Включение профиля пересылки трафика Майкрософт и управление ими

С включенным профилем Майкрософт Интернет-доступ Microsoft Entra получает трафик, который будет службы Майкрософт. Профиль Майкрософт управляет следующими группами политик:

• Exchange Online
• SharePoint Online и Microsoft OneDrive.
• Microsoft 365 Common and Office Online (только идентификатор Microsoft Entra и Microsoft Graph)

Необходимые компоненты

Чтобы включить профиль пересылки трафика Майкрософт для клиента, необходимо:

• Роль глобального администратора безопасного доступа в идентификаторе Microsoft Entra для включения профилей трафика.
• Роль администратора условного доступа для создания и взаимодействия с политиками условного доступа.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
• Чтобы использовать профиль пересылки трафика Майкрософт, рекомендуется использовать лицензию Microsoft 365 E3.

Известные ограничения

• Отдельные службы добавляются в профиль трафика Майкрософт на постоянной основе. В настоящее время идентификатор Microsoft Entra, Microsoft Graph, Exchange Online и SharePoint Online поддерживаются в рамках профиля трафика Майкрософт
• Дополнительные ограничения профиля трафика Майкрософт см. в известных ограничениях клиента Windows

Включение профиля трафика Майкрософт

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.

2. Перейдите к переадресации трафика global Secure Access>Connect>.

3. Включите профиль трафика Майкрософт. Трафик Майкрософт начинает переадресацию со всех клиентских устройств на прокси-сервер Microsoft Security Service Edge (SSE), где можно настроить расширенные функции безопасности, относящиеся к трафику Майкрософт.

   

Политики трафика Майкрософт

Чтобы управлять сведениями, включенными в политику пересылки трафика Майкрософт, выберите ссылку "Вид " для политик трафика Майкрософт.

Перечислены группы политик с флажком, чтобы указать, включена ли группа политик. Разверните группу политик, чтобы просмотреть все IP-адреса и полные доменные имена, включенные в группу.

К группам политик относятся следующие сведения:

• Тип назначения: полное доменное имя или подсеть IP
• Назначение: сведения о полной доменной сети или подсети IP
• Порты: порты TCP или UDP, объединенные с IP-адресами для формирования сетевой конечной точки.
• Протокол: TCP (протокол управления передачей) или UDP (протокол пользовательской диаграммы данных)
• Действие: пересылка или обход

Правила приобретения трафика можно настроить для обхода приобретения трафика. При этом пользователи по-прежнему смогут получать доступ к ресурсам; Однако служба глобального безопасного доступа не будет обрабатывать трафик. Вы можете обойти трафик к определенному полному домену или IP-адресу, всей группе политик в профиле или всему профилю Майкрософт. Если необходимо перенаправлять только некоторые ресурсы Майкрософт в группе политик, включите группу, а затем измените действие соответствующим образом.

В следующем примере показано, как задать *.sharepoint.com полное доменное имя для обхода , чтобы трафик не перенаправлялся в службу.

Если клиент глобального безопасного доступа не может подключиться к службе (например, из-за авторизации или сбоя условного доступа), служба проходит трафик. Трафик отправляется напрямую и локально, а не блокируется. В этом сценарии можно создать политику условного доступа для проверки сети, чтобы заблокировать трафик, если клиент не может подключиться к службе.

Связанные политики условного доступа

Политики условного доступа создаются и применяются к профилю пересылки трафика в области условного доступа идентификатора Microsoft Entra. Например, можно создать политику, требующую совместимых устройств, когда пользователи устанавливают сетевое подключение для служб в профиле трафика Майкрософт.

Если в разделе "Политики условного доступа" отображается "Нет", политика условного доступа не связана с профилем пересылки трафика. Сведения о создании политики условного доступа см. в статье "Универсальный условный доступ" с помощью глобального безопасного доступа.

Изменение существующей политики условного доступа

Если профиль пересылки трафика имеет связанную политику условного доступа, вы можете просмотреть и изменить эту политику.

1. Выберите ссылку "Вид " для политик связанного условного доступа.

   

2. Выберите политику в списке. Сведения о политике, открытой в условном доступе.

   

Назначения удаленной сети профиля трафика Майкрософт

Профили трафика можно назначать удаленным сетям, чтобы сетевой трафик перенаправился в глобальный безопасный доступ, не устанавливая клиент на устройствах конечных пользователей. Если устройство находится за клиентским локальным оборудованием (CPE), клиент не требуется. Прежде чем добавить его в профиль, необходимо создать удаленную сеть. Дополнительные сведения см. в разделе "Создание удаленных сетей".

Чтобы назначить удаленную сеть профилю Майкрософт, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
2. Перейдите к переадресации трафика global Secure Access>Connect>.
3. В разделе "Удаление сетевых назначений" выберите ссылку "Вид" для профиля.
4. Выберите удаленную сеть из списка и нажмите кнопку "Добавить".

Назначения пользователей и групп

Профиль Майкрософт можно ограничить определенными пользователями и группами, а не применять профиль трафика ко всем пользователям. Дополнительные сведения о назначении пользователей и групп см. в статье "Назначение пользователей и групп" и управление ими с помощью профилей пересылки трафика.

Следующие шаги

Следующий шаг для начала работы с Интернет-доступ Microsoft Entra — установка и настройка клиента глобального безопасного доступа на устройствах конечных пользователей

Дополнительные сведения о переадресации трафика см. в следующей статье:

• Сведения о профилях пересылки трафика