Jak skonfigurować filtrowanie zawartości internetowej globalnego bezpiecznego dostępu

Filtrowanie zawartości internetowej umożliwia implementowanie szczegółowych mechanizmów kontroli dostępu do Internetu dla organizacji na podstawie kategoryzacji witryn internetowych.

Dostęp do Internetu Microsoft Entra pierwsze funkcje bezpiecznej bramy internetowej (SWG) obejmują filtrowanie zawartości internetowej na podstawie nazw domen. Firma Microsoft integruje szczegółowe zasady filtrowania z usługami Microsoft Entra ID i Microsoft Entra Conditional Access, co powoduje filtrowanie zasad obsługujących użytkowników, obsługujących kontekst i łatwy w zarządzaniu.

Funkcja filtrowania sieci Web jest obecnie ograniczona do filtrowania kategorii internetowych opartych na w pełni kwalifikowanej nazwy domeny (FQDN) i filtrowania nazw FQDN opartych na użytkownikach i kontekstowych.

Wymagania wstępne

• Administratorzy korzystający z funkcji globalnego bezpiecznego dostępu muszą mieć co najmniej jedno z następujących przypisań ról w zależności od wykonywanych zadań.

  • Rola Administratora globalnego bezpiecznego dostępu do zarządzania funkcjami globalnego bezpiecznego dostępu.
  • Administrator dostępu warunkowego do tworzenia zasad dostępu warunkowego i interakcji z nimi.

• Ukończ przewodnik Wprowadzenie do globalnego bezpiecznego dostępu .

• Zainstaluj klienta globalnego bezpiecznego dostępu na urządzeniach użytkowników końcowych.

• Należy wyłączyć system nazw domen (DNS) za pośrednictwem protokołu HTTPS (Secure DNS) w celu tunelowania ruchu sieciowego. Użyj reguł w pełni kwalifikowanych nazw domen (FQDN) w profilu przekazywania ruchu. Aby uzyskać więcej informacji, zobacz Configure the DNS client to support DoH (Konfigurowanie klienta DNS pod kątem obsługi usługi DoH).

• Wyłącz wbudowanego klienta DNS w przeglądarkach Chrome i Microsoft Edge.

• Ruch protokołu UDP (User Datagram Protocol) (czyli QUIC) nie jest obsługiwany w bieżącej wersji zapoznawczej programu Internet Access. Większość witryn internetowych obsługuje powrót do protokołu TCP, gdy nie można ustanowić pliku QUIC. Aby uzyskać ulepszone środowisko użytkownika, można wdrożyć regułę Zapory systemu Windows, która blokuje wychodzący protokół UDP 443: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.

• Zapoznaj się z pojęciami dotyczącymi filtrowania zawartości internetowej. Aby uzyskać więcej informacji, zobacz Filtrowanie zawartości internetowej.

Kroki ogólne

Istnieje kilka kroków konfigurowania filtrowania zawartości internetowej. Zanotuj, gdzie należy skonfigurować zasady dostępu warunkowego.

1. Włącz przekazywanie ruchu internetowego.
2. Utwórz zasady filtrowania zawartości internetowej.
3. Utwórz profil zabezpieczeń.
4. Połącz profil zabezpieczeń z zasadami dostępu warunkowego.
5. Przypisz użytkowników lub grupy do profilu przekazywania ruchu.

Włączanie przekazywania ruchu internetowego

Aby włączyć profil przekazywania Dostęp do Internetu Microsoft Entra do przekazywania dalej ruchu użytkowników:

Uwaga

Po włączeniu profilu przekazywania dostępu do Internetu należy również włączyć profil przekazywania ruchu firmy Microsoft w celu uzyskania optymalnego routingu ruchu firmy Microsoft.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
2. Przejdź do przesyłania dalej ruchu Global Secure Access>Connect>.
3. Włącz profil dostępu do Internetu. Ruch internetowy rozpoczyna przekazywanie ze wszystkich urządzeń klienckich do serwera proxy usługi Security Service Edge (SSE) firmy Microsoft, w którym można skonfigurować szczegółowe zasady zabezpieczeń.
4. Włącz profil ruchu firmy Microsoft. Ruch firmy Microsoft rozpoczyna przesyłanie dalej ze wszystkich urządzeń klienckich do serwera proxy usługi Security Service Edge (SSE) firmy Microsoft, w którym można skonfigurować zaawansowane funkcje zabezpieczeń specyficzne dla ruchu firmy Microsoft.

Tworzenie zasad filtrowania zawartości internetowej

1. Przejdź do zasad globalnego filtrowania bezpiecznej zawartości internetowej bezpiecznego>dostępu>.
2. Wybierz pozycję Create policy (Utwórz zasady).
3. Wprowadź nazwę i opis zasad, a następnie wybierz pozycję Dalej.
4. Wybierz Dodaj regułę.
5. Wprowadź nazwę, wybierz kategorię internetową lub prawidłową nazwę FQDN, a następnie wybierz pozycję Dodaj.
   • Prawidłowe nazwy FQDN w tej funkcji mogą również zawierać symbole wieloznaczne przy użyciu symbolu gwiazdki *.
6. Wybierz przycisk Dalej , aby przejrzeć zasady, a następnie wybierz pozycję Utwórz zasady.

Tworzenie profilu zabezpieczeń

Profile zabezpieczeń to grupa zasad filtrowania. Profile zabezpieczeń można przypisywać lub łączyć za pomocą zasad dostępu warunkowego firmy Microsoft. Jeden profil zabezpieczeń może zawierać wiele zasad filtrowania. Jeden profil zabezpieczeń może być skojarzony z wieloma zasadami dostępu warunkowego.

W tym kroku utworzysz profil zabezpieczeń w celu grupowania zasad filtrowania. Następnie przypiszesz lub połączysz profile zabezpieczeń z zasadami dostępu warunkowego, aby umożliwić im rozpoznawanie użytkownika lub kontekstu.

Uwaga

Aby dowiedzieć się więcej na temat zasad dostępu warunkowego firmy Microsoft, zobacz Tworzenie zasad dostępu warunkowego.

1. Przejdź do globalnych profilów zabezpieczeń bezpiecznego>dostępu.>
2. Wybierz pozycję Utwórz profil.
3. Wprowadź nazwę i opis zasad, a następnie wybierz pozycję Dalej.
4. Wybierz pozycję Połącz zasady , a następnie wybierz pozycję Istniejące zasady.
5. Wybierz już utworzone zasady filtrowania zawartości internetowej i wybierz pozycję Dodaj.
6. Wybierz przycisk Dalej , aby przejrzeć profil zabezpieczeń i skojarzone zasady.
7. Wybierz pozycję Utwórz profil.
8. Wybierz pozycję Odśwież , aby odświeżyć stronę profilów i wyświetlić nowy profil.

Tworzenie i łączenie zasad dostępu warunkowego

Utwórz zasady dostępu warunkowego dla użytkowników końcowych lub grup i dostarczaj profil zabezpieczeń za pomocą kontroli sesji dostępu warunkowego. Dostęp warunkowy to mechanizm dostarczania do rozpoznawania użytkowników i kontekstu zasad dostępu do Internetu. Aby dowiedzieć się więcej na temat kontrolek sesji, zobacz Dostęp warunkowy: sesja.

1. Przejdź do sekcji Identity Protection Conditional Access (Dostęp warunkowy usługi Identity>Protection).>
2. Wybierz pozycję Utwórz nowe zasady.
3. Wprowadź nazwę i przypisz użytkownika lub grupę.
4. Wybierz pozycję Zasoby docelowe i Globalny bezpieczny dostęp z menu rozwijanego, aby ustawić, do czego mają zastosowanie zasady.
5. Wybierz pozycję Ruch internetowy z menu rozwijanego, aby ustawić profil ruchu, do których mają zastosowanie te zasady.
6. Wybierz pozycję Sesja>Użyj profilu zabezpieczeń globalnego bezpiecznego dostępu i wybierz profil zabezpieczeń.
7. Wybierz pozycję Wybierz.
8. W sekcji Włącz zasady upewnij się, że wybrano opcję Włączone.
9. Wybierz pozycję Utwórz.

Przypisania użytkowników i grup

Możesz określić zakres profilu internetowego dostępu do określonych użytkowników i grup. Aby dowiedzieć się więcej na temat przypisywania użytkowników i grup, zobacz Jak przypisywać użytkowników i grupy oraz zarządzać nimi przy użyciu profilów przesyłania dalej ruchu.

Weryfikowanie wymuszania zasad użytkownika końcowego

Użyj urządzenia z systemem Windows z zainstalowanym klientem globalnego bezpiecznego dostępu. Zaloguj się jako użytkownik, któremu przypisano profil pozyskiwania ruchu internetowego. Przetestuj, czy przechodzenie do witryn internetowych jest dozwolone lub ograniczone zgodnie z oczekiwaniami.

1. Kliknij prawym przyciskiem myszy ikonę klienta Globalnego bezpiecznego dostępu w menedżerze zadań i otwórz profil Zaawansowane przekazywanie diagnostyki>. Upewnij się, że istnieją reguły pozyskiwania dostępu do Internetu. Sprawdź również, czy podczas przeglądania uzyskuje się nazwę hosta i przepływy dla użytkowników ruchu internetowego.

2. Przejdź do dozwolonych i zablokowanych witryn i sprawdź, czy działają prawidłowo. Przejdź do dzienników ruchu globalnego monitora>bezpiecznego dostępu>, aby potwierdzić, że ruch jest blokowany lub dozwolony odpowiednio.

Bieżące środowisko blokowania dla wszystkich przeglądarek zawiera błąd przeglądarki w postaci zwykłego tekstu dla ruchu HTTP i błąd przeglądarki "Resetowanie połączenia" dla ruchu HTTPS.

Uwaga

Zmiany konfiguracji w środowisku globalnego bezpiecznego dostępu związane z filtrowaniem zawartości internetowej zwykle obowiązują w mniej niż 5 minut. Zmiany konfiguracji w dostępie warunkowym związane z filtrowaniem zawartości internetowej mają zastosowanie w ciągu około godziny.

Znane ograniczenia

• Powiadomienia użytkownika końcowego dotyczące bloków z klienta lub przeglądarki nie są udostępniane.
• Nie można skonfigurować profilów pozyskiwania ruchu internetowego dla klienta.
• Zasady pozyskiwania ruchu klienta obejmują porty tcp (Transmission Control Protocol) 80/443.
• Porty standardowe dla ruchu HTTP/S (porty 80 i 443).
• *microsoft.com jest obecnie uzyskiwany przez profil dostępu firmy Microsoft.
• Protokół IPv6 nie jest obsługiwany na tej platformie.
• Funkcja Hyper-V nie jest obsługiwana na tej platformie.
• Zdalna łączność sieciowa z dostępem do Internetu jest opracowywana.
• Filtrowanie sieci warstwy 3 i 4 protokołu Open Systems Intercommunication (OSI) nie jest obsługiwane.
• Brak obsługi portalu captive. Nawiązywanie połączenia z publiczną siecią Wi-Fi za pośrednictwem dostępu do portalu captive kończy się niepowodzeniem, ponieważ te punkty końcowe są obecnie pozyskiwane przez klienta.
• Zakończenie protokołu Transport Layer Security (TLS) jest opracowywane.
• Brak filtrowania opartego na ścieżkach URL ani kategoryzacji adresów URL dla ruchu HTTP i HTTPS.
• Obecnie administrator może utworzyć maksymalnie 100 zasad filtrowania zawartości internetowej i maksymalnie 1000 reguł na podstawie maksymalnie 8000 całkowitych nazw FQDN. Administratorzy mogą również tworzyć maksymalnie 256 profilów zabezpieczeń.
  • Te początkowe limity są symbolami zastępczymi do momentu dodania większej liczby funkcji do tej platformy.

Następne kroki

• Dowiedz się więcej o pulpicie nawigacyjnym ruchu