Como habilitar e gerenciar o perfil de encaminhamento de tráfego da Microsoft
Com o perfil da Microsoft habilitado, o Microsoft Entra Internet Access adquire o tráfego que vai para os serviços da Microsoft. O perfil da Microsoft gerencia os seguintes grupos de políticas:
- Exchange Online
- SharePoint Online e Microsoft OneDrive.
- Microsoft 365 Common e Office Online (somente Microsoft Entra ID e Microsoft Graph)
Pré-requisitos
Para habilitar o perfil de encaminhamento de tráfego da Microsoft para o seu locatário, você deve ter:
- Uma função de Administrador de Acesso Seguro Global no Microsoft Entra ID para habilitar perfis de tráfego.
- Uma função Administrador do Acesso Condicional para criar e interagir com as políticas de Acesso Condicional.
- O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é Acesso Global Seguro. Se necessário, você pode adquirir licenças ou obter licenças de avaliação.
- Para usar o perfil de encaminhamento de tráfego da Microsoft, recomendamos uma licença do Microsoft 365 E3.
Limitações conhecidas
- Serviços individuais são adicionados ao perfil de tráfego da Microsoft em uma base contínua. Atualmente, o Microsoft Entra ID, Microsoft Graph, Exchange Online e SharePoint Online têm suporte como parte do perfil de tráfego da Microsoft
- Para obter limitações adicionais do perfil de tráfego da Microsoft, consulte Limitações conhecidas do Cliente Windows
Habilitar o perfil de tráfego da Microsoft
Entre no centro de administração do Microsoft Entra como um Administrador do Acesso Seguro Global.
Navegue até Acesso Seguro Global>Conectar>Encaminhamento de tráfego.
Habilitar o perfil de tráfego da Microsoft. O tráfego da Microsoft começa a ser encaminhado de todos os dispositivos clientes para o proxy SSE (Security Service Edge) da Microsoft, onde você pode configurar recursos avançados de segurança específicos ao tráfego da Microsoft.
Políticas de tráfego da Microsoft
Para gerenciar os detalhes incluídos na política de encaminhamento de tráfego da Microsoft, selecione o link Exibir para Políticas de tráfego da Microsoft.
Os grupos de políticas são listados, com uma caixa de seleção para indicar se o grupo de políticas está habilitado. Expanda um grupo de políticas para exibir todos os IPs e FQDNs incluídos no grupo.
Os grupos de políticas incluem os seguintes detalhes:
- Tipo de destino: sub-rede IP ou FQDN
- Destino: os detalhes da sub-rede IP ou FQDN
- Portas: portas UDP ou TCP que são combinadas com os endereços IP para formar o ponto de extremidade de rede
- Protocolo: protocolo TCP ou protocolo UDP
- Ação: encaminhar ou ignorar
Você pode configurar as regras de aquisição de tráfego para ignorar a aquisição de tráfego. Se fizer isso, os usuários ainda poderão acessar os recursos; no entanto, o serviço Acesso Global Seguro não processará o tráfego. Você pode ignorar o tráfego para um FQDN ou endereço IP específico, um grupo de políticas inteiro dentro do perfil ou o próprio perfil da Microsoft inteiro. Se precisar encaminhar apenas alguns dos recursos da Microsoft em um grupo de políticas, habilite o grupo e altere a Ação nos detalhes de acordo.
O exemplo a seguir mostra a configuração do FQDN *.sharepoint.com como Ignorar para que o tráfego não seja encaminhado para o serviço.
Se o cliente do Acesso Seguro Global não conseguir se conectar ao serviço (por exemplo, devido a uma falha de autorização ou no Acesso Condicional), o serviço ignora o tráfego. O tráfego é enviado de forma direta e local em vez de ser bloqueado. Nesse cenário, você pode criar uma política de Acesso Condicional para a verificação da rede em conformidade, para bloquear o tráfego se o cliente não conseguir se conectar ao serviço.
Políticas de Acesso Condicional vinculadas
As políticas de Acesso Condicional são criadas e aplicadas ao perfil de encaminhamento de tráfego na área Acesso Condicional do Microsoft Entra ID. Por exemplo, você pode criar uma política que exija dispositivos compatíveis quando os usuários estiverem estabelecendo a conexão de rede para serviços no perfil de tráfego da Microsoft.
Se você vir "Nenhum" na seção Políticas de Acesso Condicional Vinculado, não haverá uma política de Acesso Condicional vinculada ao perfil de encaminhamento de tráfego. Para criar uma política de Acesso Condicional, consulte Acesso Condicional Universal por meio do Acesso Global Seguro.
Editar uma política de Acesso Condicional existente
Se o perfil de encaminhamento de tráfego tiver uma política de Acesso Condicional vinculada, você poderá exibir e editar essa política.
Selecione o link Exibir para Políticas de Acesso Condicional vinculadas.
Selecione uma política na lista. Os detalhes da política são abertos no Acesso Condicional.
Atribuições de rede remota do perfil de tráfego da Microsoft
Os perfis de tráfego podem ser atribuídos a redes remotas, para que o tráfego de rede seja encaminhado para o Acesso Seguro Global sem precisar instalar o cliente em dispositivos de usuário final. Desde que o dispositivo esteja atrás do CPE (equipamento local do cliente), o cliente não é necessário. Você deve criar uma rede remota antes de adicioná-la ao perfil. Para obter mais informações, confira Como criar redes remotas.
Para atribuir uma rede remota ao perfil da Microsoft:
- Entre no centro de administração do Microsoft Entra como um Administrador do Acesso Seguro Global.
- Navegue até Acesso Seguro Global>Conectar>Encaminhamento de tráfego.
- Na seção Remover atribuições de rede, selecione o link Exibir para o perfil.
- Selecione uma rede remota na lista e selecione Adicionar.
Atribuições de usuários e grupos
É possível definir o escopo do perfil da Microsoft para usuários e grupos específicos em vez de aplicar o perfil de tráfego a todos os usuários. Para saber mais sobre atribuição de usuários e grupos, veja Como atribuir e gerenciar usuários e grupos com perfis de encaminhamento de tráfego.
Próximas etapas
A próxima etapa para começar a usar o Acesso à Internet do Microsoft Entra é instalar e configurar o Cliente de Acesso Seguro Global em dispositivos de usuário final
Para obter mais informações sobre o encaminhamento de tráfego, consulte o artigo a seguir: