Saiba mais sobre a coexistência do Security Service Edge (SSE) com a Microsoft e o Zscaler

No atual cenário digital em rápida evolução, as organizações precisam de soluções robustas e unificadas para garantir uma conectividade segura e perfeita. A Microsoft e a Zscaler oferecem capacidades complementares de Secure Access Service Edge (SASE) que, quando integradas, proporcionam segurança e conectividade melhoradas para diversos cenários de acesso.

Este guia descreve como configurar e implementar soluções Microsoft Entra juntamente com as ofertas Security Service Edge (SSE) da Zscaler. Usando os pontos fortes de ambas as plataformas, você pode otimizar a postura de segurança da sua organização enquanto mantém a conectividade de alto desempenho para aplicativos privados, tráfego do Microsoft 365 e acesso à Internet.

1. Microsoft Entra Private Access com Zscaler Internet Access

   Nesse cenário, o Global Secure Access lida com o tráfego de aplicativos privados. O Zscaler apenas capta o tráfego da Internet. Portanto, o módulo Zscaler Private Access está desativado no portal Zscaler.

2. Microsoft Entra Private Access com Zscaler Private Access e Zscaler Internet Access

   Nesse cenário, ambos os clientes manipulam o tráfego para aplicativos privados separados. O Global Secure Access lida com aplicativos privados no Microsoft Entra Private Access. As aplicações privadas no Zscaler utilizam o módulo Zscaler Private Access. O Zscaler Internet Access trata do tráfego da Internet.

3. Microsoft Entra Microsoft Access com Zscaler Private Access e Zscaler Internet Access

   Nesse cenário, o Global Secure Access lida com todo o tráfego do Microsoft 365. O Zscaler Private Access trata do tráfego de aplicações privadas e o Zscaler Internet Access trata do tráfego da Internet.

4. Microsoft Entra Internet Access e Microsoft Entra Microsoft Access com Zscaler Private Access

   Nesse cenário, o Global Secure Access lida com o tráfego da Internet e do Microsoft 365. O Zscaler apenas capta o tráfego de aplicações privadas. Assim, o módulo Zscaler Internet Access está desativado a partir do portal Zscaler.

Pré-requisitos

Para configurar a Microsoft e o Zscaler para uma solução SASE unificada, comece por configurar o Microsoft Entra Internet Access e o Microsoft Entra Private Access. Em seguida, configure o Zscaler Private Access e o Zscaler Internet Access. Finalmente, certifique-se de estabelecer os desvios de FQDN e IP necessários para garantir uma integração suave entre as duas plataformas.

• Configure o Microsoft Entra Internet Access e o Microsoft Entra Private Access. Estes produtos compõem a solução Global Secure Access.
• Configurar o Acesso Privado Zscaler e o Acesso à Internet
• Configurar o FQDN de Acesso Seguro Global e os desvios de IP

Acesso Seguro Global da Microsoft

Para configurar o Microsoft Entra Global Secure Access e testar todos os cenários nesta documentação:

• Habilite e desabilite diferentes perfis de encaminhamento de tráfego do Microsoft Global Secure Access para seu locatário do Microsoft Entra. Para obter mais informações sobre como habilitar e desabilitar perfis, consulte Perfis de encaminhamento de tráfego de Acesso Seguro Global.
• Instale e configure o conector de rede privada Microsoft Entra. Para saber como instalar e configurar o conector, consulte Como configurar conectores.

  Observação

  Os conectores de rede privada são necessários para aplicativos Microsoft Entra Private Access.

• Configure o Acesso Rápido aos seus recursos privados e configure o Sistema de Nomes de Domínio Privado (DNS) e sufixos DNS. Para saber como configurar o Acesso Rápido, consulte Como configurar o Acesso Rápido.
• Instale e configure o cliente Global Secure Access em dispositivos de usuário final. Para obter mais informações sobre clientes, consulte Clientes de acesso seguro global. Para saber como instalar o cliente Windows, consulte Cliente Global Secure Access para Windows. Para macOS, consulte Global Secure Access Client for macOS.

Acesso privado Zscaler e acesso à Internet

Para integrar o Zscaler Private Access e o Zscaler Internet Access com o Microsoft Global Secure Access, certifique-se de que preenche os seguintes pré-requisitos. Estas medidas garantem uma integração suave, uma melhor gestão do tráfego e uma maior segurança.

• Configurar Zscaler Internet Access. Para saber mais sobre como configurar o Zscaler, consulte o Guia de configuração passo a passo para ZIA.
• Configure Zscaler Private Access. Para saber mais sobre como configurar o Zscaler, consulte o Guia de configuração passo a passo para ZPA.
• Defina e configure os perfis de encaminhamento do Zscaler Client Connector. Para saber mais sobre como configurar o Zscaler, consulte Configurar perfis de encaminhamento para o Zscaler Client Connector.
• Configure os perfis da aplicação Zscaler Client Connector com desvios de Acesso Seguro Global. Para saber mais sobre como configurar o Zscaler, consulte Configurando perfis de aplicativo do Zscaler Client Connector.

Os FQDNs e IPs do serviço Global Secure Access são ignorados.

Configure o perfil da aplicação Zscaler Client Connector para funcionar com FQDNs (Nomes de Domínio Totalmente Qualificados) e endereços IP (Internet Protocol) do serviço Microsoft Entra.

Essas entradas precisam estar presentes nos perfis do aplicativo para cada cenário:

• IPs: 150.171.15.0/24, 150.171.18.0/24, 150.171.19.0/24, 150.171.20.0/24, , 13.107.232.0/2413.107.233.0/24, 151.206.0.0/16,6.6.0.0/16
• FQDNs: , , , , , internet.edgediagnostic.globalsecureaccess.microsoft.comm365.edgediagnostic.globalsecureaccess.microsoft.com, private.edgediagnostic.globalsecureaccess.microsoft.com, aps.globalsecureaccess.microsoft.com, , auth.edgediagnostic.globalsecureaccess.microsoft.com, <tenantid>.internet.client.globalsecureaccess.microsoft.com<tenantid>.m365.client.globalsecureaccess.microsoft.com<tenantid>.private.client.globalsecureaccess.microsoft.com<tenantid>.auth.client.globalsecureaccess.microsoft.com. <tenantid>.private-backup.client.globalsecureaccess.microsoft.com<tenantid>.internet-backup.client.globalsecureaccess.microsoft.com<tenantid>.m365-backup.client.globalsecureaccess.microsoft.com<tenantid>.auth-backup.client.globalsecureaccess.microsoft.com
• Instale e configure o software Zscaler Client Connector.

Configuração 1: Microsoft Entra Private Access com Zscaler Internet Access

Neste cenário, o Microsoft Entra Private Access processa o tráfego de aplicações privadas, enquanto o Zscaler Internet Access gere o tráfego da Internet. O módulo Zscaler Private Access está desativado no portal Zscaler. Para configurar o Microsoft Entra Private Access, você precisa concluir várias etapas. Primeiro, habilite o perfil de encaminhamento. Em seguida, instale o conector de rede privada. Depois disso, configure o Acesso Rápido e configure o DNS Privado. Finalmente, instale o cliente Global Secure Access. Para o Zscaler Internet Access, a configuração envolve a criação de um perfil de encaminhamento e um perfil de aplicação, a adição de regras de bypass para os serviços Microsoft Entra e a instalação do Zscaler Client Connector. Finalmente, as configurações são verificadas, e o fluxo de tráfego é testado para garantir o tratamento adequado do tráfego privado e da Internet pelas respetivas soluções.

Configuração do Microsoft Entra Private Access

Para este cenário, você precisa:

• Habilite o perfil de encaminhamento do Microsoft Entra Private Access.
• Instale um conector de rede privada para o Microsoft Entra Private Access.
• Configure o Acesso Rápido e configure o DNS Privado.
• Instale e configure o cliente Global Secure Access para Windows ou macOS.

Configuração do Zscaler Internet Access

Atue no portal Zscaler:

• Instalar e configurar o Zscaler Internet Access.
• Crie um perfil de encaminhamento.
• Crie um perfil de aplicativo.
• Instalar o Zscaler Client Connector

Adicione perfil de reencaminhamento do Client Connector Portal:

1. Navegue até Portal de Administração do Zscaler Client Connector>Administração>Perfil de Encaminhamento>Adicionar Perfil de Encaminhamento.
2. Adicione um Nome do Perfil, como ZIA Only.
3. Selecione Filter de Pacote-Basado em Tipo de Driver de Túnel.
4. Selecione a ação do perfil de encaminhamento como Túnel e selecione a versão do túnel. Por exemplo, Z-Tunnel 2.0
5. Role para baixo até Ação de encaminhamento do perfil para ZPA.
6. Selecione Nenhum para todas as opções nesta seção.

Adicione o perfil do aplicativo a partir do Client Connector Portal:

1. Navegue até Portal de administração do Zscaler> Client ConnectorPerfis> de AplicaçõesWindows (ou macOS)>Adicionar Política do Windows (ou macOS).
2. Adicione Nome, defina Ordem da Regra como 1, selecione Ativar, selecione Usuário(s) para aplicar esta política e selecione o Perfil de Encaminhamento. Por exemplo, selecione Somente ZIA.
3. Percorra para baixo e adicione os endereços IP (Internet Protocol) do serviço Microsoft SSE e os FQDNs (Nomes de Domínio Totalmente Qualificados) na seção de exclusões de FQDNs e IPs do serviço Global Secure Access, para o campo "BYPASS DE NOME DE HOST OU ENDEREÇO IP PARA O GATEWAY VPN".

Vá para a bandeja do sistema para verificar se os clientes Global Secure Access e Zscaler estão ativados.

Verifique as configurações para clientes:

1. Clique com o botão direito do rato em Global Secure Access Client>Advanced Diagnostics>Forwarding Profile e verifique se as regras de acesso privado e DNS privado são aplicadas a este cliente.
2. Navegue até Diagnósticos Avançados>Verificação de Integridade e verifique se nenhuma verificação está falhando.
3. Clique com o botão direito do rato em Zscaler Client>> Verifique se a Política de Aplicativo corresponde às configurações nas etapas anteriores. Valide se está atualizado ou atualize-o.
4. Navegue até Zscaler Client>Internet Security. Verifique se o Status do Serviço é ON e o Status da Autenticação é Authenticated.
5. Navegue até Zscaler Client>Private Access. Verifique se o Status do Serviço é DISABLED.

Observação

Para obter informações sobre a solução de problemas de falhas de verificação de integridade, consulte Solucionar problemas do diagnóstico do cliente Global Secure Access - Verificação de integridade.

Teste do fluxo de tráfego

1. Na bandeja do sistema, clique com o botão direito do mouse em Cliente Global Secure Access e selecione Diagnóstico Avançado. Selecione o separador Tráfego e selecione Iniciar recolha.
2. Aceda a estes sítios Web a partir do navegador: bing.com, salesforce.com, Instagram.com.
3. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Seguro Global e selecione a guia Tráfego de Diagnóstico>Avançado .
4. Role para observar que o cliente Global Secure Access não está capturando tráfego desses sites.
5. Entre no Microsoft Entra Admin Center e navegue até Global Secure Access>Monitor>Registos de Tráfego. Verifique se o tráfego relacionado aos esses sites está ausente dos logs de tráfego do Global Secure Access.
6. Inicie sessão no portal de administração Zscaler Internet Access (ZIA) e navegue até Analytics>Web Insights>Logs. Validar que o tráfego relacionado com estes sites esteja presente nos registos da Zscaler.
7. Aceda à sua aplicação privada configurada no Microsoft Entra Private Access. Por exemplo, aceda a uma partilha de ficheiros através do Server Message Block (SMB).
8. Entre no Microsoft Entra Admin Center e navegue até Global Secure Access>Monitor>Registos de Tráfego.
9. Validar o tráfego relacionado ao Compartilhamento de Arquivos é capturado nos logs de tráfego do Acesso Seguro Global.
10. Inicie sessão no portal de administração Zscaler Internet Access (ZIA) e navegue até Analytics>Web Insights>Logs. Validar o tráfego relacionado ao aplicativo privado não está presente no Painel ou nos logs de tráfego.
11. Na bandeja do sistema, clique com o botão direito do mouse em Cliente Global Secure Access e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego, selecione Parar recolha.
12. Desloque-se para confirmar que o cliente Global Secure Access lidou apenas com o tráfego de aplicações privadas.

Configuração 2: Microsoft Entra Private Access com Zscaler Private Access e Zscaler Internet Access

Nesse cenário, ambos os clientes manipulam o tráfego para aplicativos privados separados. O Global Secure Access lida com aplicativos privados no Microsoft Entra Private Access. As aplicações privadas no Zscaler utilizam o módulo Zscaler Private Access. O Zscaler Internet Access trata do tráfego da Internet.

Configuração do Microsoft Entra Private Access 2

Para esse cenário, você precisa:

• Habilite o perfil de encaminhamento do Microsoft Entra Private Access.
• Instale um conector de rede privada para o Microsoft Entra Private Access.
• Configure o Acesso Rápido e configure o DNS Privado.
• Instale e configure o cliente Global Secure Access para Windows ou macOS.

Configuração do Zscaler Private Access e do Zscaler Internet Access 2

Execute os passos no portal Zscaler:

• Configure o Zscaler Internet Access e o Zscaler Private Access.
• Crie um perfil de encaminhamento.
• Crie um perfil de aplicativo.
• Instale o Zscaler Client Connector.

Adicione perfil de reencaminhamento do Client Connector Portal:

1. Navegue até Portal de Administração do Zscaler Client Connector>Administração>Perfil de Encaminhamento>Adicionar Perfil de Encaminhamento.
2. Adicione um Nome do Perfil, como ZIA and ZPA.
3. Selecione Filter de Pacote-Basado em Tipo de Driver de Túnel.
4. Selecione a ação do perfil de encaminhamento como "Túnel" e selecione a versão do túnel. Por exemplo, Z-Tunnel 2.0.
5. Role para baixo até Ação de encaminhamento do perfil para ZPA.
6. Selecione Túnel para todas as opções nesta seção.

Adicione o perfil do aplicativo a partir do Client Connector Portal:

1. Navegue até Portal de administração do Zscaler> Client ConnectorPerfis> de AplicaçõesWindows (ou macOS)>Adicionar Política do Windows (ou macOS).
2. Adicione Nome, defina Ordem da Regra como 1, selecione Ativar, selecione Usuário(s) para aplicar esta política e selecione o Perfil de Encaminhamento. Por exemplo, selecione ZIA e ZPA.
3. Percorra para baixo e adicione os endereços IP (Internet Protocol) do serviço Microsoft SSE e os FQDNs (Nomes de Domínio Totalmente Qualificados) na seção de exclusões de FQDNs e IPs do serviço Global Secure Access, para o campo "BYPASS DE NOME DE HOST OU ENDEREÇO IP PARA O GATEWAY VPN".

Vá para a bandeja do sistema para verificar se os clientes Global Secure Access e Zscaler estão ativados.

Verifique as configurações para clientes:

1. Clique com o botão direito do rato em Global Secure Access Client>Advanced Diagnostics>Forwarding Profile e verifique se as regras de acesso privado e DNS privado são aplicadas a este cliente.
2. Navegue até Diagnósticos Avançados>Verificação de Integridade e verifique se nenhuma verificação está falhando.
3. Clique com o botão direito do rato em Zscaler Client>> Verifique se a Política de Aplicativo corresponde às configurações nas etapas anteriores. Valide se está atualizado ou atualize-o.
4. Navegue até Zscaler Client>Internet Security. Verifique se o Status do Serviço é ON e o Status da Autenticação é Authenticated.
5. Navegue até Zscaler Client>Private Access. Verifique se o Status do Serviço é ON e o Status da Autenticação é Authenticated.

Observação

Para obter informações sobre a solução de problemas de falhas de verificação de integridade, consulte Solucionar problemas do diagnóstico do cliente Global Secure Access - Verificação de integridade.

Teste do fluxo de tráfego

1. Na bandeja do sistema, clique com o botão direito do mouse em Cliente Global Secure Access e selecione Diagnóstico Avançado. Selecione o separador Tráfego e selecione Iniciar recolha.
2. Aceda a estes sítios Web a partir do navegador: bing.com, salesforce.com, Instagram.com.
3. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Seguro Global e selecione a guia Tráfego de Diagnóstico>Avançado .
4. Role para observar que o cliente Global Secure Access não está capturando tráfego desses sites.
5. Entre no Microsoft Entra Admin Center e navegue até Global Secure Access>Monitor>Registos de Tráfego. Verifique se o tráfego relacionado aos esses sites está ausente dos logs de tráfego do Global Secure Access.
6. Inicie sessão no portal de administração Zscaler Internet Access (ZIA) e navegue até Analytics>Web Insights>Logs.
7. Validar que o tráfego relacionado com estes sites esteja presente nos registos da Zscaler.
8. Aceda à sua aplicação privada configurada no Microsoft Entra Private Access. Por exemplo, acesse um compartilhamento de arquivos via SMB.
9. Aceda à sua aplicação privada configurada no Zscaler Private Access. Por exemplo, abra uma sessão RDP para um servidor privado.
10. Entre no Microsoft Entra Admin Center e navegue até Global Secure Access>Monitor>Registos de Tráfego.
11. Valide se o tráfego relacionado ao aplicativo privado de compartilhamento de arquivos SMB é capturado e se o tráfego relacionado à sessão RDP não é capturado nos logs de tráfego do Global Secure Access
12. Inicie sessão no portal de administração Zscaler Private Access (ZPA) e navegue até Analytics>Diagnostics>Logs. Valide se o tráfego relacionado à sessão RDP está presente e se o tráfego relacionado ao compartilhamento de arquivos SMB não está no Painel ou nos logs de diagnóstico.
13. Na bandeja do sistema, clique com o botão direito do mouse em Cliente Global Secure Access e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego, selecione Parar recolha.
14. Desloque-se para confirmar se o cliente Global Secure Access lidou com o tráfego de aplicações privadas para a partilha de ficheiros SMB e não processou o tráfego de sessão RDP.

Configuração 3: Microsoft Entra Microsoft Access com Zscaler Private Access e Zscaler Internet Access

Nesse cenário, o Global Secure Access lida com todo o tráfego do Microsoft 365. O Zscaler Private Access trata do tráfego de aplicações privadas e o Zscaler Internet Access trata do tráfego da Internet.

Configuração do Microsoft Entra Microsoft Access 3

Para esse cenário, você precisa:

• Habilite o perfil de encaminhamento do Microsoft Entra Microsoft Access.
• Instale e configure o cliente Global Secure Access para Windows ou macOS.

Configuração do Zscaler Private Access e do Zscaler Internet Access 3

Atue no portal Zscaler:

• Instale e configure o Zscaler Private Access.
• Crie um perfil de encaminhamento.
• Crie um perfil de aplicativo.
• Instale o Zscaler Client Connector.

Adicione perfil de reencaminhamento do Client Connector Portal:

1. Navegue até Portal de Administração do Zscaler Client Connector>Administração>Perfil de Encaminhamento>Adicionar Perfil de Encaminhamento.
2. Adicione um Nome do Perfil, como ZIA and ZPA.
3. Selecione Filter de Pacote-Basado em Tipo de Driver de Túnel.
4. Selecione a ação do perfil de encaminhamento como "Túnel" e selecione a versão do túnel. Por exemplo, Z-Tunnel 2.0.
5. Role para baixo até Ação de encaminhamento do perfil para ZPA.
6. Selecione Túnel para todas as opções nesta seção.

Adicione o perfil do aplicativo a partir do Client Connector Portal:

1. Navegue até Portal de administração do Zscaler> Client ConnectorPerfis> de AplicaçõesWindows (ou macOS)>Adicionar Política do Windows (ou macOS).
2. Adicione Nome, defina Ordem da Regra como 1, selecione Ativar, selecione Usuário(s) para aplicar esta política e selecione o Perfil de Encaminhamento. Por exemplo, selecione ZIA e ZPA.
3. Percorra para baixo e adicione os endereços IP (Internet Protocol) do serviço Microsoft SSE e os FQDNs (Nomes de Domínio Totalmente Qualificados) na seção de exclusões de FQDNs e IPs do serviço Global Secure Access, para o campo "BYPASS DE NOME DE HOST OU ENDEREÇO IP PARA O GATEWAY VPN".

Vá para a bandeja do sistema para verificar se os clientes Global Secure Access e Zscaler estão ativados.

Verifique as configurações para clientes:

1. Clique com o botão direito do mouse em Global Secure Access Client>Advanced Diagnostics>Forwarding Profile e verifique se apenas as regras do Microsoft 365 são aplicadas a este cliente.
2. Navegue até Diagnósticos Avançados>Verificação de Integridade e verifique se nenhuma verificação está falhando.
3. Clique com o botão direito do rato em Zscaler Client>> Verifique se a Política de Aplicativo corresponde às configurações nas etapas anteriores. Valide se está atualizado ou atualize-o.
4. Navegue até Zscaler Client>Internet Security. Verifique se o Status do Serviço é ON e o Status da Autenticação é Authenticated.
5. Navegue até Zscaler Client>Private Access. Verifique se o Status do Serviço é ON e o Status da Autenticação é Authenticated.

Observação

Para obter informações sobre a solução de problemas de falhas de verificação de integridade, consulte Solucionar problemas do diagnóstico do cliente Global Secure Access - Verificação de integridade.

Teste do fluxo de tráfego

1. Na bandeja do sistema, clique com o botão direito do mouse em Cliente Global Secure Access e selecione Diagnóstico Avançado. Selecione o separador Tráfego e selecione Iniciar recolha.
2. Aceda a estes sítios Web a partir do navegador: bing.com, salesforce.com, Instagram.com.
3. Na bandeja do sistema, clique com o botão direito do mouse em Cliente de Acesso Seguro Global e selecione a guia Tráfego de Diagnóstico>Avançado .
4. Role para observar que o cliente Global Secure Access não está capturando tráfego desses sites.
5. Entre no Microsoft Entra Admin Center e navegue até Global Secure Access>Monitor>Registos de Tráfego. Verifique se o tráfego relacionado aos esses sites está ausente dos logs de tráfego do Global Secure Access.
6. Inicie sessão no portal de administração Zscaler Internet Access (ZIA) e navegue até Analytics>Web Insights>Logs.
7. Validar que o tráfego relacionado com estes sites esteja presente nos registos da Zscaler.
8. Aceda à sua aplicação privada configurada no Zscaler Private Access. Por exemplo, abra uma sessão RDP para um servidor privado.
9. Entre no Microsoft Entra Admin Center e navegue até Global Secure Access>Monitor>Registos de Tráfego.
10. Validar tráfego relacionado com a sessão RDP não consta nos logs de tráfego do Global Secure Access
11. Inicie sessão no portal de administração Zscaler Private Access (ZPA) e navegue até Analytics>Diagnostics>Logs. Validar se o tráfego relacionado com a sessão RDP está presente no Painel ou nos logs de diagnóstico.
12. Acesse o Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), o SharePoint Online (<yourtenantdomain>.sharepoint.com).
13. Na bandeja do sistema, clique com o botão direito do mouse em Cliente Global Secure Access e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego, selecione Parar recolha.
14. Desloque-se para confirmar que o cliente Global Secure Access processou apenas o tráfego do Microsoft 365.
15. Você também pode validar se o tráfego é capturado nos logs de tráfego do Global Secure Access. No centro de administração do Microsoft Entra, navegue até Global Secure Access>Monitor>Logs de tráfego.
16. Confirmar que o tráfego relacionado com Outlook Online e SharePoint Online está ausente nos registos do Zscaler Internet Access em Analytics>Web Insights>Logs.

Configuração 4: Microsoft Entra Internet Access e Microsoft Entra Microsoft Access com Zscaler Private Access

Nesse cenário, o Global Secure Access lida com o tráfego da Internet e do Microsoft 365. O Zscaler apenas capta o tráfego de aplicações privadas. Assim, o módulo Zscaler Internet Access está desativado a partir do portal Zscaler.

Configuração do Microsoft Entra Internet e Microsoft Access 4

Para esse cenário, você precisa configurar:

• Habilite o perfil de encaminhamento do Microsoft Entra Microsoft Access e o perfil de encaminhamento do Microsoft Entra Internet Access.
• Instale e configure o cliente Global Secure Access para Windows ou macOS.
• Adicione um desvio personalizado da política de perfil de encaminhamento de tráfego do Microsoft Entra Internet Access para excluir o serviço ZPA.

Adicionar um bypass personalizado para Zscaler no Global Secure Access:

1. Entre no Centro de administração do Microsoft Entra e navegue até Global Secure Access>Connect>Encaminhamento de tráfego> perfil de acesso à Internet. Em Políticas de acesso à Internet , selecione Exibir.
2. Expanda Bypass personalizado e selecione Adicionar regra.
3. Deixe o tipo FQDN de destino e em Destino digite *.prod.zpath.net.
4. Selecione Guardar.

Configuração do Zscaler Private Access 4

Execute o procedimento no portal Zscaler:

• Instale e configure o Zscaler Private Access.
• Crie um perfil de encaminhamento.
• Crie um perfil de aplicativo.
• Instale o Zscaler Client Connector.

Adicione perfil de reencaminhamento do Client Connector Portal:

1. Navegue até ao portal de administração do Zscaler Client Connector>Administração>Perfil de Encaminhamento>Adicionar Perfil de Encaminhamento.
2. Adicione um Nome do Perfil, como ZPA Only.
3. Selecione Filter de Pacote-Basado em Tipo de Driver de Túnel.
4. Selecione a ação de encaminhamento do perfil como Nenhuma.
5. Role para baixo até Ação de encaminhamento do perfil para ZPA.
6. Selecione Túnel para todas as opções nesta seção.

Adicione o perfil do aplicativo a partir do Client Connector Portal:

1. Navegue até Portal de administração do Zscaler> Client ConnectorPerfis> de AplicaçõesWindows (ou macOS)>Adicionar Política do Windows (ou macOS).
2. Adicione Nome, defina Ordem da Regra como 1, selecione Ativar, selecione Usuário(s) para aplicar esta política e selecione o Perfil de Encaminhamento. Por exemplo, selecione Somente ZPA.
3. Percorra para baixo e adicione os endereços IP (Internet Protocol) do serviço Microsoft SSE e os FQDNs (Nomes de Domínio Totalmente Qualificados) na seção de exclusões de FQDNs e IPs do serviço Global Secure Access, para o campo "BYPASS DE NOME DE HOST OU ENDEREÇO IP PARA O GATEWAY VPN".

Abra o tabuleiro do sistema para verificar se os clientes Global Secure Access e Zscaler estão ativados.

Verifique as configurações para clientes:

1. Clique com o botão direito do mouse em Global Secure Access Client>> e verifique se as regras do Microsoft 365 e do Internet Access são aplicadas a esse cliente.
2. Expandir as regras > de acesso à Internet Verifique se o desvio *.prod.zpath.net personalizado existe no perfil.
3. Navegue até Diagnósticos Avançados>Verificação de Integridade e verifique se nenhuma verificação está falhando.
4. Clique com o botão direito do rato em Zscaler Client>> Verifique se a Política de Aplicativo corresponde às configurações nas etapas anteriores. Valide se está atualizado ou atualize-o.
5. Navegue até Zscaler Client>Private Access. Verifique se o Status do Serviço é ON e o Status da Autenticação é Authenticated.
6. Navegue até Zscaler Client>Internet Security. Verifique se o Status do Serviço é DISABLED.

Observação

Para obter informações sobre a solução de problemas de falhas de verificação de integridade, consulte Solucionar problemas do diagnóstico do cliente Global Secure Access - Verificação de integridade.

Teste do fluxo de tráfego

1. Na bandeja do sistema, clique com o botão direito do mouse em Cliente Global Secure Access e selecione Diagnóstico Avançado. Selecione o separador Tráfego e selecione Iniciar recolha.
2. Aceda a estes sites a partir do browser: bing.com, salesforce.com, Instagram.com, Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
3. Entre no Microsoft Entra Admin Center e navegue até Global Secure Access>Monitor>Registos de Tráfego. Garanta que o tráfego relacionado a esses sites seja capturado nos registos de tráfego do Global Secure Access.
4. Aceda à sua aplicação privada configurada no Zscaler Private Access. Por exemplo, usando a Área de Trabalho Remota (RDP).
5. Inicie sessão no portal de administração Zscaler Private Access (ZPA) e navegue até Analytics>Diagnostics>Logs. Validar se o tráfego relacionado com a sessão RDP está presente no Painel ou nos logs de diagnóstico.
6. Inicie sessão no portal de administração Zscaler Internet Access (ZIA) e navegue até Analytics>Web Insights>Logs. Valide se o tráfego relacionado ao Microsoft 365 e o tráfego da Internet, como Instagram.com, Outlook Online e SharePoint Online, está ausente nos registos do ZIA.
7. Na bandeja do sistema, clique com o botão direito do mouse em Cliente Global Secure Access e selecione Diagnóstico Avançado. Na caixa de diálogo Tráfego, selecione Parar recolha.
8. Desloque-se para verificar que o cliente Global Secure Access não está a capturar tráfego da aplicação privada. Além disso, observe que o cliente Global Secure Access está capturando tráfego para o Microsoft 365 e outro tráfego da Internet.