通过

安全服务边缘(SSE)与 Microsoft 和 Cisco Umbrella DNS 保护共存

了解如何在统一环境中部署仅限 DNS 安全性的全局安全访问和 Cisco Umbrella。 本指南提供了有关配置这两个平台以增强安全性和连接的分步说明,作为安全访问服务 Edge (SASE) 策略的一部分。 概述的配置适用于 Cisco Umbrella 和 Cisco Secure Access。 提供了配置每个门户的详细说明。

注释

这些方案仅提供 DNS 安全性。 如果要包括 Cisco 的安全 Web 网关,请参阅 Cisco Secure Access 指南中的共存配置。

Scenarios

本指南介绍以下共存方案:

  1. Microsoft Entra Internet Access 和 Microsoft Entra Microsoft Access 配合 Cisco Umbrella DNS 安全 在此方案中,全局安全访问负责处理 Internet 和 Microsoft 流量。 Cisco Umbrella 提供 DNS 安全性。 应禁用 Cisco Secure Web Gateway 功能。
  2. Microsoft Entra Internet Access、Microsoft Access 和 Microsoft Entra Private Access 与 Cisco Umbrella DNS 安全性结合使用。 在此方案中,Global Secure Access 负责处理 Internet、Microsoft 和专用访问流量。 Cisco Umbrella 处理 DNS。 应禁用 Cisco Secure Web Gateway。

先决条件

  1. 必须对这些配置禁用 Cisco SWG 功能。
  2. 建议与 Microsoft Entra ID 集成,以获得最佳用户体验。

全局安全访问设置

配置全局安全访问:

  1. 启用或禁用Microsoft Entra 租户的流量转发配置文件
    请参阅 全局安全访问流量转发配置文件
  2. 安装和配置专用访问应用程序的 Microsoft Entra 专用网络连接器
    请参阅 如何配置连接器
  3. 配置对专用资源的快速访问并设置专用 DNS 和 DNS 后缀。
    请参阅 如何配置快速访问
  4. 在最终用户设备上安装和配置 Global Secure Access 客户端
    请参阅 全局安全访问客户端

注释

专用访问应用程序需要专用网络连接器。

Cisco Umbrella 设置

配置 Cisco Umbrella:

  1. 配置用户和组。
    建议与 Microsoft Entra ID 集成。 请参阅 umbrellaCisco Secure Access Microsoft Entra ID SAML 配置指南。
  2. 创建策略以阻止目标或内容进行测试。 有关详细信息,请参阅 Umbrella 策略Cisco Secure Access Internet Access Rules 文档
  3. 部署并安装 Cisco Secure Client。

重要

Cisco 发布了一项 Cisco Secure Client (CSC) 功能,可改善与全局安全访问的共存。 这些步骤需要在初始安装后执行,或重新安装(在升级时不需要再次运行),CSC 版本 5.1.10.x(或更高版本)。

  1. 安装 Cisco Secure Client 版本 5.1.10.x。
  2. 以管理员身份打开 CMD 提示符并运行以下命令:
  3. "%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -slwm 10
  4. net stop csc_vpnagent && net stop acsock && net start csc_vpnagent

绕过共存配置

在全局安全访问中绕过 Umbrella/Cisco Secure Access 需要的 IP 地址

  1. 在 Microsoft Entra 管理中心,转到 全局安全访问 > 连接 > 流量转发 > Internet 访问配置文件
  2. Internet 访问策略下,选择“ 查看”。
  3. 展开 “自定义绕过 ”,然后选择“ 添加规则”。
  4. 输入以下 IP: 208.67.222.222, 208.67.220.220, 67.215.64.0/19, 146.112.0.0/16, 155.190.0.0/16, 185.60.84.0/22, 204.194.232.0/21, 208.67.216.0/21, 208.69.32.0/21
  5. 选择“保存”

绕过 Umbrella/Cisco Secure Access 中的全球安全访问 IP 和 FQDN

  1. 将域后缀和Microsoft Entra 服务 FQDN 添加到 部署 > 配置 > 域管理 > 内部域 列表: *.globalsecureaccess.microsoft.com

    注释

    Cisco Umbrella 支持隐式通配符,因此可以使用 globalsecureaccess.microsoft.com

  2. 添加以下 Microsoft FQDN(仅当启用了 Microsoft 流量转发配置文件时才需要):auth.microsoft.com, msftidentity.com, msidentity.com, onmicrosoft.com, outlook.com, protection.outlook.com, sharepoint.com, sharepointonline.com, svc.ms, wns.windows.com, account.activedirectory.windowsazure.com, accounts.accesscontrol.windows.net, admin.onedrive.com, adminwebservice.microsoftonline.com, api.passwordreset.microsoftonline.com, autologon.microsoftazuread-sso.com, becws.microsoftonline.com, ccs.login.microsoftonline.com, clientconfig.microsoftonline-p.net, companymanager.microsoftonline.com, device.login.microsoftonline.com, g.live.com, graph.microsoft.com, graph.windows.net, login-us.microsoftonline.com, login.microsoft.com, login.microsoftonline-p.com, login.microsoftonline.com, login.windows.net, logincert.microsoftonline.com, loginex.microsoftonline.com, nexus.microsoftonline-p.com, officeclient.microsoft.com, oneclient.sfx.ms, outlook.cloud.microsoft, outlook.office.com, outlook.office365.com, passwordreset.microsoftonline.com, provisioningapi.microsoftonline.com, spoprod-a.akamaihd.net
  3. 添加快速访问 FQDN(仅当将专用访问与快速访问配合使用时才需要)。 <quickaccessapplicationid>.globalsecureaccess.local

注释

替换为 <quickaccessapplicationid> 快速访问应用的应用程序 ID。 4. 在您的专用 DNS 或企业应用段中添加定义的 DNS 后缀(仅在启用专用访问流量转发配置时才需要)。 例如,如果专用 DNS 后缀是 contoso.local 且你拥有专用应用 contoso.com,请添加这两个后缀。 5.重启 Cisco Umbrella 客户端服务或重启安装了客户端的计算机。

  • Last updated on