modul Zscaler Private Access dinonaktifkan dari portal Zscaler.

2. Akses Privat Microsoft Entra dengan Zscaler Private Access dan Zscaler Internet Access

   Dalam skenario ini, kedua klien menangani lalu lintas untuk aplikasi privat terpisah. Akses Aman Global menangani aplikasi privat di Microsoft Entra Private Access. Aplikasi privat di Zscaler menggunakan modul Zscaler Private Access. Zscaler Internet Access menangani lalu lintas Internet.

3. Microsoft Entra Microsoft Access dengan Zscaler Private Access dan Zscaler Internet Access

   Dalam skenario ini, Akses Aman Global menangani semua lalu lintas Microsoft 365. Zscaler Private Access menangani lalu lintas aplikasi Privat dan Zscaler Internet Access menangani lalu lintas Internet.

4. Microsoft Entra Internet Access dan Microsoft Entra Microsoft Access dengan Zscaler Private Access

   Dalam skenario ini, Akses Aman Global menangani lalu lintas Internet dan Microsoft 365. Zscaler hanya menangkap lalu lintas aplikasi Privat. Oleh karena itu, modul Zscaler Internet Access dinonaktifkan dari portal Zscaler.

Prasyarat

Untuk mengonfigurasi Microsoft dan Zscaler untuk solusi SASE terpadu, mulailah dengan menyiapkan Microsoft Entra Internet Access dan Microsoft Entra Private Access. Selanjutnya, konfigurasikan Zscaler Private Access dan Zscaler Internet Access. Terakhir, pastikan untuk menetapkan bypass FQDN dan IP yang diperlukan untuk memastikan integrasi yang lancar antara kedua platform.

• Siapkan Microsoft Entra Internet Access dan Microsoft Entra Private Access. Produk-produk ini membentuk solusi Akses Aman Global.
• Menyiapkan Zscaler Private Access dan Internet Access
• Mengonfigurasi FQDN Akses Aman Global dan bypass IP

Akses Aman Global Microsoft

Untuk menyiapkan Microsoft Entra Global Secure Access dan menguji semua skenario dalam dokumentasi ini:

• Aktifkan dan nonaktifkan berbagai profil penerusan lalu lintas Microsoft Global Secure Access untuk tenant Microsoft Entra Anda. Untuk informasi selengkapnya tentang mengaktifkan dan menonaktifkan profil, lihat profil penerusan lalu lintas Global Secure Access.
• Instal dan konfigurasikan konektor jaringan privat Microsoft Entra. Untuk mempelajari cara menginstal dan mengonfigurasi konektor, lihat Cara mengonfigurasi konektor.

  Nota

  Konektor Jaringan Privat diperlukan untuk aplikasi Microsoft Entra Private Access.

• Konfigurasikan Akses Cepat ke sumber daya privat Anda dan siapkan Sistem Nama Domain Privat (DNS) dan akhiran DNS. Untuk mempelajari cara mengonfigurasi Akses Cepat, lihat Cara mengonfigurasi Akses Cepat.
• Instal dan konfigurasikan klien Akses Aman Global di perangkat pengguna akhir. Untuk informasi selengkapnya tentang klien, lihat Klien Akses Aman Global. Untuk mempelajari cara menginstal klien Windows, lihat Klien Akses Aman Global untuk Windows. Untuk macOS, lihat Klien Akses Aman Global untuk macOS.

Akses Privat Zscaler dan Akses Internet

Untuk mengintegrasikan Zscaler Private Access dan Zscaler Internet Access dengan Microsoft Global Secure Access, pastikan Anda menyelesaikan prasyarat berikut. Langkah-langkah ini memastikan integrasi yang lancar, manajemen lalu lintas yang lebih baik, dan keamanan yang ditingkatkan.

• Konfigurasikan Zscaler Internet Access. Untuk mempelajari selengkapnya tentang mengonfigurasi Zscaler, lihat Panduan Konfigurasi Langkah demi Langkah untuk ZIA.
• Mengonfigurasi Zscaler Private Access. Untuk mempelajari selengkapnya tentang mengonfigurasi Zscaler, lihat Panduan Konfigurasi Langkah demi Langkah untuk ZPA.
• Siapkan dan konfigurasikan profil penerusan Konektor Klien Zscaler. Untuk mempelajari selengkapnya tentang mengonfigurasi Zscaler, lihat Mengonfigurasi Profil Penerusan untuk Konektor Klien Zscaler.
• Siapkan dan konfigurasikan profil aplikasi Zscaler Client Connector dengan bypass Akses Aman Global. Untuk mempelajari selengkapnya tentang mengonfigurasi Zscaler, lihat Mengonfigurasi Profil Aplikasi Konektor Klien Zscaler.

FQDN dan IP layanan Global Secure Access dilewati

Konfigurasikan profil aplikasi Zscaler Client Connector untuk bekerja dengan layanan Microsoft Entra Nama Domain Berkualifikasi Penuh (FQDN) dan Alamat Protokol Internet (IP).

Entri ini perlu ada di profil aplikasi untuk setiap skenario:

• IP: 150.171.15.0/24, 150.171.18.0/24, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 151.206.0.0/16, 6.6.0.0/16
• FQDN: internet.edgediagnostic.globalsecureaccess.microsoft.com, , , m365.edgediagnostic.globalsecureaccess.microsoft.comprivate.edgediagnostic.globalsecureaccess.microsoft.comaps.globalsecureaccess.microsoft.comauth.edgediagnostic.globalsecureaccess.microsoft.com<tenantid>.internet.client.globalsecureaccess.microsoft.com<tenantid>.m365.client.globalsecureaccess.microsoft.com<tenantid>.private.client.globalsecureaccess.microsoft.com<tenantid>.auth.client.globalsecureaccess.microsoft.com<tenantid>.private-backup.client.globalsecureaccess.microsoft.com<tenantid>.internet-backup.client.globalsecureaccess.microsoft.com<tenantid>.m365-backup.client.globalsecureaccess.microsoft.com<tenantid>.auth-backup.client.globalsecureaccess.microsoft.com
• Instal dan konfigurasikan perangkat lunak Konektor Klien Zscaler.

Konfigurasi 1: Microsoft Entra Private Access dengan Zscaler Internet Access

Dalam skenario ini, Microsoft Entra Private Access menangani lalu lintas aplikasi privat, sementara Zscaler Internet Access mengelola lalu lintas Internet. Modul Zscaler Private Access dinonaktifkan di portal Zscaler. Untuk mengonfigurasi Microsoft Entra Private Access, Anda perlu menyelesaikan beberapa langkah. Pertama, aktifkan profil penerusan. Selanjutnya, instal Konektor Jaringan Privat. Setelah itu, siapkan Akses Cepat dan konfigurasikan DNS Privat. Terakhir, instal klien Akses Aman Global. Untuk Zscaler Internet Access, konfigurasi melibatkan pembuatan profil penerusan dan profil aplikasi, penambahan aturan bypass untuk layanan Microsoft Entra, serta pemasangan Konektor Klien Zscaler. Terakhir, konfigurasi diverifikasi, dan arus lalu lintas diuji untuk memastikan penanganan lalu lintas privat dan Internet yang tepat oleh masing-masing solusi.

konfigurasi Akses Privat Microsoft Entra

Untuk skenario ini, Anda perlu:

• Aktifkan profil penerusan Akses Privat Microsoft Entra.
• Instal Konektor Jaringan Privat untuk Akses Privat Microsoft Entra.
• Konfigurasikan Akses Cepat dan siapkan DNS Privat.
• Instal dan konfigurasikan klien Akses Aman Global untuk Windows atau macOS.

Konfigurasi Zscaler Internet Access

Lakukan di portal Zscaler:

• Menyiapkan dan mengonfigurasi Zscaler Internet Access.
• Buat profil penerusan.
• Membuat profil aplikasi.
• Menginstal konektor klien Zscaler

Tambahkan Profil Penerusan dari Portal Konektor Klien:

1. Arahkan ke portal Admin Konektor Klien Zscaler>Administrasi>Profil Penerusan>Tambahkan Profil Penerusan.
2. Tambahkan Nama Profil seperti ZIA Only.
3. Pilih Paket Berbasis Filter dalam Jenis Driver Terowongan.
4. Pilih tindakan penerusan profil sebagai Terowongan dan pilih versi terowongan. Misalnya: Z-Tunnel 2.0
5. Gulir ke bawah ke Tindakan penerusan profil untuk ZPA.
6. Pilih Tidak Ada untuk semua opsi di bagian ini.

Tambahkan Profil Aplikasi dari Portal Konektor Klien:

1. Navigasi ke portal admin Konektor Klien Zscaler>Windows (atau macOS)>Tambahkan Kebijakan Windows (atau macOS).
2. Tambahkan Nama, atur Urutan Aturan seperti 1, pilih Aktifkan, pilih Pengguna untuk menerapkan kebijakan ini, dan pilih Profil Penerusan. Misalnya, pilih ZIA Saja.
3. Gulir ke bawah dan tambahkan alamat Internet Protocol (IP) layanan Microsoft SSE dan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) di bagian FQDN dan IP layanan Akses Aman Global, ke bidang "HOSTNAME ATAU IP ADDRESS BYPASS FOR VPN GATEWAY".

Buka baki sistem untuk memeriksa apakah klien Akses Aman Global dan Zscaler diaktifkan.

Verifikasi konfigurasi untuk klien:

1. Klik kanan pada Klien Akses Aman Global>Diagnostik Tingkat Lanjut>Profil Penerusan dan verifikasi bahwa akses private dan aturan DNS private diterapkan ke klien ini.
2. Navigasi ke Diagnostik Tingkat Lanjut>Pemeriksaan Kesehatan dan pastikan tidak ada pemeriksaan yang gagal.
3. Klik kanan pada Zscaler Client>Open Zscaler>Lebih banyak. Verifikasi Kebijakan Aplikasi cocok dengan konfigurasi di langkah-langkah sebelumnya. Pastikan bahwa ini sudah yang terbaru atau memperbaruinya.
4. Navigasi ke Zscaler Client>Internet Security. Verifikasi Status Layanan adalah ON dan Status Autentikasi adalah Authenticated.
5. Arahkan ke Zscaler Client>Private Access. Verifikasi Status Layanan adalah DISABLED.

Nota

Untuk informasi pemecahan masalah kegagalan pemeriksaan kesehatan, lihat Memecahkan masalah diagnostik klien Akses Aman Global - Pemeriksaan kesehatan.

Menguji arus lalu lintas:

1. Di baki sistem, klik kanan Klien Akses Aman Global dan kemudian pilih Diagnostik Tingkat Lanjut. Pilih tab Traffik dan pilih Mulai pengumpulan.
2. Akses situs web ini dari browser: bing.com, , salesforce.comInstagram.com.
3. Di baki sistem, klik kanan Klien Akses Aman Global dan pilih Diagnostik Tingkat Lanjut pada tab >.
4. Gulir untuk mengamati bahwa klien Akses Aman Global tidak menangkap lalu lintas dari situs web ini.
5. Masuk ke pusat admin Microsoft Entra dan buka Akses Aman Global>Monitor>Log lalu lintas. Periksa bahwa lalu lintas yang terkait dengan situs-situs ini tidak ada dalam log lalu lintas Akses Aman Global.
6. Masuk ke portal admin Zscaler Internet Access (ZIA) dan telusuri ke Analytics>Web Insights>Logs. Pastikan lalu lintas terkait situs-situs ini ada dalam log Zscaler.
7. Akses aplikasi privat Anda yang disiapkan di Microsoft Entra Private Access. Misalnya, akses Berbagi File melalui Blok Pesan Server (SMB).
8. Masuk ke pusat admin Microsoft Entra dan buka Akses Aman Global>Monitor>Log lalu lintas.
9. Memvalidasi bahwa lalu lintas terkait dengan Berbagi File dicatat dalam log lalu lintas Akses Aman Global.
10. Masuk ke portal admin Zscaler Internet Access (ZIA) dan telusuri ke Analytics>Web Insights>Logs. Pastikan bahwa lalu lintas yang terkait dengan aplikasi privat tidak muncul di Dasbor atau log lalu lintas.
11. Di baki sistem, klik kanan Klien Akses Aman Global dan kemudian pilih Diagnostik Tingkat Lanjut. Dalam kotak dialog Lalu Lintas , pilih Hentikan pengumpulan.
12. Gulir untuk mengonfirmasi klien Akses Aman Global hanya menangani lalu lintas aplikasi privat.

Konfigurasi 2: Microsoft Entra Private Access dengan Zscaler Private Access dan Zscaler Internet Access

Dalam skenario ini, kedua klien menangani lalu lintas untuk aplikasi privat terpisah. Akses Aman Global menangani aplikasi privat di Microsoft Entra Private Access. Aplikasi privat di Zscaler menggunakan modul Zscaler Private Access. Zscaler Internet Access menangani lalu lintas Internet.

Konfigurasi Microsoft Entra Private Access 2

Untuk skenario ini, Anda perlu:

• Aktifkan profil penerusan Akses Privat Microsoft Entra.
• Instal Konektor Jaringan Privat untuk Akses Privat Microsoft Entra.
• Konfigurasikan Akses Cepat dan siapkan DNS Privat.
• Instal dan konfigurasikan klien Akses Aman Global untuk Windows atau macOS.

Konfigurasi Zscaler Private Access dan Zscaler Internet Access 2

Lakukan langkah-langkah di portal Zscaler:

• Siapkan dan konfigurasikan Zscaler Internet Access dan Zscaler Private Access.
• Buat profil penerusan.
• Membuat profil aplikasi.
• Pasang Penghubung Klien Zscaler.

Tambahkan Profil Penerusan dari Portal Konektor Klien:

1. Arahkan ke portal Admin Konektor Klien Zscaler>Administrasi>Profil Penerusan>Tambahkan Profil Penerusan.
2. Tambahkan Nama Profil seperti ZIA and ZPA.
3. Pilih Paket Berbasis Filter dalam Jenis Driver Terowongan.
4. Pilih tindakan penerusan profil sebagai Terowongan, dan pilih versi terowongan. Contohnya, Z-Tunnel 2.0.
5. Gulir ke bawah ke Tindakan penerusan profil untuk ZPA.
6. Pilih Terowongan untuk semua opsi di bagian ini.

Tambahkan Profil Aplikasi dari Portal Konektor Klien:

1. Navigasi ke portal admin Konektor Klien Zscaler>Windows (atau macOS)>Tambahkan Kebijakan Windows (atau macOS).
2. Tambahkan Nama, atur Urutan Aturan seperti 1, pilih Aktifkan, pilih Pengguna untuk menerapkan kebijakan ini, dan pilih Profil Penerusan. Misalnya, pilih ZIA dan ZPA.
3. Gulir ke bawah dan tambahkan alamat Internet Protocol (IP) layanan Microsoft SSE dan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) di bagian FQDN dan IP layanan Akses Aman Global, ke bidang "HOSTNAME ATAU IP ADDRESS BYPASS FOR VPN GATEWAY".

Buka baki sistem untuk memeriksa apakah klien Akses Aman Global dan Zscaler diaktifkan.

Verifikasi konfigurasi untuk klien:

1. Klik kanan pada Klien Akses Aman Global>Diagnostik Tingkat Lanjut>Profil Penerusan dan verifikasi bahwa akses private dan aturan DNS private diterapkan ke klien ini.
2. Navigasi ke Diagnostik Tingkat Lanjut>Pemeriksaan Kesehatan dan pastikan tidak ada pemeriksaan yang gagal.
3. Klik kanan pada Zscaler Client>Open Zscaler>Lebih banyak. Verifikasi Kebijakan Aplikasi cocok dengan konfigurasi di langkah-langkah sebelumnya. Pastikan bahwa ini sudah yang terbaru atau memperbaruinya.
4. Navigasi ke Zscaler Client>Internet Security. Verifikasi Status Layanan adalah ON dan Status Autentikasi adalah Authenticated.
5. Arahkan ke Zscaler Client>Private Access. Verifikasi Status Layanan adalah ON dan Status Autentikasi adalah Authenticated.

Nota

Untuk informasi pemecahan masalah kegagalan pemeriksaan kesehatan, lihat Memecahkan masalah diagnostik klien Akses Aman Global - Pemeriksaan kesehatan.

Menguji arus lalu lintas:

1. Di baki sistem, klik kanan Klien Akses Aman Global dan kemudian pilih Diagnostik Tingkat Lanjut. Pilih tab Traffik dan pilih Mulai pengumpulan.
2. Akses situs web ini dari browser: bing.com, , salesforce.comInstagram.com.
3. Di baki sistem, klik kanan Klien Akses Aman Global dan pilih Diagnostik Tingkat Lanjut pada tab >.
4. Gulir untuk mengamati bahwa klien Akses Aman Global tidak menangkap lalu lintas dari situs web ini.
5. Masuk ke pusat admin Microsoft Entra dan buka Akses Aman Global>Monitor>Log lalu lintas. Periksa bahwa lalu lintas yang terkait dengan situs-situs ini tidak ada dalam log lalu lintas Akses Aman Global.
6. Masuk ke portal admin Zscaler Internet Access (ZIA) dan telusuri ke Analytics>Web Insights>Logs.
7. Pastikan lalu lintas terkait situs-situs ini ada dalam log Zscaler.
8. Akses aplikasi privat Anda yang disiapkan di Microsoft Entra Private Access. Misalnya, akses Berbagi File melalui SMB.
9. Akses aplikasi privat Anda yang disiapkan di Zscaler Private Access. Misalnya, buka sesi RDP ke server privat.
10. Masuk ke pusat admin Microsoft Entra dan buka Akses Aman Global>Monitor>Log lalu lintas.
11. Memastikan lalu lintas yang terkait dengan aplikasi privat berbagi file SMB tercatat, dan lalu lintas yang terkait dengan sesi RDP tidak tercatat di log lalu lintas Akses Aman Global.
12. Masuk ke portal admin Zscaler Private Access (ZPA) dan telusuri ke Analitik>Diagnostik>Log. Validasi lalu lintas yang terkait dengan sesi RDP ada dan lalu lintas yang terkait dengan berbagi file SMB tidak ada di Dasbor atau log Diagnostik.
13. Di baki sistem, klik kanan Klien Akses Aman Global dan kemudian pilih Diagnostik Tingkat Lanjut. Dalam kotak dialog Lalu Lintas , pilih Hentikan pengumpulan.
14. Gulir untuk mengonfirmasi klien Akses Aman Global menangani lalu lintas aplikasi privat untuk berbagi file SMB dan tidak menangani lalu lintas sesi RDP.

Konfigurasi 3: Microsoft Entra Microsoft Access dengan Zscaler Private Access dan Zscaler Internet Access

Dalam skenario ini, Akses Aman Global menangani semua lalu lintas Microsoft 365. Zscaler Private Access menangani lalu lintas aplikasi Privat dan Zscaler Internet Access menangani lalu lintas Internet.

Konfigurasi Microsoft Entra dan Microsoft Access 3

Untuk skenario ini, Anda perlu:

• Aktifkan profil penerusan Microsoft Entra Microsoft Access.
• Instal dan konfigurasikan klien Akses Aman Global untuk Windows atau macOS.

Zscaler Private Access dan Zscaler Internet Access konfigurasi 3

Lakukan di portal Zscaler:

• Menyiapkan dan mengonfigurasi Zscaler Private Access.
• Buat profil penerusan.
• Membuat profil aplikasi.
• Pasang Penghubung Klien Zscaler.

Tambahkan Profil Penerusan dari Portal Konektor Klien:

1. Arahkan ke portal Admin Konektor Klien Zscaler>Administrasi>Profil Penerusan>Tambahkan Profil Penerusan.
2. Tambahkan Nama Profil seperti ZIA and ZPA.
3. Pilih Paket Berbasis Filter dalam Jenis Driver Terowongan.
4. Pilih tindakan penerusan profil sebagai Terowongan, dan pilih versi terowongan. Contohnya, Z-Tunnel 2.0.
5. Gulir ke bawah ke Tindakan penerusan profil untuk ZPA.
6. Pilih Terowongan untuk semua opsi di bagian ini.

Tambahkan Profil Aplikasi dari Portal Konektor Klien:

1. Navigasi ke portal admin Konektor Klien Zscaler>Windows (atau macOS)>Tambahkan Kebijakan Windows (atau macOS).
2. Tambahkan Nama, atur Urutan Aturan seperti 1, pilih Aktifkan, pilih Pengguna untuk menerapkan kebijakan ini, dan pilih Profil Penerusan. Misalnya, pilih ZIA dan ZPA.
3. Gulir ke bawah dan tambahkan alamat Internet Protocol (IP) layanan Microsoft SSE dan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) di bagian FQDN dan IP layanan Akses Aman Global, ke bidang "HOSTNAME ATAU IP ADDRESS BYPASS FOR VPN GATEWAY".

Buka baki sistem untuk memeriksa apakah klien Akses Aman Global dan Zscaler diaktifkan.

Verifikasi konfigurasi untuk klien:

1. Klik kanan pada Klien Akses Aman Global>Diagnostik Tingkat Lanjut>Profil Penerusan dan pastikan bahwa hanya aturan Microsoft 365 yang diterapkan pada klien ini.
2. Navigasi ke Diagnostik Tingkat Lanjut>Pemeriksaan Kesehatan dan pastikan tidak ada pemeriksaan yang gagal.
3. Klik kanan pada Zscaler Client>Open Zscaler>Lebih banyak. Verifikasi Kebijakan Aplikasi cocok dengan konfigurasi di langkah-langkah sebelumnya. Pastikan bahwa ini sudah yang terbaru atau memperbaruinya.
4. Navigasi ke Zscaler Client>Internet Security. Verifikasi Status Layanan adalah ON dan Status Autentikasi adalah Authenticated.
5. Arahkan ke Zscaler Client>Private Access. Verifikasi Status Layanan adalah ON dan Status Autentikasi adalah Authenticated.

Nota

Untuk informasi pemecahan masalah kegagalan pemeriksaan kesehatan, lihat Memecahkan masalah diagnostik klien Akses Aman Global - Pemeriksaan kesehatan.

Menguji arus lalu lintas:

1. Di baki sistem, klik kanan Klien Akses Aman Global dan kemudian pilih Diagnostik Tingkat Lanjut. Pilih tab Traffik dan pilih Mulai pengumpulan.
2. Akses situs web ini dari browser: bing.com, , salesforce.comInstagram.com.
3. Di baki sistem, klik kanan Klien Akses Aman Global dan pilih Diagnostik Tingkat Lanjut pada tab >.
4. Gulir untuk mengamati bahwa klien Akses Aman Global tidak menangkap lalu lintas dari situs web ini.
5. Masuk ke pusat admin Microsoft Entra dan buka Akses Aman Global>Monitor>Log lalu lintas. Periksa bahwa lalu lintas yang terkait dengan situs-situs ini tidak ada dalam log lalu lintas Akses Aman Global.
6. Masuk ke portal admin Zscaler Internet Access (ZIA) dan telusuri ke Analytics>Web Insights>Logs.
7. Pastikan lalu lintas terkait situs-situs ini ada dalam log Zscaler.
8. Akses aplikasi privat Anda yang disiapkan di Zscaler Private Access. Misalnya, buka sesi RDP ke server privat.
9. Masuk ke pusat admin Microsoft Entra dan buka Akses Aman Global>Monitor>Log lalu lintas.
10. Memvalidasi lalu lintas yang terkait dengan sesi RDP tidak ada di log lalu lintas Akses Aman Global
11. Masuk ke portal admin Zscaler Private Access (ZPA) dan telusuri ke Analitik>Diagnostik>Log. Validasikan lalu lintas yang terkait dengan sesi RDP muncul di Dasbor atau Log diagnostik.
12. Akses Outlook Online (outlook.com, outlook.office.com, ), outlook.office365.comSharePoint Online (<yourtenantdomain>.sharepoint.com).
13. Di baki sistem, klik kanan Klien Akses Aman Global dan kemudian pilih Diagnostik Tingkat Lanjut. Dalam kotak dialog Lalu Lintas , pilih Hentikan pengumpulan.
14. Gulir untuk mengonfirmasi klien Akses Aman Global hanya menangani lalu lintas Microsoft 365.
15. Anda juga dapat memvalidasi bahwa lalu lintas ditangkap di log lalu lintas Secure Access Global. Di pusat admin Microsoft Entra, navigasikan ke Akses Aman Global>Pantau>Log Lalu Lintas.
16. Verifikasi lalu lintas yang terkait dengan Outlook Online dan SharePoint Online yang tidak tercatat dalam log Zscaler Internet Access di Analytics>Web Insights>Logs.

Konfigurasi 4: Microsoft Entra Internet Access dan Microsoft Entra Microsoft Access dan dengan Zscaler Private Access

Dalam skenario ini, Akses Aman Global menangani lalu lintas Internet dan Microsoft 365. Zscaler hanya menangkap lalu lintas aplikasi privat. Oleh karena itu, modul Zscaler Internet Access dinonaktifkan dari portal Zscaler.

Konfigurasi Microsoft Entra Internet dan Microsoft Access 4

Untuk skenario ini, Anda perlu mengonfigurasi:

• Aktifkan profil penerusan Microsoft Entra Microsoft Access dan profil penerusan Microsoft Entra Internet Access.
• Instal dan konfigurasikan klien Akses Aman Global untuk Windows atau macOS.
• Tambahkan kebijakan profil penerusan lalu lintas bypass kustom Microsoft Entra Internet Access untuk mengecualikan layanan ZPA.

Menambahkan bypass kustom untuk Zscaler di Akses Aman Global:

1. Masuk ke pusat admin Microsoft Entra dan telusuri Global Secure Access>Connect>Penerusan Lalu Lintas>Profil Akses Internet. Di bawah Kebijakan akses internet pilih Tampilkan.
2. Perluas Bypass Kustom dan pilih Tambahkan aturan.
3. Biarkan jenis FQDN tujuan dan di Tujuan masukkan *.prod.zpath.net.
4. Pilih Simpan.

Konfigurasi Zscaler Private Access 4

Lakukan prosedur di portal Zscaler:

• Menyiapkan dan mengonfigurasi Zscaler Private Access.
• Buat profil penerusan.
• Membuat profil aplikasi.
• Pasang Penghubung Klien Zscaler.

Tambahkan Profil Penerusan dari Portal Konektor Klien:

1. Arahkan ke portal Admin Konektor Klien Zscaler>Administrasi>Profil Penerusan>Tambahkan Profil Penerusan.
2. Tambahkan Nama Profil seperti ZPA Only.
3. Pilih Paket Berbasis Filter dalam Jenis Driver Terowongan.
4. Pilih tindakan penerusan profil sebagai Tidak Ada.
5. Gulir ke bawah ke Tindakan penerusan profil untuk ZPA.
6. Pilih Terowongan untuk semua opsi di bagian ini.

Tambahkan Profil Aplikasi dari Portal Konektor Klien:

1. Navigasi ke portal admin Konektor Klien Zscaler>Windows (atau macOS)>Tambahkan Kebijakan Windows (atau macOS).
2. Tambahkan Nama, atur Urutan Aturan seperti 1, pilih Aktifkan, pilih Pengguna untuk menerapkan kebijakan ini, dan pilih Profil Penerusan. Misalnya, pilih ZPA Saja.
3. Gulir ke bawah dan tambahkan alamat Internet Protocol (IP) layanan Microsoft SSE dan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) di bagian FQDN dan IP layanan Akses Aman Global, ke bidang "HOSTNAME ATAU IP ADDRESS BYPASS FOR VPN GATEWAY".

Buka baki sistem untuk memeriksa apakah klien Akses Aman Global dan Zscaler diaktifkan.

Verifikasi konfigurasi untuk klien:

1. Klik kanan pada Klien Akses Aman Global>Diagnostik Tingkat Lanjut>Profil Penerusan dan verifikasi bahwa aturan Microsoft 365 dan Akses Internet diterapkan ke klien ini.
2. Perluas aturan akses Internet >. Verifikasi bahwa bypass kustom *.prod.zpath.net ada di profil.
3. Navigasi ke Diagnostik Tingkat Lanjut>Pemeriksaan Kesehatan dan pastikan tidak ada pemeriksaan yang gagal.
4. Klik kanan pada Zscaler Client>Open Zscaler>Lebih banyak. Verifikasi Kebijakan Aplikasi cocok dengan konfigurasi di langkah-langkah sebelumnya. Pastikan bahwa ini sudah yang terbaru atau memperbaruinya.
5. Arahkan ke Zscaler Client>Private Access. Verifikasi Status Layanan adalah ON dan Status Autentikasi adalah Authenticated.
6. Navigasi ke Zscaler Client>Internet Security. Verifikasi Status Layanan adalah DISABLED.

Nota

Untuk informasi pemecahan masalah kegagalan pemeriksaan kesehatan, lihat Memecahkan masalah diagnostik klien Akses Aman Global - Pemeriksaan kesehatan.

Menguji arus lalu lintas:

1. Di baki sistem, klik kanan Klien Akses Aman Global dan kemudian pilih Diagnostik Tingkat Lanjut. Pilih tab Traffik dan pilih Mulai pengumpulan.
2. Akses situs web ini dari browser: bing.com, , salesforce.com, Instagram.comOutlook Online (outlook.com, outlook.office.com, ), outlook.office365.comSharePoint Online (<yourtenantdomain>.sharepoint.com).
3. Masuk ke pusat admin Microsoft Entra dan buka Akses Aman Global>Monitor>Log lalu lintas. Memastikan lalu lintas yang terkait dengan situs-situs ini dicatat dalam log lalu lintas Akses Aman Global.
4. Akses aplikasi privat Anda yang disiapkan di Zscaler Private Access. Misalnya, menggunakan Desktop Jauh (RDP).
5. Masuk ke portal admin Zscaler Private Access (ZPA) dan telusuri ke Analitik>Diagnostik>Log. Validasikan lalu lintas yang terkait dengan sesi RDP muncul di Dasbor atau Log diagnostik.
6. Masuk ke portal admin Zscaler Internet Access (ZIA) dan telusuri ke Analytics>Web Insights>Logs. Pastikan lalu lintas terkait dengan Microsoft 365 dan lalu lintas Internet seperti Instagram.com, Outlook Online, dan SharePoint Online tidak muncul di log ZIA.
7. Di baki sistem, klik kanan Klien Akses Aman Global dan kemudian pilih Diagnostik Tingkat Lanjut. Dalam kotak dialog Lalu Lintas , pilih Hentikan pengumpulan.
8. Gulir untuk melihat bahwa klien Akses Aman Global tidak menangkap lalu lintas dari aplikasi privat. Selain itu, amati bahwa klien Akses Aman Global menangkap lalu lintas untuk Microsoft 365 dan lalu lintas internet lainnya.