Come abilitare e gestire il profilo di inoltro del traffico di Microsoft 365

Con il profilo di Microsoft 365 abilitato, Accesso a Internet Microsoft Entra acquisisce il traffico che passa a tutti i servizi di Microsoft 365. Il profilo di Microsoft 365 gestisce i gruppi di criteri seguenti:

  • Exchange Online
  • SharePoint Online e OneDrive for Business
  • Microsoft 365 Common and Office Online (solo Microsoft Entra ID e Microsoft Graph)

Prerequisiti

Per abilitare il profilo di inoltro del traffico di Microsoft 365 per il tenant, è necessario disporre di:

  • Un ruolo di accesso sicuro globale Amministrazione istrator in Microsoft Entra ID
  • L'anteprima richiede una licenza microsoft Entra ID P1. Se necessario, è possibile acquistare licenze o ottenere licenze di valutazione.
  • Per usare il profilo di inoltro del traffico di Microsoft 365, è consigliabile usare una licenza di Microsoft 365 E3.

Limitazioni note

  • Teams non è attualmente supportato come parte degli endpoint comuni di Microsoft 365. Sono supportati solo Microsoft Entra ID e Microsoft Graph.
  • Per informazioni dettagliate sulle limitazioni per il profilo di traffico di Microsoft 365, vedere Limitazioni note del client Windows

Abilitare il profilo di traffico di Microsoft 365

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
  2. Passare a Accesso sicuro globale (anteprima)>Connessione> Forwardingtraffic.
  3. Selezionare la casella di controllo per il profilo di accesso di Microsoft 365.

Screenshot of the traffic forwarding page with the Private access profile enabled.

Criteri di traffico di Microsoft 365

Per gestire i dettagli inclusi nei criteri di inoltro del traffico di Microsoft 365, selezionare il collegamento Visualizza per i criteri di traffico di Microsoft 365.

Screenshot of the Private access profile, with the view applications link highlighted.

I gruppi di criteri sono elencati, con una casella di controllo per indicare se il gruppo di criteri è abilitato. Espandere un gruppo di criteri per visualizzare tutti gli indirizzi IP e i nomi di dominio completi inclusi nel gruppo.

Screenshot of the Microsoft 365 profile details.

I gruppi di criteri includono i dettagli seguenti:

  • Tipo di destinazione: FQDN o subnet IP
  • Destinazione: i dettagli del nome di dominio completo o della subnet IP
  • Porte: porte TCP o UDP combinate con gli indirizzi IP per formare l'endpoint di rete
  • Protocollo: TCP (Transmission Control Protocol) o UDP (User Datagram Protocol)
  • Azione: inoltrare o ignorare

È possibile scegliere di ignorare determinati traffico. Gli utenti possono comunque accedere al sito; Tuttavia, il servizio non elabora il traffico. È possibile ignorare il traffico verso un FQDN o un indirizzo IP specifico, un intero gruppo di criteri all'interno del profilo o l'intero profilo di Microsoft 365 stesso. Se è sufficiente inoltrare alcune delle risorse di Microsoft 365 all'interno di un gruppo di criteri, abilitare il gruppo, quindi modificare l'azione nei dettagli di conseguenza.

L'esempio seguente mostra l'impostazione del *.sharepoint.com nome di dominio completo su Bypass in modo che il traffico non venga inoltrato al servizio.

Screenshot of the Action dropdown menu.

Se il client Di accesso sicuro globale non è in grado di connettersi al servizio (ad esempio a causa di un errore di autorizzazione o accesso condizionale), il servizio ignora il traffico. Il traffico viene inviato direttamente e locale anziché essere bloccato. In questo scenario è possibile creare criteri di accesso condizionale per il controllo di rete conforme per bloccare il traffico se il client non è in grado di connettersi al servizio.

Criteri di accesso condizionale collegati

I criteri di accesso condizionale vengono creati e applicati al profilo di inoltro del traffico nell'area Accesso condizionale di Microsoft Entra ID. Ad esempio, è possibile creare criteri che richiedono l'uso di dispositivi conformi per l'accesso ai servizi di Microsoft 365.

Se nella sezione Criteri di accesso condizionale collegato viene visualizzato "Nessuno", non sono presenti criteri di accesso condizionale collegati al profilo di inoltro del traffico. Per creare criteri di accesso condizionale, vedere Accesso condizionale universale tramite accesso sicuro globale.

Modificare un criterio di accesso condizionale esistente

Se il profilo di inoltro del traffico ha un criterio di accesso condizionale collegato, è possibile visualizzare e modificare tale criterio.

  1. Selezionare il collegamento Visualizza per i criteri di accesso condizionale collegato.

    Screenshot of traffic forwarding profiles with Conditional Access link highlighted.

  2. Selezionare un criterio dall'elenco. Dettagli dei criteri aperti in Accesso condizionale.

    Screenshot of the applied Conditional Access policies.

Assegnazioni di rete remota di Microsoft 365

I profili di traffico possono essere assegnati alle reti remote, in modo che il traffico di rete venga inoltrato all'accesso sicuro globale senza dover installare il client nei dispositivi degli utenti finali. Purché il dispositivo si trovi dietro l'apparecchiatura locale del cliente (CPE), il client non è necessario. È necessario creare una rete remota prima di poterla aggiungere al profilo. Per altre informazioni, vedere Come creare reti remote.

Per assegnare una rete remota al profilo di Microsoft 365:

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
  2. Passare a Accesso sicuro globale (anteprima)>Inoltro del traffico.
  3. Selezionare il pulsante Aggiungi assegnazioni per il profilo.
    • Se si modificano le assegnazioni di rete remota, selezionare il pulsante Aggiungi/modifica assegnazioni .
  4. Selezionare una rete remota dall'elenco e selezionare Aggiungi.

Condizioni per l'utilizzo

L'uso delle Accesso privato Microsoft Entra e delle Accesso a Internet Microsoft Entra esperienze e funzionalità di anteprima è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali sono stati ottenuti i servizi. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy ridotti o diversi, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nel componente aggiuntivo per la protezione dei dati dei prodotti e servizi Microsoft ("DPA") e qualsiasi altro avviso fornito con l'anteprima.

Passaggi successivi

Il passaggio successivo per iniziare a usare Accesso a Internet Microsoft Entra consiste nell'installare e configurare il client di accesso sicuro globale nei dispositivi degli utenti finali

Per altre informazioni sull'inoltro del traffico, vedere l'articolo seguente: