Meer informatie over Microsoft Entra-internettoegang voor alle apps
Microsoft Entra-internettoegang biedt een identiteitsgerichte SWG-oplossing (Secure Web Gateway) voor SaaS-toepassingen (software als een dienst) en ander internetverkeer. Het beschermt gebruikers, apparaten en gegevens tegen het brede dreigingslandschap van internet met best-in-class beveiligingscontroles en zichtbaarheid via verkeerslogboeken.
Filteren van webinhoud
De belangrijkste inleidende functie voor Microsoft Entra-internettoegang voor alle apps is het filteren van webinhoud. Deze functie biedt gedetailleerd toegangsbeheer voor webcategorieën en FQDN's (Fully Qualified Domain Names). Door bekende ongepaste, schadelijke of onveilige sites expliciet te blokkeren, beveiligt u uw gebruikers en hun apparaten tegen elke internetverbinding, ongeacht of ze extern of binnen het bedrijfsnetwerk zijn.
Filteren van webinhoud wordt geïmplementeerd met behulp van filterbeleidsregels, die zijn gegroepeerd in beveiligingsprofielen, die kunnen worden gekoppeld aan beleid voor voorwaardelijke toegang. Zie Voorwaardelijke toegang van Microsoft Entra voor meer informatie over voorwaardelijke toegang.
Beveiligingsprofielen
Beveiligingsprofielen zijn objecten die u gebruikt om filterbeleid te groeperen en te leveren via gebruikersbewust beleid voor voorwaardelijke toegang. Als u bijvoorbeeld alle nieuwswebsites wilt blokkeren, met uitzondering van msn.com de gebruiker angie@contoso.com die u twee webfilterbeleidsregels maakt en deze toevoegt aan een beveiligingsprofiel. Vervolgens neemt u het beveiligingsprofiel en koppelt u het aan een beleid voor voorwaardelijke toegang dat is toegewezen aan angie@contoso.com.
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Logica voor beleidsverwerking
Binnen een beveiligingsprofiel worden beleidsregels afgedwongen volgens prioriteitsvolgorde waarbij 100 de hoogste prioriteit is en 65.000 de laagste prioriteit is (vergelijkbaar met traditionele firewalllogica). Als best practice voegt u de afstand tussen ongeveer 100 prioriteiten toe om in de toekomst flexibiliteit van het beleid mogelijk te maken.
Zodra u een beveiligingsprofiel koppelt aan een beleid voor voorwaardelijke toegang (CA), worden beide beveiligingsprofielen verwerkt in volgorde van de overeenkomende beveiligingsprofielen als er meerdere CA-beleidsregels overeenkomen.
Belangrijk
Het basisbeveiligingsprofiel is van toepassing op al het verkeer, zelfs zonder het te koppelen aan een beleid voor voorwaardelijke toegang. Het dwingt beleid af met de laagste prioriteit in de beleidsstack, die wordt toegepast op al het internettoegangsverkeer dat via de service wordt gerouteerd als een 'catch-all'-beleid.
Bekende beperkingen
- Platform gaat uit van standaardpoorten voor HTTP/S-verkeer (poorten 80 en 443).
- IPv6 wordt nog niet ondersteund op dit platform.
- UDP wordt nog niet ondersteund op dit platform.
- Gebruikersvriendelijke meldingen van eindgebruikers zijn in ontwikkeling.
- Externe netwerkconnectiviteit voor internettoegang is in ontwikkeling.
- Tls-beëindiging (Transport Layer Security) is in ontwikkeling.
- Filteren op basis van URL-pad en URL-categorisatie voor HTTP- en HTTPS-verkeer zijn in ontwikkeling.
- Op dit moment kan een beheerder maximaal 100 beleidsregels voor het filteren van webinhoud en maximaal 1000 regels maken op basis van maximaal 8.000 FQDN's. Beheerders kunnen ook maximaal 256 beveiligingsprofielen maken.
Volgende stappen
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor