Dela via


Lär dig mer om samexistens i Security Service Edge (SSE) med Microsoft och Cisco

Utnyttja Microsofts och Ciscos SSE-lösningar (Security Service Edge) i en enhetlig miljö för att utnyttja en robust uppsättning funktioner från båda plattformarna och höja din SASE-resa (Secure Access Service Edge). Synergin mellan dessa plattformar ger kunderna bättre säkerhet och smidig anslutning.

Det här dokumentet innehåller steg för att distribuera dessa lösningar sida vid sida, särskilt Microsoft Entra privatni pristup (med funktionen Privat DNS aktiverad) och Cisco Umbrella för internetåtkomst och SÄKERHET på DNS-nivå.

Konfiguration – översikt

I Microsoft Entra aktiverar du profilen för vidarebefordran av privat åtkomst och inaktiverar profiler för vidarebefordran av Internetåtkomst och Microsoft 365-trafikvidarebefordran. Du kan också aktivera och konfigurera funktionen Privat DNS i Private Access. I Cisco samlar du in internetåtkomsttrafik.

Kommentar

Klienterna måste vara installerade på en Windows 10- eller Windows 11 Microsoft Entra-ansluten enhet eller en Hybrid-ansluten Microsoft Entra-enhet.

Microsoft Entra privatni pristup konfiguration

Aktivera Microsoft Entra privatni pristup trafikvidarebefordringsprofil för din Microsoft Entra-klientorganisation. Mer information om hur du aktiverar och inaktiverar profiler finns i Profiler för vidarebefordran av global säker åtkomsttrafik.

Installera och konfigurera den globala klienten för säker åtkomst på slutanvändarenheter. Mer information om klienter finns i Global Secure Access-klienter. Information om hur du installerar Windows-klienten finns i Global Secure Access-klient för Windows.

Installera och konfigurera den privata nätverksanslutningen för Microsoft Entra. Information om hur du installerar och konfigurerar anslutningsappen finns i Så här konfigurerar du anslutningsappar.

Kommentar

Anslutningsversion v1.5.3829.0 eller senare krävs för privat DNS.

Konfigurera snabbåtkomst till dina privata resurser och konfigurera privata DNS- och DNS-suffix. Information om hur du konfigurerar snabbåtkomst finns i Konfigurera snabbåtkomst.

Cisco-konfiguration

Lägg till domänsuffix från Microsoft Entra Quick Access och Microsoft Entra-tjänstens FQDN i domänhantering i listan Interna domäner för att kringgå Ciscos Umbrella DNS. Lägg till FQDN och IP-adresser för Microsoft Entra-tjänsten i domänhantering i listan externa domäner för att kringgå Ciscos secure web gateway (SWG).

  1. Från Cisco Umbrella-portalen går du till Distributionskonfiguration > > Domänhantering.
  2. I avsnittet Interna domäner lägger du till dessa och sparar.
    • *.globalsecureaccess.microsoft.com

      Kommentar

      Cisco Umbrella har ett underförstått jokertecken, så du kan använda globalsecureaccess.microsoft.com.

    • <quickaccessapplicationid>.globalsecureaccess.local

      Kommentar

      quickaccessapplicationid är program-ID för snabbåtkomstappen som du har konfigurerat.

    • DNS-suffix som du har konfigurerat i snabbåtkomstprogrammet.
  3. I avsnittet Externa domäner och IP-adresser lägger du till dessa FQDN och IP-adresser och sparar.
    • *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16

      Kommentar

      Cisco Umbrella har ett underförstått jokertecken, så du kan använda globalsecureaccess.microsoft.com för FQDN.

  4. Starta om Cisco Umbrella- och Cisco SWG-klienttjänster eller starta om datorn där klienterna är installerade.

När båda klienterna har installerats och körs sida vid sida och konfigurationerna från administratörsportalerna har slutförts går du till systemfältet för att kontrollera att global säker åtkomst och Cisco-klienter är aktiverade.

Verifiera konfigurationen för global säker åtkomstklient.

  1. Högerklicka på den globala säkerhetsåtkomstklienten > Advanced Diagnostics > Forwarding Profile och kontrollera att endast regler för privat åtkomst tillämpas på den här klienten.
  2. I Advanced Diagnostics > Health Check kontrollerar du att inga kontroller misslyckas.

Testa trafikflödet

Microsofts SSE-konfiguration: Aktivera Microsoft Entra privatni pristup, inaktivera Profiler för vidarebefordran av Internetåtkomst och Microsoft 365-trafikvidarebefordring.

Cisco SSE-konfiguration: Internetåtkomsttrafik samlas in. Privat åtkomsttrafik undantas.

  1. Högerklicka på klientikonen Global säker åtkomst i systemfältet och välj sedan Avancerad diagnostik. Välj fliken Trafik och välj Börja samla in.
  2. Få åtkomst till privata resurser som du har konfigurerat med Entra Private Access, till exempel SMB-filresurs. Öppna \\YourFileServer.yourdomain.com med start -/kör-menyn från ett utforskarfönster.
  3. Högerklicka på klienten Global säker åtkomst i systemfältet och välj sedan Avancerad diagnostik. I dialogrutan Nätverkstrafik väljer du Sluta samla in.
  4. I dialogrutan Nätverkstrafik bläddrar du för att observera den trafik som genererats för att bekräfta att privat åtkomsttrafik hanterades av den globala klienten för säker åtkomst.
  5. Du kan också kontrollera att trafiken fångas upp av Microsoft Entra genom att verifiera trafiken i trafikloggarna global säker åtkomst från Administrationscenter för Microsoft Entra i Trafikloggar för global säker åtkomstövervakare > >.
  6. Få åtkomst till webbplatser från webbläsaren och verifiera att Internettrafik saknas i trafikloggarna för global säker åtkomst och endast fångas in i Cisco Umbrella.

Nästa steg