Включение профиля пересылки трафика Майкрософт и управление ими
С включенным профилем Майкрософт Интернет-доступ Microsoft Entra получает трафик, который будет службы Майкрософт. Профиль Майкрософт управляет следующими группами политик:
- Exchange Online
- SharePoint Online и Microsoft OneDrive.
- Microsoft 365 Common and Office Online (только идентификатор Microsoft Entra и Microsoft Graph)
Необходимые компоненты
Чтобы включить профиль пересылки трафика Майкрософт для клиента, необходимо:
- Роль глобального администратора безопасного доступа в идентификаторе Microsoft Entra для включения профилей трафика.
- Роль администратора условного доступа для создания и взаимодействия с политиками условного доступа.
- Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
- Чтобы использовать профиль пересылки трафика Майкрософт, рекомендуется использовать лицензию Microsoft 365 E3.
Известные ограничения
- Отдельные службы добавляются в профиль трафика Майкрософт на постоянной основе. В настоящее время идентификатор Microsoft Entra, Microsoft Graph, Exchange Online и SharePoint Online поддерживаются в рамках профиля трафика Майкрософт
- Дополнительные ограничения профиля трафика Майкрософт см. в известных ограничениях клиента Windows
Включение профиля трафика Майкрософт
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
Перейдите к переадресации трафика global Secure Access>Connect>.
Включите профиль трафика Майкрософт. Трафик Майкрософт начинает переадресацию со всех клиентских устройств на прокси-сервер Microsoft Security Service Edge (SSE), где можно настроить расширенные функции безопасности, относящиеся к трафику Майкрософт.
Политики трафика Майкрософт
Чтобы управлять сведениями, включенными в политику пересылки трафика Майкрософт, выберите ссылку "Вид " для политик трафика Майкрософт.
Перечислены группы политик с флажком, чтобы указать, включена ли группа политик. Разверните группу политик, чтобы просмотреть все IP-адреса и полные доменные имена, включенные в группу.
К группам политик относятся следующие сведения:
- Тип назначения: полное доменное имя или подсеть IP
- Назначение: сведения о полной доменной сети или подсети IP
- Порты: порты TCP или UDP, объединенные с IP-адресами для формирования сетевой конечной точки.
- Протокол: TCP (протокол управления передачей) или UDP (протокол пользовательской диаграммы данных)
- Действие: пересылка или обход
Правила приобретения трафика можно настроить для обхода приобретения трафика. При этом пользователи по-прежнему смогут получать доступ к ресурсам; Однако служба глобального безопасного доступа не будет обрабатывать трафик. Вы можете обойти трафик к определенному полному домену или IP-адресу, всей группе политик в профиле или всему профилю Майкрософт. Если необходимо перенаправлять только некоторые ресурсы Майкрософт в группе политик, включите группу, а затем измените действие соответствующим образом.
В следующем примере показано, как задать *.sharepoint.com
полное доменное имя для обхода , чтобы трафик не перенаправлялся в службу.
Если клиент глобального безопасного доступа не может подключиться к службе (например, из-за авторизации или сбоя условного доступа), служба проходит трафик. Трафик отправляется напрямую и локально, а не блокируется. В этом сценарии можно создать политику условного доступа для проверки сети, чтобы заблокировать трафик, если клиент не может подключиться к службе.
Связанные политики условного доступа
Политики условного доступа создаются и применяются к профилю пересылки трафика в области условного доступа идентификатора Microsoft Entra. Например, можно создать политику, требующую совместимых устройств, когда пользователи устанавливают сетевое подключение для служб в профиле трафика Майкрософт.
Если в разделе "Политики условного доступа" отображается "Нет", политика условного доступа не связана с профилем пересылки трафика. Сведения о создании политики условного доступа см. в статье "Универсальный условный доступ" с помощью глобального безопасного доступа.
Изменение существующей политики условного доступа
Если профиль пересылки трафика имеет связанную политику условного доступа, вы можете просмотреть и изменить эту политику.
Выберите ссылку "Вид " для политик связанного условного доступа.
Выберите политику в списке. Сведения о политике, открытой в условном доступе.
Назначения удаленной сети профиля трафика Майкрософт
Профили трафика можно назначать удаленным сетям, чтобы сетевой трафик перенаправился в глобальный безопасный доступ, не устанавливая клиент на устройствах конечных пользователей. Если устройство находится за клиентским локальным оборудованием (CPE), клиент не требуется. Прежде чем добавить его в профиль, необходимо создать удаленную сеть. Дополнительные сведения см. в разделе "Создание удаленных сетей".
Чтобы назначить удаленную сеть профилю Майкрософт, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к переадресации трафика global Secure Access>Connect>.
- В разделе "Удаление сетевых назначений" выберите ссылку "Вид" для профиля.
- Выберите удаленную сеть из списка и нажмите кнопку "Добавить".
Назначения пользователей и групп
Профиль Майкрософт можно ограничить определенными пользователями и группами, а не применять профиль трафика ко всем пользователям. Дополнительные сведения о назначении пользователей и групп см. в статье "Назначение пользователей и групп" и управление ими с помощью профилей пересылки трафика.
Следующие шаги
Следующий шаг для начала работы с Интернет-доступ Microsoft Entra — установка и настройка клиента глобального безопасного доступа на устройствах конечных пользователей
Дополнительные сведения о переадресации трафика см. в следующей статье: