Сведения о сосуществовании службы безопасности (SSE) с Корпорацией Майкрософт и Cisco
Используйте решения Microsoft и Cisco Security Service Edge (SSE) в единой среде, чтобы использовать надежный набор возможностей на обеих платформах и повысить уровень взаимодействия службы безопасного доступа (SASE). Взаимодействие между этими платформами позволяет клиентам повысить безопасность и удобство подключения.
В этом документе содержатся шаги по развертыванию этих решений параллельно, в частности, Частный доступ Microsoft Entra (с включенной функцией Частная зона DNS) и Cisco Umbrella для доступа к Интернету и безопасности на уровне DNS.
Общие сведения о настройке
В Microsoft Entra включите профиль пересылки трафика частного доступа и отключите профили пересылки трафика Через Интернет и Microsoft 365. Вы также включаете и настраиваете функцию Частная зона DNS приватного доступа. В Cisco вы записываете трафик Через Интернет.
Примечание.
Клиенты должны быть установлены на устройстве, присоединенном к Windows 10 или Windows 11 Microsoft Entra, или гибридном устройстве, присоединенном к Microsoft Entra.
конфигурация Частный доступ Microsoft Entra
Включите профиль пересылки трафика Частный доступ Microsoft Entra для клиента Microsoft Entra. Дополнительные сведения о включении и отключении профилей см. в разделе "Профили пересылки трафика глобального безопасного доступа".
Установите и настройте клиент глобального безопасного доступа на устройствах конечных пользователей. Дополнительные сведения о клиентах см. в разделе "Глобальный безопасный доступ". Сведения о том, как установить клиент Windows, см. в статье "Глобальный безопасный доступ" для Windows.
Установите и настройте соединитель частной сети Microsoft Entra. Чтобы узнать, как установить и настроить соединитель, см. инструкции по настройке соединителей.
Примечание.
Для Частная зона DNS требуется версия соединителя версии 1.5.3829.0 или более поздней.
Настройте быстрый доступ к частным ресурсам и настройте Частная зона DNS и суффиксы DNS. Сведения о настройке быстрого доступа см. в статье "Как настроить быстрый доступ".
Конфигурация Cisco
Добавьте суффиксы домена из быстрого доступа к Microsoft Entra и полное доменное имя службы Microsoft Entra в разделе "Управление доменами" в списке внутренних доменов, чтобы обойти DNS-сервер Cisco Umbrella DNS. Добавьте полное доменное имя службы Microsoft Entra и IP-адреса в управление доменами в списке внешних доменов, чтобы обойти безопасный веб-шлюз Cisco (SWG).
- На портале Cisco Umbrella перейдите к управлению доменами конфигурации > > развертывания.
- В разделе "Внутренние домены" добавьте их и сохраните.
*.globalsecureaccess.microsoft.com
Примечание.
Cisco Umbrella имеет подразумеваемый подстановочный знак, поэтому вы можете использовать
globalsecureaccess.microsoft.com
.<quickaccessapplicationid>.globalsecureaccess.local
Примечание.
quickaccessapplicationid
— это идентификатор приложения быстрого доступа, которое вы настроили.- Суффиксы DNS, настроенные в приложении быстрого доступа.
- В разделе "Внешние домены и IP-адреса" добавьте полное доменное имя и IP-адреса и сохраните их.
*.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16
Примечание.
Cisco Umbrella имеет подразумеваемый подстановочный знак, поэтому вы можете использовать
globalsecureaccess.microsoft.com
для полного доменного имени.
- Перезапустите клиентские службы Cisco Umbrella и Cisco SWG или перезапустите компьютер, на котором установлены клиенты.
После установки и параллельного запуска обоих клиентов и настройки с порталов администрирования перейдите в системную область, чтобы проверить, включен ли глобальный безопасный доступ и клиенты Cisco.
Проверьте конфигурацию клиента Global Secure Access.
- Щелкните правой кнопкой мыши профиль расширенной пересылки диагностики > клиента > Global Secure Access и убедитесь, что к этому клиенту применяются только правила закрытого доступа.
- В расширенной > диагностике работоспособности убедитесь, что проверки не завершаются ошибкой.
Тестирование потока трафика
Конфигурация SSE Майкрософт: включение Частный доступ Microsoft Entra, отключение доступа к Интернету и профилей пересылки трафика Microsoft 365.
Конфигурация Cisco SSE: фиксируется трафик доступа к Интернету. Трафик частного доступа исключен.
- В области системы щелкните правой кнопкой мыши значок клиента Глобального безопасного доступа и выберите "Расширенная диагностика". Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
- Доступ к частным ресурсам, настроенным с помощью общей папки Entra Private Access, например SMB File share. Откройте
\\YourFileServer.yourdomain.com
меню "Пуск и запуск " в окне обозревателя. - В области системы щелкните правой кнопкой мыши клиент глобального безопасного доступа и выберите "Расширенная диагностика". В диалоговом окне "Сетевой трафик" выберите "Остановить сбор".
- В диалоговом окне "Сетевой трафик" прокрутите страницу, чтобы просмотреть созданный трафик, чтобы убедиться, что трафик приватного доступа обрабатывается клиентом глобального безопасного доступа.
- Вы также можете убедиться, что трафик фиксируется Microsoft Entra, проверяя трафик в журналах трафика глобального безопасного доступа из Центра администрирования Microsoft Entra в журналах трафика глобального монитора > безопасного доступа>.
- Перейдите к любым веб-сайтам из браузеров и убедитесь, что интернет-трафик отсутствует в журналах трафика Global Secure Access и только записан в Cisco Umbrella.