Compartilhar via

Saiba mais sobre a coexistência de SSE (Security Service Edge) com a Microsoft e a Cisco

Aproveite as soluções de SSE (Security Service Edge) da Microsoft e da Cisco em um ambiente unificado para aproveitar um conjunto robusto de recursos das duas plataformas e elevar sua jornada de SASE (Secure Access Service Edge). A sinergia entre essas plataformas capacita os clientes com segurança aprimorada e conectividade perfeita.

Este documento contém etapas para implantar essas soluções lado a lado, especificamente, o Acesso privado do Microsoft Entra (com o recurso DNS privado habilitado) e o Cisco Umbrella para acesso à Internet e segurança de camada DNS.

Visão geral de configuração

No Microsoft Entra, você habilita o perfil de encaminhamento de tráfego do Acesso privado e desabilita os perfis de encaminhamento de tráfego do acesso à Internet e do Microsoft 365. Você também habilita e configura o recurso DNS privado do Acesso privado. Na Cisco, você captura o tráfego do acesso à Internet.

Observação

Os clientes devem ser instalados em um dispositivo associativo ao Microsoft Entra, com Windows 10 ou Windows 11, ou em um dispositivo híbrido associado ao Microsoft Entra.

Configuração do Acesso Privado do Microsoft Entra

Habilite o perfil de encaminhamento de tráfego do Acesso privado do Microsoft Entra para seu locatário do Microsoft Entra. Para obter mais informações sobre como habilitar e desabilitar perfis, consulte Perfis de encaminhamento de tráfego do Acesso Global Seguro.

Instalar e configurar o Cliente de Acesso Seguro Global em dispositivos de usuário final. Para obter mais informações, consulte Clientes de Acesso Global Seguro. Para saber como instalar o cliente Windows, consulte Cliente do Acesso Global Seguro para Windows.

Instalar e configurar o conector de rede privada do Microsoft Entra. Para saber como instalar e configurar um conector, confira Como configurar conectores.

Observação

É necessário ter a versão v1.5.3829.0 ou superior do conector para DNS privado.

Configure o acesso rápido para seus recursos privados e defina o DNS Privado e os sufixos DNS. Para saber como configurar o Acesso rápido, consulte Como configurar o Acesso rápido.

Configuração da Cisco

Adicione sufixos de domínio do Acesso rápido do Microsoft Entra e do FQDN do serviço Microsoft Entra no Gerenciamento de Domínios na lista de domínios internos para ignorar o DNS do Cisco Umbrella. Adicione o FQDN e os IPs do serviço Microsoft Entra na lista de domínios externos no Gerenciamento de Domínios para ignorar o SWG (Secure Web Gateway) da Cisco.

  1. No portal do Cisco Umbrella, acesse Implantações > Configuração > Gerenciamento de Domínio.
  2. Na seção Domínios Internos, adicione-os e salve.
    • *.globalsecureaccess.microsoft.com

      Observação

      Cisco Umbrella tem um curinga implícito, para que você possa usar globalsecureaccess.microsoft.com.

    • <quickaccessapplicationid>.globalsecureaccess.local

      Observação

      quickaccessapplicationid é a ID do aplicativo de acesso rápido configurado.

    • Sufixos DNS configurados no aplicativo de Acesso rápido.
  3. Na seção Domínios Externos e IPs, adicione esses FQDN e IPs e salve.
    • *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16

      Observação

      Cisco Umbrella tem um curinga implícito, para que você possa usar globalsecureaccess.microsoft.com para o FQDN.

  4. Reinicie os serviços de cliente Cisco Umbrella e Cisco SWG ou reinicie o computador em que os clientes estão instalados.

Depois que ambos os clientes forem instalados e estiverem em execução lado a lado, e as configurações dos portais de administração forem concluídas, acesse a bandeja do sistema para verificar se o Acesso Global Seguro e os clientes Cisco estão habilitados.

Verifique a configuração do cliente do Acesso Global Seguro.

  1. Clique com o botão direito do mouse em Cliente de Acesso Global Seguro>Diagnóstico Avançado>Perfil de Encaminhamento e verifique se as regras de Acesso privado são aplicadas a este cliente.
  2. Em Diagnóstico Avançado > Verificação de Integridade e observe se não há falhas nas verificações.

Testar o fluxo de tráfego

Configuração do SSE da Microsoft: habilite o Acesso Privado do Microsoft Entra, desabilite o Acesso à Internet e os perfis de encaminhamento de tráfego do Microsoft 365.

Configuração da SSE da Cisco: o tráfego de acesso à Internet é capturado. O tráfego do Acesso Privado é excluído.

  1. Na bandeja do sistema, clique com o botão direito do mouse no ícone de cliente do Acesso Global Seguro, e selecione Diagnóstico Avançado. Selecione a guia Tráfego e selecione Iniciar coleta.
  2. Acesse os recursos privados configurados com o Acesso privado do Entra, como o compartilhamento de arquivos SMB. Abra \\YourFileServer.yourdomain.com usando o menu Iniciar/Executar de uma janela do explorador.
  3. Na bandeja do sistema, clique com o botão direito do mouse no cliente do Acesso Global Seguro e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego de rede, selecioneParar de coletar.
  4. Na caixa de diálogo Tráfego de rede, role a tela para observar o tráfego gerado para confirmar se o tráfego de Acesso privado foi tratado pelo cliente do Acesso Global Seguro.
  5. Você também pode verificar se o tráfego foi capturado pelo Microsoft Entra validando o tráfego nos logs de tráfego do Acesso Global Seguro do centro de administração do Microsoft Entra em Acesso Global Seguro > Monitor >logs de Tráfego.
  6. Acesse quaisquer sites a partir dos navegadores e confirme que o tráfego de Internet está ausente dos registros de tráfego do Acesso Global Seguro e capturado apenas no Cisco Umbrella.

Próximas etapas