Microsoft全局安全访问概念证明指南：配置 Microsoft Entra Internet Access

本系列文章中的概念证明（PoC）指南可帮助你通过 Microsoft Entra Internet Access、Microsoft Entra Private Access 和 Microsoft 流量配置文件来了解、部署和测试 Microsoft Global Secure Access。

详细指南从Microsoft 全局安全访问概念验证指南的简介开始，继续通过配置 Microsoft Entra Private Access，并在本文结尾。

本文可帮助你配置 Microsoft Entra Internet Access 以充当安全的 Web 网关。 此解决方案允许你配置用于筛选 Web 内容的策略，以允许或阻止 Internet 流量。 然后，可以将这些策略分组到安全配置文件中，并通过条件访问策略将其应用于用户。

注释

按 优先级顺序应用规则和策略。 有关详细指导，请参阅 策略处理逻辑。

配置 Microsoft Entra 互联网访问

若要配置 Microsoft Entra Internet Access，请参阅 如何配置全局安全访问 Web 内容筛选。 它提供执行这些高级步骤的指导：

1. 启用 Internet 流量转发。
2. 创建用于筛选 Web 内容的策略。
3. 创建安全配置文件。
4. 将安全配置文件链接到条件访问策略。
5. 将用户或组分配到流量转发配置文件中。

配置用例

配置和测试 Microsoft Entra Internet Access 用例时，请使用 Web 内容筛选策略、安全配置文件和条件访问策略。 以下各节提供了具体指导的实例用例。

创建适用于通过服务路由的所有 Internet 流量的基线配置文件

执行以下步骤，使用 基线配置文件 来帮助保护环境中的所有流量，而无需应用条件访问策略：

1. 创建一个策略，用于筛选 Web 内容 ，其中包括允许或阻止用户群中完全限定的域名（FQDN）或 Web 类别的规则。 例如，创建阻止 社交网络 类别以阻止所有社交媒体网站的规则。

2. 将筛选 Web 内容的策略链接到 基线配置文件。 在 Microsoft Entra 管理中心，转到全局安全访问>安全>安全配置文件>基线配置文件。

3. 登录到测试设备并尝试访问被阻止的站点。

4. 查看 流量日志 中的活动，确认目标 FQDN 的条目显示为已阻止。 如有必要，请使用 添加筛选器 来筛选测试用户 用户主体名称 的结果。

基于类别阻止组访问网站

1. 创建用于筛选包含阻止 Web 类别的规则的 Web 内容的策略 。 例如，创建阻止 社交网络 类别以阻止所有社交媒体网站的规则。

2. 创建安全配置文件 来对策略进行分组和设置优先级。 将筛选 Web 内容的策略链接到此配置文件。

3. 创建 条件访问策略 以向用户应用安全配置文件。

4. 登录到测试设备，并尝试访问阻止的站点。 你应该会看到针对网站的 DeniedTraffichttp，并且无法访问网站的此页面通知https。 新分配的策略可能需要长达 90 分钟才能生效。 更改现有策略可能需要长达 20 分钟才能生效。

5. 查看 流量日志 中的活动，确认目标 FQDN 的条目显示为已阻止。 如有必要，请使用 添加筛选器 来筛选测试用户 用户主体名称 的结果。

基于 FQDN 阻止组访问网站

1. 创建用于筛选 Web 内容的策略 ，其中包含阻止 FQDN（而不是 URL）的规则。

2. 创建安全配置文件 来对策略进行分组和设置优先级。 将筛选 Web 内容的策略链接到此配置文件。

3. 创建 条件访问策略 以向用户应用安全配置文件。

4. 登录到测试设备，请尝试访问被屏蔽的 FQDN。 你应该会看到针对网站的 DeniedTraffichttp，并且无法访问网站的此页面通知https。 新分配的策略可能需要长达 90 分钟才能生效。 更改现有策略可能需要长达 20 分钟才能生效。

5. 查看 流量日志 中的活动，确认目标 FQDN 的条目显示为已阻止。 如有必要，请使用 添加筛选器 来筛选测试用户 用户主体名称 的结果。

允许用户访问阻止的网站

1. 创建一个用于筛选 Web 内容的策略，其中包含允许 FQDN 的规则。

2. 创建一个安全配置文件 来对策略进行分组和设置优先级，以便筛选 Web 内容。 请将此允许的配置文件设定为比阻止的配置文件更高的优先级。 例如，如果阻止的配置文件设置为优先级 500，请将允许的配置文件设置为 400。

3. 创建 条件访问策略 ，将安全配置文件应用于需要访问受阻止 FQDN 的用户。

4. 登录到测试设备并尝试访问允许的 FQDN。 新分配的策略可能需要长达 90 分钟才能生效。 更改现有策略可能需要长达 20 分钟才能生效。

5. 查看 流量日志 中的活动，确认目标 FQDN 的条目显示为允许。 如有必要，请使用 添加筛选器 来筛选测试用户 用户主体名称 的结果。

启用和管理 Microsoft 流量转发配置文件

Microsoft Entra Internet Access 的主要功能是有助于保护Microsoft流量。 可以快速部署自动配置的 Microsoft流量配置文件 ，其中包括流量转发规则。 使用这些规则来帮助保护和监视Microsoft流量（例如 SharePoint Online 和 Exchange Online），以及与 Microsoft Entra ID 集成的任何应用程序的身份验证流量。 存在 已知限制。

1. 启用 Microsoft 流量配置文件。

2. 将用户和组分配到个人资料。

3. 如果需要，请配置条件访问策略以强制实施合规的网络检查。

4. 登录到测试设备，并尝试访问 SharePoint Online 和 Exchange Online。

5. 查看 流量日志 中的活动，以确认已启用全局安全访问。 在登录日志中验证 通过全局安全访问 是否显示为 是。

实现通用租户限制

使用通用租户限制 ，可以在公司管理的设备和网络上通过非托管标识来控制对外部租户的访问。 可以通过阻止或允许流向外部租户的所有流量，通过 Entra ID 租户限制来强制实施此限制。

此方案通常需要通过企业网络代理发送所有流量。 借助通用租户限制，组织可以将租户限制策略应用于具有全局安全访问客户端的任何设备上的用户，而无需实现 VPN 并通过特定代理发送流量，从而减少网络延迟。

启用 Microsoft 流量配置文件后，请按照以下步骤执行通用租户限制：

1. 设置租户限制 v2。 如果组织当前使用租户限制 v1，请查看 迁移到租户限制 v2 的指南。

2. 为租户限制启用全局安全访问信号。

3. 登录到测试设备并使用专用浏览器窗口登录到受不同租户中 Entra ID 保护的任何应用程序，并使用该租户的成员帐户凭据。

4. 验证通用租户限制。

故障排除

如果 PoC 出现问题，这些文章可帮助你进行故障排除、日志记录和监视：

• 全局安全访问常见问题解答
• 排查安装 Microsoft Entra 专用网络连接器 的问题
• 全局安全访问客户端疑难解答：诊断
• 全局安全访问客户端疑难解答：运行状况检查选项卡
• 解决与全局安全访问相关的分布式文件系统问题
• 全局安全访问日志和监控
• 如何将工作簿与全局安全访问 配合使用

相关内容

• Microsoft 全局安全访问概念证明指南简介
• 配置 Microsoft Entra Private Access
• Microsoft 全局安全访问部署指南 简介
• 关于 Microsoft Entra 专用访问的 Microsoft 全球安全访问部署指南
• Microsoft Entra Internet Access 全局安全访问部署指南
• Microsoft 流量的全球安全访问部署指南