如何設定全球安全存取網路內容篩選
網路內容篩選可讓您根據網站分類,為貴組織實作細微的網際網路存取控制。
Microsoft Entra 網際網路存取的第一個安全網路閘道 (SWG) 功能,包括以網域名稱為基礎的網路內容篩選。 Microsoft 將細微篩選原則與 Microsoft Entra ID 和 Microsoft Entra 條件式存取整合在一起,產生使用者感知、內容感知和易於管理的篩選原則。
網站篩選功能目前僅限於 Web 類別篩選和 FQDN 篩選,其以使用者感知和內容感知的「完整網域名稱 (FQDN)」為基礎。
先決條件
與全球安全存取功能互動的管理員必須具備下列一或多個角色指派 (視其執行的工作而定)。
- 全球安全存取管理員角色,用來管理全球安全存取功能。
- 條件式存取系統管理員,用來建立條件式存取原則並與其互動。
完成開始使用全球安全存取指南。
在終端使用者裝置上安裝全球安全存取用戶端。
您必須停用透過 HTTPS 的網域名稱系統 (DNS) (安全 DNS),以通道傳輸網路流量。 在流量轉送設定檔中使用完整網域名稱 (FQDN) 的規則。 如需詳細資訊,請參閱設定 DNS 用戶端以支援 DoH。
在 Chrome 和 Microsoft Edge 上停用內建 DNS 用戶端。
用戶端不會取得 IPv6 流量,因此會直接傳輸至網路。 若要啟用通道中所有相關流量,請將網路適配器屬性設定為 慣用的 IPv4。
目前網際網路存取預覽版不支援使用者資料包通訊協定 (UDP) 流量 (也就是 QUIC)。 大部分的網站都支援在無法建立 QUIC 時後援傳輸控制通訊協定 (TCP)。 為了改善使用者體驗,您可以部署封鎖輸出 UDP 443 的 Windows 防火牆規則:
@New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443。檢閱網路內容篩選概念。 如需詳細資訊,請參閱網路內容篩選。
高階步驟
設定網路內容篩選有數個步驟。 記下您需要設定條件式存取原則的位置。
啟用網際網路流量轉送
第一個步驟是啟用網際網路存取流量轉送設定檔。 若要深入了解設定檔及其啟用方式,請參閱如何管理網際網路存取流量轉送設定檔。
建立網路內容篩選原則
- 瀏覽至 [全球安全存取] > [安全] > [Web 內容篩選原則]。
- 選取 [建立原則]。
- 輸入原則的名稱和描述,然後選取 [下一步]。
- 選取新增規則。
- 輸入名稱、選取 [網路類別] 或有效的 FQDN,然後選取 [新增]。
- 這項功能中的有效 FQDN 也可以包含使用星號符號 * 的萬用字元。
- 選取 [下一步] 以檢閱原則,然後選取 [建立原則]。
重要
對網路內容篩選的變更最多可能需要一小時才能部署。
建立安全性設定檔
安全性設定檔是一個篩選原則分組。 您可以使用 Microsoft Entra 條件式存取原則來指派或連結安全性設定檔。 一個安全性設定檔可以包含多個篩選原則。 且一個安全性設定檔可以與多個條件式存取原則相關聯。
在此步驟中,您會建立安全性設定檔來分組篩選原則。 然後,使用條件式存取原則來指派或連結安全性設定檔,使其成為使用者感知或內容感知。
注意
若要深入了解 Microsoft Entra 條件式存取原則,請參閱建置條件式存取原則。
- 瀏覽至 [全球安全存取] > [安全] > [安全性設定檔]。
- 選取 [建立設定檔]。
- 輸入原則的名稱和描述,然後選取 [下一步]。
- 選取 [連結原則],然後選取 [現有原則]。
- 選取您已建立的 Web 內容篩選原則,然後選取 [新增]。
- 選取 [下一步] 以檢閱安全性設定檔和相關聯的原則。
- 選取 [建立設定檔]。
- 選取 [重新整理] 以重新整理設定檔頁面,並檢視新的設定檔。
建立和連結條件式存取原則
為終端使用者或群組建立條件式存取原則,並透過條件式存取工作階段控制項傳遞您的安全性設定檔。 條件式存取是網際網路存取原則的使用者和內容感知傳遞機制。 若要深入了解工作階段控制項,請參閱條件式存取:工作階段。
- 瀏覽至 [身分識別]>[保護]>[條件式存取]。
- 選取 [建立新原則]。
- 輸入名稱並指派使用者或群組。
- 從下拉式功能表中選取 [目標資源] 和 [全球安全存取],以設定原則適用的內容。
- 從下拉式功能表中選取 [網際網路流量],以設定此原則適用的流量設定檔。
- 選取 [工作階段] > [使用全球安全存取安全性設定檔],然後選擇安全性設定檔。
- 選取選取。
- 在 [啟用原則] 區段中,確定已選取 [開啟]。
- 選取 建立。
因特網存取 – Web 內容篩選
此範例示範套用 Web 內容篩選原則時 Microsoft Entra 網際網路存取 流量的流程。
下圖說明 Web 內容篩選原則封鎖或允許存取因特網資源。
| 步驟 | 描述: |
|---|---|
| 1 | Global Secure Access 用戶端會嘗試連線到Microsoft的安全性 Service Edge 解決方案。 |
| 2 | 用戶端會重新導向至 Microsoft Entra ID 以進行驗證和授權。 |
| 3 | 使用者和裝置驗證。 當使用者有有效的主要重新整理令牌 (PRT) 時,驗證就會順暢地進行。 |
| 4 | 在使用者和裝置驗證之後,條件式存取會比對因特網存取 CA 規則,並將適用的安全性配置檔新增至令牌。 它會強制執行適用的授權原則。 |
| 5 | Microsoft Entra ID 會將令牌呈現給 Microsoft Security Service Edge 以進行驗證。 |
| 6 | 通道會在全域安全存取用戶端與 Microsoft Security Service Edge 之間建立。 |
| 7 | 流量會開始取得,並透過因特網存取通道進行通道。 |
| 8 | Microsoft Security Service Edge 會依優先順序評估存取令牌中的安全策略。 在 Web 內容篩選規則上相符之後,Web 內容篩選原則評估會停止。 |
| 9 | Microsoft Security Service Edge 會強制執行安全策略。 |
| 10 | 原則 = 封鎖會導致 HTTP 流量發生錯誤,或 HTTPS 流量發生連線重設例外狀況。 |
| 11 | 原則 = 允許將流量轉送至目的地。 |
注意
套用新的安全性配置檔最多可能需要 60-90 分鐘的時間,因為安全性配置檔強制執行存取令牌。 用戶必須先以新的安全性配置檔標識碼作為宣告來接收新的存取令牌,才能生效。 現有安全性配置檔的變更會開始更快速地強制執行。
使用者與群組指派
您可以將網際網路存取設定檔的範圍設定為特定使用者和群組。 若要深入了解使用者和群組指派,請參閱如何使用流量轉送設定檔來指派和管理使用者和群組。
確認是否強制執行終端使用者原則
當流量到達Microsoft的安全服務 Edge 時,Microsoft Entra 網際網路存取 會以兩種方式執行安全性控制。 針對未加密的 HTTP 流量,它會使用統一資源定位器(URL)。 針對使用傳輸層安全性加密的 HTTPS 流量(TLS),它會使用伺服器名稱指示 (SNI)。
使用已安裝全球安全存取用戶端的 Windows 裝置。 以指派網際網路流量擷取設定檔的使用者身分登入。 測試是否如預期般允許或限制瀏覽至網站。
以滑鼠右鍵按一下工作管理員系統匣中的 [全球安全存取用戶端] 圖示,然後開啟 [進階診斷] > [轉送設定檔]。 確定網際網路存取擷取規則存在。 此外,檢查瀏覽時是否正在擷取主機名稱擷取和使用者網際網路流量。
瀏覽至允許的和封鎖的網站,並檢查其是否正常運作。 瀏覽至 [全球安全存取]>[監視器]>[流量記錄],以確認流量已適當封鎖或允許。
所有瀏覽器的目前封鎖體驗包括 HTTPS 流量的純文字瀏覽器錯誤,以及 HTTP 流量的「連線重設」瀏覽器錯誤。
注意
全球安全存取體驗中的網路內容篩選相關設定變更,通常會在 5 分鐘內生效。 條件式存取中的網路內容篩選相關組態變更,大約會在一小時內生效。
後續步驟
- 了解流量儀表板 (部分機器翻譯)