分享方式:


了解所有應用程式的 Microsoft Entra 網際網路存取

Microsoft Entra 網際網路存取為軟體即服務 (SaaS) 應用程式和其他網際網路流量提供以身分識別為中心的安全網頁閘道 (SWG) 解決方案。 其可透過流量記錄提供一流的安全性控制和可見度,保護使用者、裝置及資料免受網際網路廣泛威脅。

網路內容篩選

對於所有應用程式的 Microsoft Entra 網際網路存取,主要的介紹功能是網路內容篩選。 此功能提供 Web 類別和完整網域名稱 (FQDN) 的細微存取控制。 藉由明確封鎖已知的不當、惡意或不安全網站,您可以保護使用者及其裝置免受來自遠端或公司網路內的任何網際網路連線影響。

當流量到達Microsoft的安全服務 Edge 時,Microsoft Entra 網際網路存取 會以兩種方式執行安全性控制。 針對未加密的 HTTP 流量,它會使用統一資源定位器(URL)。 針對使用傳輸層安全性加密的 HTTPS 流量(TLS),它會使用伺服器名稱指示 (SNI)。

網路內容篩選是使用篩選原則來實作,這些原則會分組至安全性設定檔,其可連結至條件式存取原則。 若要深入了解條件式存取,請參閱 Microsoft Entra 條件式存取

注意

雖然 Web 內容篩選是任何安全 Web 閘道的核心功能,但其他安全性產品也有類似的功能,例如端點安全性產品,例如 適用於端點的 Microsoft Defender 和防火牆,例如 Azure 防火牆。 Microsoft Entra 網際網路存取 透過原則與 Microsoft Entra ID 整合、雲端邊緣的原則強制執行、所有裝置平臺的通用支援,以及傳輸層安全性 (TLS) 檢查的未來安全性增強功能,例如更高的精確度 Web 分類,提供額外的安全性價值。 在常見問題深入瞭解。

安全性設定檔

安全性設定檔是您用來分組篩選原則的物件,並透過使用者感知的條件式存取原則來進行傳遞。 例如,對於使用者 angie@contoso.com,若要封鎖除了 msn.com 以外的所有新聞網站,請建立兩個網站篩選功能原則,並將其新增至安全性設定檔。 接著,取得安全性設定檔,並將其連結至指派給 angie@contoso.com 的條件式存取原則。

"Security Profile for Angie"       <---- the security profile
    Allow msn.com at priority 100  <---- higher priority filtering policies
    Block News at priority 200     <---- lower priority filtering policy

原則處理邏輯

在安全性配置檔中,原則會根據唯一優先順序數位的邏輯順序強制執行,其中 100 是最高優先順序,65,000 是最低優先順序(類似於傳統防火牆邏輯)。 最佳做法是,在優先順序之間增加大約 100 的間距,以便未來靈活使用原則。

將安全性設定檔連結至條件式存取 (CA) 原則之後,如果有多個 CA 原則相符,則會以相符安全性設定檔的優先順序處理這兩個安全性設定檔。

重要

即使未將基準安全性設定檔連結至條件式存取原則,其仍會套用至所有流量。 其會強制執行原則堆疊中優先順序最低的原則,並作為「全部攔截」原則,套用至透過服務路由傳送的所有網際網路存取流量。 即使條件式存取原則符合另一個安全性配置檔,基準安全性配置檔也會執行。

已知的限制

  • 平台假設 HTTP/S 流量的標準埠(埠 80 和 443)。
  • 此平臺尚不支援 IPv6。
  • 此平臺尚不支援UDP。
  • 使用者易記的終端使用者通知正在開發中。
  • 正在開發網際網路存取的遠端網路連線。
  • 正在開發傳輸層安全性 (TLS) 終止。
  • HTTP 和 HTTPS 流量的 URL 路徑型篩選和 URL 分類正在開發中。
  • 目前,管理員可以根據總數最多 8,000 個 FQDN 來建立最多 100 個網路內容篩選原則和最多 1,000 個規則。 管理員也可以建立最多 256 個安全性設定檔。

下一步