Включение профиля пересылки трафика Microsoft 365 и управление им

С включенным профилем Microsoft 365 Интернет-доступ Microsoft Entra получает трафик ко всем службам Microsoft 365. Профиль Microsoft 365 управляет следующими группами политик:

• Exchange Online
• SharePoint Online и OneDrive для бизнеса
• Microsoft 365 Common and Office Online (только идентификатор Microsoft Entra и Microsoft Graph)

Необходимые компоненты

Чтобы включить профиль пересылки трафика Microsoft 365 для клиента, необходимо:

• Роль глобального безопасного доступа Администратор istrator в идентификаторе Microsoft Entra
• Для предварительной версии требуется лицензия Microsoft Entra ID P1. При необходимости вы можете приобрести лицензии или получить пробные лицензии.
• Чтобы использовать профиль пересылки трафика Microsoft 365, рекомендуется лицензия Microsoft 365 E3.

Известные ограничения

• Teams в настоящее время не поддерживается как часть общих конечных точек Microsoft 365. Поддерживаются только идентификаторы Microsoft Entra и Microsoft Graph.
• Дополнительные сведения об ограничениях для профиля трафика Microsoft 365 см. в известных ограничениях клиента Windows

Включение профиля трафика Microsoft 365

1. Войдите в центр администрирования Microsoft Entra.
2. Перейдите к глобальному безопасному доступу (предварительная версия)>Подключение> Traffic переадресации.
3. Выберите проверка box для профиля доступа Microsoft 365.

Политики трафика Microsoft 365

Чтобы управлять сведениями, включенными в политику пересылки трафика Microsoft 365, выберите ссылку "Вид " для политик трафика Microsoft 365.

Перечислены группы политик с полем проверка box, чтобы указать, включена ли группа политик. Разверните группу политик, чтобы просмотреть все IP-адреса и полные доменные имена, включенные в группу.

К группам политик относятся следующие сведения:

• Тип назначения: полное доменное имя или подсеть IP
• Назначение: сведения о полной доменной сети или подсети IP
• Порты: порты TCP или UDP, объединенные с IP-адресами для формирования сетевой конечной точки.
• Протокол: TCP (протокол управления передачей) или UDP (протокол пользовательской диаграммы данных)
• Действие: пересылка или обход

Вы можете обойти определенный трафик. Пользователи по-прежнему могут получить доступ к сайту; однако служба не обрабатывает трафик. Вы можете обойти трафик к определенному полному доменному имени или IP-адресу, всей группе политик в профиле или всему профилю Microsoft 365. Если вам нужно перенаправлять только некоторые ресурсы Microsoft 365 в группе политик, включите группу, а затем измените действие в сведениях соответствующим образом.

В следующем примере показано, как задать *.sharepoint.com полное доменное имя для обхода , чтобы трафик не перенаправлялся в службу.

Если клиент глобального безопасного доступа не может подключиться к службе (например, из-за авторизации или сбоя условного доступа), служба проходит трафик. Трафик отправляется напрямую и локально, а не блокируется. В этом сценарии можно создать политику условного доступа для соответствующего сетевого проверка, чтобы заблокировать трафик, если клиент не может подключиться к службе.

Связанные политики условного доступа

Политики условного доступа создаются и применяются к профилю пересылки трафика в области условного доступа идентификатора Microsoft Entra. Например, можно создать политику, требующую использования совместимых устройств при доступе к службам Microsoft 365.

Если в разделе "Политики условного доступа" отображается "Нет", политика условного доступа не связана с профилем пересылки трафика. Сведения о создании политики условного доступа см. в статье "Универсальный условный доступ" с помощью глобального безопасного доступа.

Изменение существующей политики условного доступа

Если профиль пересылки трафика имеет связанную политику условного доступа, вы можете просмотреть и изменить эту политику.

1. Выберите ссылку "Вид " для политик связанного условного доступа.

   

2. Выберите политику в списке. Сведения о политике, открытой в условном доступе.

   

Назначения удаленной сети Microsoft 365

Профили трафика можно назначать удаленным сетям, чтобы сетевой трафик перенаправился в глобальный безопасный доступ, не устанавливая клиент на устройствах конечных пользователей. Если устройство находится за клиентским локальным оборудованием (CPE), клиент не требуется. Прежде чем добавить его в профиль, необходимо создать удаленную сеть. Дополнительные сведения см. в разделе "Создание удаленных сетей".

Чтобы назначить удаленную сеть профилю Microsoft 365, выполните следующие действия.

1. Войдите в центр администрирования Microsoft Entra.
2. Перейдите к протоколу Global Secure Access (предварительная версия)>пересылка трафика.
3. Нажмите кнопку "Добавить назначения " для профиля.
   • Если вы редактируете назначения удаленной сети, нажмите кнопку "Добавить или изменить назначения ".
4. Выберите удаленную сеть из списка и нажмите кнопку "Добавить".

Назначения пользователей и групп

Вы можете область профиль Microsoft 365 определенным пользователям и группам. Дополнительные сведения о назначении пользователей и групп см. в статье "Назначение пользователей и групп" и управление ими с помощью профилей пересылки трафика.

Условия использования

Использование Частный доступ Microsoft Entra и Интернет-доступ Microsoft Entra предварительных версий и функций регулируется условиями предварительной версии веб-службы соглашений, в соответствии с которыми вы получили услуги. Предварительные версии могут быть подвержены снижению или другим обязательствам по обеспечению безопасности, соответствия требованиям и конфиденциальности, как описано далее в условиях универсального лицензионного соглашения для веб-служб и надстройки защиты данных Майкрософт (DPA) и других уведомлениях, предоставляемых предварительной версией.

Следующие шаги

Следующий шаг для начала работы с Интернет-доступ Microsoft Entra — установка и настройка клиента глобального безопасного доступа на устройствах конечных пользователей

Дополнительные сведения о переадресации трафика см. в следующей статье:

• Сведения о профилях пересылки трафика