通过

了解 Microsoft 和 Zscaler 的安全服务边缘 (SSE) 共存

在当今快速发展的数字格局中,组织需要可靠且统一的解决方案,以确保安全无缝的连接。 Microsoft和 Zscaler 提供互补的安全访问服务 Edge (SASE) 功能,在集成后,为各种访问方案提供增强的安全性和连接性。

本指南概述了如何配置和部署 Microsoft Entra 解决方案以及 Zscaler 的安全服务 Edge (SSE) 产品/服务。 通过使用这两个平台的优势,你可以优化组织的安全状况,同时保持专用应用程序的高性能连接、Microsoft 365 流量和 Internet 访问。

  1. Microsoft Entra Private Access与Zscaler Internet Access

    在此方案中,全局安全访问处理专用应用程序流量。 Zscaler 仅捕获 Internet 流量。 因此,Zscaler Private Access 模块已从 Zscaler 门户禁用。

  2. Microsoft Entra Private Access 与 Zscaler Private Access 和 Zscaler Internet Access

    在此方案中,两个客户端处理单独的专用应用程序的流量。 全局安全访问处理 Microsoft Entra Private Access 中的专用应用程序。 Zscaler 中的专用应用程序使用 Zscaler Private Access 模块。 Zscaler Internet Access 处理 Internet 流量。

  3. Microsoft Entra 和 Microsoft Access 与 Zscaler Private Access 和 Zscaler Internet Access 集成使用

    在此方案中,全局安全访问处理所有Microsoft 365 流量。 Zscaler Private Access 处理专用应用程序流量,Zscaler Internet Access 处理 Internet 流量。

  4. 使用 Zscaler Private Access 的 Microsoft Entra Internet Access 和 Microsoft Entra Access

    在此方案中,全局安全访问处理 Internet 和 Microsoft 365 流量。 Zscaler 仅捕获专用应用程序流量。 因此,Zscaler Internet Access 模块已从 Zscaler 门户禁用。

先决条件

若要为统一的 SASE 解决方案配置 Microsoft 和 Zscaler,请首先设置 Microsoft Entra Internet Access 和 Microsoft Entra Private Access。 接下来,配置 Zscaler Private Access 和 Zscaler Internet Access。 最后,请确保建立所需的 FQDN 和 IP 绕过,以确保两个平台之间的顺利集成。

  • 设置Microsoft Entra Internet 访问和Microsoft Entra Private Access。 这些产品构成了全局安全访问解决方案。
  • 设置 Zscaler Private Access 和 Internet Access 访问权限
  • 配置全局安全访问 FQDN 和 IP 绕过

Microsoft全局安全访问

若要设置Microsoft Entra Global Secure Access 并测试本文档中的所有方案:

Zscaler 私有访问和互联网访问

若要将 Zscaler Private Access 和 Zscaler Internet Access 与 Microsoft Global Secure Access 集成,请确保完成以下先决条件。 这些步骤可确保顺利集成、更好的流量管理和改进的安全性。

全局安全访问服务绕过 FQDN 和 IP

将 Zscaler 客户端连接器应用配置文件配置为使用 Microsoft Entra 服务完全限定的域名(FQDN)和 Internet 协议(IP)地址。

每个方案的应用配置文件中都需要提供这些条目:

  • IP:150.171.15.0/24、、150.171.18.0/24150.171.19.0/24150.171.20.0/2413.107.232.0/2413.107.233.0/24、、151.206.0.0/166.6.0.0/16
  • FQDN:internet.edgediagnostic.globalsecureaccess.microsoft.comm365.edgediagnostic.globalsecureaccess.microsoft.comprivate.edgediagnostic.globalsecureaccess.microsoft.comaps.globalsecureaccess.microsoft.comauth.edgediagnostic.globalsecureaccess.microsoft.com<tenantid>.internet.client.globalsecureaccess.microsoft.com<tenantid>.m365.client.globalsecureaccess.microsoft.com<tenantid>.private.client.globalsecureaccess.microsoft.com<tenantid>.auth.client.globalsecureaccess.microsoft.com<tenantid>.private-backup.client.globalsecureaccess.microsoft.com<tenantid>.internet-backup.client.globalsecureaccess.microsoft.com<tenantid>.m365-backup.client.globalsecureaccess.microsoft.com<tenantid>.auth-backup.client.globalsecureaccess.microsoft.com
  • 安装和配置 Zscaler 客户端连接器软件。

Microsoft Entra Private Access 与 Zscaler Internet Access

在此方案中,Microsoft Entra Private Access 处理专用应用程序流量,而 Zscaler Internet Access 管理 Internet 流量。 Zscaler Private Access 模块在 Zscaler 门户中处于禁用状态。 若要配置 Microsoft Entra Private Access,需要完成几个步骤。 首先,启用转发配置文件。 接下来,安装专用网络连接器。 之后,设置快速访问并配置专用 DNS。 最后,安装全局安全访问客户端。 对于 Zscaler Internet Access,配置涉及创建转发配置文件和应用配置文件、为 Microsoft Entra 服务添加绕过规则以及安装 Zscaler 客户端连接器。 最后,验证配置,并测试流量流,以确保通过相应的解决方案正确处理专用和 Internet 流量。

Microsoft Entra 专用访问配置

对于此方案,需要:

Zscaler Internet Access 配置

请在 Zscaler 门户中执行操作:

  • 设置和配置 Zscaler Internet Access
  • 创建转发配置文件。
  • 创建应用简介。
  • 安装 Zscaler 客户端连接器

在客户端连接器门户中添加转发配置:

  1. 导航到 Zscaler 客户端连接器管理门户>管理>转发配置文件>添加转发配置文件
  2. 添加“配置文件名称”,如 ZIA Only
  3. 隧道驱动程序类型中选择基于数据包筛选器
  4. 选择转发配置文件中的动作为 Tunnel,并选择隧道版本。 例如: Z-Tunnel 2.0
  5. 向下滚动到 ZPA 的转发配置文件操作
  6. 对于本部分中的所有选项,请选择 “无 ”。

从客户端连接器门户添加应用配置文件:

  1. 导航到 Zscaler 客户端连接器管理门户>应用配置文件>Windows(或 macOS)>添加 Windows 策略(或 macOS)。
  2. 添加“名称”,设置“规则顺序”(例如 1),选择“启用”,选择要应用此策略的“用户”,然后选择“转发配置文件”。 例如,仅选择 ZIA
  3. 向下滚动,将 全局安全访问服务 FQDN 和 IP 绕过部分中的Microsoft SSE 服务 Internet 协议(IP)地址和完全限定的域名(FQDN)添加到“VPN 网关的主机名或 IP 地址绕过”字段。

转至系统托盘,检查全球安全访问和 Zscaler 客户端是否已启用。

验证客户端的配置:

  1. 右键单击 全局安全访问客户端>高级诊断>转发配置文件 ,并验证专用访问和专用 DNS 规则是否应用于此客户端。
  2. 导航到“高级诊断”“运行状况检查”,确保所有检查均未失败。>
  3. 右键单击“Zscaler 客户端”>“打开 Zscaler”>“更多”。 验证“应用策略”是否与前面的步骤中的配置匹配。 验证它是否是最新的,或更新它。
  4. 导航到 Zscaler 客户端>Internet 安全性。 验证 服务状态 是否为 ON 身份验证状态 Authenticated
  5. 导航到“Zscaler 客户端”>“专用访问”。 验证 服务状态 是否为 DISABLED

注释

有关故障排除健康检查失败的信息,请参阅 “全球安全访问客户端诊断 - 健康检查故障排除”

测试流量流:

  1. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 选择“流量”选项卡,然后选择“开始收集”。
  2. 从浏览器访问这些网站:bing.com,,salesforce.comInstagram.com
  3. 在系统托盘中,右键单击 “全局安全访问客户端 ”,然后选择“ 高级诊断>流量 ”选项卡。
  4. 滚动查看全局安全访问客户端 未能 捕获来自这些网站的流量。
  5. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。 验证全球安全访问流量日志中是否缺少与这些站点相关的流量。
  6. 登录 Zscaler Internet 访问 (ZIA) 管理门户并浏览到“分析”“Web Insights”>“日志”>。 验证 Zscaler 日志中是否有与这些站点相关的流量。
  7. 访问在 Microsoft Entra Private Access 中设置的专用应用程序。 例如,通过服务器消息块(SMB)访问文件共享。
  8. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。
  9. 验证文件共享相关的流量是否已在全局安全访问流量日志中捕获。
  10. 登录 Zscaler Internet 访问 (ZIA) 管理门户并浏览到“分析”“Web Insights”>“日志”>。 请确认专用应用程序相关的流量未出现在仪表板或流量记录中。
  11. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 在“流量”对话框中,选择“停止收集”。
  12. 滚动以确认全局安全访问客户端仅处理专用应用程序流量。

Microsoft Entra Private Access 配合使用 Zscaler Private Access 和 Zscaler Internet Access

在此方案中,两个客户端处理单独的专用应用程序的流量。 全局安全访问处理 Microsoft Entra Private Access 中的专用应用程序。 Zscaler 中的专用应用程序使用 Zscaler Private Access 模块。 Zscaler Internet Access 处理 Internet 流量。

Microsoft Entra 专用访问配置

对于此方案,需要:

Zscaler Private Access 和 Zscaler Internet Access 配置

在 Zscaler 门户中执行步骤:

  • 设置和配置 Zscaler Internet Access 和 Zscaler Private Access。
  • 创建转发配置文件。
  • 创建应用简介。
  • 安装 Zscaler 客户端连接器。

在客户端连接器门户中添加转发配置:

  1. 导航到 Zscaler 客户端连接器管理门户>管理>转发配置文件>添加转发配置文件
  2. 添加“配置文件名称”,如 ZIA and ZPA
  3. 隧道驱动程序类型中选择基于数据包筛选器
  4. 选择转发配置文件操作为 Tunnel,并选择隧道版本。 例如,Z-Tunnel 2.0
  5. 向下滚动到 ZPA 的转发配置文件操作
  6. 在此部分的所有选项中选择“隧道”。

从客户端连接器门户添加应用配置文件:

  1. 导航到 Zscaler 客户端连接器管理门户>应用配置文件>Windows(或 macOS)>添加 Windows 策略(或 macOS)。
  2. 添加“名称”,设置“规则顺序”(例如 1),选择“启用”,选择要应用此策略的“用户”,然后选择“转发配置文件”。 例如,选择 ZIA 和 ZPA
  3. 向下滚动,将 全局安全访问服务 FQDN 和 IP 绕过部分中的Microsoft SSE 服务 Internet 协议(IP)地址和完全限定的域名(FQDN)添加到“VPN 网关的主机名或 IP 地址绕过”字段。

转至系统托盘,检查全球安全访问和 Zscaler 客户端是否已启用。

验证客户端的配置:

  1. 右键单击 全局安全访问客户端>高级诊断>转发配置文件 ,并验证专用访问和专用 DNS 规则是否应用于此客户端。
  2. 导航到“高级诊断”“运行状况检查”,确保所有检查均未失败。>
  3. 右键单击“Zscaler 客户端”>“打开 Zscaler”>“更多”。 验证“应用策略”是否与前面的步骤中的配置匹配。 验证它是否是最新的,或更新它。
  4. 导航到 Zscaler 客户端>Internet 安全性。 验证 服务状态 是否为 ON 身份验证状态 Authenticated
  5. 导航到“Zscaler 客户端”>“专用访问”。 验证 服务状态 是否为 ON 身份验证状态 Authenticated

注释

有关故障排除健康检查失败的信息,请参阅 “全球安全访问客户端诊断 - 健康检查故障排除”

测试流量流:

  1. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 选择“流量”选项卡,然后选择“开始收集”。
  2. 从浏览器访问这些网站:bing.com,,salesforce.comInstagram.com
  3. 在系统托盘中,右键单击 “全局安全访问客户端 ”,然后选择“ 高级诊断>流量 ”选项卡。
  4. 滚动查看全局安全访问客户端 未能 捕获来自这些网站的流量。
  5. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。 验证全球安全访问流量日志中是否缺少与这些站点相关的流量。
  6. 登录 Zscaler Internet 访问 (ZIA) 管理门户并浏览到“分析”“Web Insights”>“日志”>
  7. 验证 Zscaler 日志中是否有与这些站点相关的流量。
  8. 访问在 Microsoft Entra Private Access 中设置的专用应用程序。 例如,通过 SMB 访问文件共享。
  9. 访问在 Zscaler Private Access 中设置的专用应用程序。 例如,向专用服务器打开 RDP 会话。
  10. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。
  11. 验证是否已捕获与 SMB 文件共享专用应用相关的流量,并确保与 RDP 会话相关的流量< c0>未在全局安全访问流量日志中捕获。
  12. 登录到 Zscaler Private Access (ZPA) 管理门户并浏览到 Analytics>诊断>日志。 验证与 RDP 会话相关的流量是否存在,并且与 SMB 文件共享相关的流量 不在 仪表板或诊断日志中。
  13. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 在“流量”对话框中,选择“停止收集”。
  14. 滚动以确认全局安全访问客户端处理了 SMB 文件共享的专用应用程序流量,并且未处理 RDP 会话流量。

Microsoft Entra Microsoft Access 与 Zscaler Private Access 和 Zscaler Internet Access

在此方案中,全局安全访问处理所有Microsoft 365 流量。 Zscaler Private Access 处理专用应用程序流量,Zscaler Internet Access 处理 Internet 流量。

Microsoft Entra Microsoft Access

对于此方案,需要:

Zscaler Private Access 和 Zscaler Internet Access

请在 Zscaler 门户中执行操作:

  • 设置和配置 Zscaler Private Access。
  • 创建转发配置文件。
  • 创建应用简介。
  • 安装 Zscaler 客户端连接器。

在客户端连接器门户中添加转发配置:

  1. 导航到 Zscaler 客户端连接器管理门户>管理>转发配置文件>添加转发配置文件
  2. 添加“配置文件名称”,如 ZIA and ZPA
  3. 隧道驱动程序类型中选择基于数据包筛选器
  4. 选择转发配置文件操作为 Tunnel,并选择隧道版本。 例如,Z-Tunnel 2.0
  5. 向下滚动到 ZPA 的转发配置文件操作
  6. 在此部分的所有选项中选择“隧道”。

从客户端连接器门户添加应用配置文件:

  1. 导航到 Zscaler 客户端连接器管理门户>应用配置文件>Windows(或 macOS)>添加 Windows 策略(或 macOS)。
  2. 添加“名称”,设置“规则顺序”(例如 1),选择“启用”,选择要应用此策略的“用户”,然后选择“转发配置文件”。 例如,选择 ZIA 和 ZPA
  3. 向下滚动,将 全局安全访问服务 FQDN 和 IP 绕过部分中的Microsoft SSE 服务 Internet 协议(IP)地址和完全限定的域名(FQDN)添加到“VPN 网关的主机名或 IP 地址绕过”字段。

转至系统托盘,检查全球安全访问和 Zscaler 客户端是否已启用。

验证客户端的配置:

  1. 右键单击 全局安全访问客户端>高级诊断>转发配置文件 ,并验证是否仅Microsoft 365 规则应用于此客户端。
  2. 导航到“高级诊断”“运行状况检查”,确保所有检查均未失败。>
  3. 右键单击“Zscaler 客户端”>“打开 Zscaler”>“更多”。 验证“应用策略”是否与前面的步骤中的配置匹配。 验证它是否是最新的,或更新它。
  4. 导航到 Zscaler 客户端>Internet 安全性。 验证 服务状态 是否为 ON 身份验证状态 Authenticated
  5. 导航到“Zscaler 客户端”>“专用访问”。 验证 服务状态 是否为 ON 身份验证状态 Authenticated

注释

有关故障排除健康检查失败的信息,请参阅 “全球安全访问客户端诊断 - 健康检查故障排除”

测试流量流:

  1. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 选择“流量”选项卡,然后选择“开始收集”。
  2. 从浏览器访问这些网站:bing.com,,salesforce.comInstagram.com
  3. 在系统托盘中,右键单击 “全局安全访问客户端 ”,然后选择“ 高级诊断>流量 ”选项卡。
  4. 滚动查看全局安全访问客户端 未能 捕获来自这些网站的流量。
  5. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。 验证全球安全访问流量日志中是否缺少与这些站点相关的流量。
  6. 登录 Zscaler Internet 访问 (ZIA) 管理门户并浏览到“分析”“Web Insights”>“日志”>
  7. 验证 Zscaler 日志中是否有与这些站点相关的流量。
  8. 访问在 Zscaler Private Access 中设置的专用应用程序。 例如,向专用服务器打开 RDP 会话。
  9. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。
  10. 验证 RDP 会话相关的流量是否不在全局安全访问流量日志中。
  11. 登录到 Zscaler Private Access (ZPA) 管理门户并浏览到 Analytics>诊断>日志。 验证仪表板或诊断日志中是否存在与 RDP 会话相关的流量。
  12. 访问 Outlook Online(outlook.comoutlook.office.comoutlook.office365.com)、SharePoint Online (<yourtenantdomain>.sharepoint.com)。
  13. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 在“流量”对话框中,选择“停止收集”。
  14. 滚动以确认全局安全访问客户端仅处理Microsoft 365 流量。
  15. 还可以验证流量是否被捕获到全球安全访问流量日志中。 在 Microsoft Entra 管理中心,导航到“全球安全访问”>“监视”>“流量日志”。
  16. 验证 Analytics>Web Insights> 日志中 Zscaler Internet Access日志中缺少与 Outlook Online 和 SharePoint Online 相关的流量。

Microsoft Entra Internet 访问和Microsoft Entra Microsoft Access 以及 Zscaler Private Access

在此方案中,全局安全访问处理 Internet 和 Microsoft 365 流量。 Zscaler 仅捕获专用应用程序流量。 因此,Zscaler Internet Access 模块已从 Zscaler 门户禁用。

Microsoft Entra Internet 和 Microsoft Access

对于此方案,需要配置:

在全局安全访问中添加 Zscaler 的自定义绕过:

  1. 登录到 Microsoft Entra 管理中心并浏览到 全局安全访问>连接>流量转发>Internet 访问配置文件。 在 Internet 访问策略 下,选择 “视图”。
  2. 展开 “自定义绕过 ”,然后选择“ 添加规则”。
  3. 保留目标类型 FQDN ,并在 “目标 ”中输入 *.prod.zpath.net
  4. 选择“保存”

Zscaler Private Access

在 Zscaler 门户中执行该过程:

  • 设置和配置 Zscaler Private Access。
  • 创建转发配置文件。
  • 创建应用简介。
  • 安装 Zscaler 客户端连接器。

在客户端连接器门户中添加转发配置:

  1. 导航到 Zscaler 客户端连接器管理门户>管理>转发配置文件>添加转发配置文件
  2. 添加“配置文件名称”,如 ZPA Only
  3. 隧道驱动程序类型中选择基于数据包筛选器
  4. 选择转发配置文件操作为
  5. 向下滚动到 ZPA 的转发配置文件操作
  6. 在此部分的所有选项中选择“隧道”。

从客户端连接器门户添加应用配置文件:

  1. 导航到 Zscaler 客户端连接器管理门户>应用配置文件>Windows(或 macOS)>添加 Windows 策略(或 macOS)。
  2. 添加“名称”,设置“规则顺序”(例如 1),选择“启用”,选择要应用此策略的“用户”,然后选择“转发配置文件”。 例如,仅选择 ZPA Only
  3. 向下滚动,将 全局安全访问服务 FQDN 和 IP 绕过部分中的Microsoft SSE 服务 Internet 协议(IP)地址和完全限定的域名(FQDN)添加到“VPN 网关的主机名或 IP 地址绕过”字段。

打开系统托盘,检查全球安全访问和 Zscaler 客户端是否已启用。

验证客户端的配置:

  1. 右键单击“全球安全访问客户端”>“高级诊断”>“转发配置文件”,并验证 Microsoft 365 和 Internet 访问规则是否已应用于此客户端。
  2. 展开 Internet 访问规则 > 验证配置文件中是否存在自定义绕过 *.prod.zpath.net
  3. 导航到“高级诊断”“运行状况检查”,确保所有检查均未失败。>
  4. 右键单击“Zscaler 客户端”>“打开 Zscaler”>“更多”。 验证“应用策略”是否与前面的步骤中的配置匹配。 验证它是否是最新的,或更新它。
  5. 导航到“Zscaler 客户端”>“专用访问”。 验证 服务状态 是否为 ON 身份验证状态 Authenticated
  6. 导航到 Zscaler 客户端>Internet 安全性。 验证 服务状态 是否为 DISABLED

注释

有关故障排除健康检查失败的信息,请参阅 “全球安全访问客户端诊断 - 健康检查故障排除”

测试流量流:

  1. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 选择“流量”选项卡,然后选择“开始收集”。
  2. 从浏览器访问这些网站:bing.com、、salesforce.comInstagram.comOutlook Online(outlook.com、、outlook.office.comoutlook.office365.com、SharePoint Online)。<yourtenantdomain>.sharepoint.com
  3. 登录 Microsoft Entra 管理中心并浏览到“全球安全访问”>“监视”>“流量日志”。 验证全球安全访问流量日志中是否会捕获与这些站点相关的流量。
  4. 访问在 Zscaler Private Access 中设置的专用应用程序。 例如,使用远程桌面(RDP)。
  5. 登录到 Zscaler Private Access (ZPA) 管理门户并浏览到 Analytics>诊断>日志。 验证仪表板或诊断日志中是否存在与 RDP 会话相关的流量。
  6. 登录 Zscaler Internet 访问 (ZIA) 管理门户并浏览到“分析”“Web Insights”>“日志”>。 验证与 Microsoft 365 和互联网相关的流量(例如 Instagram.com、Outlook Online 和 SharePoint Online)在 ZIA 日志中是否缺失。
  7. 在系统托盘中,右键单击“全球安全访问客户端”,然后选择“高级诊断”。 在“流量”对话框中,选择“停止收集”。
  8. 滚动查看全球安全访问客户端是否不捕获来自专用应用程序的流量。 此外,请注意全球安全访问客户端正在捕获 Microsoft 365 的流量和其他 Internet 流量。
  • Last updated on