Configurar políticas de inspeção de TLS

A inspeção do TLS (Transport Layer Security) no Acesso à Internet do Microsoft Entra permite descriptografar e inspecionar o tráfego criptografado em locais de borda do serviço. Esse recurso permite que o Acesso Seguro Global aplique controles de segurança avançados, como detecção de ameaças, filtragem de conteúdo e políticas de acesso granular. Essas políticas de acesso ajudam a proteger contra ameaças que podem estar ocultas em comunicações criptografadas. Este artigo explica como criar uma política de inspeção de Protocolo TLS com reconhecimento de contexto e atribuí-lo aos usuários em sua organização.

Pré-requisitos

Para concluir as etapas neste processo, são necessários os seguintes pré-requisitos:

• Configurações de inspeção do TLS concluídas com uma autoridade certificadora ativa e habilitada.
• Teste dispositivos ou máquinas virtuais executando Windows, associados ao Microsoft Entra ID ou associados de forma híbrida à ID do Microsoft Entra da sua organização.
• Uma licença de avaliação para Acesso à Internet do Microsoft Entra.
• Pré-requisitos de Acesso Seguro Global

Criar uma política de inspeção TLS com reconhecimento de contexto

Para criar uma política de inspeção de Protocolo TLS ciente do contexto e atribuí-la aos usuários da sua organização, conclua as seguintes etapas:

Etapa 1: Administrador global do Acesso Seguro: criar uma política de inspeção do TLS

Para criar uma política de inspeção do TLS:

1. No Centro de Administração do Microsoft Entra, vá para Secure>políticas de inspeção TLS>Criar política. A ação Padrão especifica o que fazer se nenhuma regra corresponder. A configuração padrão é Inspecionar.

2. Selecione Próximo>Adicionar regra. Na página Regras , você pode definir uma regra personalizada especificando um FQDN ou selecionando uma categoria da Web.

3. Para concluir a configuração de política, vá para Salvar>Próximo>Envio. Observe que uma regra do sistema foi criada automaticamente para excluir destinos que não funcionam com a inspeção do TLS. Uma regra de bypass recomendada editável é criada automaticamente para excluir as categorias Educação, Finanças, Governo e Saúde & Medicina.

4. Para revisar as regras, incluindo as regras criadas automaticamente, selecione uma política e vá para Editar>Regras.

Etapa 2: Administrador global do Acesso Seguro: vincular a política de inspeção do TLS a um perfil de segurança

Vincule a política de inspeção do TLS a um perfil de segurança.

Antes de habilitar a inspeção do TLS no tráfego do usuário, verifique se sua organização estabeleceu e comunicou a política do TLS aos usuários finais. Esta etapa ajuda a manter a transparência e dá suporte à conformidade com os requisitos de privacidade e consentimento.

Você pode vincular a política TLS a um perfil de segurança de duas maneiras:

Opção 1: vincular a política TLS ao perfil de linha de base para todos os usuários

Com esse método, a política de perfil de linha de base é avaliada por último e se aplica a todo o tráfego do usuário.

1. No centro de administração do Microsoft Entra, navegue até Secure>Security profiles.
2. Alterne para a guia Perfil de linha de base.
3. Selecione Editar perfil.
4. No modo de exibição Políticas de link, selecione + Vincular uma política>política de inspeção TLS existente.
5. Na exibição Vincular uma política de inspeção TLS, escolha uma política TLS e atribua a ela uma prioridade.
6. Selecione Adicionar.
   

Opção 2: vincular a política TLS a um perfil de segurança para usuários ou grupos específicos

Como alternativa, adicione uma política TLS a um perfil de segurança e vincule-a a uma política de Acesso Condicional para um usuário ou grupo específico.

Etapa 4: Testar a configuração

Verifique se os dispositivos confiam no certificado raiz usado para interromper e inspecionar o tráfego TLS. Você pode usar o Intune para implantar o certificado confiável nos seus dispositivos Windows gerenciados.

Para testar a configuração:

1. Verifique se o dispositivo do usuário final tem o certificado raiz instalado na pasta Autoridades de Certificação Raiz Confiáveis.

2. Configure o cliente de Acesso Seguro Global:

   • Desabilite o DNS seguro e o DNS interno.
   • Bloqueie o tráfego QUIC do seu dispositivo. O QUIC não tem suporte no Acesso à Internet do Microsoft Entra. A maioria dos sites suporta uma alternativa para TCP quando o QUIC não pode ser estabelecido. Para obter uma experiência de usuário aprimorada, implante uma regra de firewall de Windows que bloqueia o UDP 443 de saída: New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.
   • Verifique se o Encaminhamento de Tráfego de Acesso à Internet está habilitado. 

3. Abra um navegador em um dispositivo cliente e teste vários sites. Inspecione as informações do certificado e confirme o certificado de Acesso Seguro Global.

Desabilitar a inspeção do TLS

Para desabilitar a inspeção do TLS:

1. Remova o link de política do perfil de segurança:
   1. Navegue até Acesso Seguro Global>Seguro>Perfis de segurança.
   2. Alterne para a guia Perfil de linha de base.
   3. Selecione Editar perfil.
   4. Selecione a exibição Associar políticas.
   5. Selecione o ícone Excluir para a política que você está desabilitando.
   6. Selecione Excluir para confirmar.
2. Remova a política de inspeção do TLS:
   1. Navegue até Acesso Seguro Global>Proteger>Políticas de inspeção de TLS.
   2. Selecione Ações.
   3. Selecione Excluir.
3. Remova o certificado da política de inspeção do TLS:
   1. Alterne para a aba configurações de inspeção do TLS.
   2. Selecione Ações.
   3. Selecione Excluir.

Conteúdo relacionado

• Definir configurações de inspeção do TLS
• Criar um certificado TLS usando o ADCS
• Criar um certificado TLS usando OpenSSL
• O que é a inspeção de Segurança da Camada de Transporte?
• Perguntas frequentes sobre a inspeção da Segurança da Camada de Transporte (TLS)
• Solucionar problemas de inspeção de Transport Layer Security (TLS)