Meer informatie over co-existentie van Security Service Edge (SSE) met Microsoft en Zscaler

In het snel veranderende digitale landschap van vandaag vereisen organisaties robuuste en geïntegreerde oplossingen om veilige en naadloze connectiviteit te garanderen. Microsoft en Zscaler bieden aanvullende SASE-mogelijkheden (Secure Access Service Edge) die, indien geïntegreerd, verbeterde beveiliging en connectiviteit bieden voor diverse toegangsscenario's.

In deze handleiding wordt beschreven hoe u Microsoft Entra-oplossingen configureert en implementeert naast de SSE-aanbiedingen (Security Service Edge) van Zscaler. Door de sterke punten van beide platforms te gebruiken, kunt u het beveiligingspostuur van uw organisatie optimaliseren met behoud van krachtige connectiviteit voor privétoepassingen, Microsoft 365-verkeer en internettoegang.

1. Microsoft Entra Private Access met Zscaler Internettoegang

   In dit scenario verwerkt Global Secure Access privétoepassingsverkeer. Zscaler legt alleen internetverkeer vast. Daarom is de Zscaler Private Access-module uitgeschakeld vanuit de Zscaler-portal.

2. Microsoft Entra Private Access met Zscaler Private Access en Zscaler Internet Access

   In dit scenario verwerken beide clients verkeer voor afzonderlijke privétoepassingen. Global Secure Access verwerkt privétoepassingen in Microsoft Entra Private Access. Privétoepassingen in Zscaler maken gebruik van de Zscaler Private Access-module. Zscaler Internet Access verwerkt internetverkeer.

3. Microsoft Entra Microsoft Access met Zscaler Private Access en Zscaler Internet Access

   In dit scenario verwerkt Global Secure Access al het Microsoft 365-verkeer. Zscaler Private Access verwerkt privétoepassingsverkeer en Zscaler Internet Access verwerkt internetverkeer.

4. Microsoft Entra Internet Access en Microsoft Entra Microsoft Access met Zscaler Private Access

   In dit scenario verwerkt Global Secure Access internet- en Microsoft 365-verkeer. Zscaler legt alleen privétoepassingsverkeer vast. Daarom is de Zscaler Internet Access-module uitgeschakeld vanuit de Zscaler-portal.

Vereiste voorwaarden

Als u Microsoft en Zscaler wilt configureren voor een geïntegreerde SASE-oplossing, moet u eerst Microsoft Entra Internet Access en Microsoft Entra Private Access instellen. Configureer vervolgens Zscaler Private Access en Zscaler Internet Access. Zorg er ten slotte voor dat u de vereiste FQDN- en IP-bypasss tot stand brengt om een soepele integratie tussen de twee platforms te garanderen.

• Stel Microsoft Entra Internet Access en Microsoft Entra Private Access in. Deze producten vormen de global Secure Access-oplossing.
• Zscaler Private Access en Internettoegang instellen
• Configureer de Global Secure Access FQDN en IP-bypasses

Microsoft Global Secure Access

Als u Microsoft Entra Global Secure Access wilt instellen en alle scenario's in deze documentatie wilt testen:

• Schakel verschillende profielen voor het doorsturen van verkeer van Microsoft Global Secure Access in en uit voor uw Microsoft Entra-tenant. Zie Global Secure Access Traffic Forwarding-profielen voor meer informatie over het in- en uitschakelen van profielen.
• Installeer en configureer de Microsoft Entra privé-netwerkconnector. Zie Connectors configureren voor meer informatie over het installeren en configureren van de connector.

  Opmerking

  Privénetwerkconnectors zijn vereist voor Microsoft Entra Private Access-toepassingen.

• Configureer Snelle toegang tot uw persoonlijke resources en stel Private Domain Name System (DNS) en DNS-achtervoegsels in. Zie Snelle toegang configureren voor meer informatie over het configureren van Snelle toegang.
• Installeer en configureer de Global Secure Access-client op apparaten van eindgebruikers. Voor meer informatie over cliënten, zie Global Secure Access-cliënten. Zie Global Secure Access-client voor Windows voor meer informatie over het installeren van de Windows-client. Zie Global Secure Access Client voor macOS voor macOS voor macOS.

Zscaler Private Access en Internettoegang

Als u Zscaler Private Access en Zscaler Internet Access wilt integreren met Microsoft Global Secure Access, moet u de volgende vereisten voltooien. Deze stappen zorgen voor een soepele integratie, beter verkeersbeheer en verbeterde beveiliging.

• Configureer Zscaler Internet Access. Zie de stapsgewijze configuratiehandleiding voor ZIA voor meer informatie over het configureren van Zscaler.
• Configureer Zscaler Private Access. Zie de stapsgewijze configuratiehandleiding voor ZPA voor meer informatie over het configureren van Zscaler.
• Doorstuurprofielen voor Zscaler Client Connector instellen en configureren. Zie Doorstuurprofielen configureren voor Zscaler-clientconnector voor meer informatie over het configureren van Zscaler.
• Zscaler Client Connector-app-profielen instellen en configureren met Global Secure Access-bypasss. Voor meer informatie over het configureren van Zscaler, zie Zscaler Client Connector App Profiles configureren.

FQDN's en IP-adressen van de Global Secure Access-service worden omzeild

Configureer het Zscaler Client Connector-app-profiel voor gebruik met FQDN's (Fully Qualified Domain Names) en IP-adressen (Fully Qualified Domain Names) van microsoft Entra-service.

Deze vermeldingen moeten aanwezig zijn in de app-profielen voor elk scenario:

• IP's: 150.171.15.0/24, 150.171.18.0/24, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, , 13.107.233.0/24151.206.0.0/166.6.0.0/16
• FQDN's: internet.edgediagnostic.globalsecureaccess.microsoft.com, , m365.edgediagnostic.globalsecureaccess.microsoft.com, private.edgediagnostic.globalsecureaccess.microsoft.com, aps.globalsecureaccess.microsoft.com, auth.edgediagnostic.globalsecureaccess.microsoft.com, <tenantid>.internet.client.globalsecureaccess.microsoft.com, , <tenantid>.m365.client.globalsecureaccess.microsoft.com<tenantid>.private.client.globalsecureaccess.microsoft.com<tenantid>.auth.client.globalsecureaccess.microsoft.com<tenantid>.private-backup.client.globalsecureaccess.microsoft.com<tenantid>.internet-backup.client.globalsecureaccess.microsoft.com<tenantid>.m365-backup.client.globalsecureaccess.microsoft.com<tenantid>.auth-backup.client.globalsecureaccess.microsoft.com
• Installeer en configureer Zscaler Client Connector-software.

Microsoft Entra Private Access met Zscaler Internettoegang

In dit scenario verwerkt Microsoft Entra Private Access privétoepassingsverkeer, terwijl Zscaler Internet Access internetverkeer beheert. De Zscaler Private Access-module is uitgeschakeld in de Zscaler-portal. Als u Microsoft Entra Private Access wilt configureren, moet u verschillende stappen uitvoeren. Schakel eerst het doorstuurprofiel in. Installeer vervolgens de Private Network Connector. Daarna stelt u Snelle toegang in en configureert u privé-DNS. Installeer ten slotte de Global Secure Access-client. Voor Zscaler Internet Access omvat de configuratie het maken van een doorstuurprofiel en app-profiel, het toevoegen van bypassregels voor Microsoft Entra-services en het installeren van de Zscaler-clientconnector. Ten slotte worden de configuraties geverifieerd en wordt de verkeersstroom getest om ervoor te zorgen dat privé- en internetverkeer correct wordt verwerkt door de respectieve oplossingen.

configuratie van Microsoft Entra-privétoegang

Voor dit scenario moet u het volgende doen:

• Schakel het profiel voor het doorsturen van Microsoft Entra Private Access in.
• Installeer een privénetwerkconnector voor Microsoft Entra Private Access.
• Snelle toegang configureren en privé-DNS instellen.
• Installeer en configureer de Global Secure Access-client voor Windows of macOS.

Zscaler Internet Access-configuratie

Uitvoeren in de Zscaler-portal:

• Zscaler Internet Access instellen en configureren.
• Maak een doorstuurprofiel.
• Maak een app-profiel.
• De Zscaler Client Connector installeren

Doorstuurprofiel toevoegen vanuit de Client-Connector Portal.

1. Navigeer naar Zscaler Client Connector-beheerportal>Beheer>Doorstuurprofiel>Doorstuurprofiel toevoegen.
2. Voeg een profielnaam toe, zoals ZIA Only.
3. Selecteer Pakketfilter-basis bij Tunnelstuurprogrammatype.
4. Selecteer de actie Doorstuurprofiel als Tunnel en selecteer tunnelversie. Bijvoorbeeld Z-Tunnel 2.0
5. Schuif omlaag naar de actie Profiel doorsturen voor ZPA.
6. Selecteer Geen voor alle opties in deze sectie.

App-profiel toevoegen vanuit de clientconnectorportal:

1. Navigeer naar Zscaler Client Connector beheerportal>App-profielen>Windows (of macOS)>Windows-beleid toevoegen (of macOS).
2. Voeg naam toe, stel regelvolgorde in, zoals 1, selecteer Inschakelen, selecteer Gebruiker(s) om dit beleid toe te passen en selecteer het doorstuurprofiel. Bijvoorbeeld, selecteer Alleen ZIA.
3. Schuif omlaag en voeg de IP-adressen (Microsoft SSE-service Internet Protocol) en FQDN's (Fully Qualified Domain Names) toe in de sectie FQDN's en IP-adressen van de Global Secure Access-service, in het veld HOSTNAME OF IP ADDRESS BYPASS FOR VPN GATEWAY.

Ga naar het systeemvak om te controleren of Global Secure Access- en Zscaler-clients zijn ingeschakeld.

Configuraties voor clients controleren:

1. Klik met de rechtermuisknop op global Secure Access Client>Advanced Diagnostics>Forwarding Profile en controleer of privétoegang en privé-DNS-regels op deze client worden toegepast.
2. Navigeer naar Geavanceerde statuscontrole voor diagnostische gegevens>en zorg ervoor dat er geen controles mislukken.
3. Klik met de rechtermuisknop op Zscaler Client>> Controleer of app-beleid overeenkomt met configuraties in de eerdere stappen. Controleer of het actueel is of werk het bij.
4. Navigeer naar Zscaler Client>Internet Security. Controleer of de servicestatus is ON en of de authenticatiestatus is Authenticated.
5. Navigeer naar Zscaler Client>Private Access. Controleer dat de servicestatusDISABLED is.

Opmerking

Zie Problemen met de diagnostiek van Global Secure Access-client - Statuscontrole oplossen voor informatie over het verhelpen van statuscontrolefouten.

Verkeersstroom testen:

1. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer Geavanceerde diagnostische gegevens. Selecteer het tabblad Verkeer en selecteer Verzamelen starten.
2. Toegang tot deze websites vanuit de browser: bing.com, salesforce.com, Instagram.com.
3. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer het tabblad Advanced Diagnostics>Traffic .
4. Schuif om te zien dat de Global Secure Access-client geen verkeer van deze websites vastlegt.
5. Meld u aan bij het Microsoft Entra-beheercentrum en navigeer naar Global Secure Access>Monitor>Verkeerslogboeken. Valideer of verkeer met betrekking tot deze sites ontbreekt in de Global Secure Access-verkeerslogboeken.
6. Meld u aan bij de ZIA-beheerportal (Zscaler Internet Access) en blader naar >> Controleer of verkeer met betrekking tot deze sites aanwezig is in Zscaler-logboeken.
7. Toegang tot uw persoonlijke toepassing die is ingesteld in Microsoft Entra Private Access. Open bijvoorbeeld een bestandsshare via Server Message Block (SMB).
8. Meld u aan bij het Microsoft Entra-beheercentrum en navigeer naar Global Secure Access>Monitor>Verkeerslogboeken.
9. Controleer of verkeer met betrekking tot bestandsdeling wordt vastgelegd in de Global Secure Access-verkeerlogboeken.
10. Meld u aan bij de ZIA-beheerportal (Zscaler Internet Access) en blader naar >> Controleer of verkeer met betrekking tot de privétoepassing niet aanwezig is in de dashboard- of verkeerslogboeken.
11. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer Geavanceerde diagnostische gegevens. Selecteer Het verzamelen stoppen in het dialoogvenster Verkeer.
12. Schuif om te bevestigen dat de Global Secure Access-client alleen privétoepassingsverkeer heeft verwerkt.

Microsoft Entra Private Access met Zscaler Private Access en Zscaler Internet Access

In dit scenario verwerken beide clients verkeer voor afzonderlijke privétoepassingen. Global Secure Access verwerkt privétoepassingen in Microsoft Entra Private Access. Privétoepassingen in Zscaler maken gebruik van de Zscaler Private Access-module. Zscaler Internet Access verwerkt internetverkeer.

configuratie van Microsoft Entra-privétoegang

Voor dit scenario moet u het volgende doen:

• Schakel het profiel voor het doorsturen van Microsoft Entra Private Access in.
• Installeer een privénetwerkconnector voor Microsoft Entra Private Access.
• Snelle toegang configureren en privé-DNS instellen.
• Installeer en configureer de Global Secure Access-client voor Windows of macOS.

Zscaler Private Access en Zscaler Internet Access-configuratie

Voer de stappen uit in de Zscaler-portal:

• Zowel Zscaler Internet Access als Zscaler Private Access instellen en configureren.
• Maak een doorstuurprofiel.
• Maak een app-profiel.
• Installeer de Zscaler Client Connector.

Doorstuurprofiel toevoegen vanuit de Client-Connector Portal.

1. Navigeer naar Zscaler Client Connector-beheerportal>Beheer>Doorstuurprofiel>Doorstuurprofiel toevoegen.
2. Voeg een profielnaam toe, zoals ZIA and ZPA.
3. Selecteer Pakketfilter-basis bij Tunnelstuurprogrammatype.
4. Stel de doorstuurprofiel-actie in op Tunnel en selecteer de tunnelversie. Bijvoorbeeld: Z-Tunnel 2.0.
5. Schuif omlaag naar de actie Profiel doorsturen voor ZPA.
6. Selecteer Tunnel voor alle opties in deze sectie.

App-profiel toevoegen vanuit de clientconnectorportal:

1. Navigeer naar Zscaler Client Connector beheerportal>App-profielen>Windows (of macOS)>Windows-beleid toevoegen (of macOS).
2. Voeg naam toe, stel regelvolgorde in, zoals 1, selecteer Inschakelen, selecteer Gebruiker(s) om dit beleid toe te passen en selecteer het doorstuurprofiel. Selecteer bijvoorbeeld ZIA en ZPA.
3. Schuif omlaag en voeg de IP-adressen (Microsoft SSE-service Internet Protocol) en FQDN's (Fully Qualified Domain Names) toe in de sectie FQDN's en IP-adressen van de Global Secure Access-service, in het veld HOSTNAME OF IP ADDRESS BYPASS FOR VPN GATEWAY.

Ga naar het systeemvak om te controleren of Global Secure Access- en Zscaler-clients zijn ingeschakeld.

Configuraties voor clients controleren:

1. Klik met de rechtermuisknop op global Secure Access Client>Advanced Diagnostics>Forwarding Profile en controleer of privétoegang en privé-DNS-regels op deze client worden toegepast.
2. Navigeer naar Geavanceerde statuscontrole voor diagnostische gegevens>en zorg ervoor dat er geen controles mislukken.
3. Klik met de rechtermuisknop op Zscaler Client>> Controleer of app-beleid overeenkomt met configuraties in de eerdere stappen. Controleer of het actueel is of werk het bij.
4. Navigeer naar Zscaler Client>Internet Security. Controleer of de servicestatus is ON en of de authenticatiestatus is Authenticated.
5. Navigeer naar Zscaler Client>Private Access. Controleer of de servicestatus is ON en of de authenticatiestatus is Authenticated.

Opmerking

Zie Problemen met de diagnostiek van Global Secure Access-client - Statuscontrole oplossen voor informatie over het verhelpen van statuscontrolefouten.

Verkeersstroom testen:

1. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer Geavanceerde diagnostische gegevens. Selecteer het tabblad Verkeer en selecteer Verzamelen starten.
2. Toegang tot deze websites vanuit de browser: bing.com, salesforce.com, Instagram.com.
3. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer het tabblad Advanced Diagnostics>Traffic .
4. Schuif om te zien dat de Global Secure Access-client geen verkeer van deze websites vastlegt.
5. Meld u aan bij het Microsoft Entra-beheercentrum en navigeer naar Global Secure Access>Monitor>Verkeerslogboeken. Valideer of verkeer met betrekking tot deze sites ontbreekt in de Global Secure Access-verkeerslogboeken.
6. Meld u aan bij de ZIA-beheerportal (Zscaler Internet Access) en blader naar >>
7. Controleer of verkeer met betrekking tot deze sites aanwezig is in Zscaler-logboeken.
8. Toegang tot uw persoonlijke toepassing die is ingesteld in Microsoft Entra Private Access. Open bijvoorbeeld een bestandsshare via SMB.
9. Toegang tot uw persoonlijke toepassing die is ingesteld in Zscaler Private Access. Open bijvoorbeeld een RDP-sessie naar een privéserver.
10. Meld u aan bij het Microsoft Entra-beheercentrum en navigeer naar Global Secure Access>Monitor>Verkeerslogboeken.
11. Controleer of verkeer met betrekking tot de privé-app van de SMB-bestandsshare is vastgelegd en dat verkeer dat is gerelateerd aan de RDP-sessie niet wordt vastgelegd in de logboeken van Global Secure Access-verkeer.
12. Meld u aan bij het Zscaler Private Access (ZPA) beheerportal en navigeer naar Analyses>Logboeken. Controleer of het verkeer dat verband houdt met de RDP-sessie aanwezig is en of het verkeer dat verband houdt met het SMB-bestandsshare niet in de Dashboard-logboeken of Diagnostische logboeken voorkomt.
13. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer Geavanceerde diagnostische gegevens. Selecteer Het verzamelen stoppen in het dialoogvenster Verkeer.
14. Schuif om te bevestigen dat de Global Secure Access-client privétoepassingsverkeer voor de SMB-bestandsshare heeft verwerkt en het RDP-sessieverkeer niet heeft verwerkt.

Microsoft Entra Microsoft Access met Zscaler Private Access en Zscaler Internet Access

In dit scenario verwerkt Global Secure Access al het Microsoft 365-verkeer. Zscaler Private Access verwerkt privétoepassingsverkeer en Zscaler Internet Access verwerkt internetverkeer.

Microsoft Entra, Microsoft Access

Voor dit scenario moet u het volgende doen:

• Schakel Microsoft Entra Microsoft Access Forwarding-profiel in.
• Installeer en configureer de Global Secure Access-client voor Windows of macOS.

Zscaler Private Access en Zscaler Internet Access

Uitvoeren in de Zscaler-portal:

• Zscaler Private Access instellen en configureren.
• Maak een doorstuurprofiel.
• Maak een app-profiel.
• Installeer de Zscaler Client Connector.

Doorstuurprofiel toevoegen vanuit de Client-Connector Portal.

1. Navigeer naar Zscaler Client Connector-beheerportal>Beheer>Doorstuurprofiel>Doorstuurprofiel toevoegen.
2. Voeg een profielnaam toe, zoals ZIA and ZPA.
3. Selecteer Pakketfilter-basis bij Tunnelstuurprogrammatype.
4. Stel de doorstuurprofiel-actie in op Tunnel en selecteer de tunnelversie. Bijvoorbeeld: Z-Tunnel 2.0.
5. Schuif omlaag naar de actie Profiel doorsturen voor ZPA.
6. Selecteer Tunnel voor alle opties in deze sectie.

App-profiel toevoegen vanuit de clientconnectorportal:

1. Navigeer naar Zscaler Client Connector beheerportal>App-profielen>Windows (of macOS)>Windows-beleid toevoegen (of macOS).
2. Voeg naam toe, stel regelvolgorde in, zoals 1, selecteer Inschakelen, selecteer Gebruiker(s) om dit beleid toe te passen en selecteer het doorstuurprofiel. Selecteer bijvoorbeeld ZIA en ZPA.
3. Schuif omlaag en voeg de IP-adressen (Microsoft SSE-service Internet Protocol) en FQDN's (Fully Qualified Domain Names) toe in de sectie FQDN's en IP-adressen van de Global Secure Access-service, in het veld HOSTNAME OF IP ADDRESS BYPASS FOR VPN GATEWAY.

Ga naar het systeemvak om te controleren of Global Secure Access- en Zscaler-clients zijn ingeschakeld.

Configuraties voor clients controleren:

1. Klik met de rechtermuisknop op global Secure Access Client>Advanced Diagnostics>Forwarding Profile en controleer of alleen Microsoft 365-regels zijn toegepast op deze client.
2. Navigeer naar Geavanceerde statuscontrole voor diagnostische gegevens>en zorg ervoor dat er geen controles mislukken.
3. Klik met de rechtermuisknop op Zscaler Client>> Controleer of app-beleid overeenkomt met configuraties in de eerdere stappen. Controleer of het actueel is of werk het bij.
4. Navigeer naar Zscaler Client>Internet Security. Controleer of de servicestatus is ON en of de authenticatiestatus is Authenticated.
5. Navigeer naar Zscaler Client>Private Access. Controleer of de servicestatus is ON en of de authenticatiestatus is Authenticated.

Opmerking

Zie Problemen met de diagnostiek van Global Secure Access-client - Statuscontrole oplossen voor informatie over het verhelpen van statuscontrolefouten.

Verkeersstroom testen:

1. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer Geavanceerde diagnostische gegevens. Selecteer het tabblad Verkeer en selecteer Verzamelen starten.
2. Toegang tot deze websites vanuit de browser: bing.com, salesforce.com, Instagram.com.
3. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer het tabblad Advanced Diagnostics>Traffic .
4. Schuif om te zien dat de Global Secure Access-client geen verkeer van deze websites vastlegt.
5. Meld u aan bij het Microsoft Entra-beheercentrum en navigeer naar Global Secure Access>Monitor>Verkeerslogboeken. Valideer of verkeer met betrekking tot deze sites ontbreekt in de Global Secure Access-verkeerslogboeken.
6. Meld u aan bij de ZIA-beheerportal (Zscaler Internet Access) en blader naar >>
7. Controleer of verkeer met betrekking tot deze sites aanwezig is in Zscaler-logboeken.
8. Toegang tot uw persoonlijke toepassing die is ingesteld in Zscaler Private Access. Open bijvoorbeeld een RDP-sessie naar een privéserver.
9. Meld u aan bij het Microsoft Entra-beheercentrum en navigeer naar Global Secure Access>Monitor>Verkeerslogboeken.
10. Controleer of verkeer met betrekking tot de RDP-sessie zich niet in de algemene logboeken voor beveiligde toegang bevindt
11. Meld u aan bij het Zscaler Private Access (ZPA) beheerportal en navigeer naar Analyses>Logboeken. Controleer of verkeer met betrekking tot de RDP-sessie aanwezig is in de dashboard- of diagnostische logboeken.
12. Toegang tot Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
13. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer Geavanceerde diagnostische gegevens. Selecteer Het verzamelen stoppen in het dialoogvenster Verkeer.
14. Schuif om te bevestigen dat de Global Secure Access-client alleen Microsoft 365-verkeer heeft verwerkt.
15. U kunt ook valideren dat het verkeer wordt vastgelegd in de globale logboeken voor beveiligde toegang. Navigeer in het Microsoft Entra-beheercentrum naar Global Secure Access>Monitor>Verkeerslogboeken.
16. Controleer of verkeer met betrekking tot Outlook Online en SharePoint Online ontbreekt in Zscaler Internet Access-logboeken binnen Analytics>Web Insights>Logs.

Microsoft Entra Internet Access en Microsoft Entra Microsoft Access en met Zscaler Private Access

In dit scenario verwerkt Global Secure Access internet- en Microsoft 365-verkeer. Zscaler legt alleen privétoepassingsverkeer vast. Daarom is de Zscaler Internet Access-module uitgeschakeld vanuit de Zscaler-portal.

Microsoft Entra Internet en Microsoft Access

Voor dit scenario moet u het volgende configureren:

• Schakel het Microsoft Entra Microsoft Access-doorstuurprofiel en het Microsoft Entra Internet Access-doorstuurprofiel in.
• Installeer en configureer de Global Secure Access-client voor Windows of macOS.
• Voeg een aangepaste bypass voor het doorsturen van het profielbeleid voor internettoegang van Microsoft Entra toe om de ZPA-service uit te sluiten.

Een aangepaste bypass toevoegen voor Zscaler in Global Secure Access:

1. Meld u aan bij het Microsoft Entra-beheercentrum en blader naar Global Secure Access>Connect>Verkeer doorsturen>Internettoegang profiel. Selecteer Weergave onder Beleid voor internettoegang.
2. Vouw Aangepaste bypass uit en selecteer Regel toevoegen.
3. Laat het doeltype FQDN staan en voer in Bestemming in *.prod.zpath.net.
4. Selecteer Opslaan.

Zscaler Private Access

Voer de procedure uit in de Zscaler-portal:

• Zscaler Private Access instellen en configureren.
• Maak een doorstuurprofiel.
• Maak een app-profiel.
• Installeer de Zscaler Client Connector.

Doorstuurprofiel toevoegen vanuit de Client-Connector Portal.

1. Navigeer naar de Zscaler Client Connector-beheerportal>Beheer>Doorstuurprofiel>Doorstuurprofiel toevoegen.
2. Voeg een profielnaam toe, zoals ZPA Only.
3. Selecteer Pakketfilter-basis bij Tunnelstuurprogrammatype.
4. Selecteer de actie Doorstuurprofiel als Geen.
5. Schuif omlaag naar de actie Profiel doorsturen voor ZPA.
6. Selecteer Tunnel voor alle opties in deze sectie.

App-profiel toevoegen vanuit de clientconnectorportal:

1. Navigeer naar Zscaler Client Connector beheerportal>App-profielen>Windows (of macOS)>Windows-beleid toevoegen (of macOS).
2. Voeg naam toe, stel regelvolgorde in, zoals 1, selecteer Inschakelen, selecteer Gebruiker(s) om dit beleid toe te passen en selecteer het doorstuurprofiel. Selecteer bijvoorbeeld alleen ZPA.
3. Schuif omlaag en voeg de IP-adressen (Microsoft SSE-service Internet Protocol) en FQDN's (Fully Qualified Domain Names) toe in de sectie FQDN's en IP-adressen van de Global Secure Access-service, in het veld HOSTNAME OF IP ADDRESS BYPASS FOR VPN GATEWAY.

Open het systeemvak om te controleren of Global Secure Access- en Zscaler-clients zijn ingeschakeld.

Configuraties voor clients controleren:

1. Klik met de rechtermuisknop op global Secure Access Client>> en controleer of Microsoft 365- en Internettoegangsregels zijn toegepast op deze client.
2. Vouw de regels > voor internettoegang uit. Controleer of de aangepaste bypass *.prod.zpath.net bestaat in het profiel.
3. Navigeer naar Geavanceerde statuscontrole voor diagnostische gegevens>en zorg ervoor dat er geen controles mislukken.
4. Klik met de rechtermuisknop op Zscaler Client>> Controleer of app-beleid overeenkomt met configuraties in de eerdere stappen. Controleer of het actueel is of werk het bij.
5. Navigeer naar Zscaler Client>Private Access. Controleer of de servicestatus is ON en of de authenticatiestatus is Authenticated.
6. Navigeer naar Zscaler Client>Internet Security. Controleer dat de servicestatusDISABLED is.

Opmerking

Zie Problemen met de diagnostiek van Global Secure Access-client - Statuscontrole oplossen voor informatie over het verhelpen van statuscontrolefouten.

Verkeersstroom testen:

1. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer Geavanceerde diagnostische gegevens. Selecteer het tabblad Verkeer en selecteer Verzamelen starten.
2. Open deze websites vanuit de browser: bing.com, salesforce.com, Instagram.comOutlook Online (outlook.com, outlook.office.com, ), outlook.office365.comSharePoint Online (<yourtenantdomain>.sharepoint.com).
3. Meld u aan bij het Microsoft Entra-beheercentrum en navigeer naar Global Secure Access>Monitor>Verkeerslogboeken. Controleer of verkeer met betrekking tot deze sites wordt vastgelegd in de globale Secure Access-verkeerlogboeken.
4. Toegang tot uw persoonlijke toepassing die is ingesteld in Zscaler Private Access. Door bijvoorbeeld gebruik te maken van Extern bureaublad (RDP).
5. Meld u aan bij het Zscaler Private Access (ZPA) beheerportal en navigeer naar Analyses>Logboeken. Controleer of verkeer met betrekking tot de RDP-sessie aanwezig is in de dashboard- of diagnostische logboeken.
6. Meld u aan bij de ZIA-beheerportal (Zscaler Internet Access) en blader naar >> Controleer of verkeer met betrekking tot Microsoft 365 en internetverkeer, zoals Instagram.com, Outlook Online en SharePoint Online, ontbreekt in ZIA-logboeken.
7. Klik in het systeemvak met de rechtermuisknop op Global Secure Access Client en selecteer Geavanceerde diagnostische gegevens. Selecteer Het verzamelen stoppen in het dialoogvenster Verkeer.
8. Scroll om te zien dat de Global Secure Access-client geen verkeer van de privétoepassing vastlegt. Merk ook op dat de Global Secure Access-client verkeer vastlegt voor Microsoft 365 en ander internetverkeer.