Diretrizes de prova de conceito do Microsoft Global Secure Access: Configurar o Microsoft Entra Internet Access

As orientações de PoC (Prova de Conceito) nesta série de artigos ajudam você a aprender, implantar e testar o Microsoft Global Secure Access com o Microsoft Entra Internet Access, o Microsoft Entra Private Access e o perfil de tráfego da Microsoft.

As orientações detalhadas começam com Introdução às orientações de prova de conceito do Acesso Seguro Global da Microsoft, continuam com Configurar o Acesso Privado do Microsoft Entrae concluem com este artigo.

Este artigo ajuda você a configurar o Microsoft Entra Internet Access para atuar como um gateway da Web seguro. Essa solução permite que você configure políticas para filtrar o conteúdo da Web para permitir ou bloquear o tráfego da Internet. Em seguida, você pode agrupar essas políticas em perfis de segurança que você aplica aos usuários por meio de políticas de Acesso Condicional.

Nota

Aplique as regras e políticas na ordem de prioridade . Para obter diretrizes detalhadas, consulte a lógica de processamento de política .

Configurar o Microsoft Entra Acesso à Internet

Para configurar o Microsoft Entra Internet Access, consulte Como configurar a filtragem de conteúdo da Web do Global Secure Access. Ele fornece diretrizes para executar estas etapas de alto nível:

1. Habilitar o encaminhamento de tráfego da Internet.
2. Crie uma política para filtrar o conteúdo da Web.
3. Crie um perfil de segurança.
4. Vincule o perfil de segurança a uma política de Acesso Condicional.
5. Atribua usuários ou grupos ao perfil de encaminhamento de tráfego.

Configurar casos de uso

Configure e teste casos de uso do Microsoft Entra Internet Access com políticas de filtragem de conteúdo da Web, perfis de segurança e políticas de Acesso Condicional. As seções a seguir fornecem casos de uso de exemplo com diretrizes específicas.

Criar um perfil de linha de base que se aplique a todo o tráfego da Internet roteado por meio do serviço

Execute as seguintes etapas para usar um perfil de linha de base para ajudar a proteger todo o tráfego em seu ambiente sem a necessidade de aplicar políticas de Acesso Condicional:

1. Criar uma política para filtrar o conteúdo da Web que inclua regras para permitir ou bloquear FQDNs (nomes de domínio totalmente qualificados) ou categorias da Web em sua base de usuários. Por exemplo, crie uma regra que bloqueia a categoria Redes Sociais para bloquear todos os sites de mídia social.

2. Vincule a política de filtragem de conteúdo web ao perfil de linha de base . No Centro de administração do Microsoft Entra, vá para Acesso Seguro Global>Seguro>perfis de segurança>perfil de linha de base.

3. Entre no dispositivo de teste e tente acessar o site bloqueado.

4. Examine a atividade no log de tráfego para confirmar se as entradas para o FQDN de destino estão sendo mostradas como bloqueadas. Se necessário, use Adicionar filtro para filtrar os resultados em nome principal de usuário para o usuário de teste.

Impedir que um grupo acesse sites com base na categoria

1. Criar uma política para filtrar de conteúdo da Web que inclua regras para bloquear uma categoria da Web. Por exemplo, crie uma regra que bloqueia a categoria Redes Sociais para bloquear todos os sites de mídia social.

2. Criar um perfil de segurança agrupar e priorizar suas políticas. Vincule a política de filtragem de conteúdo da Web a esse perfil.

3. Crie uma política de acesso condicional para aplicar o perfil de segurança aos usuários.

4. Entre no dispositivo de teste e tente acessar um site bloqueado. Você deverá ver DeniedTraffic para sites http e uma notificação Não é possível acessar esta página para sites https. Pode levar até 90 minutos para que uma política recém-atribuída entre em vigor. Pode levar até 20 minutos para que as alterações em uma política existente entrem em vigor.

5. Examine a atividade no log de tráfego para confirmar se as entradas para o FQDN de destino estão sendo mostradas como bloqueadas. Se necessário, use Adicionar filtro para filtrar os resultados em nome principal de usuário para o usuário de teste.

Impedir que um grupo acesse sites com base no FQDN

1. Criar uma política para filtrar de conteúdo da Web que inclua regras para bloquear um FQDN (não uma URL).

2. Criar um perfil de segurança agrupar e priorizar suas políticas. Vincule a política de filtragem de conteúdo da Web a esse perfil.

3. Crie uma política de acesso condicional para aplicar o perfil de segurança aos usuários.

4. Entre no dispositivo de teste e tente acessar o FQDN bloqueado. Você deverá ver DeniedTraffic para sites http e uma notificação Não é possível acessar esta página para sites https. Pode levar até 90 minutos para que uma política recém-atribuída entre em vigor. Pode levar até 20 minutos para que as alterações em uma política existente entrem em vigor.

5. Examine a atividade no log de tráfego para confirmar se as entradas para o FQDN de destino estão sendo mostradas como bloqueadas. Se necessário, use Adicionar filtro para filtrar os resultados em nome principal de usuário para o usuário de teste.

Permitir que um usuário acesse um site bloqueado

1. Criar uma política para filtrar o conteúdo da Web que inclui uma regra para permitir um FQDN.

2. Criar um perfil de segurança agrupar e priorizar suas políticas para filtrar o conteúdo da Web. Dê a esse perfil permitido uma prioridade maior do que o perfil bloqueado. Por exemplo, se o perfil bloqueado for definido como prioridade 500, defina o perfil permitido como 400.

3. Crie uma política de acesso condicional para aplicar o perfil de segurança aos usuários que precisam de acesso ao FQDN bloqueado.

4. Entre no dispositivo de teste e tente acessar o FQDN permitido. Pode levar até 90 minutos para que uma política recém-atribuída entre em vigor. Pode levar até 20 minutos para que as alterações em uma política existente entrem em vigor.

5. Exiba a atividade no log de tráfego para confirmar se as entradas do FQDN de destino são mostradas conforme permitido. Se necessário, use Adicionar filtro para filtrar os resultados em nome principal de usuário para o usuário de teste.

Habilitar e gerenciar o perfil de encaminhamento de tráfego da Microsoft

Um dos principais recursos do Microsoft Entra Internet Access é sua capacidade de ajudar a proteger o tráfego da Microsoft. Você pode implantar rapidamente um perfil de tráfego da Microsoft configurado automaticamente que inclui regras de encaminhamento de tráfego. Use essas regras para ajudar a proteger e monitorar o tráfego da Microsoft (como o SharePoint Online e o Exchange Online) e o tráfego de autenticação para qualquer aplicativo integrado à ID do Microsoft Entra. Há limitações conhecidas.

1. Habilitar o perfil de tráfego da Microsoft.

2. Atribua usuários e grupos ao perfil.

3. Se desejado, configure políticas de Acesso Condicional para impor verificações de rede em conformidade.

4. Entre no dispositivo de teste e tente acessar o SharePoint Online e o Exchange Online.

5. Verifique a atividade no log de tráfego para confirmar se o Acesso Seguro Global está habilitando o acesso. Verifique nos logs de entrada que por meio de de Acesso Seguro Global é exibido como Sim.

Implementar restrições universais de inquilinos

Restrições universais de locatário habilitam você a controlar o acesso a locatários externos por identidades não gerenciadas em dispositivos e redes gerenciados pela empresa. Você pode impor essa restrição com as Restrições de Locatário do Entra ID, bloqueando ou permitindo todo o tráfego de um locatário externo.

Esse cenário geralmente exige que você envie todo o tráfego por meio de um proxy de rede corporativo. Com restrições universais de locatário, as organizações podem aplicar políticas de restrições de locatário aos usuários em qualquer dispositivo com o cliente de Acesso Seguro Global, sem a necessidade de implementar VPN e enviar tráfego por meio de um proxy específico, reduzindo a latência de rede.

Depois de habilitar o perfil de tráfego da Microsoft, siga estas etapas para implementar restrições universais para locatários:

1. Configurar restrições de locatário v2. Se sua organização atualmente usa tenant restrictions v1, revise o guia para migrar para tenant restrictions v2.

2. habilitar a sinalização de Acesso Seguro Global para restrições de locatário.

3. Entre no dispositivo de teste e use uma janela do navegador privado para entrar em qualquer aplicativo protegido pela ID do Entra em um locatário diferente, usando as credenciais da conta de membro desse locatário.

4. Validar Restrições Universais de Inquilino.

Solucionar problemas

Se você tiver problemas com sua PoC, esses artigos poderão ajudá-lo a solucionar problemas, registrar em log e monitorar:

• Perguntas Frequentes sobre Acesso Seguro Global
• Solucionar problemas de instalação do conector de rede privada do Microsoft Entra
• Solucionar problemas do cliente Global Secure Access: Diagnósticos
• Solucionar problemas do cliente de Acesso Seguro Global: aba Verificação de integridade
• solucionar um problema em um sistema de arquivos distribuído com o do Global Secure Access
• Logs e monitoramento de Acesso Seguro Global
• Como usar pastas de trabalho com o Global Secure Access

Conteúdo relacionado

• Introdução ao guia de prova de conceito do Acesso Seguro Global da Microsoft
• configurar o Microsoft Entra Private Access
• introdução ao guia de implantação do Microsoft Global Secure Access
• guia de implantação do Microsoft Global Secure Access para o Microsoft Entra Private Access
• guia de implantação do Microsoft Global Secure Access para o Microsoft Entra Internet Access
• guia de implantação do Microsoft Global Secure Access para o tráfego da Microsoft