Het profiel voor het doorsturen van internettoegangsverkeer beheren

Het profiel voor het doorsturen van internettoegangsverkeer routeert internetverkeer via de Global Secure Access-client. Als u dit profiel voor het doorsturen van verkeer inschakelt, kunnen externe werknemers op een gecontroleerde en veilige manier verbinding maken met internet. Met de functies van Microsoft Entra-internettoegang kunt u bepalen welke internetsites toegankelijk zijn. U kunt ook configureren welk verkeer moet worden uitgesloten van Global Secure Access op basis van IP-adressen, IP-adresbereiken, IP-subnetten en FQDN's (Fully Qualified Domain Names).

Voorwaarden

Als u het doorstuurprofiel voor internettoegang voor uw tenant wilt inschakelen, moet u het volgende hebben:

• Een globale rol Secure Access Administrator in Microsoft Entra ID.
• Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

Beleid voor het doorsturen van internetverkeer

Bekijk het beleid dat betrekking heeft op het doorsturen van internetverkeer. Er zijn standaard drie beleidsregels. Ga als volgende te werk om ze weer te geven:

1. Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.
2. Blader naar global Secure Access>Connect>Traffic Forwarding.
3. Selecteer de koppeling Weergave in de sectie Internet Access-beleid.

Het standaardbeleid voor internettoegang omvat:

• Aangepaste bypass bevat door de gebruiker gedefinieerde verkeer/eindpunten die zijn uitgesloten van het internetverkeersprofiel. Met andere woorden, u definieert het verkeer dat het profiel niet mag verkrijgen. U kunt doorgaans verkeer uitsluiten, zoals uw VPN-eindpunten, privé-IP-bereiken en squat-IP-bereiken, en eindpunten die gebruikmaken van een netwerktoegangsbeheerlijst (ACL).
• Standaard bypass bevat vooraf gedefinieerd verkeer dat niet wordt verkregen door het internetverkeersprofiel. Bijvoorbeeld privé-IP-bereiken. U kunt geen regels in dit beleid wijzigen.
• Standaard ophalen definieert verkeer dat wordt verkregen door het internetverkeersprofiel. Momenteel is het al het internetverkeer op poorten 80, 443 via Transmission Control Protocol (TCP). Het beleid heeft de laagste prioriteit nadat alle bypassregels zijn geëvalueerd. U kunt geen regels in dit beleid wijzigen.

Voorbeeld van het toevoegen van een aangepast bypass-beleid:

1. Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.
2. Blader naar global Secure Access>Connect>Traffic Forwarding.
3. Selecteer in het gebied Voor het doorsturen van internetverkeer in de sectie InternetToegangsbeleid de koppeling Weergeven
4. Vouw het beleid voor aangepaste bypass uit.
5. Selecteer Regel toevoegen.
6. Kies een doeltype, zoals Fully Qualified Domain Name (FQDN). U kunt meerdere door komma's gescheiden doelwaarden toevoegen. Voeg geen witruimte toe. Bijvoorbeeld, contoso.com,fabrikam.com of 10.0.0.1/32,10.0.0.2/32. Poorten, protocollen en acties zijn altijd opgelost en kunnen niet worden gewijzigd.
7. Voer een geldige bestemming in.
8. Selecteer Opslaan.

Notitie

Verkeer wordt van boven naar beneden geëvalueerd, wat betekent dat het alleen wordt verkregen door het internetverkeersprofiel als het niet wordt omzeild in een van de bypassregels.

Gebruikers- en groepstoewijzingen

U kunt het internettoegangsprofiel beperken tot specifieke gebruikers en groepen.

Zie Gebruikers en groepen toewijzen en beheren met doorstuurprofielen voor verkeer voor meer informatie over gebruikers- en groepstoewijzing.

Het profiel voor het doorsturen van internetverkeer inschakelen

Het Microsoft Entra-internettoegang doorstuurprofiel inschakelen om gebruikersverkeer door te sturen:

1. Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.
2. Blader naar global Secure Access>Connect>Traffic Forwarding.
3. Stel beleidsregels in voor het verkeersprofiel. Stel bijvoorbeeld een aangepaste bypassregel in om specifiek verkeer uit te sluiten.
4. Schakel het profiel voor internettoegang in. Internetverkeer begint met het doorsturen van alle clientapparaten naar de SSE-proxy (Security Service Edge) van Microsoft, waar u gedetailleerd beveiligingsbeleid configureert.

   Notitie

   Wanneer u het doorstuurprofiel voor internettoegang inschakelt, moet u ook het microsoft-profiel voor het doorsturen van verkeer inschakelen voor optimale routering van Microsoft-verkeer. U schakelt het Microsoft-verkeersprofiel in door het selectievakje profiel in te schakelen op dezelfde pagina waar u het doorsturen van internetverkeer inschakelt. Zie Het Microsoft-profiel voor het doorsturen van verkeer inschakelen en beheren voor meer informatie over het Microsoft-profiel voor het doorsturen van verkeer.

Het profiel voor het doorsturen van internetverkeer valideren

Het duurt 10-20 minuten voordat een regel die is toegevoegd aan een beleid, wordt weergegeven in de client op de computer van een gebruiker. Als de regel na deze tijd niet wordt weergegeven, schakelt u het doorsturen van internetverkeer uit en schakelt u deze vervolgens opnieuw in.

Het profiel voor het doorsturen van verkeer, beleid voor het doorsturen van verkeer en regels valideren:

1. Klik in het systeemvak met de rechtermuisknop op de Global Secure Access-client en selecteer Geavanceerde diagnostische gegevens.
2. Open een webbrowser en navigeer naar een bestemming in het interne netwerk. Controleer of verkeer niet wordt vastgelegd.
3. Open een webbrowser en navigeer naar een bestemming die wordt overgeslagen. Controleer of verkeer niet wordt vastgelegd.
4. Open een webbrowser en navigeer naar een openbare bestemming die is verkregen door het profiel. Controleer of het verkeer wordt verkregen via het internetkanaal.

Volgende stappen

• Meer informatie over het doorsturen van verkeer
• Global Secure Access-webinhoud filteren configureren
• De Global Secure Access Client installeren en configureren op apparaten van eindgebruikers