Поделиться через


Сведения о сосуществовании службы безопасности (SSE) с Корпорацией Майкрософт и Cisco

Используйте решения Microsoft и Cisco Security Service Edge (SSE) в единой среде, чтобы использовать надежный набор возможностей на обеих платформах и повысить уровень взаимодействия службы безопасного доступа (SASE). Взаимодействие между этими платформами позволяет клиентам повысить безопасность и удобство подключения.

В этом документе содержатся шаги по развертыванию этих решений параллельно, в частности, Частный доступ Microsoft Entra (с включенной функцией Частная зона DNS) и Cisco Umbrella для доступа к Интернету и безопасности на уровне DNS.

Общие сведения о настройке

В Microsoft Entra включите профиль пересылки трафика частного доступа и отключите профили пересылки трафика Через Интернет и Microsoft 365. Вы также включаете и настраиваете функцию Частная зона DNS приватного доступа. В Cisco вы записываете трафик Через Интернет.

Примечание.

Клиенты должны быть установлены на устройстве, присоединенном к Windows 10 или Windows 11 Microsoft Entra, или гибридном устройстве, присоединенном к Microsoft Entra.

конфигурация Частный доступ Microsoft Entra

Включите профиль пересылки трафика Частный доступ Microsoft Entra для клиента Microsoft Entra. Дополнительные сведения о включении и отключении профилей см. в разделе "Профили пересылки трафика глобального безопасного доступа".

Установите и настройте клиент глобального безопасного доступа на устройствах конечных пользователей. Дополнительные сведения о клиентах см. в разделе "Глобальный безопасный доступ". Сведения о том, как установить клиент Windows, см. в статье "Глобальный безопасный доступ" для Windows.

Установите и настройте соединитель частной сети Microsoft Entra. Чтобы узнать, как установить и настроить соединитель, см. инструкции по настройке соединителей.

Примечание.

Для Частная зона DNS требуется версия соединителя версии 1.5.3829.0 или более поздней.

Настройте быстрый доступ к частным ресурсам и настройте Частная зона DNS и суффиксы DNS. Сведения о настройке быстрого доступа см. в статье "Как настроить быстрый доступ".

Конфигурация Cisco

Добавьте суффиксы домена из быстрого доступа к Microsoft Entra и полное доменное имя службы Microsoft Entra в разделе "Управление доменами" в списке внутренних доменов, чтобы обойти DNS-сервер Cisco Umbrella DNS. Добавьте полное доменное имя службы Microsoft Entra и IP-адреса в управление доменами в списке внешних доменов, чтобы обойти безопасный веб-шлюз Cisco (SWG).

  1. На портале Cisco Umbrella перейдите к управлению доменами конфигурации > > развертывания.
  2. В разделе "Внутренние домены" добавьте их и сохраните.
    • *.globalsecureaccess.microsoft.com

      Примечание.

      Cisco Umbrella имеет подразумеваемый подстановочный знак, поэтому вы можете использовать globalsecureaccess.microsoft.com.

    • <quickaccessapplicationid>.globalsecureaccess.local

      Примечание.

      quickaccessapplicationid — это идентификатор приложения быстрого доступа, которое вы настроили.

    • Суффиксы DNS, настроенные в приложении быстрого доступа.
  3. В разделе "Внешние домены и IP-адреса" добавьте полное доменное имя и IP-адреса и сохраните их.
    • *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16

      Примечание.

      Cisco Umbrella имеет подразумеваемый подстановочный знак, поэтому вы можете использовать globalsecureaccess.microsoft.com для полного доменного имени.

  4. Перезапустите клиентские службы Cisco Umbrella и Cisco SWG или перезапустите компьютер, на котором установлены клиенты.

После установки и параллельного запуска обоих клиентов и настройки с порталов администрирования перейдите в системную область, чтобы проверить, включен ли глобальный безопасный доступ и клиенты Cisco.

Проверьте конфигурацию клиента Global Secure Access.

  1. Щелкните правой кнопкой мыши профиль расширенной пересылки диагностики > клиента > Global Secure Access и убедитесь, что к этому клиенту применяются только правила закрытого доступа.
  2. В расширенной > диагностике работоспособности убедитесь, что проверки не завершаются ошибкой.

Тестирование потока трафика

Конфигурация SSE Майкрософт: включение Частный доступ Microsoft Entra, отключение доступа к Интернету и профилей пересылки трафика Microsoft 365.

Конфигурация Cisco SSE: фиксируется трафик доступа к Интернету. Трафик частного доступа исключен.

  1. В области системы щелкните правой кнопкой мыши значок клиента Глобального безопасного доступа и выберите "Расширенная диагностика". Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
  2. Доступ к частным ресурсам, настроенным с помощью общей папки Entra Private Access, например SMB File share. Откройте \\YourFileServer.yourdomain.com меню "Пуск и запуск " в окне обозревателя.
  3. В области системы щелкните правой кнопкой мыши клиент глобального безопасного доступа и выберите "Расширенная диагностика". В диалоговом окне "Сетевой трафик" выберите "Остановить сбор".
  4. В диалоговом окне "Сетевой трафик" прокрутите страницу, чтобы просмотреть созданный трафик, чтобы убедиться, что трафик приватного доступа обрабатывается клиентом глобального безопасного доступа.
  5. Вы также можете убедиться, что трафик фиксируется Microsoft Entra, проверяя трафик в журналах трафика глобального безопасного доступа из Центра администрирования Microsoft Entra в журналах трафика глобального монитора > безопасного доступа>.
  6. Перейдите к любым веб-сайтам из браузеров и убедитесь, что интернет-трафик отсутствует в журналах трафика Global Secure Access и только записан в Cisco Umbrella.

Следующие шаги