Udostępnij za pośrednictwem

Dowiedz się więcej o współistnieniu usługi Security Service Edge (SSE) z firmą Microsoft i cisco

Korzystaj z rozwiązań Security Service Edge (SSE) Microsoft i Cisco w ujednoliconym środowisku, aby wykorzystać solidny zestaw funkcji obu platform i zwiększyć efektywność korzystania z Secure Access Service Edge (SASE). Synergia między tymi platformami umożliwia klientom zwiększenie bezpieczeństwa i bezproblemowej łączności.

Ten dokument zawiera kroki wdrażania tych rozwiązań obok siebie, w szczególności Dostęp Prywatny Microsoft Entra (z włączoną funkcją Prywatna strefa DNS) i Cisco Umbrella na potrzeby zabezpieczeń dostępu do Internetu i zabezpieczeń warstwy DNS.

Omówienie konfiguracji

W usłudze Microsoft Entra włączysz profil przekierowywania ruchu Dostępu Prywatnego i wyłączysz profile przekierowywania ruchu dla dostępu do Internetu i Microsoft 365. Można również włączyć i skonfigurować funkcję Prywatny DNS w ramach dostępu prywatnego. W Cisco przechwytujesz ruch internetowy.

Uwaga

Oprogramowanie klienta musi być zainstalowane na urządzeniu z systemem Windows 10 lub Windows 11 dołączonym do Microsoft Entra albo na urządzeniu hybrydowym dołączonym do Microsoft Entra.

konfiguracja prywatnego dostępu Microsoft Entra

Włącz profil przekazywania ruchu „Microsoft Entra Private Access” dla dzierżawy Microsoft Entra. Aby uzyskać więcej informacji na temat włączania i wyłączania profilów, zobacz Profile przekazywania ruchu Global Secure Access.

Zainstaluj i skonfiguruj globalnego klienta bezpiecznego dostępu na urządzeniach użytkowników końcowych. Aby uzyskać więcej informacji na temat klientów, zobacz klienci Global Secure Access. Aby dowiedzieć się, jak zainstalować klienta systemu Windows, zobacz Globalny klient bezpiecznego dostępu dla systemu Windows.

Zainstaluj i skonfiguruj łącznik sieci prywatnej firmy Microsoft Entra. Aby dowiedzieć się, jak zainstalować i skonfigurować łącznik, zobacz Jak skonfigurować łączniki.

Uwaga

Wymagany jest łącznik w wersji 1.5.3829.0 lub nowszej dla prywatnego DNS.

Skonfiguruj szybki dostęp do swoich zasobów prywatnych oraz ustaw prywatną DNS i sufiksy DNS. Aby dowiedzieć się, jak skonfigurować szybki dostęp, zobacz Jak skonfigurować szybki dostęp.

Konfiguracja aplikacji Cisco

Dodaj sufiksy domen z usługi Microsoft Entra Quick Access oraz pełne nazwy domen (FQDN) usługi Microsoft Entra do listy domen wewnętrznych w zarządzaniu domenami, aby ominąć system DNS Cisco Umbrella. Dodaj nazwę FQDN i adresy IP usługi Microsoft Entra w sekcji Zarządzanie domenami na liście domen zewnętrznych, aby pominąć bezpieczną bramę sieci Web (SWG) firmy Cisco.

  1. W portalu Cisco Umbrella przejdź do Deployments > Configuration > Domain Management (Zarządzanie konfiguracją wdrożeń domen).
  2. W sekcji Domeny wewnętrzne dodaj te i zapisz.
    • *.globalsecureaccess.microsoft.com

      Uwaga

      Aplikacja Cisco Umbrella ma dorozumiany symbol wieloznaczny, więc można użyć globalsecureaccess.microsoft.com.

    • <quickaccessapplicationid>.globalsecureaccess.local

      Uwaga

      quickaccessapplicationid to identyfikator skonfigurowanej aplikacji szybkiego dostępu.

    • Sufiksy DNS skonfigurowane w aplikacji Szybki dostęp.
  3. W sekcji Domeny zewnętrzne i adresy IP dodaj te nazwy FQDN i adresy IP i zapisz.
    • *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16

      Uwaga

      Aplikacja Cisco Umbrella ma domyślny symbol wieloznaczny, który umożliwia użycie globalsecureaccess.microsoft.com dla nazwy FQDN.

  4. Uruchom ponownie usługi klienckie Cisco Umbrella i Cisco SWG lub uruchom ponownie maszynę, na której są instalowani klienci.

Po zainstalowaniu i uruchomieniu obu klientów obok siebie oraz ukończeniu konfiguracji z portali administracyjnych, przejdź do zasobnika systemowego, aby sprawdzić, czy włączono Global Secure Access i klientów Cisco.

Sprawdź konfigurację klienta globalnego bezpiecznego dostępu.

  1. Kliknij prawym przyciskiem myszy na klient usługi Global Secure Access > profil przekazywania > zaawansowanej diagnostyki i sprawdź, czy do tego klienta są stosowane tylko reguły dostępu prywatnego.
  2. W obszarze Zaawansowana diagnostyka - Kontrola kondycji upewnij się, że żadne testy nie zawodzą.

Testowanie przepływu ruchu

Konfiguracja SSE firmy Microsoft: włącz Dostęp Prywatny Microsoft Entra, wyłącz profile przekazywania ruchu w programie Internet Access i usłudze Microsoft 365.

Konfiguracja aplikacji Cisco SSE: przechwytywany jest ruch dostępu do Internetu. Ruch w ramach dostępu prywatnego jest wykluczony.

  1. Na pasku zadań systemu kliknij prawym przyciskiem myszy ikonę klienta Globalnego bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
  2. Uzyskaj dostęp do zasobów prywatnych skonfigurowanych za pomocą usługi Entra Private Access, takich jak udział plików SMB. Otwórz \\YourFileServer.yourdomain.com za pomocą menu Start/Run w oknie eksploratora.
  3. Na pasku zadań systemu kliknij prawym przyciskiem myszy klienta globalnego bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym Ruch sieciowy wybierz pozycję Zatrzymaj zbieranie.
  4. W oknie dialogowym 'Ruch sieciowy', przewiń, aby obserwować wygenerowany ruch i potwierdzić, że ruch Prywatnego Dostępu był obsługiwany przez klienta Globalnego Bezpiecznego Dostępu.
  5. Możesz również zweryfikować, czy ruch jest przechwytywany przez Microsoft Entra, sprawdzając go w dziennikach ruchu Global Secure Access w centrum administracyjnym Microsoft Entra w Global Secure Access > Monitor > Dzienniki ruchu.
  6. Uzyskaj dostęp do dowolnych witryn internetowych za pomocą przeglądarek i zweryfikuj, że ruch internetowy jest brakujący w globalnych dziennikach dostępu zabezpieczonego, a pojawia się jedynie w Cisco Umbrella.

Następne kroki