如何設定全域安全存取 Web 內容篩選
網路內容篩選可讓您根據網站分類,為貴組織實作細微的網際網路存取控制。
Microsoft Entra 網際網路存取的第一個安全網路閘道 (SWG) 功能,包括以網域名稱為基礎的網路內容篩選。 Microsoft 將細微篩選原則與 Microsoft Entra ID 和 Microsoft Entra 條件式存取整合在一起,產生使用者感知、內容感知和易於管理的篩選原則。
網站篩選功能目前僅限於 Web 類別篩選和 FQDN 篩選,其以使用者感知和內容感知的「完整網域名稱 (FQDN)」為基礎。
必要條件
與 全域安全存取 功能互動的系統管理員必須有下列一或多個角色指派,視他們執行的工作而定。
- 用來 管理全域安全存取功能的全域安全存取系統管理員角色角色 。
- 條件式存取系統管理員,以建立條件式存取原則並與之互動。
完成開始使用全球安全存取指南。
在終端使用者裝置上安裝全球安全存取用戶端。
您必須停用透過 HTTPS 的網域名稱系統 (DNS) (安全 DNS),以通道傳輸網路流量。 在流量轉送設定檔中使用完整網域名稱 (FQDN) 的規則。 如需詳細資訊,請參閱設定 DNS 用戶端以支援 DoH。
在 Chrome 和 Microsoft Edge 上停用內建 DNS 用戶端。
目前網際網路存取預覽版不支援使用者資料包通訊協定 (UDP) 流量 (也就是 QUIC)。 大部分的網站都支援在無法建立 QUIC 時後援 TCP。 為了改善使用者體驗,您可以部署封鎖輸出 UDP 443 的 Windows 防火牆規則:
@New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443
。檢閱網路內容篩選概念。 如需詳細資訊,請參閱網路內容篩選。
高階步驟
設定網路內容篩選有數個步驟。 記下您需要設定條件式存取原則的位置。
啟用網際網路流量轉送
若要啟用 Microsoft Entra 網際網路存取轉送設定檔以轉送使用者流量:
注意
當您啟用因特網存取轉送配置檔時,也應該啟用Microsoft流量轉送配置檔,以獲得最佳Microsoft流量路由。
- 以全球安全存取管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [全球安全存取 > [連線] > [流量轉送]。
- 啟用網際網路存取設定檔。 網際網路流量會開始從所有用戶端裝置轉送至 Microsoft 的安全性服務邊緣 (SSE) Proxy,您可以在其中設定細微的安全性原則。
- 啟用Microsoft流量配置檔。 Microsoft流量會從所有用戶端裝置開始轉送至Microsoft的安全性服務 Edge (SSE) Proxy,您可以在其中設定Microsoft流量特定的進階安全性功能。
建立網路內容篩選原則
- 瀏覽至 [全球安全存取] > [安全] > [Web 內容篩選原則]。
- 選取 [建立原則]。
- 輸入原則的名稱和描述,然後選取 [下一步]。
- 選取新增規則。
- 輸入名稱、選取 [網路類別] 或有效的 FQDN,然後選取 [新增]。
- 這項功能中的有效 FQDN 也可以包含使用星號符號 * 的萬用字元。
- 選取 [下一步] 以檢閱原則,然後選取 [建立原則]。
建立安全性設定檔
安全性設定檔是一個篩選原則分組。 您可以使用 Microsoft Entra 條件式存取原則來指派或連結安全性設定檔。 一個安全性設定檔可以包含多個篩選原則。 且一個安全性設定檔可以與多個條件式存取原則相關聯。
在此步驟中,您會建立安全性設定檔來分組篩選原則。 然後,使用條件式存取原則來指派或連結安全性設定檔,使其成為使用者感知或內容感知。
注意
若要深入了解 Microsoft Entra 條件式存取原則,請參閱建置條件式存取原則。
- 瀏覽至 [全球安全存取] > [安全] > [安全性設定檔]。
- 選取 [建立設定檔]。
- 輸入原則的名稱和描述,然後選取 [下一步]。
- 選取 [連結原則],然後選取 [現有原則]。
- 選取您已建立的 Web 內容篩選原則,然後選取 [新增]。
- 選取 [下一步] 以檢閱安全性設定檔和相關聯的原則。
- 選取 [建立設定檔]。
- 選取 [重新整理] 以重新整理設定檔頁面,並檢視新的設定檔。
建立和連結條件式存取原則
為終端使用者或群組建立條件式存取原則,並透過條件式存取工作階段控制項傳遞您的安全性設定檔。 條件式存取是網際網路存取原則的使用者和內容感知傳遞機制。 若要深入了解工作階段控制項,請參閱條件式存取:工作階段。
- 瀏覽至 [身分識別]>[保護]>[條件式存取]。
- 選取 [建立新原則]。
- 輸入名稱並指派使用者或群組。
- 從下拉功能表中選取 [目標資源 ] 和 [全域安全存取 ],以設定原則適用的內容。
- 從下拉功能表中選取 [網際網路流量],以設定此原則適用的流量設定檔。
- 選取 [工作階段] > [使用全球安全存取安全性設定檔],然後選擇安全性設定檔。
- 選取選取。
- 在 [啟用原則] 區段中,確定已選取 [開啟]。
- 選取 建立。
使用者與群組指派
您可以將網際網路存取設定檔的範圍設定為特定使用者和群組。 若要深入了解使用者和群組指派,請參閱如何使用流量轉送設定檔來指派和管理使用者和群組。
確認是否強制執行終端使用者原則
使用已安裝全球安全存取用戶端的 Windows 裝置。 以指派網際網路流量擷取設定檔的使用者身分登入。 測試是否如預期般允許或限制瀏覽至網站。
以滑鼠右鍵按一下工作管理員系統匣中的 [全球安全存取用戶端] 圖示,然後開啟 [進階診斷] > [轉送設定檔]。 確定網際網路存取擷取規則存在。 此外,檢查瀏覽時是否正在擷取主機名稱擷取和使用者網際網路流量。
流覽至允許和封鎖的網站,並檢查其是否正常運作。 流覽至 [全域安全存取>監視器流量記錄>],以確認流量已遭到封鎖或允許。
所有瀏覽器目前的封鎖體驗包括 HTTP 流量的純文字瀏覽器錯誤,以及 HTTPS 流量的「連線重設」瀏覽器錯誤。
注意
全球安全存取體驗中的網路內容篩選相關設定變更,通常會在 5 分鐘內生效。 條件式存取中的網路內容篩選相關設定變更,大約會在一小時內生效。
已知的限制
- 不提供來自用戶端或瀏覽器的區塊相關終端使用者通知。
- 無法設定用戶端的網際網路流量擷取設定檔。
- 用戶端流量擷取原則包含傳輸控制通訊協定 (TCP) 連接埠 80/443。
- HTTP/S 流量的標準埠 (連接埠 80 和 443)。
- *microsoft.com 目前由Microsoft存取配置檔取得。
- 此平台不支援 IPv6。
- 此平台不支援 Hyper-V。
- 正在開發網際網路存取的遠端網路連線。
- 不支援開放系統互相連線模型 (OSI) 網路層 3 和 4 篩選。
- 沒有網頁驗證入口網站支援。 透過網頁驗證入口網站存取連線至公用 WiFi 時失敗,因為用戶端目前已取得這些端點。
- 正在開發傳輸層安全性 (TLS) 終止。
- HTTP 和 HTTPS 流量沒有 URL 路徑型篩選或 URL 分類。
- 目前,管理員可以根據總數最多 8,000 個 FQDN 來建立最多 100 個網路內容篩選原則和最多 1,000 個規則。 管理員也可以建立最多 256 個安全性設定檔。
- 在將更多功能新增至此平台之前,這些初始限制都是預留位置。
下一步
- 了解流量儀表板 (部分機器翻譯)
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: