Узнайте о сосуществовании Security Service Edge (SSE) с Microsoft и Zscaler

В современном быстро развивающемся цифровом ландшафте организации требуют надежных и унифицированных решений для обеспечения безопасного и эффективного подключения. Корпорация Майкрософт и Zscaler предлагают дополнительные возможности службы безопасного доступа (SASE), которые при интеграции обеспечивают расширенную безопасность и подключение для различных сценариев доступа.

В этом руководстве описывается, как настроить и развернуть решения Microsoft Entra вместе с предложениями Zscaler по обеспечению безопасности Edge (SSE). Используя сильные стороны обеих платформ, вы можете оптимизировать состояние безопасности организации при сохранении высокопроизводительного подключения для частных приложений, трафика Microsoft 365 и доступа к Интернету.

1. Частный доступ Microsoft Entra с доступом в интернет от Zscaler

   В этом сценарии глобальный безопасный доступ обрабатывает частный трафик приложений. Zscaler фиксирует только интернет-трафик. Поэтому модуль Zscaler Private Access отключен на портале Zscaler.

2. Частный доступ Microsoft Entra с частным доступом Zscaler и Zscaler Internet Access

   В этом сценарии оба клиента обрабатывают трафик для отдельных частных приложений. Глобальный безопасный доступ обрабатывает частные приложения в Microsoft Entra Private Access. Частные приложения в Zscaler используют модуль Zscaler Private Access. Zscaler Internet Access обрабатывает интернет-трафик.

3. Microsoft Entra Microsoft Access с Zscaler Private Access и Zscaler Internet Access

   В этом сценарии глобальный безопасный доступ обрабатывает весь трафик Microsoft 365. Zscaler Private Access обрабатывает трафик частных приложений, а Zscaler Internet Access обрабатывает интернет-трафик.

4. Microsoft Entra Internet Access и Microsoft Entra Microsoft Access с Zscaler Private Access

   В этом сценарии глобальный безопасный доступ обрабатывает интернет и трафик Microsoft 365. Zscaler фиксирует только трафик частного приложения. Поэтому модуль Zscaler Internet Access отключен на портале Zscaler.

Предпосылки

Чтобы настроить Microsoft и Zscaler для единого решения SASE, начните с настройки Microsoft Entra Internet Access и Microsoft Entra Private Access. Затем настройте Zscaler Private Access и Zscaler Internet Access. Наконец, обязательно установите необходимое полное доменное имя и IP-адрес, чтобы обеспечить плавную интеграцию между двумя платформами.

• Настройте Microsoft Entra Internet Access и Microsoft Entra Private Access. Эти продукты составляют решение глобального безопасного доступа.
• Настройка Zscaler Private Access и Internet Access
• Настройка обхода полного доменного имени (FQDN) и IP-адресов для глобального безопасного доступа

Глобальный безопасный доступ Майкрософт

Чтобы настроить Microsoft Entra Global Secure Access и протестировать все сценарии, приведенные в этой документации, выполните следующие действия.

• Включите и отключите различные профили пересылки трафика Глобального безопасного доступа Майкрософт для клиента Microsoft Entra. Дополнительные сведения о включении и отключении профилей см. в разделе "Профили пересылки трафика глобального безопасного доступа".
• Установите и настройте соединитель частной сети Microsoft Entra. Чтобы узнать, как установить и настроить соединитель, см. инструкции по настройке соединителей.

  Замечание

  Соединители частной сети требуются для приложений Закрытого доступа Microsoft Entra.

• Настройте быстрый доступ к вашим частным ресурсам, а также частные системы доменных имен (DNS) и суффиксы DNS. Сведения о настройке быстрого доступа см. в статье "Как настроить быстрый доступ".
• Установите и настройте клиент Global Secure Access на устройствах конечных пользователей. Дополнительные сведения о клиентах см. в разделе "Глобальный безопасный доступ". Сведения о том, как установить клиент Windows, см. в статье "Глобальный безопасный доступ" для Windows. Сведения о macOS см. в разделе "Клиент глобального безопасного доступа" для macOS.

Частный доступ Zscaler и доступ в интернет

Чтобы интегрировать Zscaler Private Access и Zscaler Internet Access с Microsoft Global Secure Access, убедитесь, что выполнены следующие предварительные требования. Эти шаги обеспечивают плавную интеграцию, улучшенную управление трафиком и улучшенную безопасность.

• Настройка Zscaler Internet Access. Дополнительные сведения о настройке Zscaler см. в пошаговом руководстве по настройке ZIA.
• Настройка закрытого доступа Zscaler. Дополнительные сведения о настройке Zscaler см. в пошаговом руководстве по настройке ZPA.
• Настройте профили пересылки клиентских коннекторов Zscaler. Дополнительные сведения о настройке Zscaler см. в разделе Настройка профилей пересылки для Zscaler Client Connector.
• Настройте и сконфигурируйте профили приложений Zscaler Client Connector с исключениями глобального безопасного доступа. Дополнительные сведения о настройке Zscaler см. в разделе "Настройка профилей приложений клиентского соединителя Zscaler".

Полные доменные имена и IP-адреса обходов службы глобального безопасного доступа.

Настройте профиль приложения клиентского соединителя Zscaler для работы с полными доменными именами (FQDN) службы Microsoft Entra и IP-адресами протокола Интернета.

Эти записи должны присутствовать в профилях приложений для каждого сценария:

• IP-адреса: 150.171.15.0/24, 150.171.18.0/24, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 151.206.0.0/16, 6.6.0.0/16
• Полные доменные имена: internet.edgediagnostic.globalsecureaccess.microsoft.com, m365.edgediagnostic.globalsecureaccess.microsoft.com, private.edgediagnostic.globalsecureaccess.microsoft.com, aps.globalsecureaccess.microsoft.com, auth.edgediagnostic.globalsecureaccess.microsoft.com, <tenantid>.internet.client.globalsecureaccess.microsoft.com, <tenantid>.m365.client.globalsecureaccess.microsoft.com, <tenantid>.private.client.globalsecureaccess.microsoft.com, <tenantid>.auth.client.globalsecureaccess.microsoft.com, <tenantid>.private-backup.client.globalsecureaccess.microsoft.com, <tenantid>.internet-backup.client.globalsecureaccess.microsoft.com, <tenantid>.m365-backup.client.globalsecureaccess.microsoft.com, <tenantid>.auth-backup.client.globalsecureaccess.microsoft.com.
• Установите и настройте программное обеспечение клиента Zscaler Client Connector.

Конфигурация 1. Частный доступ Microsoft Entra с Zscaler Internet Access

В этом сценарии Microsoft Entra Private Access обрабатывает трафик частных приложений, а Zscaler Internet Access управляет интернет-трафиком. Модуль Zscaler Private Access отключен на портале Zscaler. Чтобы настроить частный доступ Microsoft Entra, необходимо выполнить несколько шагов. Сначала активируйте профиль перенаправления. Затем установите соединитель частной сети. После этого настройте быстрый доступ и настройте частный DNS. Наконец, установите клиент глобального безопасного доступа. Для Zscaler Internet Access конфигурация включает создание профиля пересылки и профиля приложения, добавление правил обхода для служб Microsoft Entra и установку соединителя клиента Zscaler. Наконец, проверяются конфигурации, а поток трафика проверяется, чтобы обеспечить правильную обработку частного и интернет-трафика соответствующими решениями.

конфигурация Microsoft Entra Private Access

Для этого сценария необходимо выполнить следующие действия.

• Включите профиль пересылки приватного доступа Microsoft Entra.
• Установите Коннектор Частной Сети для Microsoft Entra Private Access.
• Настройте быстрый доступ и настройте частный DNS.
• Установите и настройте клиент глобального безопасного доступа для Windows или macOS.

Конфигурация Zscaler Internet Access

Выполните на портале Zscaler:

• Настройте и конфигурируйте Zscaler Internet Access.
• Создайте профиль пересылки.
• Создайте профиль приложения.
• Установка соединителя клиента Zscaler

Добавьте профиль пересылки на портале соединителя клиента:

1. Перейдите на административный портал Zscaler Client Connector>Администрирование>Профиль пересылки>Добавить профиль пересылки.
2. Добавьте имя профиля, напримерZIA Only.
3. Выберите «На основе фильтра пакетов» в «Тип драйвера туннеля».
4. Выберите действие профиля пересылки как туннель, а затем выберите версию туннеля. Например: Z-Tunnel 2.0
5. Прокрутите вниз до действия профиля переадресации для ZPA.
6. Выберите "Нет" для всех параметров в этом разделе.

Добавьте профиль приложения через портал клиентского соединителя.

1. Перейдите к порталу администрирования клиента Zscaler Client Connector, разделу "Профили приложений" Windows (или macOS)>Добавить политику Windows (или macOS).
2. Добавьте имя, задайте порядок правил, например 1, выберите "Включить", выберите "Пользователи", чтобы применить эту политику, и выберите профиль пересылки. Например, выберите ZIA Only.
3. Прокрутите вниз и добавьте IP-адреса и полностью квалифицированные доменные имена (FQDN) службы Microsoft SSE в раздел исключений для доменных имен и IP-адресов службы глобального безопасного доступа, в поле "Обход ИМЕНИ ХОСТА ИЛИ IP-АДРЕСА ДЛЯ VPN-ШЛЮЗА".

Перейдите к системной области, чтобы проверить, включены ли клиенты Global Secure Access и Zscaler.

Проверьте конфигурации для клиентов:

1. Щелкните правой кнопкой мыши на глобальном клиенте безопасного доступа, > и профиле переадресации, и убедитесь, что к этому клиенту применяются частный доступ и частные правила DNS.
2. Перейдите к расширенной диагностике>проверке работоспособности и убедитесь, что все проверки завершаются успешно.
3. Щелкните правой кнопкой мыши на Клиент Zscaler>Открыть Zscaler>Дополнительно. Проверьте , соответствует ли политика приложений конфигурациям в предыдущих шагах. Убедитесь, что она актуальна или обновите её.
4. Перейдите к Zscaler Client>Internet Security. Проверьте, что состояние службы — ON, а статус проверки подлинности — Authenticated.
5. Перейдите к Клиенту Zscaler>Приватный доступ. Проверьте состояние службыDISABLED.

Замечание

Сведения об устранении неполадок проверки работоспособности см. в разделе "Устранение неполадок с диагностикой клиента глобального безопасного доступа — проверка работоспособности".

Тестирование потока трафика:

1. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
2. Доступ к этим веб-сайтам из браузера: bing.com, salesforce.com, Instagram.com.
3. В области уведомлений щелкните правой кнопкой мыши Клиент Глобального Безопасного Доступа и выберите вкладку "Расширенная диагностика>Трафик.
4. Прокрутите страницу, чтобы увидеть, что клиент глобального безопасного доступа не захватывает трафик с этих веб-сайтов.
5. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика. Проверьте, отсутствует ли в журналах трафика глобального безопасного доступа информация о трафике, связанном с этими сайтами.
6. Войдите на портал администрирования Zscaler Internet Access (ZIA) и перейдите к Analytics>Web Insights>журналам. Убедитесь, что трафик, связанный с этими сайтами, присутствует в журналах Zscaler.
7. Доступ к частному приложению, настроенном в Microsoft Entra Private Access. Например, доступ к общей папке через блок сообщений сервера (SMB).
8. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика.
9. Убедитесь, что трафик, связанный с файловой системой с совместным доступом, фиксируется в журналах трафика глобального безопасного доступа.
10. Войдите на портал администрирования Zscaler Internet Access (ZIA) и перейдите к Analytics>Web Insights>журналам. Убедитесь, что трафик, связанный с частным приложением, отсутствует в панели мониторинга или журналах трафика.
11. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. В диалоговом окне "Трафик" выберите "Остановить сбор".
12. Прокрутите страницу, чтобы подтвердить, что клиент Глобального безопасного доступа обрабатывает только частный трафик приложения.

Конфигурация 2. Частный доступ Microsoft Entra с помощью Zscaler Private Access и Zscaler Internet Access

В этом сценарии оба клиента обрабатывают трафик для отдельных частных приложений. Глобальный безопасный доступ обрабатывает частные приложения в Microsoft Entra Private Access. Частные приложения в Zscaler используют модуль Zscaler Private Access. Zscaler Internet Access обрабатывает интернет-трафик.

Конфигурация частного доступа Microsoft Entra 2

Для этого сценария необходимо выполнить следующие действия.

• Включите профиль пересылки приватного доступа Microsoft Entra.
• Установите Коннектор Частной Сети для Microsoft Entra Private Access.
• Настройте быстрый доступ и настройте частный DNS.
• Установите и настройте клиент глобального безопасного доступа для Windows или macOS.

Zscaler Private Access и Zscaler Internet Access конфигурация 2

Выполните действия на портале Zscaler:

• Настройте и сконфигурируйте как Zscaler Internet Access, так и Zscaler Private Access.
• Создайте профиль пересылки.
• Создайте профиль приложения.
• Установите соединитель клиента Zscaler.

Добавьте профиль пересылки на портале соединителя клиента:

1. Перейдите на административный портал Zscaler Client Connector>Администрирование>Профиль пересылки>Добавить профиль пересылки.
2. Добавьте имя профиля, напримерZIA and ZPA.
3. Выберите «На основе фильтра пакетов» в «Тип драйвера туннеля».
4. Выберите действие профиля пересылки как туннель и затем выберите версию туннеля. Например: Z-Tunnel 2.0.
5. Прокрутите вниз до действия профиля переадресации для ZPA.
6. Выберите туннель для всех параметров в этом разделе.

Добавьте профиль приложения через портал клиентского соединителя.

1. Перейдите к порталу администрирования клиента Zscaler Client Connector, разделу "Профили приложений" Windows (или macOS)>Добавить политику Windows (или macOS).
2. Добавьте имя, задайте порядок правил, например 1, выберите "Включить", выберите "Пользователи", чтобы применить эту политику, и выберите профиль пересылки. Например, выберите ZIA и ZPA.
3. Прокрутите вниз и добавьте IP-адреса и полностью квалифицированные доменные имена (FQDN) службы Microsoft SSE в раздел исключений для доменных имен и IP-адресов службы глобального безопасного доступа, в поле "Обход ИМЕНИ ХОСТА ИЛИ IP-АДРЕСА ДЛЯ VPN-ШЛЮЗА".

Перейдите к системной области, чтобы проверить, включены ли клиенты Global Secure Access и Zscaler.

Проверьте конфигурации для клиентов:

1. Щелкните правой кнопкой мыши на глобальном клиенте безопасного доступа, > и профиле переадресации, и убедитесь, что к этому клиенту применяются частный доступ и частные правила DNS.
2. Перейдите к расширенной диагностике>проверке работоспособности и убедитесь, что все проверки завершаются успешно.
3. Щелкните правой кнопкой мыши на Клиент Zscaler>Открыть Zscaler>Дополнительно. Проверьте , соответствует ли политика приложений конфигурациям в предыдущих шагах. Убедитесь, что она актуальна или обновите её.
4. Перейдите к Zscaler Client>Internet Security. Проверьте, что состояние службы — ON, а статус проверки подлинности — Authenticated.
5. Перейдите к Клиенту Zscaler>Приватный доступ. Проверьте, что состояние службы — ON, а статус проверки подлинности — Authenticated.

Замечание

Сведения об устранении неполадок проверки работоспособности см. в разделе "Устранение неполадок с диагностикой клиента глобального безопасного доступа — проверка работоспособности".

Тестирование потока трафика:

1. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
2. Доступ к этим веб-сайтам из браузера: bing.com, salesforce.com, Instagram.com.
3. В области уведомлений щелкните правой кнопкой мыши Клиент Глобального Безопасного Доступа и выберите вкладку "Расширенная диагностика>Трафик.
4. Прокрутите страницу, чтобы увидеть, что клиент глобального безопасного доступа не захватывает трафик с этих веб-сайтов.
5. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика. Проверьте, отсутствует ли в журналах трафика глобального безопасного доступа информация о трафике, связанном с этими сайтами.
6. Войдите на портал администрирования Zscaler Internet Access (ZIA) и перейдите к Analytics>Web Insights>журналам.
7. Убедитесь, что трафик, связанный с этими сайтами, присутствует в журналах Zscaler.
8. Доступ к частному приложению, настроенном в Microsoft Entra Private Access. Например, доступ к общей папке через SMB.
9. Доступ к частному приложению, настроенном в Zscaler Private Access. Например, откройте сеанс RDP на частный сервер.
10. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика.
11. Убедитесь, что трафик, связанный с частным приложением общей папки SMB, фиксируется и трафик, связанный с сеансом RDP , не фиксируется в журналах трафика Global Secure Access.
12. Войдите на портал администрирования Zscaler Private Access (ZPA) и перейдите к аналитике>диагностике>журналам. Убедитесь, что трафик, связанный с сеансом RDP, присутствует, а трафик, связанный с общей папкой SMB, отсутствует в журналах панели мониторинга или диагностики.
13. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. В диалоговом окне "Трафик" выберите "Остановить сбор".
14. Прокрутите страницу, чтобы подтвердить, что клиент Глобального безопасного доступа обрабатывал частный трафик приложения для общей папки SMB и не обрабатывал трафик сеанса RDP.

Конфигурация 3. Microsoft Entra Microsoft Access с Zscaler Private Access и Zscaler Internet Access

В этом сценарии глобальный безопасный доступ обрабатывает весь трафик Microsoft 365. Zscaler Private Access обрабатывает трафик частных приложений, а Zscaler Internet Access обрабатывает интернет-трафик.

Конфигурация Microsoft Entra Microsoft Access 3

Для этого сценария необходимо выполнить следующие действия.

• Включите профиль пересылки Microsoft Entra для Microsoft Access.
• Установите и настройте клиент глобального безопасного доступа для Windows или macOS.

Zscaler Private Access и Zscaler Internet Access конфигурация 3

Выполните на портале Zscaler:

• Установите и настройте Частный Доступ Zscaler.
• Создайте профиль пересылки.
• Создайте профиль приложения.
• Установите соединитель клиента Zscaler.

Добавьте профиль пересылки на портале соединителя клиента:

1. Перейдите на административный портал Zscaler Client Connector>Администрирование>Профиль пересылки>Добавить профиль пересылки.
2. Добавьте имя профиля, напримерZIA and ZPA.
3. Выберите «На основе фильтра пакетов» в «Тип драйвера туннеля».
4. Выберите действие профиля пересылки как туннель и затем выберите версию туннеля. Например: Z-Tunnel 2.0.
5. Прокрутите вниз до действия профиля переадресации для ZPA.
6. Выберите туннель для всех параметров в этом разделе.

Добавьте профиль приложения через портал клиентского соединителя.

1. Перейдите к порталу администрирования клиента Zscaler Client Connector, разделу "Профили приложений" Windows (или macOS)>Добавить политику Windows (или macOS).
2. Добавьте имя, задайте порядок правил, например 1, выберите "Включить", выберите "Пользователи", чтобы применить эту политику, и выберите профиль пересылки. Например, выберите ZIA и ZPA.
3. Прокрутите вниз и добавьте IP-адреса и полностью квалифицированные доменные имена (FQDN) службы Microsoft SSE в раздел исключений для доменных имен и IP-адресов службы глобального безопасного доступа, в поле "Обход ИМЕНИ ХОСТА ИЛИ IP-АДРЕСА ДЛЯ VPN-ШЛЮЗА".

Перейдите к системной области, чтобы проверить, включены ли клиенты Global Secure Access и Zscaler.

Проверьте конфигурации для клиентов:

1. Щелкните правой кнопкой мыши на клиенте Global Secure Access>расширенных диагностик>профиле переадресации и убедитесь, что к этому клиенту применяются только правила Microsoft 365.
2. Перейдите к расширенной диагностике>проверке работоспособности и убедитесь, что все проверки завершаются успешно.
3. Щелкните правой кнопкой мыши на Клиент Zscaler>Открыть Zscaler>Дополнительно. Проверьте , соответствует ли политика приложений конфигурациям в предыдущих шагах. Убедитесь, что она актуальна или обновите её.
4. Перейдите к Zscaler Client>Internet Security. Проверьте, что состояние службы — ON, а статус проверки подлинности — Authenticated.
5. Перейдите к Клиенту Zscaler>Приватный доступ. Проверьте, что состояние службы — ON, а статус проверки подлинности — Authenticated.

Замечание

Сведения об устранении неполадок проверки работоспособности см. в разделе "Устранение неполадок с диагностикой клиента глобального безопасного доступа — проверка работоспособности".

Тестирование потока трафика:

1. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
2. Доступ к этим веб-сайтам из браузера: bing.com, salesforce.com, Instagram.com.
3. В области уведомлений щелкните правой кнопкой мыши Клиент Глобального Безопасного Доступа и выберите вкладку "Расширенная диагностика>Трафик.
4. Прокрутите страницу, чтобы увидеть, что клиент глобального безопасного доступа не захватывает трафик с этих веб-сайтов.
5. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика. Проверьте, отсутствует ли в журналах трафика глобального безопасного доступа информация о трафике, связанном с этими сайтами.
6. Войдите на портал администрирования Zscaler Internet Access (ZIA) и перейдите к Analytics>Web Insights>журналам.
7. Убедитесь, что трафик, связанный с этими сайтами, присутствует в журналах Zscaler.
8. Доступ к частному приложению, настроенном в Zscaler Private Access. Например, откройте сеанс RDP на частный сервер.
9. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика.
10. Убедитесь, что трафик, связанный с сеансом RDP, отсутствует в журналах трафика Глобального безопасного доступа.
11. Войдите на портал администрирования Zscaler Private Access (ZPA) и перейдите к аналитике>диагностике>журналам. Проверьте, имеется ли трафик, связанный с сеансом RDP, в журналах панели мониторинга или диагностики.
12. Доступ к Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
13. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. В диалоговом окне "Трафик" выберите "Остановить сбор".
14. Прокрутите страницу, чтобы подтвердить, что клиент глобального безопасного доступа обрабатывает только трафик Microsoft 365.
15. Вы также можете проверить, фиксируется ли трафик в журналах трафика глобального безопасного доступа. В Центре администрирования Microsoft Entra перейдите к Глобальный безопасный доступ>Монитор>Журналы трафика.
16. Отсутствие трафика, связанного с Outlook Online и SharePoint Online, в журналах Zscaler Internet Access в разделе Analytics>, Web Insights>Logs.

Конфигурация 4: Microsoft Entra Internet Access и Microsoft Entra Access и Zscaler Private Access

В этом сценарии глобальный безопасный доступ обрабатывает интернет и трафик Microsoft 365. Zscaler фиксирует только частный трафик приложения. Поэтому модуль Zscaler Internet Access отключен на портале Zscaler.

Конфигурация Microsoft Entra Internet и Microsoft Access 4

Для этого сценария необходимо настроить следующее:

• Включите профиль пересылки Microsoft Entra Microsoft Access и профиль пересылки Microsoft Entra Internet Access.
• Установите и настройте клиент глобального безопасного доступа для Windows или macOS.
• Добавьте настраиваемый обход политики перенаправления трафика Microsoft Entra Internet Access , чтобы исключить службу ZPA.

Добавление пользовательского обхода для Zscaler в Global Secure Access.

1. Войдите в Центр администрирования Microsoft Entra и перейдите к разделу Global Secure Access>Connect>Traffic forwarding>Профиль доступа к Интернету. В разделе "Политики доступа к Интернету " выберите "Вид".
2. Разверните настраиваемый обход и выберите Добавить правило.
3. Оставьте тип FQDN назначения пустым, а в поле Назначение введите *.prod.zpath.net.
4. Нажмите кнопку "Сохранить".

Конфигурация закрытого доступа Zscaler 4

Выполните процедуру на портале Zscaler:

• Установите и настройте Частный Доступ Zscaler.
• Создайте профиль пересылки.
• Создайте профиль приложения.
• Установите соединитель клиента Zscaler.

Добавьте профиль пересылки на портале соединителя клиента:

1. Перейдите к административному порталу Zscaler Client Connector>Администрирование>Профиль пересылки>Добавить профиль пересылки.
2. Добавьте имя профиля, напримерZPA Only.
3. Выберите «На основе фильтра пакетов» в «Тип драйвера туннеля».
4. Выберите действие перенаправления профиля как Нет.
5. Прокрутите вниз до действия профиля переадресации для ZPA.
6. Выберите туннель для всех параметров в этом разделе.

Добавьте профиль приложения через портал клиентского соединителя.

1. Перейдите к порталу администрирования клиента Zscaler Client Connector, разделу "Профили приложений" Windows (или macOS)>Добавить политику Windows (или macOS).
2. Добавьте имя, задайте порядок правил, например 1, выберите "Включить", выберите "Пользователи", чтобы применить эту политику, и выберите профиль пересылки. Например, выберите ZPA Only.
3. Прокрутите вниз и добавьте IP-адреса и полностью квалифицированные доменные имена (FQDN) службы Microsoft SSE в раздел исключений для доменных имен и IP-адресов службы глобального безопасного доступа, в поле "Обход ИМЕНИ ХОСТА ИЛИ IP-АДРЕСА ДЛЯ VPN-ШЛЮЗА".

Откройте системную область, чтобы проверить, включены ли клиенты Global Secure Access и Zscaler.

Проверьте конфигурации для клиентов:

1. Щелкните правой кнопкой мыши на клиенте Global Secure Access>расширенной диагностике>профиле переадресации и убедитесь, что к этому клиенту применяются правила Microsoft 365 и Internet Access.
2. Расширьте правила доступа к Интернету >, убедитесь, что в профиле существует пользовательский обход *.prod.zpath.net.
3. Перейдите к расширенной диагностике>проверке работоспособности и убедитесь, что все проверки завершаются успешно.
4. Щелкните правой кнопкой мыши на Клиент Zscaler>Открыть Zscaler>Дополнительно. Проверьте , соответствует ли политика приложений конфигурациям в предыдущих шагах. Убедитесь, что она актуальна или обновите её.
5. Перейдите к Клиенту Zscaler>Приватный доступ. Проверьте, что состояние службы — ON, а статус проверки подлинности — Authenticated.
6. Перейдите к Zscaler Client>Internet Security. Проверьте состояние службыDISABLED.

Замечание

Сведения об устранении неполадок проверки работоспособности см. в разделе "Устранение неполадок с диагностикой клиента глобального безопасного доступа — проверка работоспособности".

Тестирование потока трафика:

1. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
2. Доступ к этим веб-сайтам из браузера: bing.com, salesforce.com, Instagram.com, Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
3. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика. Убедитесь, что трафик, связанный с этими сайтами, фиксируется в журналах трафика глобального безопасного доступа.
4. Доступ к частному приложению, настроенном в Zscaler Private Access. Например, с помощью удаленного рабочего стола (RDP).
5. Войдите на портал администрирования Zscaler Private Access (ZPA) и перейдите к аналитике>диагностике>журналам. Проверьте, имеется ли трафик, связанный с сеансом RDP, в журналах панели мониторинга или диагностики.
6. Войдите на портал администрирования Zscaler Internet Access (ZIA) и перейдите к Analytics>Web Insights>журналам. Проверьте, что трафик, связанный с Microsoft 365, и интернет-трафик, такой как Instagram.com, Outlook Online и SharePoint Online, действительно отсутствуют в журналах ZIA.
7. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. В диалоговом окне "Трафик" выберите "Остановить сбор".
8. Прокрутите страницу, чтобы увидеть, что клиент глобального безопасного доступа не захватывает трафик из частного приложения. Кроме того, обратите внимание, что клиент Глобального безопасного доступа фиксирует трафик для Microsoft 365 и другого интернет-трафика.