Aracılığıyla paylaş

Genel Güvenli Erişim web içeriği filtrelemeyi yapılandırma

Web içeriği filtreleme, web sitesi kategorisini temel alarak kuruluşunuz için ayrıntılı İnternet erişimi denetimleri gerçekleştirmenizi sağlar.

Microsoft Entra İnternet Erişimi ilk Güvenli Web Ağ Geçidi (SWG) özellikleri, etki alanı adlarına göre web içeriği filtrelemeyi içerir. Microsoft, ayrıntılı filtreleme ilkelerini Microsoft Entra Id ve Microsoft Entra Koşullu Erişim ile tümleştirir ve bu da kullanıcı kullanan, bağlama duyarlı ve yönetimi kolay filtreleme ilkelerine neden olur.

Web filtreleme özelliği şu anda kullanıcı ve bağlama duyarlı Tam Etki Alanı Adı (FQDN) tabanlı web kategorisi filtreleme ve FQDN filtreleme ile sınırlıdır.

Önkoşullar

  • Genel Güvenli Erişim özellikleriyle etkileşim kuran yöneticilerin, gerçekleştirdikleri görevlere bağlı olarak aşağıdaki rol atamalarından birine veya daha fazlasına sahip olması gerekir.

  • Genel Güvenli Erişim'i kullanmaya başlama kılavuzunu tamamlayın.

  • Son kullanıcı cihazlarına Genel Güvenli Erişim istemcisini yükleyin.

  • Ağ trafiğine tünel oluşturmak için HTTPS (Güvenli DNS) üzerinden Etki Alanı Adı Sistemi'nin (DNS) devre dışı bırakılması gerekir. Trafik yönlendirme profilinde tam nitelikli etki alanı adlarının (FQDN) kurallarını kullanın. Daha fazla bilgi için bkz . DNS istemcisini DoH'yi destekleyecek şekilde yapılandırma.

  • Chrome ve Microsoft Edge'de yerleşik DNS istemcisini devre dışı bırakın.

  • IPv6 trafiği istemci tarafından alınmaz ve bu nedenle doğrudan ağa aktarılır. Tüm ilgili trafiğin tünele dönüştürülebilmesi için ağ bağdaştırıcısı özelliklerini tercih edilen IPv4 olarak ayarlayın.

  • Kullanıcı Veri Birimi Protokolü (UDP) trafiği (yani QUIC), İnternet Erişimi'nin geçerli önizlemesinde desteklenmez. Çoğu web sitesi, QUIC oluşturulamayınca İletim Denetimi Protokolü'ne (TCP) geri dönüşü destekler. Geliştirilmiş bir kullanıcı deneyimi için giden UDP 443:'i engelleyen bir Windows Güvenlik Duvarı kuralı dağıtabilirsiniz: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.

  • Web içeriği filtreleme kavramlarını gözden geçirin. Daha fazla bilgi için bkz . web içeriği filtreleme.

Üst düzey adımlar

Web içeriği filtrelemeyi yapılandırmanın birkaç adımı vardır. Koşullu Erişim ilkesini nerede yapılandırmanız gerektiğini not edin.

  1. İnternet trafiği iletmeyi etkinleştirin.
  2. Web içeriği filtreleme ilkesi oluşturun.
  3. Bir güvenlik profili oluşturun.
  4. Güvenlik profilini koşullu erişim ilkesine bağlayın.
  5. Trafik iletme profiline kullanıcı veya grup atama.

İnternet trafiği iletmeyi etkinleştirme

İlk adım, İnternet Erişimi trafik iletme profilini etkinleştirmektir. Profil ve nasıl etkinleştirileceği hakkında daha fazla bilgi edinmek için, İnternet Erişimi trafik iletme profilini yönetme'ye bakın.

Web içeriği filtreleme ilkesi oluşturma

  1. Genel Güvenli Erişim>> göz atın.
  2. İlke oluştur'u seçin.
  3. İlke için bir ad ve açıklama girin ve İleri'yi seçin.
  4. Kural ekle'yi seçin.
  5. Bir ad girin, bir web kategorisi veya geçerli bir FQDN seçin ve ardından Ekle'yi seçin.
    • Bu özellikteki geçerli FQDN'ler yıldız simgesi * kullanılarak joker karakterler de içerebilir.
  6. İlkeyi gözden geçirmek için İleri butonunu seçin ve ardından İlke oluştur butonunu seçin.

Önemli

Web içeriği filtrelemede yapılan değişikliklerin dağıtılması bir saat kadar sürebilir.

Güvenlik profili oluşturma

Güvenlik profilleri, filtreleme ilkelerinin gruplandırılmasıdır. Microsoft Entra Koşullu Erişim ilkeleriyle güvenlik profilleri atayabilir veya bağlayabilirsiniz. Bir güvenlik profili birden çok filtreleme ilkesi içerebilir. Ayrıca bir güvenlik profili birden çok Koşullu Erişim ilkesiyle ilişkilendirilebilir.

Bu adımda, filtreleme ilkelerini gruplandırmak için bir güvenlik profili oluşturursunuz. Ardından, güvenlik profillerini kullanıcı veya bağlam bilgisi sağlamak için koşullu erişim ilkesiyle atar veya bağlarsınız.

Nôt

Microsoft Entra Koşullu Erişim ilkeleri hakkında daha fazla bilgi edinmek için Koşullu Erişim ilkesi oluşturma kısmına bakın.

  1. Genel Güvenli Erişim>> göz atın.
  2. Profil oluştur'u seçin.
  3. İlke için bir ad ve açıklama girin ve İleri'yi seçin.
  4. Bir politika bağlayın ve ardından Mevcut politikayı seçin.
  5. Önceden oluşturduğunuz web içeriği filtreleme ilkesini seçin ve Ekle'yi seçin.
  6. Güvenlik profilini ve ilişkili ilkeyi gözden geçirmek için İleri'yi seçin.
  7. Profil oluştur'u seçin.
  8. Profiller sayfasını yenilemek ve yeni profili görüntülemek için Yenile'yi seçin.

Son kullanıcılar veya gruplar için bir Koşullu Erişim ilkesi oluşturun ve Koşullu Erişim Oturumu denetimleri aracılığıyla güvenlik profilinizi teslim edin. Koşullu Erişim, İnternet Erişimi ilkeleri için kullanıcı ve bağlam tanımaya yönelik teslim mekanizmasıdır. Oturum denetimleri hakkında daha fazla bilgi edinmek için bkz . Koşullu Erişim: Oturum.

  1. Entra Id>Koşullu Erişim'e göz atın.
  2. Aşağıdan Yeni politika oluştur seçeneğini belirleyin.
  3. Bir ad girin ve bir kullanıcı veya grup atayın.
  4. Hedef kaynakları ve Genel Güvenli Erişimile tüm internet kaynaklarını seçin.
  5. Oturum> seçeneğini seçin, ardından Genel Güvenli Erişim güvenlik profilini kullan ve bir güvenlik profili seçin.
  6. Seç'i seçin.
  7. İlkeyi etkinleştirme bölümünde, Açık seçeneğinin belirlendiğinden emin olun.
  8. Oluştur'u belirleyin.

İnternet Erişimi akış diyagramı

Bu örnek, web içeriği filtreleme ilkeleri uyguladığınızda Microsoft Entra İnternet Erişimi trafiğin akışını gösterir.

Aşağıdaki akış diyagramında web içeriği filtreleme ilkelerinin İnternet kaynaklarına erişimi engellemesi veya erişime izin vermesi gösterilmektedir.

Diyagram, web içeriği filtreleme ilkelerinin İnternet kaynaklarına erişimi engelleyen veya erişime izin veren akışını gösterir.

Adımlar Açıklama
1 Genel Güvenli Erişim istemcisi Microsoft'un Güvenlik Hizmeti Edge çözümüne bağlanmayı dener.
2 İstemci, kimlik doğrulaması ve yetkilendirme için Microsoft Entra Id'ye yönlendirilir.
3 Kullanıcı ve cihaz kimlik doğrulaması yapar. Kullanıcının geçerli bir Birincil Yenileme Belirteci (PRT) olduğunda kimlik doğrulaması sorunsuz bir şekilde gerçekleşir.
4 Kullanıcı ve cihaz kimlik doğrulamasından sonra, Koşullu Erişim, İnternet Erişimi ile ilgili kurallarla eşleşir ve jetona uygun güvenlik profillerini ekler. Geçerli yetkilendirme ilkelerini uygular.
5 Microsoft Entra Id, doğrulama için belirteci Microsoft Güvenlik Hizmeti Edge'e sunar.
6 Tünel, Genel Güvenli Erişim istemcisi ile Microsoft Güvenlik Hizmeti Edge arasında kurulur.
7 Trafik, İnternet Erişimi tüneli üzerinden alınmaya ve yönlendirilmeye başlar.
8 Microsoft Güvenlik Hizmeti Edge, erişim belirtecindeki güvenlik ilkelerini öncelik sırasına göre değerlendirir. Bir web içeriği filtreleme kuralında eşleştirildikten sonra, web içeriği filtreleme ilkesi değerlendirmesi durdurulur.
9 Microsoft Güvenlik Hizmeti Edge, güvenlik ilkelerini zorunlu kılar.
10 Politika = bloklama, HTTP trafiğinde hataya yol açar veya HTTPS trafiği için bir bağlantı sıfırlama istisnası oluşur.
11 Politika = hedefe trafik iletimine izin verir.

Nôt

Güvenlik profili dayatması ve erişim belirteçleri kullanımından dolayı yeni bir güvenlik profilinin uygulanması 60 ila 90 dakika sürebilir. Kullanıcı, yürürlüğe girmeden önce talep olarak yeni güvenlik profili kimliğine sahip yeni bir erişim belirteci almalıdır. Mevcut güvenlik profillerindeki değişiklikler çok daha hızlı bir şekilde uygulanmaya başlar.

Kullanıcı ve grup atamaları

İnternet Erişimi profilinin kapsamını belirli kullanıcılara ve gruplara göre ayarlayabilirsiniz. Kullanıcı ve grup ataması hakkında daha fazla bilgi edinmek için Trafik iletme profilleriyle kullanıcı ve grupları nasıl atayacağınız ve yöneteceğiniz konusuna bakın.

Son kullanıcı ilkesi uygulanmasını doğrulama

Trafik Microsoft'un Güvenli Hizmet Edge'ine ulaştığında Microsoft Entra İnternet Erişimi iki yolla güvenlik denetimleri gerçekleştirir. Şifrelenmemiş HTTP trafiği için Tekdüzen Kaynak Bulucu'yu (URL) kullanır. Aktarım Katmanı Güvenliği (TLS) ile şifrelenmiş HTTPS trafiği için Sunucu Adı Göstergesi'ni (SNI) kullanır.

Genel Güvenli Erişim istemcisi yüklü bir Windows cihazı kullanın. İnternet trafiği edinme profili atanmış bir kullanıcı olarak oturum açın. Web sitelerine gezinmeye izin verilip verilmediğini veya beklendiği gibi kısıtlandığını test edin.

  1. Görev yöneticisi tepsisindeki Genel Güvenli Erişim istemci simgesine sağ tıklayın ve Gelişmiş Tanılama ile >'ni açın. İnternet erişimi edinme kurallarının mevcut olduğundan emin olun. Ayrıca, kullanıcıların ana bilgisayar adlarının ve ağ trafiği akışlarının göz atarken alınıp alınmadığını denetleyin.

  2. İzin verilen ve engellenen sitelere gidin ve düzgün davranıp davranmadıklarını denetleyin. Genel Güvenli Erişim'e gidin, >> bölümüne göz atarak trafiğin uygun şekilde engellendiğini veya izin verildiğini doğrulayın.

Tüm tarayıcılar için geçerli engelleme deneyimi, HTTP trafiği için düz metin tarayıcı hatası ve HTTPS trafiği için "Bağlantı Sıfırlama" tarayıcı hatası içerir.

HTTP trafiği için düz metin tarayıcı hatasını gösteren ekran görüntüsü.

HTTPS trafiği için

Nôt

Web içeriği filtrelemeyle ilgili Genel Güvenli Erişim deneyimindeki yapılandırma değişiklikleri genellikle 5 dakikadan kısa bir süre içinde geçerlilik kazanır. Koşullu Erişim'de web içeriği filtrelemeyle ilgili yapılandırma değişiklikleri yaklaşık bir saat içinde geçerlilik kazanır.

Sonraki adımlar