Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте решения Microsoft и Cisco Security Service Edge (SSE) в единой среде, чтобы использовать надежный набор возможностей на обеих платформах и повысить уровень взаимодействия службы безопасного доступа (SASE). Взаимодействие между этими платформами позволяет клиентам повысить безопасность и удобство подключения.
В этом документе содержатся шаги по развертыванию этих решений параллельно, в частности, Частный доступ Microsoft Entra (с включенной функцией Частная зона DNS) и Cisco Umbrella для доступа к Интернету и безопасности на уровне DNS.
Общие сведения о настройке
В Microsoft Entra включите профиль пересылки частного доступа и отключите профили пересылки трафика Интернет-доступа и Microsoft 365. Вы также включаете и настраиваете функцию Частная зона DNS приватного доступа. В компании Cisco вы перехватываете трафик доступа в Интернет.
Примечание.
Клиенты должны быть установлены на устройстве, присоединенном к Windows 10 или Windows 11 Microsoft Entra, или гибридном устройстве, присоединенном к Microsoft Entra.
конфигурация Microsoft Entra Private Access
Включите профиль пересылки трафика Microsoft Entra Private Access для тенанта Microsoft Entra. Дополнительные сведения о включении и отключении профилей см. в разделе "Профили пересылки трафика глобального безопасного доступа".
Установите и настройте клиент глобального безопасного доступа на устройствах конечных пользователей. Дополнительные сведения о клиентах см. в разделе "Глобальный безопасный доступ". Сведения о том, как установить клиент Windows, см. в статье "Глобальный безопасный доступ" для Windows.
Установите и настройте соединитель частной сети Microsoft Entra. Чтобы узнать, как установить и настроить соединитель, см. инструкции по настройке соединителей.
Примечание.
Для частной зоны DNS требуется версия соединителя 1.5.3829.0 или более поздняя.
Настройте быстрый доступ к частным ресурсам и настройте частную DNS и суффиксы DNS. Сведения о настройке быстрого доступа см. в статье "Как настроить быстрый доступ".
Конфигурация Cisco
Добавьте суффиксы доменов из Microsoft Entra Quick Access и полные доменные имена служб Microsoft Entra в список внутренних доменов в разделе "Управление доменами", чтобы обойти Cisco Umbrella DNS. Добавьте полное доменное имя и IP-адреса службы Microsoft Entra в раздел управления доменами в списке внешних доменов, чтобы обойти безопасный веб-шлюз Cisco (SWG).
- На портале Cisco Umbrella перейдите к Развертываниям > Конфигурация > Управление доменами.
- В разделе "Внутренние домены" добавьте их и сохраните.
*.globalsecureaccess.microsoft.comПримечание.
Cisco Umbrella имеет встроенный подстановочный знак, так что вы можете использовать
globalsecureaccess.microsoft.com.<quickaccessapplicationid>.globalsecureaccess.localПримечание.
quickaccessapplicationid— это идентификатор приложения быстрого доступа, которое вы настроили.- Суффиксы DNS, настроенные в приложении быстрого доступа.
- В разделе "Внешние домены и IP-адреса" добавьте полное доменное имя и IP-адреса и сохраните их.
*.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16Примечание.
Cisco Umbrella имеет подразумеваемый подстановочный знак, поэтому вы можете использовать
globalsecureaccess.microsoft.comдля полного доменного имени (FQDN).
- Перезапустите клиентские службы Cisco Umbrella и Cisco SWG или перезапустите компьютер, на котором установлены клиенты.
После установки и параллельного запуска обоих клиентов и настройки с порталов администрирования перейдите в системную область, чтобы проверить, включен ли глобальный безопасный доступ и клиенты Cisco.
Проверьте конфигурацию клиента Global Secure Access.
- Щелкните правой кнопкой мыши на клиенте Global Secure Access > Advanced Diagnostics > Профиля пересылки и убедитесь, что к этому клиенту применяются только правила Private Access.
- В Продвинутой диагностике > проверки состояния системы убедитесь, что все проверки проходят успешно.
Тестирование потока трафика
Конфигурация SSE Microsoft: включите Microsoft Entra для частного доступа, отключите доступ в Интернет и перенаправление трафика Microsoft 365.
Конфигурация Cisco SSE: фиксируется трафик доступа к Интернету. Трафик частного доступа исключен.
- В области системы щелкните правой кнопкой мыши значок клиента Глобального безопасного доступа и выберите "Расширенная диагностика". Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
- Доступ к частным ресурсам, которые вы настроили с Entra Private Access, например, обмен файлами SMB. Откройте
\\YourFileServer.yourdomain.comс помощью меню "Пуск/Выполнить" из окна проводника. - В области системы щелкните правой кнопкой мыши клиент глобального безопасного доступа и выберите "Расширенная диагностика". В диалоговом окне "Сетевой трафик" выберите "Остановить сбор".
- В диалоговом окне "Сетевой трафик" прокрутите страницу, чтобы просмотреть созданный трафик, чтобы убедиться, что трафик приватного доступа обрабатывается клиентом глобального безопасного доступа.
- Вы также можете убедиться, что трафик фиксируется Microsoft Entra, проверяя трафик в журналах трафика "Глобальный безопасный доступ" из Центра администрирования Microsoft Entra в
журналах трафика глобального безопасного доступа Монитор . - Перейдите к любым веб-сайтам из браузеров и убедитесь, что интернет-трафик отсутствует в журналах трафика Global Secure Access и только записан в Cisco Umbrella.