Dowiedz się więcej o współistnieniu usługi Security Service Edge (SSE) z firmą Microsoft i rozwiązaniem Zscaler

W dzisiejszym szybko zmieniającym się środowisku cyfrowym organizacje wymagają niezawodnych i ujednoliconych rozwiązań w celu zapewnienia bezpiecznej i bezproblemowej łączności. Firma Microsoft i Zscaler oferują dodatkowe funkcje usługi Secure Access Service Edge (SASE), które w przypadku integracji zapewniają zwiększone zabezpieczenia i łączność w różnych scenariuszach dostępu.

W tym przewodniku opisano sposób konfigurowania i wdrażania rozwiązań firmy Microsoft Entra wraz z ofertami usługi Security Service Edge (SSE) firmy Zscaler. Korzystając z zalet obu platform, można zoptymalizować stan zabezpieczeń organizacji przy zachowaniu wysokiej wydajności łączności dla aplikacji prywatnych, ruchu platformy Microsoft 365 i dostępu do Internetu.

1. Dostęp prywatny Microsoft Entra z rozwiązaniem Zscaler Internet Access

   W tym scenariuszu globalny bezpieczny dostęp obsługuje ruch aplikacji prywatnych. Rozwiązanie Zscaler przechwytuje tylko ruch internetowy. W związku z tym moduł Zscaler Private Access jest wyłączony z portalu Zscaler.

2. Microsoft Entra Private Access z Zscaler Private Access i Zscaler Internet Access

   W tym scenariuszu obaj klienci obsługują ruch dla oddzielnych aplikacji prywatnych. Globalny bezpieczny dostęp obsługuje aplikacje prywatne w usłudze Microsoft Entra Private Access. Aplikacje prywatne w usłudze Zscaler używają modułu Zscaler Private Access. Zscaler Internet Access obsługuje ruch internetowy.

3. Microsoft Entra Microsoft Access z usługą Zscaler Private Access i Zscaler Internet Access

   W tym scenariuszu globalny bezpieczny dostęp obsługuje cały ruch platformy Microsoft 365. Usługa Zscaler Private Access obsługuje ruch aplikacji prywatnych, a usługa Zscaler Internet Access obsługuje ruch internetowy.

4. Microsoft Entra Internet Access i Microsoft Entra Microsoft Access z dostępem prywatnym Zscaler

   W tym scenariuszu Global Secure Access obsługuje ruch w Internecie i Microsoft 365. Rozwiązanie Zscaler przechwytuje tylko ruch aplikacji prywatnych. W związku z tym moduł Zscaler Internet Access jest wyłączony z portalu Zscaler.

Wymagania wstępne

Aby skonfigurować rozwiązania Microsoft i Zscaler dla ujednoliconego rozwiązania SASE, zacznij od skonfigurowania programu Microsoft Entra Internet Access i microsoft Entra Private Access. Następnie skonfiguruj usługę Zscaler Private Access i Zscaler Internet Access. Na koniec należy ustanowić wymaganą nazwę FQDN i obejścia adresów IP, aby zapewnić bezproblemową integrację między dwiema platformami.

• Skonfiguruj program Microsoft Entra Internet Access i dostęp prywatny firmy Microsoft Entra. Te produkty składają się na globalne rozwiązanie bezpiecznego dostępu.
• Konfigurowanie usługi Zscaler Private Access i Internet Access
• Konfiguracja wyjątków FQDN i adresów IP dla Globalnego Bezpiecznego Dostępu

Globalny bezpieczny dostęp firmy Microsoft

Aby skonfigurować Microsoft Entra Global Secure Access i przetestować wszystkie scenariusze w tej dokumentacji:

• Włącz i wyłącz różne profile przekazywania ruchu globalnego bezpiecznego dostępu firmy Microsoft dla dzierżawy Microsoft Entra. Aby uzyskać więcej informacji na temat włączania i wyłączania profilów, zobacz Globalne profile przekazywania ruchu w ramach Global Secure Access.
• Zainstaluj i skonfiguruj łącznik sieci prywatnej firmy Microsoft Entra. Aby dowiedzieć się, jak zainstalować i skonfigurować łącznik, zobacz Jak skonfigurować łączniki.

  Uwaga / Notatka

  Łączniki sieci prywatnej są wymagane dla aplikacji microsoft Entra Private Access.

• Skonfiguruj szybki dostęp do zasobów prywatnych oraz skonfiguruj prywatny system nazw domen (DNS) i sufiksy DNS. Aby dowiedzieć się, jak skonfigurować szybki dostęp, zobacz Jak skonfigurować szybki dostęp.
• Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu na urządzeniach użytkowników końcowych. Aby uzyskać więcej informacji na temat klientów, zobacz klienci Global Secure Access. Aby dowiedzieć się, jak zainstalować klienta systemu Windows, zobacz Globalny klient bezpiecznego dostępu dla systemu Windows. W przypadku systemu macOS zobacz Globalny klient bezpiecznego dostępu dla systemu macOS.

Zscaler Prywatny Dostęp i Dostęp do Internetu

Aby zintegrować usługę Zscaler Private Access i Zscaler Internet Access z globalnym dostępem firmy Microsoft, upewnij się, że spełnisz następujące wymagania wstępne. Te kroki zapewniają bezproblemową integrację, lepsze zarządzanie ruchem i lepsze zabezpieczenia.

• Skonfiguruj program Zscaler Internet Access. Aby dowiedzieć się więcej na temat konfigurowania rozwiązania Zscaler, zobacz Przewodnik po konfiguracji krok po kroku dla rozwiązania ZIA.
• Skonfiguruj dostęp prywatny usługi Zscaler. Aby dowiedzieć się więcej na temat konfigurowania rozwiązania Zscaler, zobacz Przewodnik po konfiguracji krok po kroku dla rozwiązania ZPA.
• Ustawianie i konfigurowanie profilów przekazywania Zscaler Client Connector. Aby dowiedzieć się więcej na temat konfigurowania rozwiązania Zscaler, zobacz Configuring Forwarding Profiles for Zscaler Client Connector (Konfigurowanie profilów przekazywania dla łącznika klienta rozwiązania Zscaler).
• Ustawianie i konfigurowanie profili aplikacji Zscaler Client Connector z obejściami dostępu globalnego bezpieczeństwa. Aby dowiedzieć się więcej na temat konfigurowania rozwiązania Zscaler, zobacz Konfigurowanie profilów aplikacji łącznika klienta rozwiązania Zscaler.

Omijanie globalnych nazw FQDN i adresów IP usługi Globalnego Bezpiecznego Dostępu

Skonfiguruj profil aplikacji Zscaler Client Connector do pracy z w pełni kwalifikowanymi nazwami domen (FQDN) oraz adresami protokołu internetowego (IP) usługi Microsoft Entra.

Te wpisy muszą być obecne w profilach aplikacji dla każdego scenariusza:

• Adresy IP: 150.171.15.0/24, 150.171.18.0/24, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 151.206.0.0/16, 6.6.0.0/16
• Nazwy FQDN: internet.edgediagnostic.globalsecureaccess.microsoft.com, m365.edgediagnostic.globalsecureaccess.microsoft.com, private.edgediagnostic.globalsecureaccess.microsoft.com, aps.globalsecureaccess.microsoft.com, auth.edgediagnostic.globalsecureaccess.microsoft.com, <tenantid>.internet.client.globalsecureaccess.microsoft.com, <tenantid>.m365.client.globalsecureaccess.microsoft.com, <tenantid>.private.client.globalsecureaccess.microsoft.com, <tenantid>.auth.client.globalsecureaccess.microsoft.com, <tenantid>.private-backup.client.globalsecureaccess.microsoft.com, <tenantid>.internet-backup.client.globalsecureaccess.microsoft.com, <tenantid>.m365-backup.client.globalsecureaccess.microsoft.com, <tenantid>.auth-backup.client.globalsecureaccess.microsoft.com.
• Instalowanie i konfigurowanie oprogramowania Zscaler Client Connector.

Konfiguracja 1: Microsoft Entra Private Access z usługą Zscaler Internet Access

W tym scenariuszu usługa Microsoft Entra Private Access obsługuje ruch aplikacji prywatnych, a program Zscaler Internet Access zarządza ruchem internetowym. Moduł Zscaler Private Access jest wyłączony w portalu Zscaler. Aby skonfigurować dostęp prywatny firmy Microsoft Entra, należy wykonać kilka kroków. Najpierw włącz profil przekazywania. Następnie zainstaluj łącznik sieci prywatnej. Następnie skonfiguruj szybki dostęp i skonfiguruj prywatną usługę DNS. Na koniec zainstaluj klienta globalnego bezpiecznego dostępu. W przypadku programu Zscaler Internet Access konfiguracja obejmuje utworzenie profilu przekazywania i profilu aplikacji, dodanie reguł obejścia dla usług Microsoft Entra i zainstalowanie łącznika klienta rozwiązania Zscaler. Na koniec konfiguracje są weryfikowane, a przepływ ruchu jest testowany w celu zapewnienia prawidłowej obsługi ruchu prywatnego i internetowego przez odpowiednie rozwiązania.

konfiguracja prywatnego dostępu Microsoft Entra

W tym scenariuszu należy wykonać następujące kroki:

• Włącz profil przekazywania dostępu prywatnego firmy Microsoft Entra.
• Zainstaluj łącznik sieci prywatnej dla usługi Microsoft Entra Private Access.
• Konfigurowanie szybkiego dostępu i konfigurowanie prywatnego systemu DNS.
• Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu dla systemu Windows lub macOS.

Konfiguracja usługi Zscaler Internet Access

Wykonaj czynności w portalu Zscaler.

• Skonfiguruj i uruchom program Zscaler Internet Access.
• Utwórz profil przekazywania dalej.
• Utwórz profil aplikacji.
• Instalowanie łącznika klienta rozwiązania Zscaler

Dodaj profil przekazywania z portalu łącznika klienta:

1. Przejdź do portalu administracyjnego Zscaler Client Connector>Administracja>Profil Przekazywania>Dodaj Profil Przekazywania.
2. Dodaj nazwę profilu,
3. Wybierz oparty na filtrze pakietów w typie sterownika tunelu.
4. Wybierz akcję przekazywania profilu jako Tunel i wybierz pozycję Wersja tunelu. Na przykład Z-Tunnel 2.0
5. Przewiń w dół do pozycji Przekazywanie akcji profilu dla usługi ZPA.
6. Wybierz pozycję Brak dla wszystkich opcji w tej sekcji.

Dodaj profil aplikacji z portalu łącznika klienta:

1. Przejdź do portalu administracyjnego Zscaler Client Connector App Profiles>Windows (lub macOS)>Dodaj zasady systemu Windows (lub macOS).
2. Dodaj nazwę, ustaw kolejność reguł, taką jak 1, wybierz Włącz, wybierz Użytkownicy, aby zastosować te zasady, a następnie wybierz Forwarding Profile. Na przykład wybierz pozycję Tylko ZIA.
3. Przewiń w dół i dodaj adresy protokołu internetowego (IP) usługi Microsoft SSE oraz w pełni kwalifikowane nazwy domen (FQDN) w sekcji Pomijanie nazw FQDN i adresów IP globalnego bezpiecznego dostępu, w polu "OBEJŚCIE NAZWY HOSTA LUB ADRESU IP DLA BRAMY SIECI VPN".

Przejdź do paska zadań, aby sprawdzić, czy klienci Global Secure Access i Zscaler są włączone.

Sprawdź konfiguracje klientów:

1. Kliknij prawym przyciskiem myszy na Global Secure Access Client>Advanced Diagnostics>Forwarding Profile i sprawdź, czy do tego klienta zastosowano reguły dostępu prywatnego i prywatnego DNS.
2. Przejdź do Zaawansowanej Diagnostyki>Sprawdzania Kondycji i upewnij się, że wszystkie kontrole przechodzą pomyślnie.
3. Kliknij prawym przyciskiem myszy klienta >Więcej. Sprawdź, czy zasady aplikacji pasują do konfiguracji we wcześniejszych krokach. Zweryfikuj, czy jest ona aktualna, czy jest aktualizowana.
4. Przejdź do Zscaler Client>Internet Security. Sprawdź , czy stan usługi to ON , a stan uwierzytelniania to Authenticated.
5. Przejdź do Zscaler Client>Private Access. Sprawdź , czy stan usługi to DISABLED.

Uwaga / Notatka

Aby uzyskać informacje dotyczące rozwiązywania problemów związanych z błędami kontroli stanu, zobacz Rozwiązywanie problemów z diagnostyką klienta Global Secure Access - Kontrola stanu.

Testowanie przepływu ruchu:

1. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
2. Uzyskaj dostęp do tych witryn internetowych w przeglądarce: bing.com, salesforce.com, Instagram.com.
3. W obszarze powiadomień kliknij prawym przyciskiem myszy Global Secure Access Client i wybierz kartę Zaawansowana diagnostyka>Ruch.
4. Przewiń, aby zobaczyć, że klient globalnego bezpiecznego dostępu nie przechwytuje ruchu z tych witryn internetowych.
5. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu. Zweryfikuj, czy w globalnych dziennikach ruchu dla bezpiecznego dostępu brakuje ruchu związanego z tymi witrynami.
6. Zaloguj się do portalu administracyjnego usługi Zscaler Internet Access (ZIA) i przejdź do Analiza>Web Insights>Dzienniki. Sprawdź, czy ruch związany z tymi witrynami znajduje się w dziennikach usługi Zscaler.
7. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w usłudze Microsoft Entra Private Access. Na przykład dostęp do zasobu plików za pośrednictwem bloku komunikatów serwera (SMB).
8. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu.
9. Sprawdź, czy ruch związany z udostępnianiem plików jest przechwytywany w dziennikach ruchu Global Secure Access.
10. Zaloguj się do portalu administracyjnego usługi Zscaler Internet Access (ZIA) i przejdź do Analiza>Web Insights>Dzienniki. Sprawdź, czy ruch związany z aplikacją prywatną nie jest obecny w Pulpicie nawigacyjnym ani w logach ruchu.
11. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym Przepływ wybierz pozycję Zatrzymaj gromadzenie.
12. Przewiń, aby potwierdzić, że klient Global Secure Access obsługiwał ruch tylko aplikacji prywatnych.

Konfiguracja 2: Microsoft Entra Private Access z usługą Zscaler Private Access i Zscaler Internet Access

W tym scenariuszu obaj klienci obsługują ruch dla oddzielnych aplikacji prywatnych. Globalny bezpieczny dostęp obsługuje aplikacje prywatne w usłudze Microsoft Entra Private Access. Aplikacje prywatne w usłudze Zscaler używają modułu Zscaler Private Access. Zscaler Internet Access obsługuje ruch internetowy.

Konfiguracja Microsoft Entra Private Access 2

W tym scenariuszu należy wykonać następujące kroki:

• Włącz profil przekazywania dostępu prywatnego firmy Microsoft Entra.
• Zainstaluj łącznik sieci prywatnej dla usługi Microsoft Entra Private Access.
• Konfigurowanie szybkiego dostępu i konfigurowanie prywatnego systemu DNS.
• Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu dla systemu Windows lub macOS.

Zscaler Private Access i Zscaler Internet Access konfiguracja 2

Wykonaj kroki w portalu Zscaler:

• Przygotuj i skonfiguruj zarówno Zscaler Internet Access, jak i Zscaler Private Access.
• Utwórz profil przekazywania dalej.
• Utwórz profil aplikacji.
• Zainstaluj łącznik klienta rozwiązania Zscaler.

Dodaj profil przekazywania z portalu łącznika klienta:

1. Przejdź do portalu administracyjnego Zscaler Client Connector>Administracja>Profil Przekazywania>Dodaj Profil Przekazywania.
2. Dodaj nazwę profilu,
3. Wybierz oparty na filtrze pakietów w typie sterownika tunelu.
4. Wybierz akcję przekazywania profilu "Tunel", a następnie wybierz wersję tunelu. Na przykład Z-Tunnel 2.0.
5. Przewiń w dół do pozycji Przekazywanie akcji profilu dla usługi ZPA.
6. Wybierz pozycję Tunel dla wszystkich opcji w tej sekcji.

Dodaj profil aplikacji z portalu łącznika klienta:

1. Przejdź do portalu administracyjnego Zscaler Client Connector App Profiles>Windows (lub macOS)>Dodaj zasady systemu Windows (lub macOS).
2. Dodaj nazwę, ustaw kolejność reguł, taką jak 1, wybierz Włącz, wybierz Użytkownicy, aby zastosować te zasady, a następnie wybierz Forwarding Profile. Na przykład wybierz pozycję ZIA i ZPA.
3. Przewiń w dół i dodaj adresy protokołu internetowego (IP) usługi Microsoft SSE oraz w pełni kwalifikowane nazwy domen (FQDN) w sekcji Pomijanie nazw FQDN i adresów IP globalnego bezpiecznego dostępu, w polu "OBEJŚCIE NAZWY HOSTA LUB ADRESU IP DLA BRAMY SIECI VPN".

Przejdź do paska zadań, aby sprawdzić, czy klienci Global Secure Access i Zscaler są włączone.

Sprawdź konfiguracje klientów:

1. Kliknij prawym przyciskiem myszy na Global Secure Access Client>Advanced Diagnostics>Forwarding Profile i sprawdź, czy do tego klienta zastosowano reguły dostępu prywatnego i prywatnego DNS.
2. Przejdź do Zaawansowanej Diagnostyki>Sprawdzania Kondycji i upewnij się, że wszystkie kontrole przechodzą pomyślnie.
3. Kliknij prawym przyciskiem myszy klienta >Więcej. Sprawdź, czy zasady aplikacji pasują do konfiguracji we wcześniejszych krokach. Zweryfikuj, czy jest ona aktualna, czy jest aktualizowana.
4. Przejdź do Zscaler Client>Internet Security. Sprawdź , czy stan usługi to ON , a stan uwierzytelniania to Authenticated.
5. Przejdź do Zscaler Client>Private Access. Sprawdź , czy stan usługi to ON , a stan uwierzytelniania to Authenticated.

Uwaga / Notatka

Aby uzyskać informacje dotyczące rozwiązywania problemów związanych z błędami kontroli stanu, zobacz Rozwiązywanie problemów z diagnostyką klienta Global Secure Access - Kontrola stanu.

Testowanie przepływu ruchu:

1. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
2. Uzyskaj dostęp do tych witryn internetowych w przeglądarce: bing.com, salesforce.com, Instagram.com.
3. W obszarze powiadomień kliknij prawym przyciskiem myszy Global Secure Access Client i wybierz kartę Zaawansowana diagnostyka>Ruch.
4. Przewiń, aby zobaczyć, że klient globalnego bezpiecznego dostępu nie przechwytuje ruchu z tych witryn internetowych.
5. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu. Zweryfikuj, czy w globalnych dziennikach ruchu dla bezpiecznego dostępu brakuje ruchu związanego z tymi witrynami.
6. Zaloguj się do portalu administracyjnego usługi Zscaler Internet Access (ZIA) i przejdź do Analiza>Web Insights>Dzienniki.
7. Sprawdź, czy ruch związany z tymi witrynami znajduje się w dziennikach usługi Zscaler.
8. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w usłudze Microsoft Entra Private Access. Na przykład dostęp do udostępnionego zasobu za pośrednictwem protokołu SMB.
9. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w usłudze Zscaler Private Access. Na przykład otwórz sesję protokołu RDP na serwerze prywatnym.
10. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu.
11. Sprawdź, czy ruch związany z prywatną aplikacją udziału plików SMB jest przechwytywany oraz czy ruch związany z sesją protokołu RDP nie jest rejestrowany w dziennikach ruchu Global Secure Access.
12. Zaloguj się do portalu administracyjnego usługi Zscaler Private Access (ZPA) i przejdź do Analiza>Diagnostyka>Dzienniki. Sprawdź, czy ruch związany z sesją protokołu RDP jest obecny i że ruch związany z udziałem plików SMB nie znajduje się w dziennikach pulpitu nawigacyjnego ani diagnostycznego.
13. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym Przepływ wybierz pozycję Zatrzymaj gromadzenie.
14. Przewiń, aby potwierdzić, że klient Global Secure Access obsługiwał ruch aplikacji prywatnej dla udziału plików SMB i nie obsługiwał ruchu sesji RDP.

Konfiguracja 3: Microsoft Entra Microsoft Access z usługą Zscaler Private Access i Zscaler Internet Access

W tym scenariuszu globalny bezpieczny dostęp obsługuje cały ruch platformy Microsoft 365. Usługa Zscaler Private Access obsługuje ruch aplikacji prywatnych, a usługa Zscaler Internet Access obsługuje ruch internetowy.

Microsoft Entra Microsoft Access konfiguracja 3

W tym scenariuszu należy wykonać następujące kroki:

• Włącz profil przekazywania usługi Microsoft Entra Microsoft Access.
• Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu dla systemu Windows lub macOS.

Zscaler Private Access i Zscaler Internet Access konfiguracja 3

Wykonaj czynności w portalu Zscaler.

• Przygotowanie i konfigurowanie Zscaler Private Access.
• Utwórz profil przekazywania dalej.
• Utwórz profil aplikacji.
• Zainstaluj łącznik klienta rozwiązania Zscaler.

Dodaj profil przekazywania z portalu łącznika klienta:

1. Przejdź do portalu administracyjnego Zscaler Client Connector>Administracja>Profil Przekazywania>Dodaj Profil Przekazywania.
2. Dodaj nazwę profilu,
3. Wybierz oparty na filtrze pakietów w typie sterownika tunelu.
4. Wybierz akcję przekazywania profilu "Tunel", a następnie wybierz wersję tunelu. Na przykład Z-Tunnel 2.0.
5. Przewiń w dół do pozycji Przekazywanie akcji profilu dla usługi ZPA.
6. Wybierz pozycję Tunel dla wszystkich opcji w tej sekcji.

Dodaj profil aplikacji z portalu łącznika klienta:

1. Przejdź do portalu administracyjnego Zscaler Client Connector App Profiles>Windows (lub macOS)>Dodaj zasady systemu Windows (lub macOS).
2. Dodaj nazwę, ustaw kolejność reguł, taką jak 1, wybierz Włącz, wybierz Użytkownicy, aby zastosować te zasady, a następnie wybierz Forwarding Profile. Na przykład wybierz pozycję ZIA i ZPA.
3. Przewiń w dół i dodaj adresy protokołu internetowego (IP) usługi Microsoft SSE oraz w pełni kwalifikowane nazwy domen (FQDN) w sekcji Pomijanie nazw FQDN i adresów IP globalnego bezpiecznego dostępu, w polu "OBEJŚCIE NAZWY HOSTA LUB ADRESU IP DLA BRAMY SIECI VPN".

Przejdź do paska zadań, aby sprawdzić, czy klienci Global Secure Access i Zscaler są włączone.

Sprawdź konfiguracje klientów:

1. Kliknij prawym przyciskiem myszy na Globalnego klienta bezpiecznego dostępu>Zaawansowaną diagnostykę>Profil przekazywania i zweryfikuj, czy do tego klienta są stosowane tylko reguły platformy Microsoft 365.
2. Przejdź do Zaawansowanej Diagnostyki>Sprawdzania Kondycji i upewnij się, że wszystkie kontrole przechodzą pomyślnie.
3. Kliknij prawym przyciskiem myszy klienta >Więcej. Sprawdź, czy zasady aplikacji pasują do konfiguracji we wcześniejszych krokach. Zweryfikuj, czy jest ona aktualna, czy jest aktualizowana.
4. Przejdź do Zscaler Client>Internet Security. Sprawdź , czy stan usługi to ON , a stan uwierzytelniania to Authenticated.
5. Przejdź do Zscaler Client>Private Access. Sprawdź , czy stan usługi to ON , a stan uwierzytelniania to Authenticated.

Uwaga / Notatka

Aby uzyskać informacje dotyczące rozwiązywania problemów związanych z błędami kontroli stanu, zobacz Rozwiązywanie problemów z diagnostyką klienta Global Secure Access - Kontrola stanu.

Testowanie przepływu ruchu:

1. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
2. Uzyskaj dostęp do tych witryn internetowych w przeglądarce: bing.com, salesforce.com, Instagram.com.
3. W obszarze powiadomień kliknij prawym przyciskiem myszy Global Secure Access Client i wybierz kartę Zaawansowana diagnostyka>Ruch.
4. Przewiń, aby zobaczyć, że klient globalnego bezpiecznego dostępu nie przechwytuje ruchu z tych witryn internetowych.
5. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu. Zweryfikuj, czy w globalnych dziennikach ruchu dla bezpiecznego dostępu brakuje ruchu związanego z tymi witrynami.
6. Zaloguj się do portalu administracyjnego usługi Zscaler Internet Access (ZIA) i przejdź do Analiza>Web Insights>Dzienniki.
7. Sprawdź, czy ruch związany z tymi witrynami znajduje się w dziennikach usługi Zscaler.
8. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w usłudze Zscaler Private Access. Na przykład otwórz sesję protokołu RDP na serwerze prywatnym.
9. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu.
10. Zweryfikuj, czy ruch związany z sesją protokołu RDP nie znajduje się w dziennikach ruchu Global Secure Access.
11. Zaloguj się do portalu administracyjnego usługi Zscaler Private Access (ZPA) i przejdź do Analiza>Diagnostyka>Dzienniki. Zweryfikuj, czy ruch związany z sesją RDP jest obecny w konsoli lub w dziennikach diagnostycznych.
12. Dostęp do usługi Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
13. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym Przepływ wybierz pozycję Zatrzymaj gromadzenie.
14. Przewiń, aby sprawdzić, czy klient globalnego bezpiecznego dostępu obsługiwał tylko ruch Microsoft 365.
15. Możesz również zweryfikować, czy ruch jest przechwytywany w dziennikach ruchu Global Secure Access. W centrum administracyjnym Microsoft Entra przejdź do Globalny Bezpieczny Dostęp>Monitor>Dzienniki ruchu.
16. Sprawdź, czy ruch związany z usługami Outlook Online i SharePoint Online jest nieobecny w dziennikach usługi Zscaler Internet Access w Analytics>Web Insights>Logs.

Konfiguracja 4: Microsoft Entra Internet Access i Microsoft Entra Microsoft Access oraz Zscaler Private Access

W tym scenariuszu Global Secure Access obsługuje ruch w Internecie i Microsoft 365. Rozwiązanie Zscaler przechwytuje tylko ruch aplikacji prywatnych. W związku z tym moduł Zscaler Internet Access jest wyłączony z portalu Zscaler.

Konfiguracja Microsoft Entra Internet oraz Microsoft Access 4

W tym scenariuszu należy skonfigurować następujące elementy:

• Włącz profil przekazywania Microsoft Entra Microsoft Access i Microsoft Entra Internet Access.
• Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu dla systemu Windows lub macOS.
• Dodaj niestandardowe obejście zasad profilu przekazywania ruchu w usłudze Microsoft Entra Internet Access , aby wykluczyć usługę ZPA.

Dodawanie niestandardowego obejścia dla rozwiązania Zscaler w globalnym bezpiecznym dostępie:

1. Zaloguj się do centrum administracji Microsoft Entra i przejdź do Global Secure Access>Connect>Przekazywanie ruchu>profil dostępu do Internetu. W obszarze Zasady dostępu do Internetu wybierz pozycję Wyświetl.
2. Rozwiń Obejście niestandardowe i wybierz opcję Dodaj regułę.
3. Pozostaw typ FQDN miejsca docelowego i w polu Miejsce docelowe wprowadź wartość *.prod.zpath.net.
4. Wybierz Zapisz.

Konfiguracja Zscaler Private Access 4

Wykonaj procedurę w portalu Zscaler:

• Przygotowanie i konfigurowanie Zscaler Private Access.
• Utwórz profil przekazywania dalej.
• Utwórz profil aplikacji.
• Zainstaluj łącznik klienta rozwiązania Zscaler.

Dodaj profil przekazywania z portalu łącznika klienta:

1. Przejdź do portalu administratora Zscaler Client Connector >>>.
2. Dodaj nazwę profilu,
3. Wybierz oparty na filtrze pakietów w typie sterownika tunelu.
4. Wybierz akcję przekazywania profilu jako Brak.
5. Przewiń w dół do pozycji Przekazywanie akcji profilu dla usługi ZPA.
6. Wybierz pozycję Tunel dla wszystkich opcji w tej sekcji.

Dodaj profil aplikacji z portalu łącznika klienta:

1. Przejdź do portalu administracyjnego Zscaler Client Connector App Profiles>Windows (lub macOS)>Dodaj zasady systemu Windows (lub macOS).
2. Dodaj nazwę, ustaw kolejność reguł, taką jak 1, wybierz Włącz, wybierz Użytkownicy, aby zastosować te zasady, a następnie wybierz Forwarding Profile. Na przykład wybierz pozycję Tylko ZPA.
3. Przewiń w dół i dodaj adresy protokołu internetowego (IP) usługi Microsoft SSE oraz w pełni kwalifikowane nazwy domen (FQDN) w sekcji Pomijanie nazw FQDN i adresów IP globalnego bezpiecznego dostępu, w polu "OBEJŚCIE NAZWY HOSTA LUB ADRESU IP DLA BRAMY SIECI VPN".

Otwórz zasobnik systemu, aby sprawdzić, czy są włączeni klienci Global Secure Access i Zscaler.

Sprawdź konfiguracje klientów:

1. Kliknij prawym przyciskiem myszy na Global Secure Access Client>Advanced Diagnostics>Forwarding Profile i sprawdź, czy reguły Microsoft 365 i Internet Access są stosowane do tego klienta.
2. Rozszerz reguły > dostępu do Internetu. Sprawdź, *.prod.zpath.net czy niestandardowe obejście istnieje w profilu.
3. Przejdź do Zaawansowanej Diagnostyki>Sprawdzania Kondycji i upewnij się, że wszystkie kontrole przechodzą pomyślnie.
4. Kliknij prawym przyciskiem myszy klienta >Więcej. Sprawdź, czy zasady aplikacji pasują do konfiguracji we wcześniejszych krokach. Zweryfikuj, czy jest ona aktualna, czy jest aktualizowana.
5. Przejdź do Zscaler Client>Private Access. Sprawdź , czy stan usługi to ON , a stan uwierzytelniania to Authenticated.
6. Przejdź do Zscaler Client>Internet Security. Sprawdź , czy stan usługi to DISABLED.

Uwaga / Notatka

Aby uzyskać informacje dotyczące rozwiązywania problemów związanych z błędami kontroli stanu, zobacz Rozwiązywanie problemów z diagnostyką klienta Global Secure Access - Kontrola stanu.

Testowanie przepływu ruchu:

1. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. Wybierz kartę Ruch i wybierz pozycję Rozpocznij zbieranie.
2. Uzyskaj dostęp do tych witryn internetowych w przeglądarce: bing.com, , salesforce.comInstagram.com, Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
3. Zaloguj się do centrum administracyjnego Microsoft Entra i przejdź do Global Secure Access>Monitor>Dziennik ruchu. Sprawdź, czy ruch sieciowy związany z tymi witrynami jest przechwytywany w dziennikach ruchu Global Secure Access.
4. Uzyskaj dostęp do aplikacji prywatnej skonfigurowanej w usłudze Zscaler Private Access. Na przykład przy użyciu pulpitu zdalnego (RDP).
5. Zaloguj się do portalu administracyjnego usługi Zscaler Private Access (ZPA) i przejdź do Analiza>Diagnostyka>Dzienniki. Zweryfikuj, czy ruch związany z sesją RDP jest obecny w konsoli lub w dziennikach diagnostycznych.
6. Zaloguj się do portalu administracyjnego usługi Zscaler Internet Access (ZIA) i przejdź do Analiza>Web Insights>Dzienniki. W dziennikach ZIA brakuje ruchu związanego z usługą Microsoft 365 i ruchem internetowym, takim jak Instagram.com, Outlook Online i SharePoint Online.
7. Na pasku zadań systemu kliknij prawym przyciskiem myszy pozycję Globalny klient bezpiecznego dostępu, a następnie wybierz pozycję Diagnostyka zaawansowana. W oknie dialogowym Przepływ wybierz pozycję Zatrzymaj gromadzenie.
8. Przewiń, aby zobaczyć, że klient globalnego bezpiecznego dostępu nie przechwytuje ruchu z aplikacji prywatnej. Należy również zauważyć, że klient Globalnego Bezpiecznego Dostępu przechwytuje ruch dla platformy Microsoft 365 oraz inny ruch internetowy.