Udostępnij za pośrednictwem


Dowiedz się więcej o współistnieniu usługi Security Service Edge (SSE) z firmą Microsoft i cisco

Korzystaj z rozwiązań firmy Microsoft i Cisco Security Service Edge (SSE) w ujednoliconym środowisku, aby wykorzystać niezawodny zestaw funkcji z obu platform i podnieść poziom podróży secure access Service Edge (SASE). Synergia między tymi platformami umożliwia klientom zwiększenie bezpieczeństwa i bezproblemowej łączności.

Ten dokument zawiera kroki wdrażania tych rozwiązań obok siebie, w szczególności Dostęp Prywatny Microsoft Entra (z włączoną funkcją Prywatna strefa DNS) i Cisco Umbrella na potrzeby zabezpieczeń dostępu do Internetu i zabezpieczeń warstwy DNS.

Omówienie konfiguracji

W usłudze Microsoft Entra włączysz profil przekierowywania ruchu prywatnego dostępu i wyłączysz profile przekazywania ruchu internetowego i usługi Microsoft 365. Można również włączyć i skonfigurować funkcję Prywatna strefa DNS dostępu prywatnego. W aplikacji Cisco przechwytujesz ruch z dostępem do Internetu.

Uwaga

Klienci muszą być zainstalowani na urządzeniu dołączonym hybrydowym z systemem Windows 10 lub Windows 11 microsoft Entra albo urządzenia hybrydowego firmy Microsoft Entra.

konfiguracja Dostęp Prywatny Microsoft Entra

Włącz profil przekazywania ruchu Dostęp Prywatny Microsoft Entra dla dzierżawy firmy Microsoft Entra. Aby uzyskać więcej informacji na temat włączania i wyłączania profilów, zobacz Global Secure Access traffic forwarding profiles (Globalne profile przekazywania ruchu bezpiecznego dostępu).

Zainstaluj i skonfiguruj globalnego klienta bezpiecznego dostępu na urządzeniach użytkowników końcowych. Aby uzyskać więcej informacji na temat klientów, zobacz Global Secure Access clients (Global Secure Access clients). Aby dowiedzieć się, jak zainstalować klienta systemu Windows, zobacz Globalny klient bezpiecznego dostępu dla systemu Windows.

Zainstaluj i skonfiguruj łącznik sieci prywatnej firmy Microsoft Entra. Aby dowiedzieć się, jak zainstalować i skonfigurować łącznik, zobacz Jak skonfigurować łączniki.

Uwaga

Do Prywatna strefa DNS jest wymagany łącznik w wersji 1.5.3829.0 lub nowszej.

Skonfiguruj szybki dostęp do zasobów prywatnych i skonfiguruj Prywatna strefa DNS i sufiksy DNS. Aby dowiedzieć się, jak skonfigurować szybki dostęp, zobacz Jak skonfigurować szybki dostęp.

Konfiguracja aplikacji Cisco

Dodaj sufiksy domeny z nazwy FQDN usługi Microsoft Entra i Microsoft Entra service w usłudze Domain Management na liście domen wewnętrznych w celu obejścia aplikacji Cisco Umbrella DNS. Dodaj nazwę FQDN i adresy IP usługi Microsoft Entra na liście Zarządzanie domenami zewnętrznymi, aby pominąć bezpieczną bramę sieci Web (SWG) firmy Cisco.

  1. W portalu Cisco Umbrella przejdź do pozycji Deployments Configuration Domain Management (Zarządzanie domenami wdrożeń > >).
  2. W sekcji Domeny wewnętrzne dodaj te i zapisz.
    • *.globalsecureaccess.microsoft.com

      Uwaga

      Aplikacja Cisco Umbrella ma dorozumiany symbol wieloznaczny, dzięki czemu można użyć polecenia globalsecureaccess.microsoft.com.

    • <quickaccessapplicationid>.globalsecureaccess.local

      Uwaga

      quickaccessapplicationid to identyfikator aplikacji skonfigurowanej aplikacji szybkiego dostępu.

    • Sufiksy DNS skonfigurowane w aplikacji Szybki dostęp.
  3. W sekcji Domeny zewnętrzne i adresy IP dodaj te nazwy FQDN i adresy IP i zapisz.
    • *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16

      Uwaga

      Aplikacja Cisco Umbrella ma domniemaną symbol wieloznaczny, dzięki czemu można użyć globalsecureaccess.microsoft.com nazwy FQDN.

  4. Uruchom ponownie usługi klienckie Cisco Umbrella i Cisco SWG lub uruchom ponownie maszynę, na której są instalowani klienci.

Po zainstalowaniu i uruchomieniu obu klientów obok siebie, a konfiguracje z portali administracyjnych zostaną ukończone, przejdź do zasobnika systemu, aby sprawdzić, czy włączono globalny bezpieczny dostęp i klientów Cisco.

Sprawdź konfigurację klienta globalnego bezpiecznego dostępu.

  1. Kliknij prawym przyciskiem myszy profil przekazywania zaawansowanej diagnostyki > zaawansowanego dostępu klienta globalnego bezpiecznego dostępu > i sprawdź, czy do tego klienta są stosowane tylko reguły dostępu prywatnego.
  2. W obszarze Zaawansowana kontrola kondycji diagnostyki > upewnij się, że testy nie kończą się niepowodzeniem.

Testowanie przepływu ruchu

Konfiguracja SSE firmy Microsoft: włącz Dostęp Prywatny Microsoft Entra, wyłącz profile przekazywania ruchu w programie Internet Access i usłudze Microsoft 365.

Konfiguracja aplikacji Cisco SSE: przechwytywany jest ruch dostępu do Internetu. Ruch dostępu prywatnego jest wykluczony.

  1. Na pasku zadań systemu kliknij prawym przyciskiem myszy ikonę klienta Globalnego bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
  2. Uzyskaj dostęp do zasobów prywatnych skonfigurowanych za pomocą usługi Entra Private Access, takich jak udział plików SMB. Otwórz \\YourFileServer.yourdomain.com za pomocą menu Start/Run w oknie eksploratora.
  3. Na pasku zadań systemu kliknij prawym przyciskiem myszy klienta globalnego bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym Ruch sieciowy wybierz pozycję Zatrzymaj zbieranie.
  4. W oknie dialogowym Ruch sieciowy przewiń, aby obserwować ruch wygenerowany, aby potwierdzić, że ruch dostępu prywatnego był obsługiwany przez klienta globalnego bezpiecznego dostępu.
  5. Możesz również sprawdzić, czy ruch jest przechwytywany przez firmę Microsoft Entra, weryfikując ruch w dziennikach ruchu globalnego bezpiecznego dostępu z centrum administracyjnego firmy Microsoft Entra w dziennikach ruchu globalnego monitora > bezpiecznego dostępu>.
  6. Uzyskaj dostęp do wszystkich witryn internetowych z przeglądarek i zweryfikuj, że w dziennikach ruchu globalnego bezpiecznego dostępu brakuje tylko w aplikacji Cisco Umbrella.

Następne kroki