Dela via

Så här konfigurerar du webbinnehållsfiltrering för global säker åtkomst

  • Artikel

Med webbinnehållsfiltrering kan du implementera detaljerade Internetåtkomstkontroller för din organisation baserat på webbplatskategorisering.

Microsoft Entra internetski pristup första SWG-funktioner (Secure Web Gateway) innehåller filtrering av webbinnehåll baserat på domännamn. Microsoft integrerar detaljerade filtreringsprinciper med Microsoft Entra-ID och Villkorsstyrd åtkomst i Microsoft Entra, vilket resulterar i filtreringsprinciper som är användarmedvetna, sammanhangsmedvetna och enkla att hantera.

Webbfiltreringsfunktionen är för närvarande begränsad till användar- och kontextmedveten FQDN-baserad webbkategorifiltrering och FQDN-filtrering.

Förutsättningar

  • Administratörer som interagerar med funktioner för global säker åtkomst måste ha en eller flera av följande rolltilldelningar beroende på vilka uppgifter de utför.

    • Rollen Global administratör för säker åtkomst för att hantera funktionerna för global säker åtkomst.
    • Administratören för villkorlig åtkomst för att skapa och interagera med principer för villkorsstyrd åtkomst.

  • Slutför guiden Kom igång med global säker åtkomst.

  • Installera Global Secure Access-klienten på slutanvändarenheter.

  • Du måste inaktivera DNS (Domain Name System) via HTTPS (Secure DNS) för att tunneltrafik i nätverket. Använd reglerna för de fullständigt kvalificerade domännamnen (FQDN) i trafikvidarebefordringsprofilen. Mer information finns i Konfigurera DNS-klienten så att den stöder DoH.

  • Inaktivera den inbyggda DNS-klienten i Chrome och Microsoft Edge.

  • UDP-trafik (User Datagram Protocol) (dvs. QUIC) stöds inte i den aktuella förhandsversionen av Internet Access. De flesta webbplatser stöder återställning till TCP när QUIC inte kan upprättas. För bättre användarupplevelse kan du distribuera en Windows-brandväggsregel som blockerar utgående UDP 443: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.

  • Granska begreppen för webbinnehållsfiltrering. Mer information finns i webbinnehållsfiltrering.

Generella steg

Det finns flera steg för att konfigurera webbinnehållsfiltrering. Notera var du behöver konfigurera en princip för villkorsstyrd åtkomst.

  1. Aktivera vidarebefordran av internettrafik.
  2. Skapa en princip för webbinnehållsfiltrering.
  3. Skapa en säkerhetsprofil.
  4. Länka säkerhetsprofilen till en princip för villkorsstyrd åtkomst.
  5. Tilldela användare eller grupper till trafikvidarebefordringsprofilen.

Aktivera vidarebefordran av Internettrafik

Det första steget är att aktivera vidarebefordransprofilen för Internet Access-trafik. Mer information om profilen och hur du aktiverar den finns i Hantera trafikvidarebefordringsprofilen för InternetÅtkomst.

Skapa en princip för webbinnehållsfiltrering

  1. Bläddra till global>princip för säker>säker webbinnehållsfiltrering.
  2. Välj Skapa princip.
  3. Ange ett namn och en beskrivning för principen och välj Nästa.
  4. Välj Lägg till regel.
  5. Ange ett namn, välj en webbkategori eller ett giltigt FQDN och välj sedan Lägg till.
    • Giltiga FQDN:er i den här funktionen kan också innehålla jokertecken med hjälp av asterisksymbolen *.
  6. Välj Nästa för att granska principen och välj sedan Skapa princip.

Skapa en säkerhetsprofil

Säkerhetsprofiler är en gruppering av filtreringsprinciper. Du kan tilldela eller länka säkerhetsprofiler med principer för villkorsstyrd åtkomst i Microsoft Entra. En säkerhetsprofil kan innehålla flera filtreringsprinciper. Och en säkerhetsprofil kan associeras med flera principer för villkorsstyrd åtkomst.

I det här steget skapar du en säkerhetsprofil för att gruppera filtreringsprinciper. Sedan tilldelar eller länkar du säkerhetsprofilerna med en princip för villkorsstyrd åtkomst för att göra dem användare eller kontextmedvetna.

Kommentar

Mer information om principer för villkorsstyrd åtkomst i Microsoft Entra finns i Skapa en princip för villkorsstyrd åtkomst.

  1. Bläddra till globala profiler för säker åtkomstsäkerhet>>.
  2. Välj Skapa profil.
  3. Ange ett namn och en beskrivning för principen och välj Nästa.
  4. Välj Länka en princip och välj sedan Befintlig princip.
  5. Välj den princip för webbinnehållsfiltrering som du redan har skapat och välj Lägg till.
  6. Välj Nästa för att granska säkerhetsprofilen och den associerade principen.
  7. Välj Skapa en profil.
  8. Välj Uppdatera för att uppdatera profilsidan och visa den nya profilen.

Skapa en princip för villkorlig åtkomst för slutanvändare eller grupper och leverera din säkerhetsprofil via sessionskontroller för villkorsstyrd åtkomst. Villkorsstyrd åtkomst är leveransmekanismen för användar- och kontextmedvetenhet för internetåtkomstprinciper. Mer information om sessionskontroller finns i Villkorsstyrd åtkomst: Session.

  1. Bläddra till Villkorlig åtkomst för identitetsskydd>>.
  2. Välj Skapa ny princip.
  3. Ange ett namn och tilldela en användare eller grupp.
  4. Välj Målresurser och Global säker åtkomst på den nedrullningsbara menyn för att ange vad principen gäller för.
  5. Välj Internettrafik i den nedrullningsbara menyn för att ange den trafikprofil som principen gäller för.
  6. Välj Session>Använd global säkerhetsprofil för säker åtkomst och välj en säkerhetsprofil.
  7. Välj Välj.
  8. I avsnittet Aktivera princip kontrollerar du att är valt.
  9. Välj Skapa.

Användar- och grupptilldelningar

Du kan begränsa Internetåtkomstprofilen till specifika användare och grupper. Mer information om användar- och grupptilldelning finns i Så här tilldelar och hanterar du användare och grupper med profiler för trafikvidarebefordring.

Kontrollera att principen för slutanvändaren tillämpas

Använd en Windows-enhet med Global Secure Access-klienten installerad. Logga in som en användare som har tilldelats anskaffningsprofilen för Internettrafik. Testa att navigering till webbplatser tillåts eller begränsas som förväntat.

  1. Högerklicka på klientikonen global säker åtkomst i aktivitetshanterarens>fack och öppna profilen Avancerad diagnostikvidarebefordring. Se till att anskaffningsreglerna för Internetåtkomst finns. Kontrollera också om värdnamnets förvärv och flöden för användarnas Internettrafik hämtas under surfning.

  2. Navigera till tillåtna och blockerade webbplatser och kontrollera om de fungerar korrekt. Bläddra till Globala trafikloggar för övervakning av säker åtkomst>>för att bekräfta att trafiken blockeras eller tillåts på lämpligt sätt.

Den aktuella blockeringsfunktionen för alla webbläsare innehåller ett fel i webbläsaren i klartext för HTTP-trafik och ett webbläsarfel för "Anslutningsåterställning" för HTTPS-trafik.

Skärmbild som visar ett webbläsarfel i klartext för HTTP-trafik.

Skärmbild som visar webbläsarfelet

Kommentar

Konfigurationsändringar i den globala funktionen för säker åtkomst som rör webbinnehållsfiltrering börjar vanligtvis gälla på mindre än 5 minuter. Konfigurationsändringar i villkorsstyrd åtkomst relaterade till webbinnehållsfiltrering börjar gälla om ungefär en timme.

Nästa steg