分享方式:

如何設定全域安全存取 Web 內容篩選

  • 文章

網路內容篩選可讓您根據網站分類,為貴組織實作細微的網際網路存取控制。

Microsoft Entra 網際網路存取的第一個安全網路閘道 (SWG) 功能,包括以網域名稱為基礎的網路內容篩選。 Microsoft 將細微篩選原則與 Microsoft Entra ID 和 Microsoft Entra 條件式存取整合在一起,產生使用者感知、內容感知和易於管理的篩選原則。

網站篩選功能目前僅限於 Web 類別篩選和 FQDN 篩選,其以使用者感知和內容感知的「完整網域名稱 (FQDN)」為基礎。

必要條件

  • 全域安全存取 功能互動的系統管理員必須有下列一或多個角色指派,視他們執行的工作而定。

  • 完成開始使用全球安全存取指南。

  • 在終端使用者裝置上安裝全球安全存取用戶端

  • 您必須停用透過 HTTPS 的網域名稱系統 (DNS) (安全 DNS),以通道傳輸網路流量。 在流量轉送設定檔中使用完整網域名稱 (FQDN) 的規則。 如需詳細資訊,請參閱設定 DNS 用戶端以支援 DoH

  • 在 Chrome 和 Microsoft Edge 上停用內建 DNS 用戶端。

  • 目前網際網路存取預覽版不支援使用者資料包通訊協定 (UDP) 流量 (也就是 QUIC)。 大部分的網站都支援在無法建立 QUIC 時後援 TCP。 為了改善使用者體驗,您可以部署封鎖輸出 UDP 443 的 Windows 防火牆規則:@New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443

  • 檢閱網路內容篩選概念。 如需詳細資訊,請參閱網路內容篩選

高階步驟

設定網路內容篩選有數個步驟。 記下您需要設定條件式存取原則的位置。

  1. 啟用網際網路流量轉送。
  2. 建立網路內容篩選原則。
  3. 建立安全性設定檔。
  4. 將安全性設定檔連結至條件式存取原則。
  5. 將使用者或群組指派給流量轉送設定檔。

啟用網際網路流量轉送

若要啟用 Microsoft Entra 網際網路存取轉送設定檔以轉送使用者流量:

注意

當您啟用因特網存取轉送配置檔時,也應該啟用Microsoft流量轉送配置檔,以獲得最佳Microsoft流量路由。

  1. 全球安全存取管理員身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [全球安全存取 > [連線] > [流量轉送]
  3. 啟用網際網路存取設定檔。 網際網路流量會開始從所有用戶端裝置轉送至 Microsoft 的安全性服務邊緣 (SSE) Proxy,您可以在其中設定細微的安全性原則。
  4. 啟用Microsoft流量配置檔。 Microsoft流量會從所有用戶端裝置開始轉送至Microsoft的安全性服務 Edge (SSE) Proxy,您可以在其中設定Microsoft流量特定的進階安全性功能。

建立網路內容篩選原則

  1. 瀏覽至 [全球安全存取] > [安全] > [Web 內容篩選原則]
  2. 選取 [建立原則]
  3. 輸入原則的名稱和描述,然後選取 [下一步]
  4. 選取新增規則
  5. 輸入名稱、選取 [網路類別] 或有效的 FQDN,然後選取 [新增]
    • 這項功能中的有效 FQDN 也可以包含使用星號符號 * 的萬用字元。
  6. 選取 [下一步] 以檢閱原則,然後選取 [建立原則]

建立安全性設定檔

安全性設定檔是一個篩選原則分組。 您可以使用 Microsoft Entra 條件式存取原則來指派或連結安全性設定檔。 一個安全性設定檔可以包含多個篩選原則。 且一個安全性設定檔可以與多個條件式存取原則相關聯。

在此步驟中,您會建立安全性設定檔來分組篩選原則。 然後,使用條件式存取原則來指派或連結安全性設定檔,使其成為使用者感知或內容感知。

注意

若要深入了解 Microsoft Entra 條件式存取原則,請參閱建置條件式存取原則

  1. 瀏覽至 [全球安全存取] > [安全] > [安全性設定檔]
  2. 選取 [建立設定檔]
  3. 輸入原則的名稱和描述,然後選取 [下一步]
  4. 選取 [連結原則],然後選取 [現有原則]
  5. 選取您已建立的 Web 內容篩選原則,然後選取 [新增]
  6. 選取 [下一步] 以檢閱安全性設定檔和相關聯的原則。
  7. 選取 [建立設定檔]
  8. 選取 [重新整理] 以重新整理設定檔頁面,並檢視新的設定檔。

為終端使用者或群組建立條件式存取原則,並透過條件式存取工作階段控制項傳遞您的安全性設定檔。 條件式存取是網際網路存取原則的使用者和內容感知傳遞機制。 若要深入了解工作階段控制項,請參閱條件式存取:工作階段

  1. 瀏覽至 [身分識別]>[保護]>[條件式存取]
  2. 選取 [建立新原則]
  3. 輸入名稱並指派使用者或群組。
  4. 從下拉功能表中選取 [目標資源 ] 和 [全域安全存取 ],以設定原則適用的內容。
  5. 從下拉功能表中選取 [網際網路流量],以設定此原則適用的流量設定檔。
  6. 選取 [工作階段] > [使用全球安全存取安全性設定檔],然後選擇安全性設定檔。
  7. 選取選取
  8. 在 [啟用原則] 區段中,確定已選取 [開啟]
  9. 選取 建立

使用者與群組指派

您可以將網際網路存取設定檔的範圍設定為特定使用者和群組。 若要深入了解使用者和群組指派,請參閱如何使用流量轉送設定檔來指派和管理使用者和群組

確認是否強制執行終端使用者原則

使用已安裝全球安全存取用戶端的 Windows 裝置。 以指派網際網路流量擷取設定檔的使用者身分登入。 測試是否如預期般允許或限制瀏覽至網站。

  1. 以滑鼠右鍵按一下工作管理員系統匣中的 [全球安全存取用戶端] 圖示,然後開啟 [進階診斷] > [轉送設定檔]。 確定網際網路存取擷取規則存在。 此外,檢查瀏覽時是否正在擷取主機名稱擷取和使用者網際網路流量。

  2. 流覽至允許和封鎖的網站,並檢查其是否正常運作。 流覽至 [全域安全存取>監視器流量記錄>],以確認流量已遭到封鎖或允許。

所有瀏覽器目前的封鎖體驗包括 HTTP 流量的純文字瀏覽器錯誤,以及 HTTPS 流量的「連線重設」瀏覽器錯誤。

顯示 HTTP 流量純文字瀏覽器錯誤的螢幕快照。

顯示 HTTPS 流量「連線重設」瀏覽器錯誤的螢幕快照。

注意

全球安全存取體驗中的網路內容篩選相關設定變更,通常會在 5 分鐘內生效。 條件式存取中的網路內容篩選相關設定變更,大約會在一小時內生效。

已知的限制

  • 不提供來自用戶端或瀏覽器的區塊相關終端使用者通知。
  • 無法設定用戶端的網際網路流量擷取設定檔。
  • 用戶端流量擷取原則包含傳輸控制通訊協定 (TCP) 連接埠 80/443。
  • HTTP/S 流量的標準埠 (連接埠 80 和 443)。
  • *microsoft.com 目前由Microsoft存取配置檔取得。
  • 此平台不支援 IPv6。
  • 此平台不支援 Hyper-V。
  • 正在開發網際網路存取的遠端網路連線。
  • 不支援開放系統互相連線模型 (OSI) 網路層 3 和 4 篩選。
  • 沒有網頁驗證入口網站支援。 透過網頁驗證入口網站存取連線至公用 WiFi 時失敗,因為用戶端目前已取得這些端點。
  • 正在開發傳輸層安全性 (TLS) 終止。
  • HTTP 和 HTTPS 流量沒有 URL 路徑型篩選或 URL 分類。
  • 目前,管理員可以根據總數最多 8,000 個 FQDN 來建立最多 100 個網路內容篩選原則和最多 1,000 個規則。 管理員也可以建立最多 256 個安全性設定檔。
    • 在將更多功能新增至此平台之前,這些初始限制都是預留位置。

下一步