共用方式為

瞭解安全服務邊緣(SSE)與Microsoft和Cisco的合作

利用統一環境中的Microsoft和 Cisco 安全性服務 Edge (SSE) 解決方案,利用這兩個平台的強大功能集,並提升您的安全存取服務 Edge (SASE) 旅程。 這些平臺之間的協同效應可讓客戶獲得增強的安全性和順暢的連線能力。

本檔包含並存部署這些解決方案的步驟,特別是 Microsoft Entra 私人存取(已啟用 私用 DNS 功能),以及適用於因特網存取和 DNS 層安全性的 Cisco Umbrella。

組態概觀

在 Microsoft Entra 中,您可以啟用 Private Access 流量轉送配置檔,並停用因特網存取和Microsoft 365 流量轉送配置檔。 您也會啟用及設定 Private Access 的 私用 DNS 功能。 在 Cisco 中,您會擷取因特網存取流量。

注意

客戶端必須安裝在 Windows 10 或 Windows 11 Microsoft Entra 已加入裝置或 Microsoft Entra 混合式加入裝置上。

Microsoft Entra 私人存取 組態

請為您的 Microsoft Entra 租用戶啟用 Microsoft Entra 私密訪問流量轉送設定檔。 如需啟用和停用配置檔的詳細資訊,請參閱 全域安全存取流量轉送配置檔

請在終端使用者裝置上安裝並配置全球安全存取用戶端。 如需用戶端的詳細資訊,請參閱 全域安全存取用戶端。 若要了解如何安裝 Windows 用戶端,請參閱適用於 Windows 的全球安全存取用戶端

安裝和設定 Microsoft Entra 專用網連接器。 若要瞭解如何安裝和設定連接器,請參閱 如何設定連接器

注意

私用 DNS 需要連接器 1.5.3829.0 版或更高版本。

設定私人資源的快速存取,並設定 私用 DNS 和 DNS 後綴。 若要瞭解如何設定快速存取,請參閱 如何設定快速存取

Cisco 設定

在 [內部網域管理] 清單中,從 Microsoft Entra Quick Access 和 Microsoft Entra service FQDN 新增網域後綴,以略過 Cisco 的傘式 DNS。 在網域管理的外部網域清單中新增 Microsoft Entra 服務的 FQDN 和 IP,以便略過 Cisco 的安全 Web 閘道 (SWG)。

  1. 從 Cisco Umbrella 入口網站,移至 [部署設定>>網域管理]。
  2. 在 [ 內部網域] 區 段中,新增這些項目並儲存。
    • *.globalsecureaccess.microsoft.com

      注意

      Cisco Umbrella 具有隱含通配符,因此您可以使用 globalsecureaccess.microsoft.com

    • <quickaccessapplicationid>.globalsecureaccess.local

      注意

      quickaccessapplicationid 是您設定之快速存取應用程式的應用程式識別碼。

    • 您已在快速存取應用程式中設定的 DNS 後綴。
  3. 在 [ 外部網域與IP ] 區段中,新增這些 FQDN 和IP並儲存。
    • *.globalsecureaccess.microsoft.com, 150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16

      注意

      Cisco Umbrella 具有隱含的通配符,因此您可以將 globalsecureaccess.microsoft.com 用於指定 FQDN。

  4. 重新啟動 Cisco Umbrella 和 Cisco SWG 用戶端服務,或重新啟動安裝客戶端的電腦。

當兩個用戶端都已安裝並同時執行,以及完成系統管理入口網站的配置後,請移至系統匣,確認全域安全存取和 Cisco 用戶端已啟用。

確認全域安全存取客戶端的設定。

  1. 以滑鼠右鍵點選全域安全存取用戶端>進階診斷>轉送配置檔,並確認只有私人存取規則會套用至此用戶端。
  2. 進階診斷健康檢查>中,確保所有檢查未出現故障。

測試流量

Microsoft 的 SSE 設定:啟用 Microsoft Entra 專屬存取、停用因特網存取和 Microsoft 365 流量轉送設定檔。

Cisco SSE 設定:擷取因特網存取流量。 私人存取的流量已被排除。

  1. 在系統匣中,以滑鼠右鍵按兩下全域安全存取客戶端圖示,然後選取[ 進階診斷]。 選取 流量 標籤,然後選取 開始收集
  2. 使用 Entra Private Access 配置的私人資源,例如 SMB 檔案共用。 使用總管視窗中的 [\\YourFileServer.yourdomain.com] 功能表開啟
  3. 在系統匣中,以滑鼠右鍵按兩下全域安全存取客戶端,然後選取 [ 進階診斷]。 在 [ 網络流量 ] 對話框中,選取 [ 停止收集]。
  4. 在 [ 網路流量 ] 對話框中,捲動以觀察產生的流量,以確認 Global Secure Access 用戶端已處理私人存取流量。
  5. 您也可以驗證由 Microsoft Entra 擷取的流量,具體方法是查看 Microsoft Entra 系統管理中心中的「全域安全存取」流量記錄的監視流量紀錄。
  6. 從瀏覽器存取任何網站,並確認因特網流量未出現在全域安全存取流量記錄中,而只在 Cisco Umbrella 中被擷取。

下一步