Aracılığıyla paylaş

Genel Güvenli Erişim web içeriği filtrelemeyi yapılandırma

  • Makale

Web içeriği filtreleme, web sitesi kategorisini temel alarak kuruluşunuz için ayrıntılı İnternet erişimi denetimleri gerçekleştirmenizi sağlar.

Microsoft Entra İnternet Erişimi ilk Güvenli Web Ağ Geçidi (SWG) özellikleri, etki alanı adlarına göre web içeriği filtrelemeyi içerir. Microsoft, ayrıntılı filtreleme ilkelerini Microsoft Entra Id ve Microsoft Entra Koşullu Erişim ile tümleştirir ve bu da kullanıcı kullanan, bağlama duyarlı ve yönetimi kolay filtreleme ilkelerine neden olur.

Web filtreleme özelliği şu anda kullanıcı ve bağlama duyarlı Tam Etki Alanı Adı (FQDN) tabanlı web kategorisi filtreleme ve FQDN filtreleme ile sınırlıdır.

Önkoşullar

  • Genel Güvenli Erişim özellikleriyle etkileşim kuran yöneticilerin, gerçekleştirdikleri görevlere bağlı olarak aşağıdaki rol atamalarından birine veya daha fazlasına sahip olması gerekir.

  • Genel Güvenli Erişim'i kullanmaya başlama kılavuzunu tamamlayın.

  • Son kullanıcı cihazlarına Genel Güvenli Erişim istemcisini yükleyin.

  • Ağ trafiğine tünel oluşturmak için HTTPS (Güvenli DNS) üzerinden Etki Alanı Adı Sistemi'nin (DNS) devre dışı bırakılması gerekir. Trafik iletme profilindeki tam etki alanı adlarının (FQDN) kurallarını kullanın. Daha fazla bilgi için bkz . DNS istemcisini DoH'yi destekleyecek şekilde yapılandırma.

  • Chrome ve Microsoft Edge'de yerleşik DNS istemcisini devre dışı bırakın.

  • IPv6 trafiği istemci tarafından alınmaz ve bu nedenle doğrudan ağa aktarılır. Tüm ilgili trafiğin tünele dönüştürülebilmesi için ağ bağdaştırıcısı özelliklerini tercih edilen IPv4 olarak ayarlayın.

  • Kullanıcı Veri Birimi Protokolü (UDP) trafiği (yani QUIC), İnternet Erişimi'nin geçerli önizlemesinde desteklenmez. Çoğu web sitesi, QUIC oluşturulamayınca İletim Denetimi Protokolü'ne (TCP) geri dönüşü destekler. Geliştirilmiş bir kullanıcı deneyimi için giden UDP 443:'i engelleyen bir Windows Güvenlik Duvarı kuralı dağıtabilirsiniz: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.

  • Web içeriği filtreleme kavramlarını gözden geçirin. Daha fazla bilgi için bkz . web içeriği filtreleme.

Üst düzey adımlar

Web içeriği filtrelemeyi yapılandırmanın birkaç adımı vardır. Koşullu Erişim ilkesini nerede yapılandırmanız gerektiğini not edin.

  1. İnternet trafiği iletmeyi etkinleştirin.
  2. Web içeriği filtreleme ilkesi oluşturun.
  3. Bir güvenlik profili oluşturun.
  4. Güvenlik profilini koşullu erişim ilkesine bağlayın.
  5. Trafik iletme profiline kullanıcı veya grup atama.

İnternet trafiği iletmeyi etkinleştirme

İlk adım, İnternet Erişimi trafik iletme profilini etkinleştirmektir. Profil ve nasıl etkinleştirileceği hakkında daha fazla bilgi edinmek için bkz . İnternet Erişimi trafik iletme profilini yönetme.

Web içeriği filtreleme ilkesi oluşturma

  1. Genel Güvenli Erişim>Güvenli>web içeriği filtreleme ilkesine göz atın.
  2. İlke oluştur'u seçin.
  3. İlke için bir ad ve açıklama girin ve İleri'yi seçin.
  4. Kural ekle'yi seçin.
  5. Bir ad girin, bir web kategorisi veya geçerli bir FQDN seçin ve ardından Ekle'yi seçin.
    • Bu özellikteki geçerli FQDN'ler yıldız simgesi * kullanılarak joker karakterler de içerebilir.
  6. İlkeyi gözden geçirmek için İleri'yi ve ardından İlke oluştur'u seçin.

Önemli

Web içeriği filtrelemede yapılan değişikliklerin dağıtılması bir saat kadar sürebilir.

Güvenlik profili oluşturma

Güvenlik profilleri, filtreleme ilkelerinin gruplandırılmasıdır. Microsoft Entra Koşullu Erişim ilkeleriyle güvenlik profilleri atayabilir veya bağlayabilirsiniz. Bir güvenlik profili birden çok filtreleme ilkesi içerebilir. Ayrıca bir güvenlik profili birden çok Koşullu Erişim ilkesiyle ilişkilendirilebilir.

Bu adımda, filtreleme ilkelerini gruplandırmak için bir güvenlik profili oluşturursunuz. Ardından, güvenlik profillerini kullanıcı veya bağlam bilgisi sağlamak için koşullu erişim ilkesiyle atar veya bağlarsınız.

Not

Microsoft Entra Koşullu Erişim ilkeleri hakkında daha fazla bilgi edinmek için bkz . Koşullu Erişim ilkesi oluşturma.

  1. Genel Güvenli Erişim>Güvenli>Güvenlik profillerine göz atın.
  2. Profil oluştur'u seçin.
  3. İlke için bir ad ve açıklama girin ve İleri'yi seçin.
  4. İlke bağla'ya ve ardından Mevcut ilke'ye tıklayın.
  5. Önceden oluşturduğunuz web içeriği filtreleme ilkesini seçin ve Ekle'yi seçin.
  6. Güvenlik profilini ve ilişkili ilkeyi gözden geçirmek için İleri'yi seçin.
  7. Profil oluştur'u seçin.
  8. Profiller sayfasını yenilemek ve yeni profili görüntülemek için Yenile'yi seçin.

Son kullanıcılar veya gruplar için bir Koşullu Erişim ilkesi oluşturun ve Koşullu Erişim Oturumu denetimleri aracılığıyla güvenlik profilinizi teslim edin. Koşullu Erişim, İnternet Erişimi ilkeleri için kullanıcı ve bağlam tanımaya yönelik teslim mekanizmasıdır. Oturum denetimleri hakkında daha fazla bilgi edinmek için bkz . Koşullu Erişim: Oturum.

  1. Kimlik>Koruması>Koşullu Erişim'e göz atın.
  2. Yeni ilke oluştur'u seçin.
  3. Bir ad girin ve bir kullanıcı veya grup atayın.
  4. İlkenin ne için geçerli olduğunu ayarlamak için açılan menüden Hedef kaynaklar ve Genel Güvenli Erişim'i seçin.
  5. Bu ilkenin geçerli olduğu trafik profilini ayarlamak için açılan menüden İnternet trafiği'ni seçin.
  6. Oturum>Genel Güvenli Erişim güvenlik profilini kullan'ı seçin ve bir güvenlik profili seçin.
  7. Seç'i seçin.
  8. İlkeyi etkinleştir bölümünde Açık seçeneğinin belirlendiğinden emin olun.
  9. Oluştur'u belirleyin.

Kullanıcı ve grup atamaları

İnternet Erişimi profilinin kapsamını belirli kullanıcılara ve gruplara göre ayarlayabilirsiniz. Kullanıcı ve grup ataması hakkında daha fazla bilgi edinmek için bkz . Trafik iletme profilleriyle kullanıcıları ve grupları atama ve yönetme.

Son kullanıcı ilkesi zorlamasını doğrulama

Genel Güvenli Erişim istemcisi yüklü bir Windows cihazı kullanın. İnternet trafiği alma profili atanmış bir kullanıcı olarak oturum açın. Web sitelerine gezinmeye izin verilip verilmediğini veya beklendiği gibi kısıtlandığını test edin.

  1. Görev yöneticisi tepsisindeki Genel Güvenli Erişim istemci simgesine sağ tıklayın ve Gelişmiş Tanılama>İletme profilini açın. İnternet erişimi edinme kurallarının mevcut olduğundan emin olun. Ayrıca, kullanıcılar için ana bilgisayar adı alma ve akışlarının göz atarken İnternet trafiğinin alınıp alınmadığını denetleyin.

  2. İzin verilen ve engellenen sitelere gidin ve düzgün davranıp davranmadıklarını denetleyin. Trafiğin uygun şekilde engellendiğini veya trafiğe izin verildiğinden emin olmak için Genel Güvenli Erişim>İzleyicisi>Trafik günlüklerine göz atın.

Tüm tarayıcılar için geçerli engelleme deneyimi, HTTP trafiği için düz metin tarayıcı hatası ve HTTPS trafiği için "Bağlantı Sıfırlama" tarayıcı hatası içerir.

HTTP trafiği için düz metin tarayıcı hatasını gösteren ekran görüntüsü.

HTTPS trafiği için

Not

Web içeriği filtrelemeyle ilgili Genel Güvenli Erişim deneyimindeki yapılandırma değişiklikleri genellikle 5 dakikadan kısa bir süre içinde geçerlilik kazanır. Koşullu Erişim'de web içeriği filtrelemeyle ilgili yapılandırma değişiklikleri yaklaşık bir saat içinde geçerlilik kazanır.

Sonraki adımlar