Jak włączyć profil przekazywania ruchu firmy Microsoft i zarządzać nim
Po włączeniu profilu firmy Microsoft Dostęp do Internetu Microsoft Entra uzyskuje ruch, który będzie usługi firmy Microsoft. Profil firmy Microsoft zarządza następującymi grupami zasad:
- Exchange Online
- SharePoint Online i Microsoft OneDrive.
- Microsoft 365 Common and Office Online (tylko microsoft Entra ID i Microsoft Graph)
Wymagania wstępne
Aby włączyć profil przekazywania ruchu firmy Microsoft dla dzierżawy, musisz mieć następujące elementy:
- Rola administratora globalnego bezpiecznego dostępu w identyfikatorze Entra firmy Microsoft w celu włączenia profilów ruchu.
- Rola administratora dostępu warunkowego do tworzenia zasad dostępu warunkowego i interakcji z nimi.
- Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.
- Aby korzystać z profilu przekazywania ruchu firmy Microsoft, zaleca się licencję platformy Microsoft 365 E3.
Znane ograniczenia
- Poszczególne usługi są dodawane do profilu ruchu firmy Microsoft w sposób ciągły. Obecnie microsoft Entra ID, Microsoft Graph, Exchange Online i SharePoint Online są obsługiwane w ramach profilu ruchu firmy Microsoft
- Aby uzyskać dodatkowe ograniczenia profilu ruchu firmy Microsoft, zobacz Znane ograniczenia klienta systemu Windows
Włączanie profilu ruchu firmy Microsoft
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
Przejdź do przesyłania dalej ruchu Global Secure Access>Connect>.
Włącz profil ruchu firmy Microsoft. Ruch firmy Microsoft rozpoczyna przesyłanie dalej ze wszystkich urządzeń klienckich do serwera proxy usługi Security Service Edge (SSE) firmy Microsoft, w którym można skonfigurować zaawansowane funkcje zabezpieczeń specyficzne dla ruchu firmy Microsoft.
Zasady ruchu firmy Microsoft
Aby zarządzać szczegółami zawartymi w zasadach przesyłania dalej ruchu firmy Microsoft, wybierz link Wyświetl dla zasad ruchu firmy Microsoft.
Grupy zasad są wyświetlane z polem wyboru, aby wskazać, czy grupa zasad jest włączona. Rozwiń grupę zasad, aby wyświetlić wszystkie adresy IP i nazwy FQDN uwzględnione w grupie.
Grupy zasad zawierają następujące szczegóły:
- Typ docelowy: nazwa FQDN lub podsieć IP
- Miejsce docelowe: szczegóły nazwy FQDN lub podsieci IP
- Porty: porty TCP lub UDP połączone z adresami IP w celu utworzenia punktu końcowego sieci
- Protokół: TCP (Transmission Control Protocol) lub UDP (User Datagram Protocol)
- Akcja: Przekazywanie lub obejście
Możesz skonfigurować reguły pozyskiwania ruchu w celu obejścia pozyskiwania ruchu. Jeśli to zrobisz, użytkownicy nadal będą mogli uzyskiwać dostęp do zasobów; jednak globalna usługa bezpiecznego dostępu nie będzie przetwarzać ruchu. Można pominąć ruch do określonej nazwy FQDN lub adresu IP, całej grupy zasad w profilu lub całego profilu firmy Microsoft. Jeśli musisz przekazać tylko niektóre zasoby firmy Microsoft w grupie zasad, włącz grupę, a następnie odpowiednio zmień akcję w szczegółach.
W poniższym przykładzie pokazano ustawienie nazwy *.sharepoint.com
FQDN na Obejście , aby ruch nie był przekazywany do usługi.
Jeśli klient globalnego bezpiecznego dostępu nie może nawiązać połączenia z usługą (na przykład z powodu autoryzacji lub niepowodzenia dostępu warunkowego), usługa pomija ruch. Ruch jest wysyłany bezpośrednio i lokalnie zamiast blokowany. W tym scenariuszu można utworzyć zasady dostępu warunkowego dla zgodnej kontroli sieci, aby zablokować ruch, jeśli klient nie może nawiązać połączenia z usługą.
Połączone zasady dostępu warunkowego
Zasady dostępu warunkowego są tworzone i stosowane do profilu przekazywania ruchu w obszarze Dostęp warunkowy identyfikatora Firmy Microsoft. Można na przykład utworzyć zasady, które wymagają zgodnych urządzeń podczas ustanawiania połączenia sieciowego dla usług w profilu ruchu firmy Microsoft.
Jeśli w sekcji Połączone zasady dostępu warunkowego zostanie wyświetlony komunikat "Brak", nie ma zasad dostępu warunkowego połączonego z profilem przekazywania ruchu. Aby utworzyć zasady dostępu warunkowego, zobacz Uniwersalny dostęp warunkowy za pośrednictwem globalnego bezpiecznego dostępu.
Edytowanie istniejących zasad dostępu warunkowego
Jeśli profil przekazywania ruchu ma połączone zasady dostępu warunkowego, możesz wyświetlić i edytować te zasady.
Wybierz link Wyświetl dla połączonych zasad dostępu warunkowego.
Wybierz zasady z listy. Szczegóły zasad otwarte w obszarze Dostęp warunkowy.
Przypisania sieci zdalnej profilu ruchu firmy Microsoft
Profile ruchu można przypisać do sieci zdalnych, aby ruch sieciowy był przekazywany do globalnego bezpiecznego dostępu bez konieczności instalowania klienta na urządzeniach użytkowników końcowych. Jeśli urządzenie znajduje się za sprzętem lokalnym klienta (CPE), klient nie jest wymagany. Przed dodaniem sieci zdalnej do profilu należy utworzyć sieć zdalną. Aby uzyskać więcej informacji, zobacz How to create remote networks (Jak tworzyć sieci zdalne).
Aby przypisać sieć zdalną do profilu firmy Microsoft:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
- Przejdź do przesyłania dalej ruchu Global Secure Access>Connect>.
- W sekcji Usuwanie przypisań sieci wybierz link Wyświetl dla profilu.
- Wybierz sieć zdalną z listy i wybierz pozycję Dodaj.
Przypisania użytkowników i grup
Profil firmy Microsoft można ograniczyć do określonych użytkowników i grup, zamiast stosować profil ruchu do wszystkich użytkowników. Aby dowiedzieć się więcej na temat przypisywania użytkowników i grup, zobacz Jak przypisywać użytkowników i grupy oraz zarządzać nimi przy użyciu profilów przesyłania dalej ruchu.
Następne kroki
Następnym krokiem do rozpoczęcia pracy z Dostęp do Internetu Microsoft Entra jest zainstalowanie i skonfigurowanie globalnego klienta bezpiecznego dostępu na urządzeniach użytkowników końcowych
Aby uzyskać więcej informacji na temat przesyłania dalej ruchu, zobacz następujący artykuł: