如何启用和管理 Microsoft 365 流量转发配置文件
启用 Microsoft 365 配置文件后,Microsoft Entra Internet 访问获取流向所有 Microsoft 365 服务的流量。 Microsoft 365 配置文件管理以下策略组:
- Exchange Online
- SharePoint Online 和 OneDrive for Business
- Microsoft 365 Common 和 Office Online(仅 Microsoft Entra ID 和 Microsoft Graph)
先决条件
若要为租户启用 Microsoft 365 流量转发配置文件,你必须具备:
- Microsoft Entra ID 中的全局安全访问管理员角色,用于启用流量配置文件。
- 条件访问管理员角色,用于创建条件访问策略并与之交互。
- 预览版需要 Microsoft Entra ID P1 许可证。 如果需要,可以购买许可证或获取试用许可证。
- 若要使用 Microsoft 365 流量转发配置文件,建议使用 Microsoft 365 E3 许可证。
已知限制
- Microsoft 365 Common 终结点目前不支持 Teams。 仅支持 Microsoft Entra ID 和 Microsoft Graph。
- 有关 Microsoft 365 流量配置文件限制的详细信息,请参阅 Windows 客户端已知限制
启用 Microsoft 365 流量配置文件
以全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“全局安全访问(预览版)”>“连接”>“流量转发”。
启用 Microsoft 365 访问配置文件。
Microsoft 365 流量策略
若要管理 Microsoft 365 流量转发策略中包含的详细信息,请选择 Microsoft 365 流量策略的“视图”链接。
将列出策略组,并带有一个复选框来指示策略组是否已启用。 展开策略组以查看组中包含的所有 IP 和 FQDN。
策略组包含以下详细信息:
- 目标类型:FQDN 或 IP 子网
- 目标:FQDN 或 IP 子网的详细信息
- 端口:与 IP 地址组合构成网络终结点的 TCP 或 UDP 端口
- 协议:TCP(传输控制协议)或 UDP(用户数据报协议)
- 操作:转发或绕过
可以选择绕过某些流量。 用户仍然可以访问该网站;但是,该服务不会处理流量。 可以绕过流向特定 FQDN 或 IP 地址、配置文件中的整个策略组或整个 Microsoft 365 配置文件本身的流量。 如果只需要转发策略组中的某些 Microsoft 365 资源,请启用该组,然后在详细信息中相应地更改操作。
以下示例演示如何将 *.sharepoint.com
FQDN 设置为“绕过”,以便不会将流量转发到该服务。
如果全局安全访问客户端无法连接到服务(例如由于授权或条件访问失败),则服务将绕过流量。 流量是直接和本地发送的,而不是被阻止。 在此场景中,可以为合规网络检查创建条件访问策略,以便在客户端无法连接到服务时阻止流量。
链接的条件访问策略
条件访问策略将创建并应用于 Microsoft Entra ID 的条件访问区域中的流量转发配置文件。 例如,可以创建一个策略,要求在访问 Microsoft 365 服务时使用合规设备。
如果在链接的条件访问策略部分看到“无”,则表示没有链接到流量转发配置文件的条件访问策略。 若要创建条件访问策略,请参阅通过全球安全访问的通用条件访问。
编辑现有条件访问策略
如果流量转发配置文件具有链接的条件访问策略,则可以查看和编辑该策略。
选择链接的条件访问策略的“视图”链接。
从列表中选择一项策略。 策略的详细信息在条件访问中打开。
Microsoft 365 远程网络分配
可以将流量配置文件分配给远程网络,以便将网络流量转发到全局安全访问,而无需在最终用户设备上安装客户端。 只要设备位于客户本地设备 (CPE) 后面,就不需要客户端。 必须先创建远程网络,然后才能将其添加到配置文件。 有关详细信息,请参阅如何创建远程网络。
将远程网络分配到 Microsoft 365 配置文件:
- 以全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“全局安全访问(预览版)”>“连接”>“流量转发”。
- 从“移除网络分配”部分中,选择配置文件的“查看”链接。
- 从列表中选择一个远程网络,然后选择“添加”。
用户和组分配
你可以将 Microsoft 365 配置文件的作用域设定为特定用户和组,而不是将流量配置文件应用于所有用户。 若要详细了解用户和组分配,请参阅如何使用流量转发配置文件分配和管理用户和组。
使用条款
使用 Microsoft Entra Private Access 和 Microsoft Entra Internet Access 预览版体验和功能时,需受到所享受的服务相应的预览版联机服务条款和条件协议的约束。 预览版可能减少或遵循不同的安全性、合规性和隐私承诺,详见联机服务的通用许可条款和 Microsoft 产品和服务数据保护附录(“DPA”),以及随预览版一起提供的任何其他通知。
后续步骤
Microsoft Entra Internet 访问入门的下一步是在最终用户设备上安装和配置全局安全访问客户端
有关流量转发的详细信息,请参阅以下文章:
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈