Microsoft Global Secure Access proof-of-concept richtlijnen: Configureer Microsoft Entra Internettoegang

De proof-of-concept-richtlijnen (PoC) in deze reeks artikelen helpen u bij het leren, implementeren en testen van Microsoft Global Secure Access met Microsoft Entra Internet Access, Microsoft Entra Private Access en het Microsoft-verkeersprofiel.

Gedetailleerde richtlijnen beginnen met inleiding tot het proof-of-concept van Microsoft Global Secure Access, gaat verder met Microsoft Entra Private Access configureren en eindigt met dit artikel.

Dit artikel helpt u bij het configureren van Microsoft Entra Internet Access om te fungeren als een beveiligde webgateway. Met deze oplossing kunt u beleidsregels configureren voor het filteren van webinhoud om internetverkeer toe te staan of te blokkeren. U kunt deze beleidsregels vervolgens groeperen in beveiligingsprofielen die u op uw gebruikers toepast via beleid voor voorwaardelijke toegang.

Opmerking

Regels en beleidsregels toepassen in volgorde van prioriteit. Raadpleeg beleidsverwerkingslogica voor gedetailleerde richtlijnen.

Microsoft Entra Internet Access configureren

Als u Microsoft Entra Internet Access wilt configureren, raadpleegt u Hoe u het filteren van webinhoud van Global Secure Access configureert. Het biedt richtlijnen voor het uitvoeren van deze stappen op hoog niveau:

1. Schakel doorsturen van internetverkeer in.
2. Maak een beleid voor het filteren van webinhoud.
3. Maak een beveiligingsprofiel.
4. Koppel het beveiligingsprofiel aan een beleid voor voorwaardelijke toegang.
5. Wijs gebruikers of groepen toe aan het verkeersdoorstuurprofiel.

Configureren van use cases

Configureer en test microsoft Entra Internet Access-gebruiksvoorbeelden met webinhoudfilterbeleid, beveiligingsprofielen en beleid voor voorwaardelijke toegang. De volgende secties bevatten voorbeelden van use cases met specifieke richtlijnen.

Opmerking

Microsoft biedt momenteel geen ondersteuning voor het blokkeren en toestaan van URL's, omdat hiervoor TLS-inspectie (Transport Layer Security) is vereist, die nog niet beschikbaar is.

Een basislijnprofiel maken dat van toepassing is op al het internetverkeer dat via de service wordt gerouteerd

Voer de volgende stappen uit om een basislijnprofiel te gebruiken om al het verkeer in uw omgeving te beveiligen zonder dat u beleid voor voorwaardelijke toegang hoeft toe te passen:

1. Maak een beleid voor het filteren van webinhoud met regels voor het toestaan of blokkeren van FQDN's (Fully Qualified Domain Names) of webcategorieën in uw gebruikersbasis. Maak bijvoorbeeld een regel waarmee de categorie Sociale netwerken wordt geblokkeerd om alle sociale mediasites te blokkeren.

2. Koppel het beleid voor het filteren van webinhoud aan het basislijnprofiel. Ga in het Microsoft Entra-beheercentrum naar global Secure Access>Secure>Security Profiles>Baseline-profiel.

3. Meld u aan bij uw testapparaat en probeer toegang te krijgen tot de geblokkeerde site.

4. Bekijk de activiteit in het verkeerslogboek om te bevestigen dat vermeldingen voor uw doel-FQDN worden weergegeven als geblokkeerd. Gebruik indien nodig filter Toevoegen om resultaten te filteren op user principal name voor uw testgebruiker.

Blokkeren dat een groep toegang heeft tot websites op basis van categorie

1. Maak een beleid voor het filteren van webinhoud die regels bevat om een webcategorie te blokkeren. Maak bijvoorbeeld een regel waarmee de categorie Sociale netwerken wordt geblokkeerd om alle sociale mediasites te blokkeren.

2. Maak een beveiligingsprofiel om uw beleid te groeperen en prioriteit te geven. Koppel het beleid voor het filteren van webinhoud aan dit profiel.

3. Maak een beleid voor voorwaardelijke toegang om het beveiligingsprofiel toe te passen op uw gebruikers.

4. Meld u aan bij uw testapparaat en probeer toegang te krijgen tot een geblokkeerde site. Als het goed is, ziet u DeniedTraffic voor http websites en een Kan deze pagina niet bereiken melding voor https websites. Het kan tot 90 minuten duren voordat een nieuw toegewezen beleid van kracht wordt. Het kan tot 20 minuten duren voordat wijzigingen in een bestaand beleid van kracht worden.

5. Bekijk de activiteit in het verkeerslogboek om te bevestigen dat vermeldingen voor uw doel-FQDN worden weergegeven als geblokkeerd. Gebruik indien nodig filter Toevoegen om resultaten te filteren op user principal name voor uw testgebruiker.

Blokkeren dat een groep toegang heeft tot websites op basis van FQDN

1. Maak een beleid voor het filteren van webinhoud met regels om een FQDN (geen URL) te blokkeren.

2. Maak een beveiligingsprofiel om uw beleid te groeperen en prioriteit te geven. Koppel het beleid voor het filteren van webinhoud aan dit profiel.

3. Maak een beleid voor voorwaardelijke toegang om het beveiligingsprofiel toe te passen op uw gebruikers.

4. Meld u aan bij uw testapparaat en probeer toegang te krijgen tot de geblokkeerde FQDN. Als het goed is, ziet u DeniedTraffic voor http websites en een Kan deze pagina niet bereiken melding voor https websites. Het kan tot 90 minuten duren voordat een nieuw toegewezen beleid van kracht wordt. Het kan tot 20 minuten duren voordat wijzigingen in een bestaand beleid van kracht worden.

5. Bekijk de activiteit in het verkeerslogboek om te bevestigen dat vermeldingen voor uw doel-FQDN worden weergegeven als geblokkeerd. Gebruik indien nodig filter Toevoegen om resultaten te filteren op user principal name voor uw testgebruiker.

Een gebruiker toegang geven tot een geblokkeerde website

1. Maak een beleid voor het filteren van webinhoud met een regel om een FQDN toe te staan.

2. Maak een beveiligingsprofiel om uw beleid te groeperen en prioriteit te geven voor het filteren van webinhoud. Geef dit toegestane profiel een hogere prioriteit dan het geblokkeerde profiel. Als het geblokkeerde profiel bijvoorbeeld is ingesteld op prioriteit 500, stelt u het toegestane profiel in op 400.

3. Maak een beleid voor voorwaardelijke toegang om het beveiligingsprofiel toe te passen op de gebruikers die toegang nodig hebben tot de geblokkeerde FQDN.

4. Meld u aan bij uw testapparaat en probeer toegang te krijgen tot de toegestane FQDN. Het kan tot 90 minuten duren voordat een nieuw toegewezen beleid van kracht wordt. Het kan tot 20 minuten duren voordat wijzigingen in een bestaand beleid van kracht worden.

5. Bekijk de activiteit in het verkeerslogboek om te bevestigen dat vermeldingen voor uw doel-FQDN worden weergegeven als toegestaan. Gebruik indien nodig filter Toevoegen om resultaten te filteren op user principal name voor uw testgebruiker.

Het microsoft-profiel voor het doorsturen van verkeer inschakelen en beheren

De mogelijkheid om Microsoft-verkeer te beveiligen is een belangrijke functie van Microsoft Entra Internet Access. U kunt snel een automatisch geconfigureerd Microsoft-verkeersprofiel implementeren met regels voor het doorsturen van verkeer. Vervolgens kunt u deze regels gebruiken om Microsoft-verkeer (zoals SharePoint Online en Exchange Online) en verificatieverkeer te beveiligen en te bewaken voor elke toepassing die is geïntegreerd met Microsoft Entra ID. Er zijn bekende beperkingen.

1. Schakel het Microsoft-verkeersprofiel in.

2. Gebruikers en groepen toewijzen aan het profiel.

3. Configureer indien gewenst beleid voor voorwaardelijke toegang om compatibele netwerkcontroles af te dwingen.

4. Meld u aan bij uw testapparaat en probeer toegang te krijgen tot SharePoint Online en Exchange Online.

5. Bekijk de activiteit in het verkeerslogboek om te bevestigen dat globale beveiligde toegang is ingeschakeld. Controleer in de aanmeldingslogboeken dat Via Global Secure Access wordt weergegeven als Ja.

Universele tenantbeperkingen implementeren

Met universele tenantbeperkingen kunt u de toegang tot externe tenants beheren door onbeheerde identiteiten op door het bedrijf beheerde apparaten en netwerken. U kunt deze beperking afdwingen met Entra ID-tenantbeperkingen door al het verkeer naar een externe tenant te blokkeren of toe te staan.

In dit scenario moet u meestal al uw verkeer verzenden via een bedrijfsnetwerkproxy. Met Universal Tenant Restrictions kunnen organisaties tenantbeperkingen beleid toepassen op gebruikers op elk apparaat met de Global Secure Access-client, zonder vpn te implementeren en verkeer via een specifieke proxy te verzenden, waardoor de netwerklatentie wordt verminderd.

Nadat u het Microsoft-verkeersprofiel hebt ingeschakeld, volgt u deze stappen om universele tenantbeperkingen te implementeren:

1. Tenantbeperkingen instellen v2. Als uw organisatie momenteel tenantbeperkingen v1 gebruikt, raadpleegt u de handleiding voor het migreren naar tenantbeperkingen v2.

2. Schakel global Secure Access-signalering in voor tenantbeperkingen.

3. Meld u aan bij uw testapparaat en gebruik een privébrowservenster om u aan te melden bij elke toepassing die wordt beveiligd met Entra-id in een andere tenant, met behulp van de referenties van het lidaccount van die tenant.

4. Valideer Universele tenant-beperkingen.

Problemen oplossen

Als u problemen ondervindt met uw PoC, kunnen deze artikelen u helpen bij het oplossen van problemen, logboekregistratie en bewaking:

• Veelgestelde vragen Global Secure Access
• Problemen met het installeren van de Microsoft Entra-privénetwerkconnector oplossen
• Problemen met de Global Secure Access-client oplossen: diagnostiek
• Problemen met de Global Secure Access-client oplossen: tabblad Gezondheidscontrole
• Problemen met een gedistribueerd bestandssysteem oplossen met global Secure Access
• Global Secure Access-logboeken en monitoring
• Werkmappen gebruiken met global Secure Access

Verwante inhoud

• Inleiding tot de richtlijnen voor het proof-of-concept van Microsoft Global Secure Access
• Privétoegang van Microsoft Entra configureren
• Inleiding tot de implementatiehandleiding voor Microsoft Global Secure Access
• Implementatiehandleiding voor Microsoft Global Secure Access voor Microsoft Entra Private Access
• Microsoft Global Secure Access-implementatiehandleiding voor Microsoft Entra Internet Access
• implementatiehandleiding voor Microsoft Global Secure Access voor Microsoft-verkeer