Dela via

Lär dig mer om samexistens i Security Service Edge (SSE) med Microsoft och Zscaler

  • Artikel

Microsofts och Zscalers SASE-lösning (Secure Access Service Edge) kan användas tillsammans i en enhetlig miljö. När du används tillsammans utnyttjar du en robust uppsättning funktioner från båda plattformarna för att höja din SASE-resa. Synergin mellan dessa plattformar förbättrar säkerheten och ger sömlös anslutning.

Det här dokumentet innehåller steg för att distribuera dessa lösningar sida vid sida, särskilt Microsoft Entra Global Secure Access for Internet Access och Microsoft 365-program som Exchange Online och SharePoint Online och Zscaler Private Access för privata program. Den innehåller också steg för att distribuera Entra Global Secure Access för Microsoft 365-program och Zscaler Internet Access för Internet Access.

Konfiguration – översikt

Två konfigurationer beskrivs i den här artikeln.

I den första konfigurationen aktiverar du profiler för vidarebefordran av trafik för Microsoft 365 och internetåtkomst i administrationscentret för Microsoft Entra. Du inaktiverar profilen för vidarebefordran av privat åtkomsttrafik i administrationscentret för Microsoft Entra. Global Secure Access-klienten samlar in Microsoft 365- och Internettrafik. Zscaler-klienten samlar in privat åtkomsttrafik.

Kommentar

Klienterna måste vara installerade på en Windows 10- eller Windows 11 Microsoft Entra-ansluten enhet eller en Hybrid-ansluten Microsoft Entra-enhet.

I den andra konfigurationen aktiverar du vidarebefordranprofilen för Microsoft 365 och inaktiverar profiler för vidarebefordran av internetåtkomst och privat åtkomst i administrationscentret för Microsoft Entra. Global Secure Access-klienten samlar in Microsoft 365-trafik. Zscaler-klienten samlar in internetåtkomsttrafik.

Anteckning

Klienterna måste vara installerade på Windows 10- eller Windows 11 Microsoft Entra-ansluten enhet, Microsoft Entra-hybridansluten enhet eller en macOS Monterey-enhet som är registrerad på Entra med Intune-företagsportal.

konfiguration av Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst

Konfigurera profiler för trafikvidarebefordran för din Microsoft Entra-klientorganisation. Mer information om hur du aktiverar och inaktiverar profiler finns i Profiler för vidarebefordran av global säker åtkomsttrafik.

För den första konfigurationen aktiverar du vidarebefordringsprofiler för Microsoft 365 och Internetåtkomst. För den andra konfigurationen aktiverar du endast Microsoft 365-trafikvidarebefordringsprofilen.

Installera och konfigurera den globala klienten för säker åtkomst på slutanvändarenheter. Mer information om klienter finns i Global Secure Access-klienter. Information om hur du installerar Windows-klienten finns i Global Secure Access-klient för Windows.

Zscaler-konfiguration 1

Konfigurera autentisering med enkel inloggning (SSO) för Zscaler Private Access (ZPA). Mer information om hur du konfigurerar enkel inloggning finns i https://help.zscaler.com/zpa/configuration-guide-microsoft-azure-ad.

Konfigurera och distribuera Zscaler-appanslutningsprogram. Mer information om Zscaler-anslutningsprogram finns i https://help.zscaler.com/zpa/app-connector-management/app-connectors.

  1. Gå till ZPA-administratörsportalen>Konfiguration och kontroll>Privat infrastruktur>App-anslutningsprogramshantering>App-anslutningsprogram>Lägg till app-anslutningsprogram.
  2. Distribuera App Connector på din plattform som stöds genom att följa respektive guide.
  3. Kontrollera att den distribuerade appanslutningsappen körs och är felfri.

Konfigurera Zscaler-programsegment. Mer information om Zscaler-programsegment finns i https://help.zscaler.com/zpa/configuring-application-segments.

  1. Gå till Resurshantering>Programhantering>Programsegment>Lägg till programsegment.
  2. Lägg till namn, IP/FQDN för ditt privata program, portar och segmentgrupp.
  3. Skapa en åtkomstprincip för att tillåta åtkomst till ditt privata program (som standard blockerar ZPA åtkomst till program och segmentgrupper för användare tills du konfigurerar principregler som uttryckligen tillåter åtkomst). Gå till Policy>Åtkomstprincip>Lägg till regel.

Ladda ned Zscaler-klienten från Zscaler Client Connector App Store i Zscaler Client Connector-portalen.

  1. Gå till ZPA-administratörsportalen>Klientanslutning>Administration>Klientanslutningsappbutiken>Nya versioner>Allmän tillgänglighet.
  2. Välj Plattform som Windows och ladda ned det körbara paketet (EXE) eller Microsoft Software Installer (MSI).
  3. Aktivera build.

Lägg till vidarebefordringsprofil från klientkopplingsportalen.

  1. Gå till ZPA-administratörsportalen>Klientanslutning>Administration>Vidarebefordringsprofil>Lägg till vidarebefordringsprofil.
  2. Lägg till ett profilnamn, till exempel PF-drivrutinstunnel.
  3. Välj Paketfilter baserattunneldrivrutinstyp.

Lägg till appprofil från klientanslutningsportalen.

  1. Gå till ZPA-administratörsportalen>Klientanslutning>Applikationsprofil>Plattform>Windows>Lägg till Windows-policy.
  2. Lägg till Namn, ange regelordning, till exempel 1, välj Aktivera, välj Användare för att tillämpa den här principen och välj vidarebefordranprofilen. Till exempel, välj PF Driver Tunnel.
  3. Rulla nedåt och lägg till dessa IP-adresser (Internet Protocol) för Microsoft SSE-tjänsten och fullständigt kvalificerade domännamn (FQDN) i
    Fältet "HOSTNAME OR IP ADDRESS BYPASS FOR VPN GATEWAY". IP-adresser: 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16. FQDNs: internet.edgediagnostic.globalsecureaccess.microsoft.com, m365.edgediagnostic.globalsecureaccess.microsoft.com, private.edgediagnostic.globalsecureaccess.microsoft.com, aps.globalsecureaccess.microsoft.com, <tenantid>.internet.client.globalsecureaccess.microsoft.com, <tenantid>.m365.client.globalsecureaccess.microsoft.com, <tenantid>.private.client.globalsecureaccess.microsoft.com.

När klienten har installerats uppmanas användarna att logga in. När användarna har loggat in blir anslutningsikonen blå och genom att högerklicka på ikonen och öppna Zscaler-klienten visas autentiseringsstatusen autentiserad och tjänststatus som PÅ.

Öppna systemfältet för att kontrollera att global säker åtkomst och Zscaler-klienter är aktiverade.

Verifiera konfigurationer för klienter.

  1. Högerklicka på Global Secure Access Client>Avancerad Diagnostik>Forwarding Profile och kontrollera att Microsoft 365- och internetåtkomstregler tillämpas på den här klienten.
  2. Gå till Hälsokontroll för>avancerad diagnostik och se till att inga kontroller misslyckas.
  3. Högerklicka på Zscaler Client>>More. Kontrollera att appprincipen matchar konfigurationerna i de tidigare stegen. Kontrollera att den är uppdaterad eller uppdatera den.
  4. Gå till Privat åtkomst för >. Kontrollera att tjänststatusAuthenticated

Testa trafikflödet

  1. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. Välj fliken Trafik och välj Börja samla in.
  2. Få åtkomst till dessa webbplatser från webbläsarna: , , , Outlook Online (bing.com, salesforce.com, ), Instagram.comSharePoint Online (outlook.com). outlook.office.comoutlook.office365.com<yourtenantdomain>.sharepoint.com
  3. Logga in på Microsoft Entra-administrationscenter och navigera till Global säker åtkomst>Övervaka>Trafikloggar. Verifiera att trafik som är relaterad till dessa platser samlas in i trafikloggarna för global säker åtkomst.
  4. Få åtkomst till ditt privata program. Du kan till exempel använda Secure Shell (SSH).
  5. Logga in på ZPA-administratörskonsolen och bläddra till Instrumentpanelsprogram > och Instrumentpanelsanvändare > eller Analysdiagnostikloggar >> . Verifiera att trafik som är relaterad till det privata programmet finns i instrumentpanelen eller trafikloggarna.
  6. Verifiera att trafik som är relaterad till Microsoft 365 och Internettrafik, såsom Instagram.com, Outlook Online och SharePoint Online, saknas i ZPA-loggar under analys > diagnostik > loggar.
  7. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. I dialogrutan Nätverkstrafik väljer du Sluta samla in.
  8. Rulla om du vill se att global säker åtkomst-klienten inte samlar in trafik från det privata programmet. Observera också att global säker åtkomst-klienten samlar in trafik för Microsoft 365 och annan Internettrafik.

Zscaler-konfiguration 2

Konfigurera Zscaler Internet Access. Mer information om hur du konfigurerar Zscaler finns i https://help.zscaler.com/zia/step-step-configuration-guide-zia.

Konfigurera metoder för användarautentisering och etablering, till exempel SAML (Security Assertion Markup Language) för autentisering och System for Cross-domain Identity Management (SCIM) för etablering.

Ladda ned Zscaler-klienten från Zscaler Client Connector App Store i Zscaler Client Connector-portalen.

  1. Gå till ZIA-administratörsportalen>Policy>Zscaler Client Connector Portal>Administration>Klientanslutningsapp Store>Nya versioner>Allmän tillgänglighet.
  2. Välj Plattform som Windows eller macOS och ladda ned EXE- eller MSI-paketet.
  3. Aktivera build.

Lägg till profil för vidarebefordran från klientanslutningsportalen.

  1. Gå till ZIA-administratörsportalen>Policy>Zscaler Klientanslutningsportal>Administration>Profil för vidarebefordran>Lägg till 'Profil för vidarebefordran'.
  2. Lägg till ett profilnamn , till exempel ZIA Tunnel 2.0.
  3. Välj Paketfilter baserattunneldrivrutinstyp.
  4. Välj vidarebefordran av profilåtgärd som Tunnel och välj tunnelversion. Exempel: Z-Tunnel 2.0

Lägg till appprofil från klientanslutningsportalen.

  1. Gå till ZIA admin portal>Policy>Zscaler Client Connector Portal>Administrationsapp-profiler>Plattformar>Windows (eller macOS) >Lägg till Windows-policy (eller macOS).
  2. Lägg till Namn, ange regelordning, till exempel 1, välj Aktivera, välj Användare för att tillämpa den här principen och välj vidarebefordranprofilen. Välj till exempel ZIA Tunnel 2.0.
  3. Rulla nedåt och lägg till dessa Microsoft SSE Service-IP-adresser och FQDN i
    FÄLTET FÖR HOSTNAME ELLER IP-ADRESSBYPASS FÖR VPN-GATEWAY. IP-adresser: 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16. FQDN: internet.edgediagnostic.globalsecureaccess.microsoft.com, m365.edgediagnostic.globalsecureaccess.microsoft.com, private.edgediagnostic.globalsecureaccess.microsoft.com, aps.globalsecureaccess.microsoft.com, <tenantid>.internet.client.globalsecureaccess.microsoft.com, , <tenantid>.m365.client.globalsecureaccess.microsoft.com. <tenantid>.private.client.globalsecureaccess.microsoft.com

När klienten har installerats uppmanas användarna att logga in. När användarna har loggat in blir anslutningsikonen blå och genom att högerklicka på ikonen och öppna Zscaler-klienten visas autentiseringsstatusen autentiserad och tjänststatus som PÅ.

Gå till systemfältet för att kontrollera att global säker åtkomst och Zscaler-klienter är aktiverade.

Verifiera konfigurationer för klienter.

  1. Högerklicka på Global Secure Access Client>Avancerad Diagnostik>Profil för vidarebefordran och kontrollera att Microsoft 365- och internetåtkomstregler tillämpas på den här klienten.
  2. Gå till Hälsokontroll för>avancerad diagnostik och se till att inga kontroller misslyckas. Föredragen IPV4-kontroll kan ignoreras. Du kan lösa felet genom att skapa en registernyckel. Mer information om registernyckeln och hur du installerar klienten finns i Global Secure Access-klient för Windows.
  3. Högerklicka på Zscaler Client>>More. Kontrollera att appprincipen matchar konfigurationerna i de tidigare stegen. Kontrollera att den är uppdaterad eller uppdatera den.
  4. Gå till Privat åtkomst för >. Kontrollera att tjänststatusAuthenticated

Testa trafikflödet

  1. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. Välj fliken Trafik och välj Börja samla in.
  2. Få åtkomst till dessa webbplatser från webbläsarna: bing.com, salesforce.com, Instagram.com.
  3. Högerklicka på Global säker åtkomstklient i systemfältet och välj fliken Avancerad diagnostiktrafik>.
  4. Rulla om du vill se att global säker åtkomst-klienten inte samlar in trafik från dessa webbplatser.
  5. Logga in på Microsoft Entra-administrationscentret och bläddra till Global Secure Access>Övervaka>Trafikloggar. Verifiera att trafik som är relaterad till dessa platser saknas i trafikloggarna för global säker åtkomst.
  6. Logga in på administrationsportalen för Zscaler Internet Access (ZIA) och gå till Analytics>Web Insights>Logs.
  7. Verifiera att trafik som är relaterad till dessa platser finns i Zscaler-loggar.
  8. Åtkomst till Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
  9. Högerklicka på Global säker åtkomstklient i systemfältet och välj sedan Avancerad diagnostik. I dialogrutan Trafik väljer du Sluta samla in.
  10. Rulla för att bekräfta att global säker åtkomst-klienten hanterade Microsoft 365-trafik.
  11. Du kan också verifiera att trafiken samlas in i trafikloggarna för global säker åtkomst. I administrationscentret för Microsoft Entra navigerar du till Global säker åtkomst>Övervakare>Trafikloggar.
  12. Verifiera att trafik relaterad till Outlook Online och SharePoint Online saknas i Zscaler-loggar i Analytics>Web Insights>Logs.

Nästa steg