Delen via

Global Secure Access-webinhoud filteren configureren

  • Artikel

Met webinhoud filteren kunt u gedetailleerde besturingselementen voor internettoegang voor uw organisatie implementeren op basis van websitecategorisatie.

de eerste SWG-functies (Secure Web Gateway) van Microsoft Entra-internettoegang bevatten filteren van webinhoud op basis van domeinnamen. Microsoft integreert gedetailleerd filterbeleid met Microsoft Entra ID en voorwaardelijke toegang van Microsoft Entra, wat resulteert in het filteren van beleidsregels die gebruikersbewust, contextbewust en eenvoudig te beheren zijn.

De functie webfiltering is momenteel beperkt tot op gebruikers- en contextbewustE FQDN-gebaseerde webcategoriefilters en FQDN-filtering.

Voorwaarden

  • Beheerders die werken met globale beveiligde toegangsfuncties , moeten een of meer van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren.

    • De rol Globale Secure Access-beheerder voor het beheren van de globale beveiligingstoegangsfuncties.
    • De beheerder voor voorwaardelijke toegang om beleid voor voorwaardelijke toegang te maken en ermee te communiceren.

  • Voltooi de handleiding Aan de slag met Global Secure Access .

  • Installeer de Global Secure Access-client op apparaten van eindgebruikers.

  • U moet DNS (Domain Name System) uitschakelen via HTTPS (Secure DNS) om netwerkverkeer te tunnelen. Gebruik de regels van de FQDN's (Fully Qualified Domain Names) in het profiel voor het doorsturen van verkeer. Zie De DNS-client configureren voor ondersteuning van DoH voor meer informatie.

  • Schakel de ingebouwde DNS-client uit in Chrome en Microsoft Edge.

  • UDP-verkeer (User Datagram Protocol) (dat wil gezegd QUIC) wordt niet ondersteund in de huidige preview van Internet Access. De meeste websites ondersteunen terugval naar Transmission Control Protocol (TCP) wanneer QUIC niet tot stand kan worden gebracht. Voor een verbeterde gebruikerservaring kunt u een Windows Firewall-regel implementeren die uitgaande UDP 443 blokkeert: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.

  • Bekijk concepten voor het filteren van webinhoud. Zie het filteren van webinhoud voor meer informatie.

Stappen op hoog niveau

Er zijn verschillende stappen voor het configureren van filteren van webinhoud. Noteer waar u beleid voor voorwaardelijke toegang moet configureren.

  1. Schakel doorsturen van internetverkeer in.
  2. Een filterbeleid voor webinhoud maken.
  3. Maak een beveiligingsprofiel.
  4. Koppel het beveiligingsprofiel aan een beleid voor voorwaardelijke toegang.
  5. Gebruikers of groepen toewijzen aan het profiel voor het doorsturen van verkeer.

Doorsturen van internetverkeer inschakelen

De eerste stap is het inschakelen van het doorsturen van internetverkeer. Zie Het profiel voor doorsturen van internettoegang beheren voor meer informatie over het profiel en hoe u dit inschakelt.

Een filterbeleid voor webinhoud maken

  1. Blader naar global Secure Access>Secure>Web Content Filtering-beleid.
  2. Selecteer Beleid maken.
  3. Voer een naam en beschrijving in voor het beleid en selecteer Volgende.
  4. Selecteer Regel toevoegen.
  5. Voer een naam in, selecteer een webcategorie of een geldige FQDN en selecteer vervolgens Toevoegen.
    • Geldige FQDN's in deze functie kunnen ook jokertekens bevatten met behulp van het sterretje *.
  6. Selecteer Volgende om het beleid te controleren en selecteer vervolgens Beleid maken.

Belangrijk

Het kan een uur duren voordat wijzigingen in het filteren van webinhoud zijn geïmplementeerd.

Een beveiligingsprofiel maken

Beveiligingsprofielen zijn een groepering van filterbeleidsregels. U kunt beveiligingsprofielen toewijzen of koppelen met beleid voor voorwaardelijke toegang van Microsoft Entra. Eén beveiligingsprofiel kan meerdere filterbeleidsregels bevatten. En één beveiligingsprofiel kan worden gekoppeld aan meerdere beleidsregels voor voorwaardelijke toegang.

In deze stap maakt u een beveiligingsprofiel voor het groepeerfilterbeleid. Vervolgens wijst u de beveiligingsprofielen toe of koppelt u deze aan een beleid voor voorwaardelijke toegang om gebruikers of contextbewust te maken.

Notitie

Zie Het bouwen van beleid voor voorwaardelijke toegang voor Microsoft Entra voor meer informatie over het maken van beleid voor voorwaardelijke toegang.

  1. Blader naar globale Secure Access>Secure>Security-profielen.
  2. Selecteer Profiel maken.
  3. Voer een naam en beschrijving in voor het beleid en selecteer Volgende.
  4. Selecteer Een beleid koppelen en selecteer vervolgens Bestaand beleid.
  5. Selecteer het filterbeleid voor webinhoud dat u al hebt gemaakt en selecteer Toevoegen.
  6. Selecteer Volgende om het beveiligingsprofiel en het bijbehorende beleid te controleren.
  7. Selecteer Een profiel maken.
  8. Selecteer Vernieuwen om de profielpagina te vernieuwen en het nieuwe profiel weer te geven.

Maak een beleid voor voorwaardelijke toegang voor eindgebruikers of groepen en lever uw beveiligingsprofiel via sessiebesturingselementen voor voorwaardelijke toegang. Voorwaardelijke toegang is het leveringsmechanisme voor gebruikers- en contextbewustzijn voor internettoegangsbeleid. Zie Voorwaardelijke toegang: Sessie voor meer informatie over sessiebesturingselementen.

  1. Blader naar voorwaardelijke toegang voor identiteitsbeveiliging>>.
  2. Selecteer Nieuw beleid maken.
  3. Voer een naam in en wijs een gebruiker of groep toe.
  4. Selecteer Doelbronnen en Globale beveiligde toegang in de vervolgkeuzelijst om in te stellen waarop het beleid van toepassing is.
  5. Selecteer internetverkeer in de vervolgkeuzelijst om het verkeersprofiel in te stellen waarvoor dit beleid van toepassing is.
  6. Selecteer Sessiegebruik>globaal beveiligingsprofiel voor beveiligde toegang en kies een beveiligingsprofiel.
  7. Selecteer Selecteren.
  8. Zorg ervoor dat Aan is geselecteerd in de sectie Beleid inschakelen.
  9. Selecteer Maken.

Gebruikers- en groepstoewijzingen

U kunt het internettoegangsprofiel beperken tot specifieke gebruikers en groepen. Zie Gebruikers en groepen toewijzen en beheren met doorstuurprofielen voor verkeer voor meer informatie over gebruikers- en groepstoewijzing.

Afdwingen van beleid voor eindgebruikers controleren

Gebruik een Windows-apparaat waarop de Global Secure Access-client is geïnstalleerd. Meld u aan als een gebruiker waaraan het profiel voor het verkrijgen van internetverkeer is toegewezen. Test of navigeren naar websites is toegestaan of beperkt zoals verwacht.

  1. Klik met de rechtermuisknop op het pictogram van de Global Secure Access-client in het taakbeheervak en open het profiel Advanced Diagnostics>Forwarding. Zorg ervoor dat de regels voor het verkrijgen van internettoegang aanwezig zijn. Controleer ook of de hostnaamverwerving en stromen voor het internetverkeer van de gebruikers worden verkregen tijdens het bladeren.

  2. Navigeer naar toegestane en geblokkeerde sites en controleer of ze zich goed gedragen. Blader naar algemene logboeken van Secure Access>Monitor-verkeer> om te controleren of verkeer op de juiste manier is geblokkeerd of toegestaan.

De huidige blokkeringservaring voor alle browsers bevat een fout in de browser zonder tekst voor HTTP-verkeer en een browserfout 'Verbinding opnieuw instellen' voor HTTPS-verkeer.

Schermopname van een fout in de browser zonder tekst voor HTTP-verkeer.

Schermopname van de browserfout 'Verbinding opnieuw instellen' voor HTTPS-verkeer.

Notitie

Configuratiewijzigingen in de algemene secure access-ervaring met betrekking tot het filteren van webinhoud worden doorgaans in minder dan 5 minuten van kracht. Configuratiewijzigingen in voorwaardelijke toegang met betrekking tot het filteren van webinhoud worden ongeveer één uur van kracht.

Volgende stappen