Включение профиля пересылки трафика Майкрософт и управление ими
Статья
С включенным профилем Microsoft, Microsoft Entra Internet Access перехватывает трафик, направляющийся к службам Microsoft. Профиль Майкрософт управляет следующими группами политик:
Exchange Online
SharePoint Online и Microsoft OneDrive
Microsoft Teams
Microsoft 365 Common and Office Online
Предварительные условия
Чтобы включить профиль пересылки трафика Майкрософт для клиента, необходимо:
Роль глобального администратора безопасного доступа в Microsoft Entra ID для включения профилей трафика.
Роль администратора условного доступа для создания и взаимодействия с политиками условного доступа.
Эта функция имеет одно или несколько известных ограничений. Дополнительные сведения об известных проблемах и ограничениях этой функции см. в разделе «Известные ограничения для Global Secure Access».
Включение профиля трафика Майкрософт
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
Перейдите к Global Secure Access>Connect>Traffic forwarding.
Включите профиль трафика Майкрософт.
Трафик Майкрософт начинает переадресацию со всех клиентских устройств на прокси-сервер Microsoft Security Service Edge (SSE), где можно настроить расширенные функции безопасности, относящиеся к трафику Майкрософт.
Политики трафика Майкрософт
Чтобы управлять сведениями, включенными в политику пересылки трафика Майкрософт, выберите ссылку "Вид " для политик трафика Майкрософт.
Перечислены группы политик с флажком, чтобы указать, включена ли группа политик. Разверните группу политик, чтобы просмотреть все IP-адреса и полные доменные имена, включенные в группу.
К группам политик относятся следующие сведения:
Тип назначения: FQDN или подсеть IP-адреса
Назначение: сведения о полном доменном имени или IP-подсети
Порты: порты TCP или UDP, объединенные с IP-адресами для формирования сетевой конечной точки.
Протокол: TCP (протокол управления передачей) или UDP (протокол пользовательской диаграммы данных)
Действие: переадресовать или игнорировать
Вы можете настроить правила приобретения трафика, чтобы избежать процесса приобретения трафика. При этом пользователи по-прежнему могут получить доступ к ресурсам; однако служба Global Secure Access не обрабатывает трафик. Вы можете обойти трафик к определенному полностью квалифицированному доменному имени или IP-адресу, всей группе политик безопасности в профиле или всему профилю Microsoft. Если необходимо перенаправлять только некоторые ресурсы Майкрософт в группе политик, включите группу, а затем измените действие соответствующим образом.
Важно!
Если для правила задано значение "Игнорировать в трафиковом профиле Microsoft", профиль трафика доступа к Интернету не получит этот трафик. Даже если включен профиль доступа в Интернет, обходной трафик не проходит через получение глобального безопасного доступа и использует путь маршрутизации сети клиента для выхода в Интернет. Трафик, доступный для приобретения в профиле трафика Майкрософт, можно получить только в профиле трафика Майкрософт.
В следующем примере показано, как задать *.sharepoint.com полное доменное имя для обхода , чтобы трафик не перенаправлялся в службу.
Если клиент глобального безопасного доступа не может подключиться к службе (например, из-за авторизации или сбоя условного доступа), служба проходит трафик. Трафик отправляется напрямую и локально, а не блокируется. В этом сценарии можно создать политику условного доступа для проверки сети, чтобы заблокировать трафик, если клиент не может подключиться к службе.
Связанные политики условного доступа
Политики условного доступа создаются и применяются к профилю пересылки трафика в области условного доступа идентификатора Microsoft Entra. Например, можно создать политику, требующую совместимых устройств, когда пользователи устанавливают сетевое подключение для служб в профиле трафика Майкрософт.
Если профиль пересылки трафика имеет связанную политику условного доступа, вы можете просмотреть и изменить эту политику.
Выберите ссылку Просмотр для связанных политик условного доступа.
Выберите политику в списке. Сведения о политике открываются в разделе Условный доступ.
Назначения удаленной сети профиля трафика Майкрософт
Профили трафика можно назначать удаленным сетям, чтобы сетевой трафик перенаправился в глобальный безопасный доступ, не устанавливая клиент на устройствах конечных пользователей. Если устройство находится за клиентским локальным оборудованием (CPE), клиент не требуется. Прежде чем добавить его в профиль, необходимо создать удаленную сеть. Дополнительные сведения см. в разделе "Создание удаленных сетей".
Чтобы назначить удаленную сеть в профиле Майкрософт, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
Перейдите к Global Secure Access>Connect>Маршрутизация трафика.
В разделе "Удаление сетевых назначений" выберите ссылку "Вид" для профиля.
Выберите удаленную сеть из списка и нажмите кнопку "Добавить".
Современная рабочая сила переходила с традиционных параметров офиса на работу практически в любом месте. Это изменение рабочего расположения требует удостоверений, облачного периметра сети. Этот периметр с учетом удостоверений называется пограничным сервером службы безопасности (SSE). Решение Microsoft SSE включает Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra, которые совместно называются глобальным безопасным доступом. Это решение основано на принципах нулевого доверия, подчеркивая наим
Продемонстрировать функции идентификатора Microsoft Entra для модернизации решений удостоверений, реализации гибридных решений и реализации управления удостоверениями.
