Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A filtragem de conteúdo da Web permite que você implemente controles granulares de acesso à Internet para sua organização com base na categorização de sites.
Os primeiros recursos do SWG (Secure Web Gateway) do Acesso à Internet do Microsoft Entra incluem filtragem de conteúdo da Web com base em nomes de domínio. A Microsoft integra políticas de filtragem granulares ao Microsoft Entra ID e ao Acesso Condicional do Microsoft Entra, o que resulta em políticas de filtragem que têm reconhecimento de usuário, reconhecimento de contexto e são fáceis de gerenciar.
No momento, o recurso de filtragem da Web está limitado à filtragem de categorias da Web baseadas em FQDN (Nome de Domínio Totalmente Qualificado) com reconhecimento de contexto e usuário e filtragem de FQDN.
Pré-requisitos
Os administradores que interagem com os recursos de Acesso Seguro Global devem ter uma ou mais das atribuições de função a seguir, dependendo das tarefas que estão executando.
- A função administrador global de acesso seguro para gerenciar os recursos de Acesso Seguro Global.
- O Administrador de Acesso Condicional para criar e interagir com políticas de Acesso Condicional.
Conclua o guia Introdução ao Acesso Seguro Global .
Instale o cliente de Acesso Seguro Global em dispositivos de usuário final.
Você deve desabilitar o Sistema de Nomes de Domínio (DNS) sobre HTTPS (DNS Seguro) para encapsular o tráfego de rede. Use as regras dos nomes de domínio totalmente qualificados (FQDNs) no perfil de encaminhamento de tráfego. Para obter mais informações, consulte Configurar o cliente DNS para dar suporte ao DoH.
Desabilite o cliente DNS integrado no Chrome e Microsoft Edge.
O tráfego IPv6 não é adquirido pelo cliente e, portanto, é transferido diretamente para a rede. Para permitir que todo o tráfego relevante seja tunelado, defina as propriedades do adaptador de rede como IPv4 preferencial.
O tráfego UDP (isto é, User Datagram Protocol), ou seja, QUIC, não é compatível com a visualização atual do acesso à Internet. A maioria dos sites dá suporte a um recurso alternativo para o protocolo de controle de transmissão (TCP) quando o QUIC não pode ser estabelecido. Para melhorar a experiência do usuário, você pode implantar uma regra de Firewall do Windows que bloqueia o UDP 443 de saída:
@New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.Revise os conceitos de filtragem de conteúdo da Web. Para obter mais informações, consulte a filtragem de conteúdo da Web.
Etapas de alto nível
Há várias etapas para configurar a filtragem de conteúdo da Web. Anote onde você precisa configurar uma política de Acesso Condicional.
- Habilitar o encaminhamento de tráfego da Internet.
- Crie uma política de filtragem de conteúdo da Web.
- Crie um perfil de segurança.
- Vincule o perfil de segurança a uma política de Acesso Condicional.
- Atribua usuários ou grupos ao perfil de encaminhamento de tráfego.
Habilitar o encaminhamento de tráfego da Internet
A primeira etapa é habilitar o perfil de encaminhamento de tráfego de acesso à Internet. Para saber mais sobre o perfil e como habilitá-lo, confira Como gerenciar o perfil de encaminhamento de tráfego do Internet Access.
Criar uma política de filtragem de conteúdo da Web
- Navegue até Acesso Seguro Global>Seguro>política de filtragem de conteúdo da Web.
- Selecione Criar política.
- Insira um nome e uma descrição para a política e selecione Avançar.
- Selecione Adicionar regra.
- Insira um nome, selecione uma categoria da Web ou um FQDN válido e selecione Adicionar.
- FQDNs válidos nesse recurso também podem incluir curingas usando o símbolo de asterisco, *.
- Selecione Avançar para examinar a política e, em seguida, selecione Criar política.
Importante
As alterações na filtragem de conteúdo da Web podem levar até uma hora para serem implantadas.
Criar um perfil de segurança
Perfis de segurança são um agrupamento de políticas de filtragem. Você pode atribuir ou vincular perfis de segurança com políticas de Acesso Condicional do Microsoft Entra. Um perfil de segurança pode conter várias políticas de filtragem. E um perfil de segurança pode ser associado a várias políticas de Acesso Condicional.
Nesta etapa, você criará um perfil de segurança para agrupar políticas de filtragem. Em seguida, você atribui ou vincula os perfis de segurança com uma política de Acesso Condicional para criar reconhecimento de contexto ou de usuário.
Observação
Para saber mais sobre as políticas de Acesso Condicional do Microsoft Entra, confira Como criar uma política de acesso condicional.
- Navegue até Global Secure Access>Secure>perfis de segurança.
- Selecione Criar perfil.
- Insira um nome e uma descrição para a política e selecione Avançar.
- Selecione Vincular uma política e selecione Política existente.
- Selecione a política de filtragem de conteúdo da Web que você já criou e selecione Adicionar.
- Selecione Avançar para examinar o perfil de segurança e a política associada.
- Selecione Criar um perfil.
- Selecione Atualizar para atualizar a página de perfis e exibir o novo perfil.
Criar e vincular política de acesso condicional
Crie uma política de acesso condicional para usuários finais ou grupos e forneça seu perfil de segurança por meio de controles de sessão de acesso condicional. Acesso Condicional é o mecanismo de implementação para conscientização do usuário e do contexto para políticas de Acesso à Internet. Para saber mais sobre controles de sessão, consulte Acesso Condicional: Sessão.
- Navegue até Entra ID>acesso condicional.
- Selecione Criar nova política.
- Insira um nome e atribua um usuário ou grupo.
- Selecione Recursos de destino e todos os recursos da Internet com Acesso Seguro Global.
- Selecione Sessão>Usar perfil de segurança do Acesso Seguro Global e escolha um perfil de segurança.
- Selecione Selecionar.
- Na seção Habilitar política , verifique se Ativar está selecionado.
- Selecione Criar.
Diagrama de fluxo do Internet Access
Este exemplo demonstra o fluxo do tráfego do Acesso à Internet do Microsoft Entra quando você aplica políticas de filtragem de conteúdo da Web.
O diagrama de fluxo a seguir ilustra políticas de filtragem de conteúdo da Web bloqueando ou permitindo o acesso aos recursos da Internet.
| Etapa | Descrição |
|---|---|
| 1 | O cliente do Acesso Global Seguro tenta se conectar à solução do Perímetro de Serviço de Segurança da Microsoft. |
| 2 | O cliente redireciona para o Microsoft Entra ID para autenticação e autorização. |
| 3 | O usuário e o dispositivo se autenticam. A autenticação ocorre sem problemas quando o usuário tem um PRT (Token de Atualização Primária) válido. |
| 4 | Depois que o usuário e o dispositivo se autenticam, o Acesso Condicional corresponde às regras de Acesso Condicional de Acesso à Internet e adiciona perfis de segurança aplicáveis ao token. Ele impõe políticas de autorização aplicáveis. |
| 5 | O Microsoft Entra ID apresenta o token ao Microsoft Security Service Edge para validação. |
| 6 | O túnel é estabelecido entre o cliente de Acesso Global Seguro e o Perímetro de Serviço de Segurança da Microsoft. |
| 7 | O tráfego começa a ser adquirido e passa pelo túnel de acesso à Internet. |
| oito | O Serviço de Segurança de Borda da Microsoft avalia as políticas de segurança no token de acesso em ordem de prioridade. Depois de corresponder em uma regra de filtragem de conteúdo da Web, a avaliação da política de filtragem de conteúdo da Web será interrompida. |
| 9 | O Microsoft Security Service Edge impõe as políticas de segurança. |
| 10 | Política = bloquear resulta em um erro de tráfego HTTP ou ocorre uma exceção de redefinição de conexão para o tráfego HTTPS. |
| 11 | Política = permitir resulta no encaminhamento de tráfego para o destino. |
Observação
A aplicação de um novo perfil de segurança pode levar de 60 a 90 minutos devido à imposição de perfil de segurança com tokens de acesso. O usuário deve receber um novo token de acesso com a nova ID do perfil de segurança como uma declaração antes que ele entre em vigor. As alterações nos perfis de segurança existentes começam a ser impostas muito mais rapidamente.
Atribuições de usuários e grupos
Você pode limitar o perfil de Acesso à Internet a usuários e grupos específicos. Para saber mais sobre a atribuição de usuários e grupos, confira Como atribuir e gerenciar usuários e grupos com perfis de encaminhamento de tráfego.
Verificar aplicação da política do usuário final
Quando o tráfego atinge o Secure Service Edge da Microsoft, o Acesso à Internet do Microsoft Entra executa controles de segurança de duas maneiras. Quanto ao tráfego HTTP não criptografado, ele usa a URL (Uniform Resource Locator). Para o tráfego HTTPS criptografado com TLS (Transport Layer Security), ele usa a SNI (Indicação de Nome do Servidor).
Use um dispositivo Windows com o cliente do Acesso Global Seguro instalado. Inicie sessão como um usuário ao qual foi atribuído o perfil de aquisição de tráfego da Internet. Teste se a navegação em sites é permitida ou restrita conforme o esperado.
Clique com o botão direito do mouse no ícone do cliente Global Secure Access na bandeja do gerenciador de tarefas e abra Diagnóstico Avançado>perfil de Encaminhamento. Verifique se as regras de aquisição de acesso à Internet estão presentes. Além disso, verifique se a aquisição do nome do host e os fluxos para o tráfego de Internet dos usuários estão sendo adquiridos durante a navegação.
Navegue até sites permitidos e bloqueados e verifique se eles se comportam corretamente. Navegue até Acesso Seguro Global>Monitor>logs de tráfego para confirmar se o tráfego está bloqueado ou permitido adequadamente.
A experiência de bloqueio atual para todos os navegadores inclui um erro de navegador de texto não criptografado para tráfego HTTP e um erro de navegador "Redefinição de Conexão" para tráfego HTTPS.
Observação
As alterações de configuração na experiência de Acesso Global Seguro relacionadas à filtragem de conteúdo da Web geralmente entram em vigor em menos de 5 minutos. As alterações de configuração no Acesso Condicional relacionadas à filtragem de conteúdo da Web entram em vigor em aproximadamente uma hora.