Delen via


Meer informatie over co-existentie van Security Service Edge (SSE) met Microsoft en Cisco

Maak gebruik van de SSE-oplossingen (Security Service Edge) van Microsoft en Cisco in een geïntegreerde omgeving om gebruik te maken van een robuuste set mogelijkheden van beide platforms en om uw SASE-traject (Secure Access Service Edge) uit te breiden. De synergie tussen deze platformen biedt klanten verbeterde beveiliging en naadloze connectiviteit.

Dit document bevat stappen om deze oplossingen naast elkaar te implementeren, met name Microsoft Entra-privétoegang (met Privé-DNS functie ingeschakeld) en Cisco Umbrella voor internettoegang en BEVEILIGING op DNS-laag.

Overzicht van configuratie

In Microsoft Entra schakelt u het profiel voor het doorsturen van privétoegangsverkeer in en schakelt u de profielen voor het doorsturen van internettoegang en Microsoft 365-verkeer uit. U kunt ook de Privé-DNS functie van Privétoegang inschakelen en configureren. In Cisco legt u internettoegangsverkeer vast.

Notitie

De clients moeten worden geïnstalleerd op een apparaat dat is gekoppeld aan Windows 10 of Windows 11 Microsoft Entra of op een hybride apparaat van Microsoft Entra.

configuratie van Microsoft Entra-privétoegang

Schakel het Microsoft Entra-privétoegang profiel voor het doorsturen van verkeer in voor uw Microsoft Entra-tenant. Zie Global Secure Access Traffic Forwarding-profielen voor meer informatie over het in- en uitschakelen van profielen.

Installeer en configureer de Global Secure Access-client op apparaten van eindgebruikers. Zie Global Secure Access-clients voor meer informatie over clients. Zie Global Secure Access-client voor Windows voor meer informatie over het installeren van de Windows-client.

Installeer en configureer de microsoft Entra private network connector. Zie Connectors configureren voor meer informatie over het installeren en configureren van de connector.

Notitie

Connectorversie v1.5.3829.0 of hoger is vereist voor Privé-DNS.

Configureer Snelle toegang tot uw persoonlijke resources en stel Privé-DNS- en DNS-achtervoegsels in. Zie Snelle toegang configureren voor meer informatie over het configureren van Snelle toegang.

Cisco-configuratie

Voeg domeinachtervoegsels toe van Microsoft Entra Quick Access en de FQDN van de Microsoft Entra-service in Domeinbeheer in de lijst met interne domeinen om De Umbrella DNS van Cisco te omzeilen. Voeg FQDN en IP-adressen van de Microsoft Entra-service toe in domeinbeheer in de lijst met externe domeinen om Cisco's Secure Web Gateway (SWG) te omzeilen.

  1. Ga vanuit de Cisco Umbrella-portal naar Deployments > Configuration > Domain Management.
  2. Voeg deze in de sectie Interne domeinen toe en sla deze op.
    • *.globalsecureaccess.microsoft.com

      Notitie

      Cisco Umbrella heeft een impliciet jokerteken, dus u kunt gebruiken globalsecureaccess.microsoft.com.

    • <quickaccessapplicationid>.globalsecureaccess.local

      Notitie

      quickaccessapplicationid is de toepassings-id van de app voor snelle toegang die u hebt geconfigureerd.

    • DNS-achtervoegsels die u hebt geconfigureerd in de toepassing Snelle toegang.
  3. Voeg in de sectie Externe domeinen en IP-adressen deze FQDN en IP's toe en sla deze op.
    • *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16

      Notitie

      Cisco Umbrella heeft een impliciet jokerteken, zodat u deze kunt gebruiken globalsecureaccess.microsoft.com voor de FQDN.

  4. Start Cisco Umbrella en Cisco SWG-clientservices opnieuw op of start de computer waarop de clients zijn geïnstalleerd.

Nadat beide clients zijn geïnstalleerd en naast elkaar worden uitgevoerd en configuraties van beheerportals zijn voltooid, gaat u naar het systeemvak om te controleren of Global Secure Access- en Cisco-clients zijn ingeschakeld.

Controleer de configuratie voor de Global Secure Access-client.

  1. Klik met de rechtermuisknop op het profiel Advanced Diagnostics > Forwarding van de client voor globale beveiligde toegang > en controleer of alleen regels voor privétoegang op deze client worden toegepast.
  2. Zorg ervoor dat er geen controles mislukken in De statuscontrole van Geavanceerde diagnostische > gegevens.

Verkeersstroom testen

SSE-configuratie van Microsoft: schakel Microsoft Entra-privétoegang in, schakel internettoegang en Microsoft 365-profielen voor het doorsturen van verkeer uit.

Cisco SSE-configuratie: internettoegangsverkeer wordt vastgelegd. Het privétoegangsverkeer wordt uitgesloten.

  1. Klik in het systeemvak met de rechtermuisknop op het pictogram van de Global Secure Access-client en selecteer Geavanceerde diagnostische gegevens. Selecteer het tabblad Verkeer en selecteer Verzamelen starten.
  2. Toegang tot privébronnen die u hebt geconfigureerd met Entra Private Access, zoals SMB-bestandsshare. Openen \\YourFileServer.yourdomain.com met behulp van het menu Start/Uitvoeren vanuit een Verkenner-venster.
  3. Klik in het systeemvak met de rechtermuisknop op de Global Secure Access-client en selecteer Geavanceerde diagnostische gegevens. Selecteer Het verzamelen stoppen in het dialoogvenster Netwerkverkeer.
  4. Schuif in het dialoogvenster Netwerkverkeer naar het verkeer dat is gegenereerd om te controleren of privétoegangsverkeer is verwerkt door de Global Secure Access-client.
  5. U kunt ook controleren of het verkeer wordt vastgelegd door Microsoft Entra door het verkeer in de global Secure Access-verkeerslogboeken te valideren vanuit het Microsoft Entra-beheercentrum in globale logboeken van Secure Access > Monitor > Traffic.
  6. Open alle websites van de browsers en valideer dat internetverkeer ontbreekt in algemene secure access-verkeerslogboeken en alleen vastgelegd in Cisco Umbrella.

Volgende stappen