Dowiedz się więcej o współistnieniu usługi Security Service Edge (SSE) z firmą Microsoft i aplikacją Palo Alto Networks

Rozwiązania Firmy Microsoft i Palo Alto Networks SSE mogą być używane razem w ujednoliconym środowisku. Kiedy są używane razem, możesz wykorzystać solidny zestaw możliwości obu platform, aby zwiększyć efektywność wdrożenia SASE. Synergia między tymi platformami zwiększa bezpieczeństwo i zapewnia bezproblemową łączność.

Ten dokument zawiera kroki wdrażania tych rozwiązań obok siebie w kilku różnych scenariuszach dostępu.

1. Konfiguracja 1: Microsoft Entra Private Access z dostępem Palo Alto Prisma na potrzeby bezpiecznego dostępu do Internetu

W tym scenariuszu globalny bezpieczny dostęp będzie obsługiwać ruch aplikacji prywatnych. Program Prisma Access przechwytuje tylko ruch internetowy.

2. Konfiguracja 2: Microsoft Entra Private Access z Palo Alto Prisma Access dla dostępu do aplikacji prywatnych i Internetu

W tym scenariuszu obaj klienci będą obsługiwać ruch dla oddzielnych aplikacji prywatnych. Prywatne aplikacje w usłudze Microsoft Entra Private Access będą obsługiwane przez globalny bezpieczny dostęp, podczas gdy prywatne aplikacje w połączeniach usługi Prisma Access lub łączniki ZTNA będą dostępne za pośrednictwem klienta GlobalProtect. Ruch internetowy będzie obsługiwany przez program Prisma Access.

3. Konfiguracja 3: Microsoft Entra Microsoft Access z dostępem Palo Alto Prisma dla aplikacji prywatnych i dostępu do Internetu

W tym scenariuszu globalny bezpieczny dostęp będzie obsługiwać cały ruch platformy Microsoft 365. Prisma Access będzie obsługiwał prywatne aplikacje przy użyciu połączenia serwisowego lub łączników ZTNA. Ruch internetowy będzie obsługiwany przez program Prisma Access.

4. Konfiguracja 4: Microsoft Entra Internet Access i Microsoft Entra Microsoft Access za pomocą programu Palo Alto Prisma Access dla dostępu do aplikacji prywatnych

W tym scenariuszu Global Secure Access będzie obsługiwać ruch internetowy i Microsoft 365. Program Prisma Access przechwytuje tylko ruch aplikacji prywatnych za pośrednictwem połączenia z usługą lub łączników ZTNA.

Uwaga / Notatka

Następujące konfiguracje zostały przetestowane pod kątem dostępu Palo Alto Prisma Access i zarządzane za pomocą programu Strata Cloud Manager. Dostęp do aplikacji prywatnych został przetestowany za pośrednictwem połączeń usług i łączników ZTNA. Łączność z usługą Prisma Access została udostępniona przez usługę GlobalProtect i przetestowana przy użyciu konfiguracji protokołu SSL i sieci VPN IPsec.

Wymagania wstępne

Aby skonfigurować program Microsoft i Palo Alto Prisma Access dla ujednoliconego rozwiązania SASE, zacznij od skonfigurowania programu Microsoft Entra Internet Access i usługi Microsoft Entra Private Access. Następnie skonfiguruj Prisma Access w celu zapewnienia dostępu do aplikacji prywatnej za pomocą połączenia serwisowego lub łącznika ZTNA. Na koniec należy ustanowić wymaganą nazwę FQDN i obejścia adresów IP, aby zapewnić bezproblemową integrację między dwiema platformami.

• Skonfiguruj program Microsoft Entra Internet Access i dostęp prywatny firmy Microsoft Entra. Te produkty składają się na globalne rozwiązanie bezpiecznego dostępu.
• Konfigurowanie dostępu Palo Alto Prisma na potrzeby dostępu prywatnego i dostępu do Internetu
• Konfiguracja wyjątków FQDN i adresów IP dla Globalnego Bezpiecznego Dostępu

Globalny bezpieczny dostęp Microsoft

Aby skonfigurować globalny bezpieczny dostęp i przetestować wszystkie scenariusze w tej dokumentacji, należy wykonać następujące czynności.

• Włączanie i wyłączanie różnych profilów przekazywania ruchu Globalnego Bezpiecznego Dostępu dla dzierżawy Microsoft Entra. Aby uzyskać więcej informacji na temat włączania i wyłączania profilów, zobacz Globalne profile przekazywania ruchu w ramach Global Secure Access.

• Zainstaluj i skonfiguruj łącznik sieci prywatnej firmy Microsoft Entra. Aby dowiedzieć się, jak zainstalować i skonfigurować łącznik, zobacz Jak skonfigurować łączniki.

Uwaga / Notatka

Łączniki sieci prywatnej są wymagane dla aplikacji microsoft Entra Private Access.

• Skonfiguruj szybki dostęp do zasobów prywatnych oraz skonfiguruj prywatny system nazw domen (DNS) i sufiksy DNS. Aby dowiedzieć się, jak skonfigurować szybki dostęp, zobacz Jak skonfigurować szybki dostęp.
• Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu na urządzeniach użytkowników końcowych. Aby uzyskać więcej informacji na temat klientów, zobacz klienci Global Secure Access. Aby dowiedzieć się, jak zainstalować klienta systemu Windows, zobacz Globalny klient bezpiecznego dostępu dla systemu Windows. W przypadku systemu macOS zobacz Globalny klient bezpiecznego dostępu dla systemu macOS.

Palo Alto Prisma Access

Aby zintegrować program Palo Alto Prisma Access z usługą Microsoft Global Secure Access, upewnij się, że spełnisz następujące wymagania wstępne. Te kroki zapewniają bezproblemową integrację, lepsze zarządzanie ruchem i lepsze zabezpieczenia.

• Skonfiguruj połączenie usługi lub łącznik ZTNA dla programu Prisma Access, aby zezwolić na dostęp do aplikacji prywatnych. Aby dowiedzieć się więcej na temat konfigurowania połączenia z usługą, zobacz dokumentację palo Alto dotyczącą konfigurowania połączenia z usługą. Aby uzyskać łącznik ZTNA, zobacz dokumentację palo Alto dotyczącą konfigurowania łącznika ZTNA.
• Skonfiguruj aplikację GlobalProtect dla użytkowników mobilnych, aby zezwolić na dostęp zdalny do aplikacji prywatnych. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą konfiguracji globalprotect.
• Skonfiguruj ustawienia tunelu GlobalProtect i ustawienia aplikacji, aby współpracowały z Microsoft Entra Private DNS oraz pomijały usługę Microsoft Entra z w pełni kwalifikowaną nazwą domeny (FQDN) i adresami IP.

Ustawienia tunelu:

1. W portalu Strata Cloud Manager przejdź do Przepływy pracy>Prisma Access Setup>GlobalProtect>GlobalProtect App>Ustawienia tunelu.
2. W sekcji Split Tunneling wyklucz ruch przez dodanie domen i tras: *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16.

Ustawienia aplikacji:

1. W portalu Strata Cloud Manager przejdź do Przepływy pracy>Prisma Access Setup>GlobalProtect>Aplikacja GlobalProtect>Ustawienia aplikacji
2. Przewiń do Konfiguracja Aplikacji>Pokaż zaawansowane opcje>DNS i usuń zaznaczenie pola Rozpoznawanie wszystkich nazw FQDN przy użyciu serwerów DNS przypisanych przez tunel (tylko Windows)

   Uwaga / Notatka

   Ustawienie "Rozwiąż wszystkie nazwy FQDN przy użyciu serwerów DNS przypisanych przez tunel (tylko system Windows)" powinno być wyłączone podczas korzystania z usługi Microsoft Entra Private DNS (konfiguracje 1 i 2). Podczas testowania to ustawienie zostało włączone (zaznaczone) dla konfiguracji 3 i 4.

3. Przejdź do Przepływy pracy>Prisma Access Setup>GlobalProtect>Aplikacja GlobalProtect. Wybierz Push Config i naciśnij Push w prawym górnym rogu ekranu.
4. Sprawdź, czy konfiguracja została przekazana do klienta GlobalProtect. Przejdź do Zarządzanie>Działania>Status wypychania.
5. Zainstaluj klienta Palo Alto Networks GlobalProtect. Aby uzyskać więcej informacji na temat instalowania klienta Palo Alto Networks GlobalProtect, zobacz GlobalProtect App for Windows (Aplikacja GlobalProtect dla systemu Windows). W przypadku systemu macOS zobacz GlobalProtect App for macOS (Aplikacja GlobalProtect dla systemu macOS). Aby konfigurować klienta GlobalProtect, istnieje wiele opcji, takich jak integracja z Microsoft Entra ID w celu tworzenia kont. Aby dowiedzieć się więcej na temat opcji, zobacz logowanie jednokrotne (SSO) Microsoft Entra - Integracja z Palo Alto Networks GlobalProtect. Aby uzyskać najbardziej podstawową konfigurację, dodaj użytkownika lokalnego do aplikacji GlobalProtect firmy Palo Alto Networks Strata Cloud Manager.
6. Przejdź do Zarządzaj>Zarządzaj Konfiguracją>NGFW i Prisma Access.
7. Wybierz Zakres konfiguracji>GlobalProtect, a następnie wybierz Usługi tożsamości>Użytkownicy lokalni i grupy>Użytkownicy lokalni. Dodaj użytkownika i hasło do testowania.
8. Po zainstalowaniu klienta użytkownicy wprowadzają adres portalu i ich poświadczenia.
9. Po zalogowaniu się użytkowników ikona połączenia zmienia kolor na niebieski, a kliknięcie na nią pokazuje, że jest w stanie połączonym.

   Uwaga / Notatka

   Jeśli w Konfiguracji 4 wystąpią problemy z nawiązaniem połączenia z aplikacją GlobalProtect przy użyciu użytkowników lokalnych, spróbuj skonfigurować jednokrotne logowanie Microsoft Entra SSO.

Konfiguracja 1: Microsoft Entra Prywatny Dostęp z „Palo Alto Prisma Access” dla bezpiecznego dostępu do Internetu

W tym scenariuszu globalny bezpieczny dostęp będzie obsługiwać ruch aplikacji prywatnych. Program Prisma Access przechwytuje tylko ruch internetowy.

Konfiguracja dostępu prywatnego firmy Microsoft Entra

W tym scenariuszu należy wykonać następujące czynności.

• Włącz profil przekazywania dostępu prywatnego firmy Microsoft Entra.
• Zainstaluj łącznik sieci prywatnej dla usługi Microsoft Entra Private Access.
• Konfigurowanie szybkiego dostępu i konfigurowanie prywatnego systemu DNS.
• Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu dla systemu Windows lub macOS.

Konfiguracja dostępu Palo Alto Prisma

W tym scenariuszu należy wykonać następujące czynności w portalu Palo Alto Strata Cloud Manager.

• Skonfiguruj i ustaw aplikację GlobalProtect dla użytkowników mobilnych.
• Skonfiguruj ustawienia tunelu GlobalProtect i ustawienia aplikacji do pracy z globalnym bezpiecznym dostępem. Postępuj zgodnie z instrukcjami wymienionymi w sekcji Ustawienia tunelu i Ustawienia aplikacji powyżej.
• Zainstaluj klienta Palo Alto Networks GlobalProtect dla systemu Windows, aplikacji GlobalProtect dla systemu Windows lub macOS, aplikacji GlobalProtect dla systemu macOS.

Po zainstalowaniu i uruchomieniu obu klientów równocześnie oraz po zakończeniu konfiguracji z portali administracyjnych, przejdź do paska zadań, aby sprawdzić, czy klienci Global Secure Access i GlobalProtect są włączone.

Sprawdź konfigurację klienta globalnego bezpiecznego dostępu.

1. Kliknij prawym przyciskiem myszy na > i sprawdź, czy do tego klienta zastosowano reguły prywatnego dostępu i prywatnego DNS.
2. Przejdź do Advanced Diagnostics Health Check> i upewnij się, że testy nie kończą się niepowodzeniem.

Uwaga / Notatka

Aby uzyskać informacje na temat rozwiązywania problemów z błędami sprawdzania kondycji, zobacz Rozwiązywanie problemów z klientem globalnego bezpiecznego dostępu: sprawdzanie kondycji — globalny bezpieczny dostęp | Microsoft Learn.

Testowanie przepływu ruchu

1. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
2. Uzyskaj dostęp do tych witryn internetowych z przeglądarek: salesforce.com, Instagram.com, yelp.com.
3. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Global Secure Access Client i wybierz Zaawansowane Diagnostyka>Ruch.
4. Przewiń, aby zobaczyć, że klient globalnego bezpiecznego dostępu nie przechwytuje ruchu z tych witryn internetowych
5. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu. Zweryfikuj, czy w globalnych dziennikach ruchu dla bezpiecznego dostępu brakuje ruchu związanego z tymi witrynami.
6. Zaloguj się do Palo Alto Networks Strata Cloud Manager i przejdź do Zdarzenia i alerty>Przeglądarka dzienników.
7. Sprawdź, czy ruch związany z tymi witrynami znajduje się w dziennikach dostępu Prisma.
8. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w usłudze Microsoft Entra Private Access. Na przykład dostęp do zasobu plików za pośrednictwem bloku komunikatów serwera (SMB).
9. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu.
10. Sprawdź, czy ruch związany z udziałem plików jest przechwytywany w dziennikach ruchu Global Secure Access.
11. Zaloguj się do Palo Alto Networks Strata Cloud Manager i przejdź do Zdarzenia i alerty>Przeglądarka dzienników. Sprawdź, czy ruch związany z aplikacją prywatną nie jest obecny w dziennikach.
12. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym Przepływ wybierz pozycję Zatrzymaj gromadzenie.
13. Przewiń, aby potwierdzić, że klient Global Secure Access obsługiwał ruch tylko aplikacji prywatnych.

Konfiguracja 2: Microsoft Entra Private Access z Palo Alto Prisma Access dla Dostępu do Aplikacji Prywatnych i Internetu

W tym scenariuszu obaj klienci będą obsługiwać ruch dla oddzielnych aplikacji prywatnych. Prywatne aplikacje w usłudze Microsoft Entra Private Access będą obsługiwane przez globalny bezpieczny dostęp, podczas gdy prywatne aplikacje w połączeniach usługi Prisma Access lub łączniki ZTNA będą dostępne za pośrednictwem klienta GlobalProtect. Ruch internetowy będzie obsługiwany przez program Prisma Access.

Konfiguracja dostępu prywatnego firmy Microsoft Entra

W tym scenariuszu należy wykonać następujące kroki:

• Włącz profil przekazywania dostępu prywatnego firmy Microsoft Entra.
• Zainstaluj łącznik sieci prywatnej dla usługi Microsoft Entra Private Access.
• Konfigurowanie szybkiego dostępu i konfigurowanie prywatnego systemu DNS.
• Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu dla systemu Windows lub macOS.

Konfiguracja aplikacji Palo Alto Networks

W tym scenariuszu należy wykonać następujące czynności w portalu Palo Alto Strata Cloud Manager.

• Skonfiguruj i ustaw aplikację GlobalProtect dla użytkowników mobilnych.
• Skonfiguruj ustawienia tunelu GlobalProtect i ustawienia aplikacji do pracy z globalnym bezpiecznym dostępem. Postępuj zgodnie z instrukcjami wymienionymi w sekcji Ustawienia tunelu i Ustawienia aplikacji powyżej.
• Zainstaluj klienta Palo Alto Networks GlobalProtect dla systemu Windows, aplikacji GlobalProtect dla systemu Windows lub macOS, aplikacji GlobalProtect dla systemu macOS.

Po zainstalowaniu i uruchomieniu obu klientów równocześnie oraz po zakończeniu konfiguracji z portali administracyjnych, przejdź do paska zadań, aby sprawdzić, czy klienci Global Secure Access i GlobalProtect są włączone.

Sprawdź konfigurację klienta globalnego bezpiecznego dostępu.

1. Kliknij prawym przyciskiem myszy na > i sprawdź, czy do tego klienta zastosowano reguły prywatnego dostępu i prywatnego DNS.
2. Przejdź do Advanced Diagnostics Health Check> i upewnij się, że testy nie kończą się niepowodzeniem.

Uwaga / Notatka

Aby uzyskać informacje na temat rozwiązywania problemów z błędami sprawdzania kondycji, zobacz Rozwiązywanie problemów z klientem globalnego bezpiecznego dostępu: sprawdzanie kondycji — globalny bezpieczny dostęp | Microsoft Learn.

Testowanie przepływu ruchu

1. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
2. Uzyskaj dostęp do tych witryn internetowych z przeglądarek: salesforce.com, Instagram.com, yelp.com.
3. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Global Secure Access Client i wybierz Zaawansowane Diagnostyka>Ruch.
4. Przewiń, aby zobaczyć, że klient globalnego bezpiecznego dostępu nie przechwytuje ruchu z tych witryn internetowych.
5. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu. Zweryfikuj, czy w globalnych dziennikach ruchu dla bezpiecznego dostępu brakuje ruchu związanego z tymi witrynami.
6. Zaloguj się do Palo Alto Networks Strata Cloud Manager i przejdź do Zdarzenia i alerty>Przeglądarka dzienników.
7. Sprawdź, czy ruch związany z tymi witrynami znajduje się w dziennikach dostępu Prisma.
8. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w usłudze Microsoft Entra Private Access. Na przykład dostęp do zasobu plików za pośrednictwem bloku komunikatów serwera (SMB).
9. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w programie Prisma Access za pośrednictwem połączenia z usługą lub łącznika ZTNA. Na przykład otwórz sesję protokołu RDP na serwerze prywatnym.
10. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu.
11. Sprawdź, czy ruch związany z prywatną aplikacją udziału plików SMB jest przechwytywany i że ruch związany z sesją protokołu RDP nie jest przechwytywany w dziennikach ruchu globalnego bezpiecznego dostępu.
12. Zaloguj się do Palo Alto Networks Strata Cloud Manager i przejdź do Zdarzenia i alerty>Przeglądarka dzienników. Sprawdź, czy ruch związany z prywatną sesją protokołu RDP jest obecny i że ruch związany z udziałem plików SMB nie znajduje się w dziennikach.
13. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym z ruchem sieciowym wybierz pozycję Zatrzymaj zbieranie.
14. Przewiń, aby potwierdzić, że klient Global Secure Access obsługiwał ruch aplikacji prywatnej dla udziału plików SMB i nie obsługiwał ruchu sesji RDP.

Konfiguracja 3: Microsoft Entra Microsoft Access z dostępem Palo Alto Prisma dla aplikacji prywatnych i dostępu do Internetu

W tym scenariuszu globalny bezpieczny dostęp będzie obsługiwać cały ruch platformy Microsoft 365. Dostęp Prisma będzie obsługiwać aplikacje prywatne za pośrednictwem połączenia z usługą lub łączników ZTNA oraz ruchu internetowego.

Konfiguracja programu Microsoft Entra Microsoft Access

W tym scenariuszu należy wykonać następujące kroki:

• Włącz profil przekazywania usługi Microsoft Entra Microsoft Access.
• Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu dla systemu Windows lub macOS.

Konfiguracja aplikacji Palo Alto Networks

W tym scenariuszu należy wykonać następujące czynności w portalu Palo Alto Strata Cloud Manager.

• Skonfiguruj i ustaw aplikację GlobalProtect dla użytkowników mobilnych.
• Skonfiguruj ustawienia tunelu GlobalProtect i ustawienia aplikacji do pracy z globalnym bezpiecznym dostępem. Postępuj zgodnie z instrukcjami wymienionymi w sekcji Ustawienia tunelu i Ustawienia aplikacji powyżej.
• Zainstaluj klienta Palo Alto Networks GlobalProtect dla systemu Windows, aplikacji GlobalProtect dla systemu Windows lub macOS, aplikacji GlobalProtect dla systemu macOS.

Uwaga / Notatka

W przypadku tej konfiguracji włącz opcję Rozwiąż wszystkie nazwy FQDN przy użyciu serwerów DNS przypisanych przez tunel (tylko system Windows) w ustawieniach aplikacji.

Po zainstalowaniu i uruchomieniu obu klientów równocześnie oraz po zakończeniu konfiguracji z portali administracyjnych, przejdź do paska zadań, aby sprawdzić, czy klienci Global Secure Access i GlobalProtect są włączone.

Sprawdź konfigurację klienta globalnego bezpiecznego dostępu.

1. Kliknij prawym przyciskiem myszy na kliencie Global Secure Access > Profil zaawansowanej diagnostyki > przekazywania i sprawdź, czy reguły Microsoft 365 są stosowane do tego klienta.
2. Przejdź do Advanced Diagnostics Health Check> i upewnij się, że testy nie kończą się niepowodzeniem.

Uwaga / Notatka

Aby uzyskać informacje na temat rozwiązywania problemów z błędami sprawdzania kondycji, zobacz Rozwiązywanie problemów z klientem globalnego bezpiecznego dostępu: sprawdzanie kondycji — globalny bezpieczny dostęp | Microsoft Learn.

Testowanie przepływu ruchu

1. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
2. Uzyskaj dostęp do tych witryn internetowych z przeglądarek: salesforce.com, Instagram.com, yelp.com.
3. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Global Secure Access Client i wybierz Zaawansowane Diagnostyka>Ruch.
4. Przewiń, aby zobaczyć, że klient globalnego bezpiecznego dostępu nie przechwytuje ruchu z tych witryn internetowych.
5. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu. Zweryfikuj, czy w globalnych dziennikach ruchu dla bezpiecznego dostępu brakuje ruchu związanego z tymi witrynami.
6. Zaloguj się do Palo Alto Networks Strata Cloud Manager i przejdź do Zdarzenia i alerty>Przeglądarka dzienników.
7. Sprawdź, czy ruch związany z tymi witrynami znajduje się w dziennikach dostępu Prisma.
8. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w programie Prisma Access za pośrednictwem połączenia z usługą lub łącznika ZTNA. Na przykład otwórz sesję protokołu RDP na serwerze prywatnym.
9. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu.
10. Zweryfikuj, czy ruch związany z sesją protokołu RDP nie znajduje się w dziennikach ruchu Global Secure Access.
11. Zaloguj się do Palo Alto Networks Strata Cloud Manager i przejdź do Zdarzenia i alerty>Przeglądarka dzienników. Sprawdź, czy ruch związany z sesją protokołu RDP znajduje się w dziennikach dostępu Prisma.
12. Dostęp do usługi Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
13. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym Przepływ wybierz pozycję Zatrzymaj gromadzenie.
14. Przewiń, aby sprawdzić, czy klient globalnego bezpiecznego dostępu obsługiwał tylko ruch Microsoft 365.
15. Możesz również zweryfikować, czy ruch jest przechwytywany w dziennikach ruchu Global Secure Access. W centrum administracyjnym Microsoft Entra przejdź do Globalny Bezpieczny Dostęp>Monitor>Dzienniki ruchu.
16. Sprawdź brak ruchu związanego z Outlook Online i SharePoint Online w dziennikach dostępu Prisma w zdarzeniach i alertach>podglądzie dzienników Strata Cloud Manager.

Konfiguracja 4: Microsoft Entra Internet Access i Microsoft Entra Microsoft Access za pomocą programu Palo Alto Prisma Access dla dostępu do aplikacji prywatnych

W tym scenariuszu Global Secure Access będzie obsługiwać Internet i ruch Microsoft. Program Prisma Access przechwytuje tylko ruch aplikacji prywatnych za pośrednictwem połączenia z usługą lub łączników ZTNA.

Konfiguracja Microsoft Entra Internet i Microsoft Access

W tym scenariuszu należy wykonać następujące czynności.

• Włącz profil przekazywania Microsoft Entra Microsoft Access i Microsoft Entra Internet Access.
• Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu dla systemu Windows lub macOS.
• Dodaj niestandardowe obejście profilu przekazywania ruchu w usłudze Microsoft Entra Internet Access, aby wykluczyć FQDN usługi Prisma Access.

Dodaj niestandardowe obejścia dla usług Prisma Access w ramach Global Secure Access.

1. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do pozycji Global Secure Access>>profil dostępu do Internetu. W obszarze > wybierz pozycję "Wyświetl".
2. Rozwiń Niestandardowe obejście> wybierz Dodaj regułę.
3. Pozostaw typ docelowy FQDN i w polu Miejsce docelowe wprowadź *.gpcloudservice.com.
4. Wybierz pozycję Zapisz.

Konfiguracja aplikacji Palo Alto Networks

W tym scenariuszu należy wykonać następujące czynności w portalu Palo Alto Strata Cloud Manager.

• Skonfiguruj i ustaw aplikację GlobalProtect dla użytkowników mobilnych.
• Skonfiguruj ustawienia tunelu GlobalProtect i ustawienia aplikacji do pracy z globalnym bezpiecznym dostępem. Postępuj zgodnie z instrukcjami wymienionymi w sekcji Ustawienia tunelu i Ustawienia aplikacji powyżej.
• Zainstaluj klienta Palo Alto Networks GlobalProtect dla systemu Windows, aplikacji GlobalProtect dla systemu Windows lub macOS, aplikacji GlobalProtect dla systemu macOS.

Uwaga / Notatka

W przypadku tej konfiguracji włącz opcję Rozwiąż wszystkie nazwy FQDN przy użyciu serwerów DNS przypisanych przez tunel (tylko system Windows) w ustawieniach aplikacji.

Po zainstalowaniu i uruchomieniu obu klientów równocześnie oraz po zakończeniu konfiguracji z portali administracyjnych, przejdź do paska zadań, aby sprawdzić, czy klienci Global Secure Access i GlobalProtect są włączone.

Sprawdź konfigurację klienta globalnego bezpiecznego dostępu.

1. Kliknij prawym przyciskiem myszy na > i sprawdź, czy do tego klienta zastosowano reguły Microsoft 365 oraz dostępu do internetu.
2. Przejdź do Advanced Diagnostics Health Check> i upewnij się, że testy nie kończą się niepowodzeniem.

Uwaga / Notatka

Aby uzyskać informacje na temat rozwiązywania problemów z błędami sprawdzania kondycji, zobacz Rozwiązywanie problemów z klientem globalnego bezpiecznego dostępu: sprawdzanie kondycji — globalny bezpieczny dostęp | Microsoft Learn.

Testowanie przepływu ruchu

1. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
2. Uzyskaj dostęp do tych witryn internetowych w przeglądarce: bing.com, , salesforce.comInstagram.com, Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
3. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu. Sprawdź, czy ruch sieciowy związany z tymi witrynami jest przechwytywany w dziennikach ruchu Global Secure Access.
4. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w programie Prisma Access za pośrednictwem połączenia z usługą lub łącznika ZTNA. Na przykład otwórz sesję protokołu RDP na serwerze prywatnym.
5. Zaloguj się do Palo Alto Networks Strata Cloud Manager i przejdź do Zdarzenia i alerty>Przeglądarka dzienników. Sprawdź, czy ruch związany z sesją protokołu RDP jest obecny, a ruch związany z usługą Microsoft 365 i ruchem internetowym, takim jak Instagram.com, Outlook Online i SharePoint Online, brakuje w dziennikach dostępu Prisma.
6. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym z ruchem sieciowym wybierz pozycję Zatrzymaj zbieranie.
7. Przewiń, aby zobaczyć, że klient globalnego bezpiecznego dostępu nie przechwytuje ruchu z aplikacji prywatnej. Należy również zauważyć, że klient Globalnego Bezpiecznego Dostępu przechwytuje ruch dla platformy Microsoft 365 oraz inny ruch internetowy.

Dalsze kroki

- Co to jest globalny bezpieczny dostęp?