共用方式為

如何啟用和管理Microsoft流量轉送配置檔

  • 發行項

啟用Microsoft配置檔后,Microsoft Entra 網際網路存取 會取得要 Microsoft 服務 的流量。 Microsoft配置檔會管理下列原則群組:

  • Exchange Online
  • SharePoint Online 和 Microsoft OneDrive。
  • Microsoft 365 Common 和 Office Online (僅限 Microsoft Entra ID 和 Microsoft Graph)

必要條件

若要為租用戶啟用Microsoft流量轉送配置檔,您必須具備:

已知的限制

  • 個別服務會持續新增至Microsoft流量配置檔。 目前,Microsoft Entra ID、Microsoft Graph、Exchange Online 和 SharePoint Online 都支援作為Microsoft流量配置檔的一部分
  • 如需Microsoft流量配置檔的其他限制,請參閱 Windows 用戶端已知限制

啟用Microsoft流量配置檔

  1. 全球安全存取管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [全球安全存取 > [連線] > [流量轉送]

  3. 啟用Microsoft流量配置檔。 Microsoft流量會從所有用戶端裝置開始轉送至Microsoft的安全性服務 Edge (SSE) Proxy,您可以在其中設定Microsoft流量特定的進階安全性功能。

    已啟用Microsoft存取配置檔的流量轉送頁面螢幕快照。

Microsoft流量原則

若要管理Microsoft流量轉送原則中包含的詳細數據,請選取Microsoft流量原則[檢視] 連結。

Microsoft存取配置檔的螢幕快照,其中已醒目提示檢視應用程序連結。

系統會列出原則群組,並顯示一個核取方塊,指出原則群組是否已啟用。 展開原則群組,以檢視群組中包含的所有 IP 和 FQDN。

Microsoft設定檔詳細數據的螢幕快照。

原則群組包含下列詳細資料:

  • 目的地類型:FQDN 或 IP 子網路
  • 目的地:FQDN 或 IP 子網路的詳細資料
  • 連接埠:與 IP 位址合併以形成網路端點的 TCP 或 UDP 連接埠
  • 通訊協定:TCP (傳輸控制通訊協定) 或 UDP (使用者資料包通訊協定)
  • 動作:轉送或略過

您可以設定流量擷取規則來略過流量取得。 如果您這麼做,使用者仍然可以存取資源;不過,全域安全存取服務不會處理流量。 您可以略過流量到特定 FQDN 或 IP 位址、配置檔內的整個原則群組,或整個Microsoft配置檔本身。 如果您只需要轉送原則群組內的部分Microsoft資源,請啟用群組,然後據此變更 詳細數據中的 [動作 ]。

下列範例顯示將 *.sharepoint.com FQDN 設定為 [略過],因此不會將流量轉送至服務。

[動作] 下拉功能表的螢幕擷取畫面。

如果全球安全存取用戶端無法連線到服務 (例如,因為授權或條件式存取失敗),服務會「略過」流量。 流量會以「直接和本機」方式傳送,而不是被封鎖。 在此案例中,您可以為符合規範的網路檢查 (部分機器翻譯) 建立條件式存取原則,以在用戶端無法連線到服務時封鎖流量。

連結的條件式存取原則

條件式存取原則 (部分機器翻譯) 會建立並套用至 Microsoft Entra ID 條件式存取區域中的流量轉送設定檔。 例如,您可以在使用者為Microsoft流量配置檔中的服務建立網路連線時,建立需要相容裝置的原則。

如果您在 [連結的條件式存取原則] 區段中看到「無」,則不會有連結到流量轉送設定檔的條件式存取原則。 若要建立條件式存取原則,請參閱透過全球安全存取的通用條件式存取

編輯現有的條件式存取原則

如果流量轉送設定檔具有連結的條件式存取原則,您可以檢視和編輯該原則。

  1. 針對 [連結的條件式存取原則],選取 [檢視] 連結。

    流量轉送設定檔的螢幕擷取畫面,其中已醒目提示條件式存取連結。

  2. 從清單中選取原則。 原則的詳細資料會在 [條件式存取] 中開啟。

    已套用條件式存取原則的螢幕擷取畫面。

Microsoft流量配置檔遠端網路指派

您可以將流量設定檔指派給遠端網路,如此便可將網路流量轉送至全球安全存取,而不需在終端使用者裝置上安裝用戶端。 只要該裝置位於客戶駐地設備 (CPE) 後方,就不需要用戶端。 您必須先建立遠端網路,才能將其新增至設定檔。 如需詳細資訊,請參閱如何建立遠端網路 (部分機器翻譯)。

若要將遠端網路指派給Microsoft設定檔

  1. 全球安全存取管理員身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [全球安全存取 > [連線] > [流量轉送]
  3. 從 [移除網路指派] 區段,選取設定檔的 [檢視] 連結。
  4. 從清單中選取遠端網路,然後選取 [新增]

使用者與群組指派

您可以將Microsoft配置檔的範圍設定為特定使用者和群組,而不是將流量配置檔套用至所有使用者。 若要深入了解使用者和群組指派,請參閱如何使用流量轉送設定檔來指派和管理使用者和群組

下一步

開始使用 Microsoft Entra 網際網路存取的下一個步驟是在終端使用者裝置上安裝和設定全球安全存取用戶端 (部分機器翻譯)

如需流量轉送的詳細資訊,請參閱下列文章: