Vägledning för bevis på koncept för Microsoft Global Secure Access: Konfigurera Microsoft Entra Internet Access

PoC-vägledningen (proof-of-concept) i den här artikelserien hjälper dig att lära dig, implementera och testa Microsoft Global Secure Access, tillsammans med Microsoft Entra Internet Access, Microsoft Entra Private Access och Microsofts trafikprofil.

Detaljerad vägledning börjar med Introduktion till Microsoft Global Secure Access proof-of-concept-vägledning, fortsätter med Konfigurera Microsoft Entra Private Accessoch avslutas med den här artikeln.

Den här artikeln hjälper dig att konfigurera Microsoft Entra Internet Access att fungera som en säker webbgateway. Med den här lösningen kan du konfigurera principer för filtrering av webbinnehåll för att tillåta eller blockera Internettrafik. Du kan sedan gruppera dessa principer i säkerhetsprofiler som du tillämpar på dina användare via principer för villkorsstyrd åtkomst.

Not

Tillämpa regler och policyer i prioritetsordning. Detaljerad vägledning finns i bearbetningslogiken för policyn.

Konfigurera Microsoft Entra Internet Access

Information om hur du konfigurerar Microsoft Entra Internet Access finns i Konfigurera webbinnehållsfiltrering för global säker åtkomst. Den ger vägledning för att utföra följande steg på hög nivå:

1. Aktivera vidarebefordran av internettrafik.
2. Skapa en princip för filtrering av webbinnehåll.
3. Skapa en säkerhetsprofil.
4. Länka säkerhetsprofilen till en princip för villkorsstyrd åtkomst.
5. Tilldela användare eller grupper till trafikvidarebefordringsprofilen.

Konfigurera användningsfall

Konfigurera och testa Användningsfall för Microsoft Entra Internet Access med principer för webbinnehållsfiltrering, säkerhetsprofiler och principer för villkorsstyrd åtkomst. Följande avsnitt innehåller exempel på användningsfall med specifik vägledning.

Notera

Microsoft stöder för närvarande inte blockering och tillåter URL:er eftersom det kräver TLS-inspektion (Transport Layer Security), som ännu inte är tillgängligt.

Skapa en baslinjeprofil som gäller för all Internettrafik som dirigeras via tjänsten

Utför följande steg för att använda en baslinjeprofil för att skydda all trafik i din miljö utan att behöva tillämpa principer för villkorsstyrd åtkomst:

1. Skapa en princip för filtrering av webbinnehåll som innehåller regler för att tillåta eller blockera fullständigt kvalificerade domännamn (FQDN) eller webbkategorier i användarbasen. Skapa till exempel en regel som blockerar kategorin sociala nätverk för att blockera alla webbplatser för sociala medier.

2. Länka principen för filtrering av webbinnehåll till baslinjeprofilen. I administrationscentret för Microsoft Entra går du till Profiler för global säker åtkomst>säker>-säkerhet>baslinjeprofil.

3. Logga in på testenheten och försök få åtkomst till den blockerade webbplatsen.

4. Visa aktivitet i trafikloggen för att säkerställa att inlägg för det angivna FQDN markeras som blockeras. Om det behövs, använder du Lägg till filter för att filtrera resultat på användarhuvudnamn för din testanvändare.

Blockera en grupp från att komma åt webbplatser baserat på kategori

1. Skapa en princip för filtrering av webbinnehåll som innehåller regler för att blockera en webbkategori. Skapa till exempel en regel som blockerar kategorin sociala nätverk för att blockera alla webbplatser för sociala medier.

2. Skapa en säkerhetsprofil för att gruppera och prioritera dina principer. Länka principen för filtrering av webbinnehåll till den här profilen.

3. Skapa en princip för villkorlig åtkomst för att tillämpa säkerhetsprofilen på dina användare.

4. Logga in på testenheten och försök få åtkomst till en blockerad webbplats. Du bör se DeniedTraffic för http webbplatser och ett Kan inte nå den här sidan meddelande för https webbplatser. Det kan ta upp till 90 minuter innan en nyligen tilldelad policy börjar gälla. Det kan ta upp till 20 minuter innan ändringar i en befintlig princip börjar gälla.

5. Visa aktivitet i trafikloggen för att bekräfta att posterna för den angivna FQDN:en visas som blockerade. Om det behövs använder du Lägg till filter för att filtrera resultat på användarens huvudnamn för testanvändaren.

Blockera en grupp från att komma åt webbplatser baserat på FQDN

1. Skapa en princip för filtrering av webbinnehåll som innehåller regler för att blockera ett FQDN (inte en URL).

2. Skapa en säkerhetsprofil för att gruppera och prioritera dina principer. Länka principen för filtrering av webbinnehåll till den här profilen.

3. Skapa en princip för villkorlig åtkomst för att tillämpa säkerhetsprofilen på dina användare.

4. Logga in på testenheten och försök få åtkomst till det blockerade fullständiga domännamnet. Du bör se DeniedTraffic för http webbplatser och en Kan inte nå den här sidan meddelande för https webbplatser. Det kan ta upp till 90 minuter innan en nyligen tilldelad policy börjar gälla. Det kan ta upp till 20 minuter innan ändringar i en befintlig princip börjar gälla.

5. Visa aktivitet i trafikloggen för att bekräfta att posterna för ditt mål-FQDN visas som blockerade. Om det behövs använder du Lägg till filter för att filtrera resultat på användarens huvudnamn för testanvändaren.

Tillåt att en användare får åtkomst till en blockerad webbplats

1. Skapa en princip för filtrering av webbinnehåll som innehåller en regel för att tillåta ett fullständigt domännamn.

2. Skapa en säkerhetsprofil för att gruppera och prioritera dina principer för filtrering av webbinnehåll. Ge den här tillåtna profilen högre prioritet än den blockerade profilen. Om den blockerade profilen till exempel är inställd på prioritet 500 anger du den tillåtna profilen till 400.

3. Skapa en princip för villkorlig åtkomst för att tillämpa säkerhetsprofilen på de användare som behöver åtkomst till det blockerade fullständiga domännamnet.

4. Logga in på testenheten och försök få åtkomst till det tillåtna fullständiga domännamnet. Det kan ta upp till 90 minuter innan en nyligen tilldelad bestämmelse börjar gälla. Det kan ta upp till 20 minuter innan ändringar i en befintlig princip börjar gälla.

5. Visa aktivitet i trafikloggen för att bekräfta att poster för ditt mål-FQDN visas som tillåtna. Om det behövs, använda Lägg till filter för att filtrera resultat efter användarens huvudnamn för din testanvändare.

Aktivera och hantera Microsofts trafikvidarebefordringsprofil

Möjligheten att skydda Microsoft-trafik är en viktig funktion i Microsoft Entra Internet Access. Du kan snabbt distribuera en automatiskt konfigurerad Microsoft-trafikprofil som innehåller regler för trafikvidarebefordring. Du kan sedan använda dessa regler för att skydda och övervaka Microsoft-trafik (till exempel SharePoint Online och Exchange Online) och autentiseringstrafik för alla program som är integrerade med Microsoft Entra-ID. Det finns kända begränsningar.

1. Aktivera Microsoft-trafikprofilen.

2. Tilldela användare och grupper till profilen.

3. Om du vill kan du konfigurera principer för villkorsstyrd åtkomst för att framtvinga kompatibla nätverkskontroller.

4. Logga in på testenheten och försök få åtkomst till SharePoint Online och Exchange Online.

5. Visa aktivitet i trafikloggen för att bekräfta att global säker åtkomst har aktiverats. Kontrollera i inloggningsloggarna att Via global säker åtkomst visas som Ja.

Implementera allmänna begränsningar för hyresgäster

universella klientbegränsningar gör att du kan styra åtkomsten till externa klienter med ohanterade identiteter på företagshanterade enheter och nätverk. Du kan tillämpa den här begränsningen på autentiseringsplanet med klientbegränsningar v1 genom att antingen blockera eller tillåta all trafik till en extern klientorganisation.

Det här scenariot kräver vanligtvis hårnålning av trafik till en företagsnätverksproxyserver. Med universella klientbegränsningar kan organisationer begränsa åtkomsten på nivån per program, utöka skyddet till dataplanet (utöver autentiseringsplanet) och eliminera behovet av att fästa trafik för att minska nätverksfördröjningen.

När du har aktiverat Microsoft-trafikprofilen följer du dessa steg för att implementera universella klientbegränsningar:

1. Konfigurera klientbegränsningar v2. Om din organisation för närvarande använder klientbegränsningar v1, granska guide om migrering till klientbegränsningar v2.

2. Aktivera global signal om säker åtkomst för klientbegränsningar.

3. Logga in på testenheten och försök få åtkomst till en annan klientorganisations SharePoint Online- eller Exchange Online-resurs som du har giltiga autentiseringsuppgifter för.

4. Verifiera autentiseringsplanets skydd.

5. Validera dataplanets skydd.

Felsöka

Om du har problem med din PoC kan dessa artiklar hjälpa dig med felsökning, loggning och övervakning:

• Vanliga frågor om global säker åtkomst
• Felsöka problem med att installera den privata Nätverksanslutningen för Microsoft Entra
• Felsöka global säker åtkomstklient: Diagnostik
• Felsöka global säker åtkomstklient: Fliken Hälsokontroll
• Felsöka ett problem med distribuerat filsystem med global säker åtkomst
• Globala säkerhetsåtkomster och övervakningsloggar
• Använda arbetsböcker med global säker åtkomst

Relaterat innehåll

• Introduktion till Vägledning för bevis på koncept för Microsoft Global Secure Access
• Konfigurera Microsoft Entra Private Access
• Introduktion till distributionsguiden för Microsoft Global Secure Access
• Implementeringsguide för Microsoft Global Secure Access för Microsoft Entra Private Access
• Distributionsguide för Microsoft Global Secure Access för Microsoft Entra Internet Access
• Distributionsguide för Microsoft Global Secure Access för Microsoft-trafik