通过

如何启用和管理 Microsoft 流量转发配置文件

  • 项目

启用 Microsoft 配置文件后,Microsoft Entra Internet 访问获取流向 Microsoft 服务的流量。 Microsoft 配置文件管理以下策略组

  • Exchange Online
  • SharePoint Online 和 Microsoft OneDrive。
  • Microsoft 365 Common 和 Office Online

先决条件

若要为租户启用 Microsoft 流量转发配置文件,你必须具备:

已知限制

  • 各个服务会持续添加到 Microsoft 流量配置文件中。 目前,Microsoft Entra ID、Microsoft Graph、Exchange Online 和 SharePoint Online 作为 Microsoft 流量配置文件的一部分受支持
  • 有关 Microsoft 流量配置文件的其他限制,请参阅 Windows 客户端已知限制

启用 Microsoft 流量配置文件

  1. 全球安全访问管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“全球安全访问”>“连接”>“流量转发”。

  3. 启用“Microsoft 流量配置文件”。 Microsoft 流量开始从所有客户端设备转发到 Microsoft 的安全服务 Edge (SSE) 代理,可在那里配置特定于 Microsoft 流量的高级安全功能。

    启用了 Microsoft 访问配置文件的流量转发页的屏幕截图。

Microsoft 流量策略

若要管理 Microsoft 流量转发策略中包含的详细信息,请选择“Microsoft 365 流量策略”的“视图”链接

Microsoft 访问配置文件的屏幕截图,其中突出显示了“查看应用程序”链接。

将列出策略组,并带有一个复选框来指示策略组是否已启用。 展开策略组以查看组中包含的所有 IP 和 FQDN。

Microsoft 配置文件详细信息的屏幕截图。

策略组包含以下详细信息:

  • 目标类型:FQDN 或 IP 子网
  • 目标:FQDN 或 IP 子网的详细信息
  • 端口:与 IP 地址组合构成网络终结点的 TCP 或 UDP 端口
  • 协议:TCP(传输控制协议)或 UDP(用户数据报协议)
  • 操作:转发或绕过

可以配置流量采集规则以绕过流量采集。 如果这样做,用户将仍能访问资源;但是,全局安全访问服务不会处理流量。 可以绕过流向特定 FQDN 或 IP 地址、配置文件中的整个策略组或整个 Microsoft 配置文件本身的流量。 如果只需要转发策略组中的某些 Microsoft 资源,请启用该组,然后在详细信息中相应地更改“操作”

重要

当规则设置为“绕过”时,Internet 访问流量配置文件不会获取此流量。 即使启用了 Internet 访问配置文件,绕过的流量也会跳过全局安全访问获取,使用该客户端的网络路由路径传出到 Internet。 Microsoft 流量配置文件中可用于获取的流量只能在 Microsoft 流量配置文件中获取。

以下示例演示如何将 *.sharepoint.com FQDN 设置为“绕过”,以便不会将流量转发到该服务。

操作下拉菜单的屏幕截图。

如果全局安全访问客户端无法连接到服务(例如由于授权或条件访问失败),则服务将绕过流量。 流量是直接和本地发送的,而不是被阻止。 在此场景中,可以为合规网络检查创建条件访问策略,以便在客户端无法连接到服务时阻止流量。

链接的条件访问策略

条件访问策略将创建并应用于 Microsoft Entra ID 的条件访问区域中的流量转发配置文件。 例如,你可以创建策略来要求用户在为 Microsoft 流量配置文件中的服务建立网络连接时使用合规设备。

如果在链接的条件访问策略部分看到“无”,则表示没有链接到流量转发配置文件的条件访问策略。 若要创建条件访问策略,请参阅通过全球安全访问的通用条件访问

编辑现有条件访问策略

如果流量转发配置文件具有链接的条件访问策略,则可以查看和编辑该策略。

  1. 选择链接的条件访问策略的“视图”链接。

    突出显示了条件访问链接的流量转发的屏幕截图。

  2. 从列表中选择一项策略。 策略的详细信息在条件访问中打开。

    应用的条件访问策略的屏幕截图。

Microsoft 流量配置文件远程网络分配

可以将流量配置文件分配给远程网络,以便将网络流量转发到全局安全访问,而无需在最终用户设备上安装客户端。 只要设备位于客户本地设备 (CPE) 后面,就不需要客户端。 必须先创建远程网络,然后才能将其添加到配置文件。 有关详细信息,请参阅如何创建远程网络

要将远程网络分配到 Microsoft 配置文件,请执行以下操作

  1. 全球安全访问管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“全球安全访问”>“连接”>“流量转发”。
  3. 从“移除网络分配”部分中,选择配置文件的“查看”链接。
  4. 从列表中选择一个远程网络,然后选择“添加”。

用户和组分配

你可以将 Microsoft 配置文件的作用域设定为特定用户和组,而不是将流量配置文件应用于所有用户。 若要详细了解用户和组分配,请参阅如何使用流量转发配置文件分配和管理用户和组

后续步骤

Microsoft 流量配置文件入门的下一步是在最终用户设备上安装和配置全局安全访问客户端

有关流量转发的详细信息,请参阅以下文章: