Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
TLS-protokollet (Transport Layer Security) använder certifikat på transportnivån för att säkerställa sekretess, integritet och äkthet för data som utbyts mellan två kommunicerande parter. TLS skyddar legitim trafik, men skadlig trafik som skadlig kod och dataläckageattacker kan fortfarande gömma sig bakom kryptering. TLS-inspektionsfunktionen för Microsoft Entra Internet Access ger insyn i krypterad trafik genom att göra innehåll tillgängligt för förbättrat skydd, till exempel identifiering av skadlig kod, skydd mot dataförlust, snabb inspektion och andra avancerade säkerhetskontroller.
Viktigt!
Kontrollfunktionen Transport Layer Security finns för närvarande i förhandsversion.
Den här informationen gäller en förhandsversionsprodukt som kan ändras avsevärt före lanseringen. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
I förhandsversionen ska du inte använda TLS-inspektion i produktionsmiljöer.
Den här artikeln ger en översikt över TLS-inspektionsprocessen.
TLS-inspektionsprocessen
När du aktiverar TLS-inspektion dekrypterar Global Secure Access HTTPS-begäranden vid tjänstgränsen och tillämpar säkerhetskontroller som fullständiga URL-förbättrade webbinnehållsfiltreringsprinciper. Om ingen säkerhetskontroll blockerar begäran krypterar och vidarebefordrar Global Secure Access begäran till destinationsplatsen.
Följ dessa steg för att aktivera TLS-inspektion:
- Generera en certifikatsigneringsbegäran (CSR) i portalen för global säker åtkomst och signera CSR med hjälp av organisationens rotcertifikatutfärdare eller mellanliggande certifikatutfärdare.
- Ladda upp det signerade certifikatet till portalen.
Global Säker åtkomst använder det här certifikatet som en mellanliggande certifikatutfärdare för TLS-inspektion. Under trafikinterceptioner genererar Global Secure Access dynamiskt kortlivade slutcertifikat genom att använda mellanliggande certifikat. TLS-inspektion upprättar två separata TLS-anslutningar:
- En från klientwebbläsaren till en tjänstgräns för global säker åtkomst
- En från Global Secure Access till målservern
Global säker åtkomst använder lövcertifikat under TLS-handskakningar mellan klientenheter och tjänsten. För att säkerställa lyckade handskakningar installerar du rotcertifikatutfärdaren och den mellanliggande certifikatutfärdaren om den används för att signera CSR i det betrodda certifikatarkivet på alla klientenheter.
Trafikloggar innehåller fyra TLS-relaterade metadatafält som hjälper dig att förstå hur TLS-principer tillämpas:
- TlsAction: Förbisedd eller avlyssnad
- TlsPolicyId: Den unika identifieraren för den tillämpade TLS-principen
- TlsPolicyName: Det läsbara namnet på TLS-principen för enklare referens
- TlsStatus: Lyckades eller misslyckades
Information om hur du kommer igång med TLS-inspektion finns i Konfigurera Transport Layer Security.
Cyphers som stöds
| Lista över cyphers som stöds |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA–CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| ECDHE-RSA-CHACHA20-POLY1305 |
| ECDHE-ECDSA–AES128-SHA |
| ECDHE-RSA-AES128-SHA |
| AES128-GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA–AES256-SHA |
| ECDHE-RSA-AES256-SHA |
| AES256-GCM-SHA384 |
| AES256-SHA |
Kända begränsningar
TLS-inspektionen har följande kända begränsningar:
- När en TLS-inspektionsregel är aktiverad dekrypteras alla kategorier utom Utbildning, Myndigheter, Ekonomi och Hälsa och Medicin som standard. Dessutom hanterar Global Secure Access en lista över förbikoppling av system som innehåller vanliga mål som är kända för att vara inkompatibla med TLS-inspektion. Om en begäran matchar systemets förbikoppling loggas TLS-åtgärden som Förbikopplad. Arbete pågår för att stödja anpassade TLS-regler för att fånga upp eller kringgå specifika mål eller kategorier. Under tiden använder du funktionen för anpassad förbikoppling i vidarebefordransprofilen för Internetåtkomst för att exkludera mål som TLS-inspektionen påverkar.
- Kontrollera att varje certifikatsigneringsbegäran (CSR) som du genererar har ett unikt certifikatnamn och inte återanvänds. Det signerade certifikatet måste vara giltigt i minst ett år.
- Du kan bara använda ett aktivt certifikat i taget.
- TLS-inspektionen stöder inte Application-Layer Protocol Negotiation (ALPN) version 2. Om en målwebbplats kräver HTTP/2, misslyckas den uppströms TLS-handskakningen och webbplatsen är inte tillgänglig när TLS-inspektion är aktiverad.
- TLS-inspektionen följer inte länkarna AIA (Authority Information Access) och Online Certificate Status Protocol (OCSP) när målcertifikat verifieras.
- Många mobilapplikationer implementerar certifikatspinning, vilket förhindrar lyckad TLS-inspektion och kan leda till att applikationen slutar fungera. Därför finns det begränsat stöd för TLS-inspektion på mobila plattformar. För närvarande rekommenderar vi att du aktiverar TLS-inspektion endast för Windows-plattformen."