通过

了解 Microsoft 和 Palo Alto Networks 的安全服务边缘 (SSE) 共存

Microsoft和 Palo Alto Networks SSE 解决方案可在统一环境中一起使用。 将两者结合使用时,可以利用两个平台的强大功能来提升 SASE 之旅。 这些平台之间的协同作用可增强安全性并提供无缝连接。

本文档包含跨多个不同访问方案并行部署这些解决方案的步骤。

  1. 通过使用 Palo Alto Prisma Access 的 Microsoft Entra Private Access 实现安全的互联网访问

在此方案中,全局安全访问将处理专用应用程序流量。 Prisma Access 将仅捕获 Internet 流量。

  1. Microsoft Entra Private Access 与 Palo Alto Prisma Access 一起用于专用应用程序和互联网访问

在此方案中,两个客户端将处理单独的专用应用程序的流量。 Microsoft Entra Private Access 中的专用应用程序将由全局安全访问处理,而 Prisma Access 服务连接或 ZTNA 连接器中的专用应用程序将通过 GlobalProtect 客户端访问。 Internet 流量将由 Prisma Access 处理。

  1. 使用 Palo Alto Prisma Access 进行专用应用程序和 Internet 访问的 Microsoft Entra Microsoft Access

在此方案中,全局安全访问将处理所有Microsoft 365 流量。 Prisma Access 将通过服务连接或 ZTNA 连接器处理专用应用程序。 Internet 流量将由 Prisma Access 处理。

  1. Microsoft Entra Internet 访问 和 Microsoft Entra 访问 与 Palo Alto Prisma Access 用于私有应用访问

在此方案中,全局安全访问将处理 Internet 和Microsoft 365 流量。 Prisma Access 仅通过服务连接或 ZTNA 连接器捕获专用应用程序流量。

注释

以下配置已针对 Palo Alto Prisma Access 进行了测试,并使用 Strata Cloud Manager 进行管理。 专用应用程序访问已通过服务连接和 ZTNA 连接器进行测试。 与 Prisma Access 服务的连接由 GlobalProtect 提供,并使用 SSL 和 IPsec VPN 配置进行测试。

先决条件

若要为统一的 SASE 解决方案配置 Microsoft 和 Palo Alto Prisma Access,请首先设置 Microsoft Entra Internet Access 和 Microsoft Entra Private Access。 接下来,通过服务连接或 ZTNA 连接器为 Prisma Access 配置专用应用程序访问。 最后,请确保建立所需的 FQDN 和 IP 绕过,以确保两个平台之间的顺利集成。

  • 设置Microsoft Entra Internet 访问和Microsoft Entra Private Access。 这些产品构成了全局安全访问解决方案。
  • 为专有访问和互联网访问设置 Palo Alto Prisma Access
  • 配置全局安全访问 FQDN 和 IP 绕过

Microsoft全局安全访问

若要设置全局安全访问并测试本文档中的所有方案,需要执行以下作。

  • 为 Microsoft Entra 租户启用和禁用不同的全局安全访问流量转发配置文件。 有关启用和禁用配置文件的更多信息,请参阅全局安全访问流量转发配置文件

  • 安装和配置 Microsoft Entra 专用网络连接器。 有关如何安装和配置连接器的信息,请参阅 如何配置连接器

注释

Microsoft Entra Private Access 应用程序需要专用网络连接器。

Palo Alto Prisma Access

若要将 Palo Alto Prisma Access 与 Microsoft Global Secure Access 集成,请确保完成以下先决条件。 这些步骤可确保顺利集成、更好的流量管理和改进的安全性。

  • 为 Prisma 访问设置服务连接或 ZTNA 连接器,以允许访问专用应用程序。 若要了解如何设置服务连接,请参阅 Palo Alto 文档,了解如何配置服务连接。 有关 ZTNA 连接器的信息,请参阅 Palo Alto 文档,了解如何配置 ZTNA 连接器
  • 为移动用户设置 GlobalProtect,以允许远程访问专用应用程序。 有关详细信息,请参阅 GlobalProtect 设置的文档。
  • 配置 GlobalProtect 隧道设置和应用设置,确保其与 Microsoft Entra Private DNS 配合使用,并绕过 Microsoft Entra 服务的完全限定域名(FQDN)和互联网协议(IP)地址。

隧道设置:

  1. Strata Cloud Manager 门户中,转到 工作流>Prisma 访问设置>GlobalProtect>GlobalProtect 应用>隧道设置
  2. 在“拆分隧道”部分中,通过添加域和路由来排除流量:*.globalsecureaccess.microsoft.com150.171.19.0/24150.171.20.0/2413.107.232.0/2413.107.233.0/24150.171.15.0/24150.171.18.0/24151.206.0.0/166.6.0.0/16

应用设置:

  1. Strata Cloud Manager 门户中,转到 工作流>Prisma Access 设置>GlobalProtect>GlobalProtect 应用程序>应用程序设置
  2. 滚动到应用配置>显示高级选项>DNS然后取消选中使用隧道分配的 DNS 服务器(仅限 Windows)解析所有 FQDN”的框

    注释

    使用 Microsoft Entra Private DNS(配置 1 和 2)时,应禁用“通过隧道分配的 DNS 服务器解析所有 FQDN(仅限 Windows)”设置。 在测试期间,此设置对配置 3 和 4 已启用(勾选)。

  3. 导航到“工作流”>“Prisma 访问设置”>“GlobalProtect”>“GlobalProtect 应用”。 选择推送配置,然后在屏幕右上角选择推送
  4. 验证推送到 GlobalProtect 客户端的配置。 导航到“管理”“操作”>“推送状态”。>
  5. 安装 Palo Alto Networks GlobalProtect 客户端。 有关安装 Palo Alto Networks GlobalProtect 客户端的详细信息,有关 Windows 的信息,请参阅 适用于 Windows 的 GlobalProtect 应用。 有关 macOS,请参阅 GlobalProtect App for macOS。 若要设置 GlobalProtect 客户端,您有很多选项,例如将 Microsoft Entra ID 集成用于创建您的账户。 有关这些选项的详细信息,请参阅 Microsoft Entra 单一登录 (SSO) 与 Palo Alto Networks - GlobalProtect 的集成。 对于最基本的设置,请从 Palo Alto Networks 的 Strata Cloud Manager 将本地用户添加到 GlobalProtect。
  6. 浏览到“管理”>“配置”>“NGFW 和 Prisma 访问”。
  7. 选择 “配置范围>GlobalProtect ”,然后选择“ 标识服务>本地用户和组>本地用户”。 添加用于测试的用户和密码。
  8. 安装客户端后,用户需要输入门户地址及其凭据。
  9. 当用户登录后,连接图标将变为蓝色,单击会显示它处于已连接状态。

    注释

    在配置 4 中,如果使用本地用户与 GlobalProtect 连接时遇到问题,请尝试设置 Microsoft Entra SSO。

使用 Microsoft Entra Private Access 和 Palo Alto Prisma Access 实现安全的互联网访问

在此方案中,全局安全访问将处理专用应用程序流量。 Prisma Access 将仅捕获 Internet 流量。

Microsoft Entra Private Access 配置

对于此情况,需要执行以下任务。

Palo Alto Prisma 访问配置

对于此方案,需要在 Palo Alto Strata Cloud Manager 门户中执行以下操作。

在客户端并排安装和运行以及管理门户的配置完成后,请转到系统托盘,检查是否已启用 Global Secure Access 和 GlobalProtect 客户端。

验证全球安全访问客户端的配置。

  1. 右键单击 全局安全访问客户端 > 高级诊断 > 转发配置文件 ,并验证专用访问和专用 DNS 规则是否应用于此客户端。
  2. 导航到 高级诊断 > 运行状况检查 并确保没有检查失败。

注释

有关排查运行状况检查失败的信息,请参阅 “全局安全访问客户端故障排除:运行状况检查 - 全局安全访问 ” |Microsoft Learn

测试流量流

  1. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 选择“流量”选项卡,然后选择“开始收集”。
  2. 从浏览器访问以下网站:salesforce.comInstagram.comyelp.com
  3. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”>“流量”选项卡。
  4. 滚动查看全局安全访问客户端 捕获来自这些网站的流量
  5. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。 验证全球安全访问流量日志中是否缺少与这些站点相关的流量。
  6. 登录到 Palo Alto Networks 的 Strata Cloud Manager 并浏览到“事件和警报”>“日志查看器”。
  7. 验证与这些站点相关的流量 是否存在于 Prisma Access 日志中。
  8. 访问在 Microsoft Entra Private Access 中设置的专用应用程序。 例如,通过服务器消息块(SMB)访问文件共享。
  9. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。
  10. 验证与文件共享相关的流量 是否已 捕获到全局安全访问流量日志中。
  11. 登录到 Palo Alto Networks 的 Strata Cloud Manager 并浏览到“事件和警报”>“日志查看器”。 验证日志中不存在与专用应用程序相关的流量。
  12. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 在“流量”对话框中,选择“停止收集”。
  13. 滚动以确认全局安全访问客户端仅处理专用应用程序流量。

Microsoft Entra Private Access 和 Palo Alto Prisma Access 用于专用应用程序和互联网访问

在此方案中,两个客户端将处理单独的专用应用程序的流量。 Microsoft Entra Private Access 中的专用应用程序将由全局安全访问处理,而 Prisma Access 服务连接或 ZTNA 连接器中的专用应用程序将通过 GlobalProtect 客户端访问。 Internet 流量将由 Prisma Access 处理。

Microsoft Entra Private Access 配置

对于此方案,需要:

Palo Alto Networks 配置

对于此方案,需要在 Palo Alto Strata Cloud Manager 门户中执行以下操作。

在客户端并排安装和运行以及管理门户的配置完成后,请转到系统托盘,检查是否已启用 Global Secure Access 和 GlobalProtect 客户端。

验证全球安全访问客户端的配置。

  1. 右键单击 全局安全访问客户端 > 高级诊断 > 转发配置文件 ,并验证专用访问和专用 DNS 规则是否应用于此客户端。
  2. 导航到 高级诊断 > 运行状况检查 并确保没有检查失败。

注释

有关排查运行状况检查失败的信息,请参阅 “全局安全访问客户端故障排除:运行状况检查 - 全局安全访问 ” |Microsoft Learn

测试流量流

  1. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 选择“流量”选项卡,然后选择“开始收集”。
  2. 从浏览器访问以下网站:salesforce.comInstagram.comyelp.com
  3. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”>“流量”选项卡。
  4. 滚动查看全局安全访问客户端 未能 捕获来自这些网站的流量。
  5. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。 验证全球安全访问流量日志中是否缺少与这些站点相关的流量。
  6. 登录到 Palo Alto Networks 的 Strata Cloud Manager 并浏览到“事件和警报”>“日志查看器”。
  7. 验证与这些站点相关的流量 是否存在于 Prisma Access 日志中。
  8. 访问在 Microsoft Entra Private Access 中设置的专用应用程序。 例如,通过服务器消息块(SMB)访问文件共享。
  9. 通过服务连接或 ZTNA 连接器访问 Prisma Access 中设置的专用应用程序。 例如,向专用服务器打开 RDP 会话。
  10. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。
  11. 验证与 SMB 文件共享专用应用相关的流量是否已被捕获,并确认与 RDP 会话相关的流量没有被记录在全局安全访问流量日志中。
  12. 登录到 Palo Alto Networks 的 Strata Cloud Manager 并浏览到“事件和警报”>“日志查看器”。 验证与专用 RDP 会话相关的流量 是否存在 ,并且与 SMB 文件共享相关的流量 不在 日志中。
  13. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 在“网络流量”对话框中,选择“停止收集”。
  14. 滚动以确认全局安全访问客户端处理了 SMB 文件共享的专用应用程序流量,并且未处理 RDP 会话流量。

使用 Palo Alto Prisma Access 进行专用应用程序和 Internet 访问的 Microsoft Entra Microsoft Access

在此方案中,全局安全访问将处理所有Microsoft 365 流量。 Prisma Access 将通过服务连接或 ZTNA 连接器和 Internet 流量处理专用应用程序。

Microsoft Entra Microsoft Access 配置

对于此方案,需要:

Palo Alto Networks 配置

对于此方案,需要在 Palo Alto Strata Cloud Manager 门户中执行以下操作。

注释

对于此配置,请在应用设置中 启用使用隧道(仅限 Windows)分配的 DNS 服务器解析所有 FQDN

在客户端并排安装和运行以及管理门户的配置完成后,请转到系统托盘,检查是否已启用 Global Secure Access 和 GlobalProtect 客户端。

验证全球安全访问客户端的配置。

  1. 右键单击 全局安全访问客户端 > 高级诊断 > 转发配置文件 ,并验证Microsoft 365 规则是否已应用于此客户端。
  2. 导航到 高级诊断 > 运行状况检查 并确保所有检查均通过。

注释

有关排查运行状况检查失败的信息,请参阅 “全局安全访问客户端故障排除:运行状况检查 - 全局安全访问 ” |Microsoft Learn

测试流量流

  1. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 选择“流量”选项卡,然后选择“开始收集”。
  2. 从浏览器访问以下网站:salesforce.comInstagram.comyelp.com
  3. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”>“流量”选项卡。
  4. 滚动查看全局安全访问客户端 未能 捕获来自这些网站的流量。
  5. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。 验证全球安全访问流量日志中是否缺少与这些站点相关的流量。
  6. 登录到 Palo Alto Networks 的 Strata Cloud Manager 并浏览到“事件和警报”>“日志查看器”。
  7. 验证与这些站点相关的流量 是否存在于 Prisma Access 日志中。
  8. 通过服务连接或 ZTNA 连接器访问 Prisma Access 中设置的专用应用程序。 例如,向专用服务器打开 RDP 会话。
  9. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。
  10. 验证 RDP 会话相关的流量是否不在全局安全访问流量日志中。
  11. 登录到 Palo Alto Networks 的 Strata Cloud Manager 并浏览到“事件和警报”>“日志查看器”。 验证与 RDP 会话相关的流量是否存在于 Prisma 访问日志中。
  12. 访问 Outlook Online(outlook.comoutlook.office.comoutlook.office365.com)、SharePoint Online (<yourtenantdomain>.sharepoint.com)。
  13. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 在“流量”对话框中,选择“停止收集”。
  14. 滚动以确认全局安全访问客户端仅处理Microsoft 365 流量。
  15. 还可以验证流量是否被捕获到全球安全访问流量日志中。 在 Microsoft Entra 管理中心,导航到“全球安全访问”>“监视”>“流量日志”。
  16. 验证 Outlook Online 和 SharePoint Online 相关流量缺失于 Strata Cloud Manager Incidents & Alerts>Log Viewer 中的 Prisma Access 日志。

Microsoft Entra 网络访问和 Microsoft Entra Access 与用于私人应用访问的 Palo Alto Prisma Access

在此方案中,全局安全访问将处理 Internet 和 Microsoft 流量。 Prisma Access 仅通过服务连接或 ZTNA 连接器捕获专用应用程序流量。

Microsoft Entra Internet 和 Microsoft Access 配置

对于此情况,需要执行以下任务。

在全局安全访问中添加 Prisma Access 的自定义绕过:

  1. 登录到 Microsoft Entra 管理中心,并浏览到全局安全访问>连接>流量转发>Internet 访问配置文件>。在Internet 访问策略>下选择“查看”。
  2. 展开 自定义绕过> 选择 添加规则
  3. 保留目标类型 FQDN 并在 “目标 ”中输入 *.gpcloudservice.com
  4. 选择“保存”。

Palo Alto Networks 配置

对于此方案,需要在 Palo Alto Strata Cloud Manager 门户中执行以下操作。

注释

对于此配置,请在应用设置中 启用使用隧道(仅限 Windows)分配的 DNS 服务器解析所有 FQDN

在客户端并排安装和运行以及管理门户的配置完成后,请转到系统托盘,检查是否已启用 Global Secure Access 和 GlobalProtect 客户端。

验证全球安全访问客户端的配置。

  1. 右键单击 全局安全访问客户端 > 高级诊断 > 转发配置文件 ,并验证Microsoft 365 和 Internet 访问规则是否已应用于此客户端。
  2. 导航至 高级诊断> 运行状况检查,确保所有检查均未失败。

注释

有关排查运行状况检查失败的信息,请参阅 “全局安全访问客户端故障排除:运行状况检查 - 全局安全访问 ” |Microsoft Learn

测试流量流

  1. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 选择“流量”选项卡,然后选择“开始收集”。
  2. 从浏览器访问这些网站:bing.com、、salesforce.comInstagram.comOutlook Online(outlook.com、、outlook.office.comoutlook.office365.com、SharePoint Online)。<yourtenantdomain>.sharepoint.com
  3. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。 验证全球安全访问流量日志中是否会捕获与这些站点相关的流量。
  4. 通过服务连接或 ZTNA 连接器访问 Prisma Access 中设置的专用应用程序。 例如,向专用服务器打开 RDP 会话。
  5. 登录到 Palo Alto Networks 的 Strata Cloud Manager 并浏览到“事件和警报”>“日志查看器”。 验证与 RDP 会话相关的流量是否存在,并且与 Microsoft 365 和 Internet 流量相关的流量(例如 Instagram.com,Outlook Online 和 SharePoint Online)在 Prisma Access 日志中缺失。
  6. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 在“网络流量”对话框中,选择“停止收集”。
  7. 滚动查看全球安全访问客户端是否不捕获来自专用应用程序的流量。 此外,请注意全球安全访问客户端正在捕获 Microsoft 365 的流量和其他 Internet 流量。

后续步骤

- 什么是 Global Secure Access?

  • Last updated on