Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Açık İletme Ara Sunucusu, Genel Güvenli Erişim istemcisinin yüklenmesinin zor olduğu veya mümkün olmadığı senaryolarda yararlı olan bir trafik alma mekanizmasıdır. Açık İletme Ara Sunucusu, kullanıcılar kaynaklara erişmek için tarayıcıları kullandığında İnternet trafiğinin korunmasına yardımcı olur:
- Çok oturumlu sanal masaüstü altyapısı (VDI)
- Kiosklar
- Linux masaüstlerinde tarayıcılar
- Hafif yönetilen cihazlar
- Microsoft Edge ve Intune uygulama ilkeleriyle kendi cihazlarını getir
Açık İletme Ara Sunucusu, tarayıcıları Microsoft Entra İnternet Erişimi bağlantı için yapılandırmak üzere ara sunucu otomatik yapılandırma (PAC) dosyalarına dayanır. Kullanıcı ile Microsoft Entra İnternet Erişimi hizmeti arasındaki ağ iletişimini kolaylaştırmak için HTTP CONNECT protokolunu kullanır. İnternet kaynaklarına kullanıcı erişiminin kimliğini doğrulamak ve yetkilendirmek için Microsoft Entra ID ve Microsoft Entra Koşullu Erişim kullanır.
Important
Açık İletme Ara Sunucusu özelliği şu anda önizleme aşamasındadır. Bu bilgiler, yayından önce önemli ölçüde değiştirilebilen yayın öncesi bir ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Trafik akışı
| Step | Ayrıntılar |
|---|---|
| 1 | Aktarım Katmanı Güvenliği (TLS) denetimi için kullanılan Açık İletme Ara Sunucusu PAC yapılandırması ve ara sertifika cihaza teslim edilir. |
| 2 | Kullanıcı bir internet kaynağına erişmeye çalışır. Açık İletme Ara Sunucusu kullanıcıyı Microsoft Entra ID yönlendirir. |
| 3 | Kullanıcı Microsoft Entra ID'ye açıkça veya tek oturum açma yoluyla oturum açar. Microsoft Entra ID, kullanıcı erişimini yetkilendirmek için Koşullu Erişim ilkelerini denetler. |
| 4 | Kullanıcı, Microsoft Entra ID yetkilendirme koduyla Açık İletme Ara Sunucusuna yönlendirilir. |
| 5 | Microsoft Entra İnternet Erişimi güvenlik ilkeleri uygulanır ve erişim kararı alır. Erişime izin veriliyorsa, kullanıcı internet kaynağını alabilir. |
PAC dosyası barındırma
Tarayıcıların, başlatma sırasında ara sunucu yapılandırmasını alması gerekir. PAC dosya barındırmaya yönelik iki ana yaklaşım vardır:
- Explicit Forward Proxy'nin PAC dosyalarını barındırması. Microsoft Entra İnternet Erişimi tarafından barındırılan kiracıya özgü PAC dosyası URL'leriyle tarayıcıları yapılandırabilirsiniz. Bu PAC dosyaları, Açık İletme Ara Sunucusu için önerilen yapılandırmayı içerir.
- PAC dosyalarını kendi başına barındırma. PAC dosyalarını yönettiğiniz bir web sunucusunda barındırabilirsiniz. PAC dosya içeriğini özelleştirmeniz gerekiyorsa bu yaklaşımı seçin.
Akıllı oturum yönetimi özellikleri, PAC dosyalarının Açık İletme Ara Sunucusu barındırmasını kullanmanızı gerektirir.
Oturum yönetimi
Modern web uygulamaları karmaşıktır. Kullanıcı yetkilendirmesi için Microsoft Entra ID etkileşimli yeniden yönlendirme tüm kullanım örneklerinde mümkün değildir. Açık İleri Vekil Sunucu, en iyi kullanıcı deneyimini sürdürürken kullanıcı oturum bağlılığını dengelemek için çeşitli mekanizmalar kullanır.
Açık İletme Ara Sunucusu oturum yönetiminin temel öğesi kaynak IP benzimidir. Akıllı oturum yönetimi ve üst bilgi tabanlı oturum benzimi bunun üzerine kurulmuştur.
Açık İletme Ara Sunucusunu etkinleştirdiğinizde akıllı oturum yönetimi varsayılan olarak etkinleştirilir. Bu özellik, Açık İletme Ara Sunucusu PAC dosyası barındırmaya dayanır. Kuruluşunuzdaki her kullanıcının her zaman benzersiz bir ara sunucu adresine sahip olduğundan emin olmak için PAC dosyası her istendiği zaman rastgele bir oturum tanımlayıcısı ekler. Bu benzersiz proxy adresi, Açık İletme Proxy'sinin ilk kullanıcı yetkilendirmesi sonrasında oturumu sürdürmek için kaynak IP ile birlikte bu benzersiz tanımlayıcıyı kullanmasına olanak tanır. Açık İletme Ara Sunucusu kullanıcıya özgü bir oturum tanımlayıcısı algıladığında, kullanıcıya özgü bir güvenlik profili uygular.
İsteğe bağlı olarak, üst bilgi tabanlı oturum bağımlılığını etkinleştirebilir ve çıkış proxy'nizi, tüm trafikte kullanıcının özel IP adresini belirli bir HTTP üst bilgisine ekleyerek Net İletme Proxy hizmet etki alanlarına gönderecek şekilde yapılandırabilirsiniz. Açık İletme Ara Sunucusu bu HTTP üst bilgisini algılarsa, kullanıcıya özgü bir güvenlik profili uygular.
Hem akıllı oturum yönetimi hem de üst bilgi tabanlı oturum bağlılığı devre dışı bırakılırsa, Açık İletim Vekil Sunucusu kaynak IP bağlılığına geri dönüş yapar. Başlangıçta kullanıcının kimliği doğrulandıktan sonra, Açık İletme Ara Sunucusu'na görünen çıkış IP adresi bu kullanıcı oturumuyla ilişkili olarak önbelleğe alınır.
Birden çok kullanıcı veya cihaz belirli bir IP adresini kullandığından, şirket ağlarının kaynaklara yalnızca ağ kanalı olarak Açık İletme Ara Sunucusu kullanarak erişmesine izin vermek için bir Microsoft Entra Koşullu Erişim ilkesi yapılandırmanız gerekir. Açık İletme Ara Sunucusu, kullanıcının kaynak IP adresinin ötesinde bir oturum yönetim mekanizması oluşturamıyorsa, yalnızca temel güvenlik profili uygulanır.
Important
Açık Yönlendirme Proxy oturum yönetimi, oturum yönetimi dayanaklarından biri olarak IP bağlılığına bağlıdır. Açık İletme Ara Sunucusu kullanımını güvendiğiniz ağlarla kısıtlayan bir Koşullu Erişim ilkesi yapılandırmanızı öneririz. Daha fazla bilgi için Açık İletme Ara Sunucusu (önizleme) oturum yönetimi ve Açık İletme Ara Sunucusu için Microsoft Entra Koşullu Erişim ilkesini yapılandırma (önizleme) bölümüne bakın.
Akıllı oturum yönetimi ve HTTP üst bilgileri aynı anda etkinleştirilebilir. Açık İletme Ara Sunucusu hem HTTP üst bilgilerini hem de rastgele oturum tanımlayıcısını algılarsa, oturum yönetimi için rastgele oturum tanımlayıcısını tercih eder.
| Açık İletme Ara Sunucusu oturum yönetimi özellikleri etkin | Afinité yöntemi | Güvenlik profilleri uygulandı |
|---|---|---|
| Hiçbiri | Kaynak IP | Sadece temel |
| Akıllı oturum yönetimi | Kaynak IP + oturum kimliği | Kullanıcıya özgü destek |
| HTTP başlığı | Kaynak IP + HTTP üst bilgisinden özel IP adresi | Kullanıcıya özgü destek |
| Akıllı oturum yönetimi ve HTTP üst bilgisi | HTTP üst bilgisi ile aynı. Kaynak IP + oturum kimliği önceliklidir. | Kullanıcıya özgü destek |
Note
Akıllı oturum yönetimi ve HTTP üst bilgi tabanlı oturum benzimi etkinleştirildiğinde bile, belirli bir istekte her iki değer de eksikse, Açık İletme Ara Sunucusu, kaynak IP tabanlı benşim ve temel ilkeleri kullanmaya geri döner.
Oturum ömrü ve erişim iptali
Kullanıcıların Açık İletme Ara Sunucusu kullanmak için Microsoft Entra ID ile kimlik doğrulaması yapması gerekir. Akıllı oturum yönetimi, kaynak IP veya HTTP üst bilgileri gibi oturum yönetimi yapıtları, Microsoft Entra ID erişim belirtecinin ömrünü kullanır. Bu belirtecin varsayılan ömrü 60 ile 90 dakika arasında rastgele ayarlanır.
Oturum ömrü boyunca Açık İletme Ara Sunucusu, çoklu oturum açma kullanarak kullanıcıyı düzenli aralıklarla yeniden doğrulamayı dener. Doğrulama başarılı olursa, Açık İletme Ara Sunucusu kullanıcının önbellek girdisini yeni erişim belirtecinin ömrüne kadar genişletir.
Açık İletme Ara Sunucusu Sürekli Erişim Değerlendirmeyi destekler. Sürekli Erişim Değerlendirmesi ile kullanıcının Açık İletme Ara Sunucusu oturumu, Microsoft Entra ID tarafından algılanan ve Açık İletme Ara Sunucusuna sinyal olarak gönderilen kimlik değişikliği olaylarıyla sonlanır. Bu olaylar parola sıfırlama/değiştirme, çok faktörlü kimlik doğrulama yöntemlerini sıfırlama, oturum iptali ve kullanıcı riski değişikliğini içerir. Bu durumda, yeni bir web kaynağına yönelik açık gezinti, kimlik doğrulama akışını 2-5 dakika içinde tetikler ve kullanıcının Microsoft Entra ID oturum açmasını gerektirir.
Sınırlamalar
- Açık İleri Vekil Sunucu tarafından işlenen tüm trafik TLS ile sonlandırılır. TLS sonlandırmasını atlamak için kendi PAC dosyanızı barındırmanız ve PAC dosyasındaki belirli hedefleri dışlamanız gerekir.
- Microsoft Entra ID trafiğin, bağlantıya izin vermeden önce kullanıcıyı yetkilendirmek için Açık İletme Ara Sunucusunu atlanması gerekir.
- Açık İletme Ara Sunucusu, Microsoft 365 trafiğin alınmasını desteklemez.