Aracılığıyla paylaş

Aktarım Katmanı Güvenliği denetim ilkelerini yapılandırma

Microsoft Entra Internet Access'te Aktarım Katmanı Güvenliği (TLS) denetimi, hizmet uç konumlarında şifrelenmiş trafiğin şifresini çözmenize ve incelemenize olanak tanır. Bu özellik, Genel Güvenli Erişimin tehdit algılama, içerik filtreleme ve ayrıntılı erişim ilkeleri gibi gelişmiş güvenlik denetimleri uygulamasına olanak tanır. Bu erişim ilkeleri, şifrelenmiş iletişimlerde gizlenebilecek tehditlere karşı korunmaya yardımcı olur. Bu makalede, bağlama duyarlı aktarım katmanı güvenliği denetleme ilkesinin nasıl oluşturulacağı ve kuruluşunuzdaki kullanıcılara nasıl atanacağı açıklanır.

Önkoşullar

Bu işlemdeki adımları tamamlamak için aşağıdaki önkoşullara sahip olmanız gerekir:

  • Etkin ve aktif bir sertifika yetkilisiyle tamamlanmış TLS inceleme ayarları.
  • Microsoft Entra'ya katılmış veya kuruluşunuzun Microsoft Entra kimliğine karma olarak katılmış Windows çalıştıran cihazları veya sanal makineleri test edin.
  • Microsoft Entra Internet Access için bir deneme lisansı.
  • Genel Güvenli Erişim önkoşulları

Bağlama duyarlı TLS denetim ilkesi oluşturma

Bağlama duyarlı bir Aktarım Katmanı Güvenliği denetim ilkesi oluşturmak ve bunu kuruluşunuzdaki kullanıcılara atamak için aşağıdaki adımları tamamlayın:

1. Adım: Genel Güvenli Erişim yöneticisi: TLS denetleme ilkesi oluşturma

TLS denetleme ilkesi oluşturmak için:

  1. Microsoft Entra yönetim merkezinde Güvenli>TLS denetim ilkeleri>İlke oluştur'a gidin. Temel Bilgiler sekmesinde açık olan TLS inceleme ilkesi oluştur ekranının ekran görüntüsü. Varsayılan eylem , hiçbir kural eşleşmezse ne yapacağını belirtir. Varsayılan ayar İncele'dir.

  2. Sonraki>Kural ekle'yi seçin. Kurallar sayfasında, FQDN belirterek veya Web kategorisi seçerek özel bir kural tanımlayabilirsiniz. Kurallar sekmesine açılan TLS inceleme ilkesi oluştur ekranının ekran görüntüsü.

  3. İlke yapılandırmasını tamamlamak için Kaydet'e>Sonraki'ne>Gönder'e gidin. TLS denetimiyle çalışmayan hedefleri dışlamak için bir sistem kuralının otomatik olarak oluşturulduğunu unutmayın. Eğitim, Finans, Kamu ve Sağlık ve Tıp kategorilerini dışlamak için otomatik olarak düzenlenebilir bir önerilen atlama kuralı oluşturulur.

  4. Otomatik oluşturulan kurallar da dahil olmak üzere kuralları gözden geçirmek için bir ilke seçin veKuralları> gidin. Kurallar sekmesinde açık olan TLS inceleme ilkesini düzenle ekranının ekran görüntüsü.

TLS inceleme ilkesini bir güvenlik profiline bağlayın.

Kullanıcı trafiğinde TLS incelemesini etkinleştirmeden önce kuruluşunuzun son kullanıcılara TLS ilkesi oluşturup iletdiğinden emin olun. Bu adım saydamlığın korunmasına yardımcı olur ve gizlilik ve onay gereksinimleriyle uyumluluğu destekler.

TLS ilkesini bir güvenlik profiline iki şekilde bağlayabilirsiniz:

Bu yöntemle temel profil ilkesi en son değerlendirilir ve tüm kullanıcı trafiği için geçerlidir.

  1. Microsoft Entra yönetim merkezinde Güvenli>Güvenlik profilleri'ne gidin.
  2. Temel profil sekmesine geçin.
  3. Profili düzenle'yi seçin.
  4. İlkeleri bağla görünümünde + Bir ilkeyi> bağlaVar olan TLS inceleme ilkesi'ni seçin.
  5. TLS denetleme ilkesi bağlama görünümünde bir TLS ilkesi seçin ve önceliğe atayın.
  6. Add (Ekle) seçeneğini belirleyin.
    Temel Çizgiyi Düzenle profil ekranının, ilke adlarının ve önceliklerinin listesini gösteren ekran görüntüsü.

Alternatif olarak, güvenlik profiline bir TLS ilkesi ekleyin ve bunu belirli bir kullanıcı veya grup için Koşullu Erişim ilkesine bağlayın. Tüm alanların örnek bilgilerle tamamlandığı yeni Koşullu Erişim ilke formunun ekran görüntüsü.

4. Adım: Yapılandırmayı test edin

Cihazlarınızın TLS trafiğini kesmek ve incelemek için kullanılan kök sertifikaya güvendiğinden emin olun. Güvenilen sertifikayı yönetilen Windows cihazlarınıza dağıtmak için Intune kullanabilirsiniz.

Yapılandırmayı test etmek için:

  1. Son kullanıcı cihazında Güvenilen Kök Sertifika Yetkilileri klasöründe kök sertifikanın yüklü olduğundan emin olun. Güvenilen Kök Sertifika Yetkilileri klasörünün ekran görüntüsü.

  2. Genel Güvenli Erişim istemcisini ayarlayın:

    • Güvenli DNS'yi ve yerleşik DNS'yi devre dışı bırakın.
    • Cihazınızdan QUIC trafiğini engelleyin. QUIC, Microsoft Entra Internet Access'te desteklenmez. Çoğu web sitesi, QUIC oluşturulamayınca TCP'ye geri dönüşü destekler. Geliştirilmiş bir kullanıcı deneyimi için giden UDP 443'i engelleyen bir Windows Güvenlik Duvarı kuralı dağıtın: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.
    • İnternet Erişimi Trafik İletme'nin etkinleştirildiğinden emin olun. 

  3. İstemci cihazında bir tarayıcı açın ve çeşitli web sitelerini test edin. Sertifika bilgilerini inceleyin ve Genel Güvenli Erişim sertifikasını onaylayın. Genel Güvenli Erişim sertifikasının vurgulandığı Sertifika Görüntüleyicisi'nin ekran görüntüsü.

TLS incelemesini devre dışı bırakma

TLS incelemesini devre dışı bırakmak için:

  1. güvenlik profilinden ilke bağlantısını kaldırın:
    1. Genel Güvenli Erişim>> göz atın.
    2. Temel profil sekmesine geçin.
    3. Profili düzenle'yi seçin.
    4. Bağlantı ilkeleri görünümünü seçin.
    5. Devre dışı bırakmakta olduğunuz ilkenin Sil simgesini seçin.
    6. Onaylamak için Sil'i seçin.
  2. TLS inceleme ilkesini kaldırın:
    1. Genel Güvenli Erişim>Güvenli>TLS denetim ilkelerine göz atın.
    2. Eylemler'i seçin.
    3. 'ı seçin,'i silin.
  3. TLS inceleme ilkesi sertifikasını kaldırın:
    1. TLS inceleme ayarları sekmesine geçin.
    2. Eylemler'i seçin.
    3. 'ı seçin,'i silin.

İlgili içerik

  • Last updated on