Saiba mais sobre a coexistência do Security Service Edge (SSE) com a Microsoft e a Cisco
Aproveite as soluções Security Service Edge (SSE) da Microsoft e da Cisco em um ambiente unificado para aproveitar um conjunto robusto de recursos de ambas as plataformas e elevar sua jornada SASE (Secure Access Service Edge). A sinergia entre essas plataformas capacita os clientes com segurança aprimorada e conectividade perfeita.
Este documento contém etapas para implantar essas soluções lado a lado, especificamente, o Microsoft Entra Private Access (com o recurso Private DNS habilitado) e o Cisco Umbrella para acesso à Internet e segurança da camada DNS.
Descrição geral da configuração
No Microsoft Entra, você habilita o perfil de encaminhamento de tráfego de acesso privado e desabilita os perfis de encaminhamento de tráfego do Internet Access e do Microsoft 365. Você também habilita e configura o recurso DNS Privado do Acesso Privado. Na Cisco, você captura o tráfego de acesso à Internet.
Nota
Os clientes devem ser instalados em um dispositivo associado do Microsoft Entra do Windows 10 ou Windows 11 ou dispositivo híbrido ingressado do Microsoft Entra.
Configuração do Microsoft Entra Private Access
Habilite o perfil de encaminhamento de tráfego do Microsoft Entra Private Access para seu locatário do Microsoft Entra. Para obter mais informações sobre como habilitar e desabilitar perfis, consulte Perfis de encaminhamento de tráfego de Acesso Seguro Global.
Instale e configure o Global Secure Access Client em dispositivos de usuário final. Para obter mais informações sobre clientes, consulte Clientes de acesso seguro global. Para saber como instalar o cliente Windows, consulte Cliente Global Secure Access para Windows.
Instale e configure o conector de rede privada Microsoft Entra. Para saber como instalar e configurar o conector, consulte Como configurar conectores.
Nota
A versão do conector v1.5.3829.0 ou superior é necessária para o DNS privado.
Configure o Acesso Rápido aos seus recursos privados e configure o DNS privado e os sufixos DNS. Para saber como configurar o Acesso Rápido, consulte Como configurar o Acesso Rápido.
Configuração da Cisco
Adicione sufixos de domínio do Microsoft Entra Quick Access e do FQDN do serviço Microsoft Entra no Gerenciamento de Domínio na lista de domínios internos para ignorar o DNS Umbrella da Cisco. Adicione FQDN e IPs do serviço Microsoft Entra na lista Gerenciamento de Domínio em Domínios externos para ignorar o Secure Web Gateway (SWG) da Cisco.
- No portal Cisco Umbrella, vá para Deployments > Configuration > Domain Management.
- Na seção Domínios Internos , adicione-os e salve.
*.globalsecureaccess.microsoft.com
Nota
O Cisco Umbrella tem um curinga implícito, para que você possa usar
globalsecureaccess.microsoft.com
o .<quickaccessapplicationid>.globalsecureaccess.local
Nota
quickaccessapplicationid
é o ID do aplicativo de acesso rápido que você configurou.- Sufixos DNS que você configurou no aplicativo de Acesso Rápido.
- Na seção Domínios Externos & IPs, adicione esses FQDN e IPs e salve.
*.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16
Nota
O Cisco Umbrella tem um curinga implícito, então você pode usar
globalsecureaccess.microsoft.com
para o FQDN.
- Reinicie os serviços de cliente Cisco Umbrella e Cisco SWG ou reinicie a máquina onde os clientes estão instalados.
Depois que ambos os clientes estiverem instalados e executados lado a lado e as configurações dos portais de administração estiverem concluídas, vá para a bandeja do sistema para verificar se os clientes Global Secure Access e Cisco estão habilitados.
Verifique a configuração do cliente Global Secure Access.
- Clique com o botão direito do mouse no Perfil de Encaminhamento de Diagnóstico Avançado do > cliente > Global Secure Access e verifique se apenas as regras de Acesso Privado são aplicadas a esse cliente.
- Na Verificação de Integridade do Diagnóstico Avançado, verifique se > nenhuma verificação está falhando.
Testar o fluxo de tráfego
Configuração SSE da Microsoft: habilite o Microsoft Entra Private Access, desative o acesso à Internet e os perfis de encaminhamento de tráfego do Microsoft 365.
Configuração SSE da Cisco: o tráfego de acesso à Internet é capturado. O tráfego de Acesso Privado está excluído.
- Na bandeja do sistema, clique com o botão direito do mouse no ícone do cliente Global Secure Access e selecione Diagnóstico Avançado. Selecione a guia Tráfego e selecione Iniciar coleta.
- Aceda a recursos privados que configurou com o Entra Private Access, como a partilha de ficheiros SMB. Abra
\\YourFileServer.yourdomain.com
usando o menu Iniciar/Executar de uma janela do Explorer. - Na bandeja do sistema, clique com o botão direito do mouse no cliente Global Secure Access e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego de rede, selecione Parar coleta.
- Na caixa de diálogo Tráfego de rede , desloque-se para observar o tráfego gerado para confirmar que o tráfego de Acesso Privado foi tratado pelo cliente de Acesso Seguro Global.
- Você também pode verificar se o tráfego é capturado pelo Microsoft Entra validando o tráfego nos logs de tráfego do Global Secure Access do centro de administração do Microsoft Entra nos logs de tráfego do Global Secure Access > Monitor>.
- Acesse todos os sites a partir dos navegadores e valide se o tráfego da Internet está ausente dos logs de tráfego do Global Secure Access e capturado apenas no Cisco Umbrella.