Condividi tramite

Informazioni su come gestire il profilo di inoltro del traffico di accesso a Internet

Il profilo di inoltro del traffico di accesso a Internet instrada il traffico internet tramite il client di Accesso globale sicuro. L'abilitazione di questo profilo di inoltro del traffico consente ai lavoratori remoti di connettersi a Internet in modo controllato e sicuro. Con le funzionalità di Accesso a Internet Microsoft Entra, è possibile controllare i siti Internet a cui è possibile accedere. È anche possibile configurare il traffico da escludere dall'Accesso globale sicuro in base a indirizzi IP, intervalli di indirizzi IP, subnet IP e nomi di dominio completi (FQDN).

Prerequisiti

Per abilitare il profilo di inoltro dell’accesso a Internet per il tenant, è necessario disporre di:

Politiche del profilo di inoltro del traffico di accesso a Internet

Visualizzare i criteri correlati al profilo di inoltro del traffico di accesso a Internet. Sono tre politiche per impostazione predefinita. Per visualizzarli:

  1. Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.
  2. Passare a Accesso globale sicuro>Connessione>Inoltro del traffico.
  3. Selezionare il collegamento Visualizza nella sezione Criteri di accesso a Internet.

I criteri di accesso a Internet predefiniti includono:

  • Bypass personalizzato Contiene traffico/endpoint definiti dall'utente che sono esclusi dal profilo del traffico Internet. In altre parole, si definisce il traffico che il profilo non deve acquisire. Di solito, è consigliato escludere traffico come gli endpoint VPN, gli intervalli IP privati, gli intervalli IP squat e gli endpoint che utilizzano un elenco di controllo dell'accesso alla rete.
  • Bypass predefinito Contiene traffico predefinito che il profilo del traffico Internet non acquisisce. Ad esempio, intervalli IP privati. Non è possibile modificare le regole in questa politica.
  • Acquisizione Predefinita Definisce il traffico che viene acquisito dal profilo del traffico Internet. Attualmente, è tutto il traffico Internet sulle porte 80, 443 su TCP (Transmission Control Protocol). Il criterio ha la precedenza più bassa dopo la valutazione di tutte le regole di bypass. Non è possibile modificare le regole in questa politica.

Esempio di aggiunta di un criterio di bypass personalizzato:

  1. Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.
  2. Passare a Accesso globale sicuro>Connessione>Inoltro del traffico.
  3. Nell'area Profilo di inoltro del traffico di accesso a Internet, nella sezione Criteri di accesso a Internet, selezionare il collegamento Visualizza
  4. Espandi il criterio Bypass personalizzato.
  5. Selezionare Aggiungi regola.
  6. Scegliere un tipo di destinazione, come un Nome di dominio completamente qualificato (FQDN). È possibile aggiungere più valori di destinazione delimitati da virgole. Non aggiungere uno spazio vuoto. Ad esempio, contoso.com,fabrikam.com o 10.0.0.1/32,10.0.0.2/32. Le porte, il protocollo e l'azione sono sempre fisse e non possono essere modificate.
  7. Immettere una destinazione valida.
  8. Selezionare Salva.

Nota

Il traffico viene valutato dall'alto verso il basso, il che significa che viene acquisito solo dal profilo di traffico Internet se non viene ignorato in una delle regole di bypass.

Assegnazioni di utenti e gruppi

È possibile definire l'ambito del profilo di Accesso a Internet a utenti e gruppi specifici.

Per ulteriori informazioni sull'assegnazione di utenti e gruppi, vedere Come assegnare e gestire utenti e gruppi con profili di inoltro del traffico.

Abilitare il profilo di inoltro del traffico di accesso a Internet

Per abilitare il profilo di inoltro di Accesso a Internet Microsoft Entra per inoltrare il traffico utente:

  1. Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.
  2. Passare a Accesso globale sicuro>Connessione>Inoltro del traffico.
  3. Impostare le politiche per il profilo di traffico. Ad esempio, impostare una regola di bypass personalizzata per escludere traffico specifico.
  4. Abilitare il Profilo di accesso a Internet. Il traffico Internet inizia l'inoltro da tutti i dispositivi client al proxy SSE (Security Service Edge) di Microsoft, in cui si configurano criteri di sicurezza granulari.

    Nota

    Quando viene abilitato il profilo di inoltro di Accesso Internet, è necessario abilitare anche il profilo di inoltro del traffico Microsoft per il routing ottimale del traffico Microsoft. È possibile abilitare il profilo del traffico Microsoft selezionando la casella di controllo del profilo nella stessa pagina in cui si abilita il profilo di inoltro del traffico di accesso a Internet. Per altre informazioni sul profilo di inoltro del traffico Microsoft, vedere Come abilitare e gestire il profilo Microsoft.

Convalidare il profilo di inoltro del traffico di accesso a Internet

Una regola aggiunta a un criterio richiede 10-20 minuti per essere visualizzata nel client sul computer di un utente. Se la regola non viene visualizzata dopo questo periodo di tempo, disabilitare e poi riabilitare il profilo di inoltro del traffico di accesso a Internet.

Per convalidare il profilo di inoltro del traffico, i criteri di inoltro del traffico e le regole:

  1. Nella barra delle applicazioni, fare clic con il pulsante destro del mouse sul client di Accesso globale sicuro e selezionare Diagnostica avanzata.
  2. Aprire un web browser e andare su una destinazione nella rete interna. Confermare che il traffico non stia venendo acquisito.
  3. Aprire un Web browser e passare a una destinazione ignorata. Confermare che il traffico non stia venendo acquisito.
  4. Aprire un Web browser e passare a una destinazione pubblica acquisita dal profilo. Verificare che il traffico venga acquisito nel canale Internet.

Passaggi successivi