Saiba mais sobre a coexistência de SSE (Security Service Edge) com a Microsoft e a Zscaler

No cenário digital em rápida evolução de hoje, as organizações exigem soluções robustas e unificadas para garantir a conectividade segura e perfeita. A Microsoft e o Zscaler oferecem recursos complementares de SASE (Secure Access Service Edge) que, quando integrados, fornecem segurança e conectividade aprimoradas para diversos cenários de acesso.

Este guia descreve como configurar e implantar soluções do Microsoft Entra junto com as ofertas do SSE (Security Service Edge) do Zscaler. Usando os pontos fortes de ambas as plataformas, você pode otimizar a postura de segurança da sua organização, mantendo a conectividade de alto desempenho para aplicativos privados, tráfego do Microsoft 365 e acesso à Internet.

1. Microsoft Entra Private Access com Zscaler Internet Access

   Nesse cenário, o Acesso Seguro Global manipula o tráfego de aplicativos privados. O Zscaler captura apenas o tráfego da Internet. Portanto, o módulo Zscaler Private Access está desabilitado no portal do Zscaler.

2. Microsoft Entra Private Access com Zscaler Private Access e Zscaler Internet Access

   Nesse cenário, ambos os clientes lidam com o tráfego para aplicativos privados separados. O Acesso Seguro Global manipula aplicativos privados no Microsoft Entra Private Access. Os aplicativos privados no Zscaler usam o módulo Zscaler Private Access. O Zscaler Internet Access manipula o tráfego da Internet.

3. Microsoft Entra Microsoft Access com Zscaler Private Access e Zscaler Internet Access

   Nesse cenário, o Acesso Seguro Global manipula todo o tráfego do Microsoft 365. O Zscaler Private Access manipula o tráfego de aplicativo privado e o Zscaler Internet Access manipula o tráfego da Internet.

4. Microsoft Entra Internet Access e Microsoft Entra Microsoft Access com o Zscaler Private Access

   Nesse cenário, o Acesso Seguro Global manipula o tráfego da Internet e do Microsoft 365. O Zscaler captura apenas o tráfego de aplicativo privado. Portanto, o módulo Zscaler Internet Access está desabilitado no portal do Zscaler.

Pré-requisitos

Para configurar a Microsoft e o Zscaler para uma solução SASE unificada, comece configurando o Microsoft Entra Internet Access e o Microsoft Entra Private Access. Em seguida, configure o Zscaler Private Access e o Zscaler Internet Access. Por fim, certifique-se de estabelecer os bypasses FQDN e IP necessários para garantir uma integração tranquila entre as duas plataformas.

• Configure o Microsoft Entra Internet Access e o Microsoft Entra Private Access. Esses produtos compõem a solução de Acesso Seguro Global.
• Configurar o Zscaler Private Access e o Zscaler Internet Access
• Configurar o FQDN de Acesso Seguro Global e os bypasses de IP

Acesso Seguro Global da Microsoft

Para configurar o Microsoft Entra Global Secure Access e testar todos os cenários nesta documentação:

• Habilite e desabilite diferentes perfis de encaminhamento de tráfego do Microsoft Global Secure Access para seu locatário do Microsoft Entra. Para obter mais informações sobre como habilitar e desabilitar perfis, consulte Perfis de encaminhamento de tráfego do Acesso Global Seguro.
• Instalar e configurar o conector de rede privada do Microsoft Entra. Para saber como instalar e configurar um conector, confira Como configurar conectores.

  Observação

  Conectores de rede privada são necessários para aplicativos do Microsoft Entra Private Access.

• Configure o Acesso Rápido para seus recursos privados e configure o Sistema de Nomes de Domínio Privado (DNS) e sufixos DNS. Para saber como configurar o Acesso rápido, consulte Como configurar o Acesso rápido.
• Instale e configure o cliente do Acesso Global Seguro em dispositivos de usuário final. Para obter mais informações, consulte Clientes de Acesso Global Seguro. Para saber como instalar o cliente Windows, consulte Cliente de Acesso Global Seguro para Windows. Para macOS, consulte Global Secure Access Client para macOS.

Acesso Privado do Zscaler e Acesso à Internet

Para integrar o Zscaler Private Access e o Zscaler Internet Access ao Microsoft Global Secure Access, conclua os pré-requisitos a seguir. Essas etapas garantem uma integração tranquila, um melhor gerenciamento de tráfego e segurança aprimorada.

• Configure o Acesso à Internet da Zscaler. Para saber mais sobre como configurar o Zscaler, consulte o Guia de Configuração Passo a Passo para ZIA.
• Configurar o Zscaler Private Access. Para saber mais sobre como configurar o Zscaler, consulte o Guia de Configuração Passo a Passo para ZPA.
• Configurar perfis de encaminhamento do Zscaler Client Connector. Para saber mais sobre como configurar o Zscaler, consulte Configurando perfis de encaminhamento para o Zscaler Client Connector.
• Configure e configure perfis de aplicativo do Zscaler Client Connector com bypasses de Acesso Seguro Global. Para saber mais sobre como configurar o Zscaler, consulte Configurando perfis de aplicativo do Conector de Cliente do Zscaler.

Exceções de FQDNs e IPs para o serviço de Acesso Seguro Global

Configure o perfil do aplicativo Zscaler Client Connector para trabalhar com os Nomes de Domínio Totalmente Qualificados (FQDNs) e endereços de Protocolo de Internet (IP) do serviço da Microsoft Entra.

Essas entradas precisam estar presentes nos perfis do aplicativo para cada cenário:

• IPs: 150.171.15.0/24, 150.171.18.0/24, , 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, , 151.206.0.0/16, 6.6.0.0/16
• FQDNs: internet.edgediagnostic.globalsecureaccess.microsoft.com, m365.edgediagnostic.globalsecureaccess.microsoft.com, private.edgediagnostic.globalsecureaccess.microsoft.com, aps.globalsecureaccess.microsoft.comauth.edgediagnostic.globalsecureaccess.microsoft.com<tenantid>.internet.client.globalsecureaccess.microsoft.com<tenantid>.m365.client.globalsecureaccess.microsoft.com<tenantid>.private.client.globalsecureaccess.microsoft.com<tenantid>.auth.client.globalsecureaccess.microsoft.com<tenantid>.private-backup.client.globalsecureaccess.microsoft.com<tenantid>.internet-backup.client.globalsecureaccess.microsoft.com<tenantid>.m365-backup.client.globalsecureaccess.microsoft.com<tenantid>.auth-backup.client.globalsecureaccess.microsoft.com
• Instale e configure o software Zscaler Client Connector.

Acesso Privado com o Zscaler Internet Access do Microsoft Entra

Nesse cenário, o Microsoft Entra Private Access lida com o tráfego de aplicativos privados, enquanto o Zscaler Internet Access gerencia o tráfego da Internet. O módulo Zscaler Private Access está desabilitado no portal do Zscaler. Para configurar o Microsoft Entra Private Access, você precisa concluir várias etapas. Primeiro, habilite o perfil de encaminhamento. Em seguida, instale o Conector de Rede Privada. Depois disso, configure o Acesso Rápido e configure o DNS Privado. Por fim, instale o cliente de Acesso Seguro Global. Para o Zscaler Internet Access, a configuração envolve a criação de um perfil de encaminhamento e perfil de aplicativo, a adição de regras de bypass para os serviços do Microsoft Entra e a instalação do Conector de Cliente do Zscaler. Por fim, as configurações são verificadas e o fluxo de tráfego é testado para garantir o tratamento adequado do tráfego privado e da Internet pelas respectivas soluções.

Configuração do Acesso Privado do Microsoft Entra

Para este cenário, você precisa:

• Habilite o perfil de encaminhamento do Microsoft Entra Private Access.
• Instale um Conector de Rede Privada para o Microsoft Entra Private Access.
• Configure o Acesso Rápido e configure o DNS Privado.
• Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.

Configuração do Zscaler Internet Access

Execute no portal do Zscaler:

• Configurar e configurar o Zscaler Internet Access.
• Crie um perfil de encaminhamento.
• Crie um perfil de aplicativo.
• Instalar o Conector de Cliente do Zscaler

Adicionar perfil de encaminhamento por meio do Portal do Conector de Cliente:

1. Navegue até o portal de administração do Conector de Cliente do Zscaler>, Administração>, Perfil de Encaminhamento>, Adicionar Perfil de Encaminhamento.
2. Adicione um Nome do Perfil como ZIA Only.
3. Selecione Filtro Baseado em Pacote no Tipo de Driver de Túnel.
4. Selecione a ação de perfil de encaminhamento como Túnel e selecione a versão do túnel. Por exemplo, Z-Tunnel 2.0
5. Role para baixo até a ação de perfil de encaminhamento para ZPA.
6. Selecione Nenhum para todas as opções nesta seção.

Adicione o Perfil do Aplicativo por meio do Portal do Conector de Cliente:

1. Navegue até o portal de administração do Zscaler Client Connector>Perfis de Aplicativos>Windows (ou macOS)>Adicionar Política para Windows (ou macOS).
2. Adicione Nome, defina Ordem de Regra como 1, selecione Habilitar, selecione Usuário(s) para aplicar essa política e selecione a opção Perfil de encaminhamento. Por exemplo, selecione Somente ZIA.
3. Role para baixo e adicione os endereços IP (protocolo IP) do serviço Microsoft SSE e FQDNs (Nomes de Domínio Totalmente Qualificados) na seção FQDNs e IPs do serviço de Acesso Seguro Global, para o campo "HOSTNAME OU IP ADDRESS BYPASS FOR VPN GATEWAY".

Acesse a bandeja do sistema para verificar se os clientes de Acesso Global Seguro e Zscaler estão habilitados.

Verifique as configurações dos clientes:

1. Clique com o botão direito do mouse no Cliente de Acesso Seguro Global>Diagnóstico Avançado>Perfil de Encaminhamento e verifique se o acesso privado e as regras de DNS privado são aplicadas a este cliente.
2. Navegue até Diagnóstico Avançado>Verificação de Integridade e observe se não há falhas nas verificações.
3. Clique com o botão direito do mouse em Cliente Zscaler>Abrir Zscaler>Mais. Verifique se Política de Aplicativo corresponde às configurações nas etapas anteriores. Valide se está atualizada ou atualize-a.
4. Navegue até Zscaler Client>Internet Security. Verifique se o Status do Serviço está ON e o Status da Autenticação é Authenticated.
5. Navegue até Cliente Zscaler>Acesso Privado. Verifique se o status do serviço é DISABLED.

Observação

Para obter informações sobre como solucionar problemas de falhas de verificação de integridade, consulte Solucionar problemas de diagnóstico do cliente do Acesso Seguro Global – Verificação de integridade.

Fluxo de tráfego de teste:

1. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Selecione a guia Tráfego e selecione Começar a coletar.
2. Acesse estes sites do navegador: bing.com, , salesforce.com. Instagram.com
3. Na bandeja do sistema, clique com o botão direito no Cliente de Acesso Seguro Global e selecione Diagnóstico Avançado, guia >.
4. Role para observar que o cliente de Acesso Seguro Global não está capturando o tráfego desses sites.
5. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego. Valide se o tráfego relacionado a esses sites está ausente dos logs de tráfego do Acesso Global Seguro.
6. Entre no portal de administração do Acesso à Internet da Zscaler (ZIA) e acesse Análise>Informações da Web>Logs. Valide se o tráfego relacionado a esses sites está presente nos logs da Zscaler.
7. Acesse seu aplicativo privado configurado no Microsoft Entra Private Access. Por exemplo, acesse um Compartilhamento de Arquivos por meio do SMB (Bloco de Mensagens do Servidor).
8. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego.
9. Valide que o tráfego relacionado ao Compartilhamento de Arquivos é capturado nos logs de tráfego do Acesso Seguro Global.
10. Entre no portal de administração do Acesso à Internet da Zscaler (ZIA) e acesse Análise>Informações da Web>Logs. O tráfego de validação relacionado ao aplicativo privado não está presente no Painel ou nos logs de tráfego.
11. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego, selecione Parar de coletar.
12. Deslize para confirmar se o cliente do Acesso Seguro Global lidava apenas com o tráfego de aplicativos privados.

Acesso Privado do Microsoft Entra com o Zscaler Private Access e o Zscaler Internet Access

Nesse cenário, ambos os clientes lidam com o tráfego para aplicativos privados separados. O Acesso Seguro Global manipula aplicativos privados no Microsoft Entra Private Access. Os aplicativos privados no Zscaler usam o módulo Zscaler Private Access. O Zscaler Internet Access manipula o tráfego da Internet.

Configuração do Acesso Privado do Microsoft Entra

Para este cenário, você precisa:

• Habilite o perfil de encaminhamento do Microsoft Entra Private Access.
• Instale um Conector de Rede Privada para o Microsoft Entra Private Access.
• Configure o Acesso Rápido e configure o DNS Privado.
• Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.

Zscaler Private Access e Zscaler Internet Access configuração

Realize as etapas no portal do Zscaler.

• Configure e ajuste o Zscaler Internet Access e o Zscaler Private Access.
• Crie um perfil de encaminhamento.
• Crie um perfil de aplicativo.
• Instale o Conector de Cliente do Zscaler.

Adicionar perfil de encaminhamento por meio do Portal do Conector de Cliente:

1. Navegue até o portal de administração do Conector de Cliente do Zscaler>, Administração>, Perfil de Encaminhamento>, Adicionar Perfil de Encaminhamento.
2. Adicione um Nome do Perfil como ZIA and ZPA.
3. Selecione Filtro Baseado em Pacote no Tipo de Driver de Túnel.
4. Selecione a ação de perfil de encaminhamento como Túnel e selecione a versão do túnel. Por exemplo, Z-Tunnel 2.0.
5. Role para baixo até a ação de perfil de encaminhamento para ZPA.
6. Selecione Túnel para todas as opções nesta seção.

Adicione o Perfil do Aplicativo por meio do Portal do Conector de Cliente:

1. Navegue até o portal de administração do Zscaler Client Connector>Perfis de Aplicativos>Windows (ou macOS)>Adicionar Política para Windows (ou macOS).
2. Adicione Nome, defina Ordem de Regra como 1, selecione Habilitar, selecione Usuário(s) para aplicar essa política e selecione a opção Perfil de encaminhamento. Por exemplo, selecione ZIA e ZPA.
3. Role para baixo e adicione os endereços IP (protocolo IP) do serviço Microsoft SSE e FQDNs (Nomes de Domínio Totalmente Qualificados) na seção FQDNs e IPs do serviço de Acesso Seguro Global, para o campo "HOSTNAME OU IP ADDRESS BYPASS FOR VPN GATEWAY".

Acesse a bandeja do sistema para verificar se os clientes de Acesso Global Seguro e Zscaler estão habilitados.

Verifique as configurações dos clientes:

1. Clique com o botão direito do mouse no Cliente de Acesso Seguro Global>Diagnóstico Avançado>Perfil de Encaminhamento e verifique se o acesso privado e as regras de DNS privado são aplicadas a este cliente.
2. Navegue até Diagnóstico Avançado>Verificação de Integridade e observe se não há falhas nas verificações.
3. Clique com o botão direito do mouse em Cliente Zscaler>Abrir Zscaler>Mais. Verifique se Política de Aplicativo corresponde às configurações nas etapas anteriores. Valide se está atualizada ou atualize-a.
4. Navegue até Zscaler Client>Internet Security. Verifique se o Status do Serviço está ON e o Status da Autenticação é Authenticated.
5. Navegue até Cliente Zscaler>Acesso Privado. Verifique se o Status do Serviço está ON e o Status da Autenticação é Authenticated.

Observação

Para obter informações sobre como solucionar problemas de falhas de verificação de integridade, consulte Solucionar problemas de diagnóstico do cliente do Acesso Seguro Global – Verificação de integridade.

Fluxo de tráfego de teste:

1. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Selecione a guia Tráfego e selecione Começar a coletar.
2. Acesse estes sites do navegador: bing.com, , salesforce.com. Instagram.com
3. Na bandeja do sistema, clique com o botão direito no Cliente de Acesso Seguro Global e selecione Diagnóstico Avançado, guia >.
4. Role para observar que o cliente de Acesso Seguro Global não está capturando o tráfego desses sites.
5. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego. Valide se o tráfego relacionado a esses sites está ausente dos logs de tráfego do Acesso Global Seguro.
6. Entre no portal de administração do Acesso à Internet da Zscaler (ZIA) e acesse Análise>Informações da Web>Logs.
7. Valide se o tráfego relacionado a esses sites está presente nos logs da Zscaler.
8. Acesse seu aplicativo privado configurado no Microsoft Entra Private Access. Por exemplo, acesse um Compartilhamento de Arquivos via SMB.
9. Acesse seu aplicativo privado configurado no Zscaler Private Access. Por exemplo, abra uma sessão RDP em um servidor privado.
10. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego.
11. O tráfego de validação relacionado ao aplicativo privado de compartilhamento de arquivos SMB é capturado e esse tráfego relacionado à sessão RDP não é capturado nos logs de tráfego do Acesso Seguro Global
12. Entre no portal de administração do Zscaler Private Access (ZPA) e navegue até Analytics>Diagnóstico>Logs. Verifique se o tráfego relacionado à sessão RDP está presente e se o tráfego relacionado ao compartilhamento de arquivos SMB não está nos logs do Painel de Controle ou do Diagnóstico.
13. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego, selecione Parar de coletar.
14. Role para confirmar que o cliente Global Secure Access gerenciou o tráfego de aplicativo privado para o compartilhamento de arquivos SMB, mas não gerenciou o tráfego da sessão RDP.

Microsoft Entra Microsoft Access com Zscaler Private Access e Zscaler Internet Access

Nesse cenário, o Acesso Seguro Global manipula todo o tráfego do Microsoft 365. O Zscaler Private Access manipula o tráfego de aplicativo privado e o Zscaler Internet Access manipula o tráfego da Internet.

Microsoft Entra Microsoft Access

Para este cenário, você precisa:

• Habilite o perfil de encaminhamento do Microsoft Entra Microsoft Access.
• Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.

Zscaler Private Access e Zscaler Internet Access

Execute no portal do Zscaler:

• Configure e configure o Zscaler Private Access.
• Crie um perfil de encaminhamento.
• Crie um perfil de aplicativo.
• Instale o Conector de Cliente do Zscaler.

Adicionar perfil de encaminhamento por meio do Portal do Conector de Cliente:

1. Navegue até o portal de administração do Conector de Cliente do Zscaler>, Administração>, Perfil de Encaminhamento>, Adicionar Perfil de Encaminhamento.
2. Adicione um Nome do Perfil como ZIA and ZPA.
3. Selecione Filtro Baseado em Pacote no Tipo de Driver de Túnel.
4. Selecione a ação de perfil de encaminhamento como Túnel e selecione a versão do túnel. Por exemplo, Z-Tunnel 2.0.
5. Role para baixo até a ação de perfil de encaminhamento para ZPA.
6. Selecione Túnel para todas as opções nesta seção.

Adicione o Perfil do Aplicativo por meio do Portal do Conector de Cliente:

1. Navegue até o portal de administração do Zscaler Client Connector>Perfis de Aplicativos>Windows (ou macOS)>Adicionar Política para Windows (ou macOS).
2. Adicione Nome, defina Ordem de Regra como 1, selecione Habilitar, selecione Usuário(s) para aplicar essa política e selecione a opção Perfil de encaminhamento. Por exemplo, selecione ZIA e ZPA.
3. Role para baixo e adicione os endereços IP (protocolo IP) do serviço Microsoft SSE e FQDNs (Nomes de Domínio Totalmente Qualificados) na seção FQDNs e IPs do serviço de Acesso Seguro Global, para o campo "HOSTNAME OU IP ADDRESS BYPASS FOR VPN GATEWAY".

Acesse a bandeja do sistema para verificar se os clientes de Acesso Global Seguro e Zscaler estão habilitados.

Verifique as configurações dos clientes:

1. Clique com o botão direito do mouse em Cliente de Acesso Seguro Global>Diagnósticos Avançados>Perfil de Encaminhamento e verifique se somente as regras do Microsoft 365 são aplicadas a esse cliente.
2. Navegue até Diagnóstico Avançado>Verificação de Integridade e observe se não há falhas nas verificações.
3. Clique com o botão direito do mouse em Cliente Zscaler>Abrir Zscaler>Mais. Verifique se Política de Aplicativo corresponde às configurações nas etapas anteriores. Valide se está atualizada ou atualize-a.
4. Navegue até Zscaler Client>Internet Security. Verifique se o Status do Serviço está ON e o Status da Autenticação é Authenticated.
5. Navegue até Cliente Zscaler>Acesso Privado. Verifique se o Status do Serviço está ON e o Status da Autenticação é Authenticated.

Observação

Para obter informações sobre como solucionar problemas de falhas de verificação de integridade, consulte Solucionar problemas de diagnóstico do cliente do Acesso Seguro Global – Verificação de integridade.

Fluxo de tráfego de teste:

1. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Selecione a guia Tráfego e selecione Começar a coletar.
2. Acesse estes sites do navegador: bing.com, , salesforce.com. Instagram.com
3. Na bandeja do sistema, clique com o botão direito no Cliente de Acesso Seguro Global e selecione Diagnóstico Avançado, guia >.
4. Role para observar que o cliente de Acesso Seguro Global não está capturando o tráfego desses sites.
5. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego. Valide se o tráfego relacionado a esses sites está ausente dos logs de tráfego do Acesso Global Seguro.
6. Entre no portal de administração do Acesso à Internet da Zscaler (ZIA) e acesse Análise>Informações da Web>Logs.
7. Valide se o tráfego relacionado a esses sites está presente nos logs da Zscaler.
8. Acesse seu aplicativo privado configurado no Zscaler Private Access. Por exemplo, abra uma sessão RDP em um servidor privado.
9. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego.
10. Verifique se o tráfego relacionado à sessão RDP não aparece nos registros de tráfego do Acesso Seguro Global
11. Entre no portal de administração do Zscaler Private Access (ZPA) e navegue até Analytics>Diagnóstico>Logs. Verifique se o tráfego relacionado à sessão RDP está presente no Painel ou nos logs de Diagnóstico.
12. Acesse o Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
13. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego, selecione Parar de coletar.
14. Role para confirmar se o cliente do Acesso Seguro Global lidou somente com o tráfego do Microsoft 365.
15. Também é possível validar se o tráfego é capturado nos logs de tráfego de Acesso Global Seguro. No centro de administração do Microsoft Entra, navegue até Acesso Global Seguro>Monitorar>Logs de tráfego.
16. Confirme que o tráfego relacionado ao Outlook Online e ao SharePoint Online está ausente dos logs do Zscaler Internet Access em Analytics>Web Insights>Logs.

Microsoft Entra Internet Access e Microsoft Entra Microsoft Access e com o Zscaler Private Access

Nesse cenário, o Acesso Seguro Global manipula o tráfego da Internet e do Microsoft 365. O Zscaler captura apenas o tráfego de aplicativo privado. Portanto, o módulo Zscaler Internet Access está desabilitado no portal do Zscaler.

Microsoft Entra Internet e Microsoft Access

Para este cenário, você precisa configurar:

• Habilite o perfil de encaminhamento do Microsoft Entra Microsoft Access e o perfil de encaminhamento do Microsoft Entra Internet Access.
• Instale e configure o cliente de Acesso Seguro Global para Windows ou macOS.
• Adicione um bypass personalizado da política de perfil de encaminhamento de tráfego do Microsoft Entra Internet Access para excluir o serviço ZPA.

Adicionando um bypass personalizado para o Zscaler no Acesso Seguro Global:

1. Entre no Centro de administração do Microsoft Entra e navegue até operfil de acesso à Internet do >>> Em políticas de acesso à Internet , selecione Exibição.
2. Expanda o Bypass Personalizado e selecione Adicionar regra.
3. Deixe o tipo FQDN de destino e, em Destino, insira*.prod.zpath.net.
4. Clique em Salvar.

Acesso Privado do Zscaler

Execute o procedimento no portal do Zscaler:

• Configure e configure o Zscaler Private Access.
• Crie um perfil de encaminhamento.
• Crie um perfil de aplicativo.
• Instale o Conector de Cliente do Zscaler.

Adicionar perfil de encaminhamento por meio do Portal do Conector de Cliente:

1. Navegue até o portal de administração do Conector de Cliente do Zscaler>, depois vá para Administração>, Perfil de Encaminhamento> e Adicionar Perfil de Encaminhamento.
2. Adicione um Nome do Perfil como ZPA Only.
3. Selecione Filtro Baseado em Pacote no Tipo de Driver de Túnel.
4. Selecione a ação de perfil de encaminhamento como Nenhuma.
5. Role para baixo até a ação de perfil de encaminhamento para ZPA.
6. Selecione Túnel para todas as opções nesta seção.

Adicione o Perfil do Aplicativo por meio do Portal do Conector de Cliente:

1. Navegue até o portal de administração do Zscaler Client Connector>Perfis de Aplicativos>Windows (ou macOS)>Adicionar Política para Windows (ou macOS).
2. Adicione Nome, defina Ordem de Regra como 1, selecione Habilitar, selecione Usuário(s) para aplicar essa política e selecione a opção Perfil de encaminhamento. Por exemplo, selecione Somente ZPA.
3. Role para baixo e adicione os endereços IP (protocolo IP) do serviço Microsoft SSE e FQDNs (Nomes de Domínio Totalmente Qualificados) na seção FQDNs e IPs do serviço de Acesso Seguro Global, para o campo "HOSTNAME OU IP ADDRESS BYPASS FOR VPN GATEWAY".

Abra a bandeja do sistema para verificar se o Acesso Global Seguro e os clientes Zscaler estão habilitados.

Verifique as configurações dos clientes:

1. Clique com o botão direito do mouse em Cliente de Acesso Global Seguro>Diagnóstico Avançado>Perfil de Encaminhamento e verifique se as regras de Acesso à Internet e do Microsoft 365 são aplicadas a este cliente.
2. Expanda as regras > de acesso à Internet Verifique se o bypass *.prod.zpath.net personalizado existe no perfil.
3. Navegue até Diagnóstico Avançado>Verificação de Integridade e observe se não há falhas nas verificações.
4. Clique com o botão direito do mouse em Cliente Zscaler>Abrir Zscaler>Mais. Verifique se Política de Aplicativo corresponde às configurações nas etapas anteriores. Valide se está atualizada ou atualize-a.
5. Navegue até Cliente Zscaler>Acesso Privado. Verifique se o Status do Serviço está ON e o Status da Autenticação é Authenticated.
6. Navegue até Zscaler Client>Internet Security. Verifique se o status do serviço é DISABLED.

Observação

Para obter informações sobre como solucionar problemas de falhas de verificação de integridade, consulte Solucionar problemas de diagnóstico do cliente do Acesso Seguro Global – Verificação de integridade.

Fluxo de tráfego de teste:

1. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Selecione a guia Tráfego e selecione Começar a coletar.
2. Acesse esses sites do navegador: bing.com, , salesforce.com, Instagram.comOutlook Online (outlook.com, , outlook.office.comoutlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
3. Faça login no Centro de administração do Microsoft Entra e navegue até Acesso Seguro Global>Monitor>Registros de Tráfego. Valide se o tráfego relacionado a esses sites é capturado nos logs de tráfego do Acesso Global Seguro.
4. Acesse seu aplicativo privado configurado no Zscaler Private Access. Por exemplo, usando a Área de Trabalho Remota (RDP).
5. Entre no portal de administração do Zscaler Private Access (ZPA) e navegue até Analytics>Diagnóstico>Logs. Verifique se o tráfego relacionado à sessão RDP está presente no Painel ou nos logs de Diagnóstico.
6. Entre no portal de administração do Acesso à Internet da Zscaler (ZIA) e acesse Análise>Informações da Web>Logs. O tráfego de validação relacionado ao Microsoft 365 e ao Tráfego da Internet, como Instagram.com, Outlook Online e SharePoint Online, está ausente dos logs do ZIA.
7. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Global Seguro e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego, selecione Parar de coletar.
8. Role para observar que o cliente de Acesso Global Seguro não está capturando o tráfego do aplicativo privado. Além disso, observe que o cliente do Acesso Global Seguro está capturando o tráfego para Microsoft 365 e outros tráfegos da internet.