設定傳輸層安全性檢查（預覽）

2025-06-02

Microsoft Entra Internet Access 中的傳輸層安全性（TLS）檢查可讓您解密和檢查服務邊緣位置的加密流量。此功能可讓全域安全存取套用進階安全性控制，例如威脅偵測、內容篩選和細微存取原則。這些存取原則可協助防範加密通訊中可能隱藏的威脅。

這很重要

傳輸層安全性檢查功能目前為預覽狀態。
這項資訊與發行前版本產品有關，在發行前可能會大幅修改。 Microsoft針對此處提供的資訊，不提供任何明示或默示擔保。
在預覽期間，請勿在生產環境中使用 TLS 檢查。

本文說明如何建立內容感知傳輸層安全性檢查原則，並將其指派給組織中的使用者。

先決條件

若要完成此程序中的步驟，請先準備好下列先決條件：

公鑰基礎結構（PKI）服務，用來簽署憑證簽署要求（CSR），併產生中繼憑證以進行 TLS 檢查。針對測試情境，您也可以使用以 OpenSSL 建立的自我簽署根憑證。
測試執行 Windows 的裝置或虛擬機，這些裝置或者虛擬機是使用 Microsoft Entra 登入或混合登入到您組織的 Microsoft Entra ID。
Microsoft Entra Internet Access 的試用版授權。
全域安全存取必要條件

建立背景感知 TLS 檢查原則

若要建立內容感知傳輸層安全性檢查原則，並將它指派給您組織中的使用者，請完成下列步驟：

建立 CSR 並上傳 TLS 終止的已簽署憑證
建立 TLS 檢查原則
將 TLS 檢查原則連結至安全性配置檔
測試組態

步驟 1：全域安全存取系統管理員：建立 CSR 並上傳 TLS 終止的已簽署憑證

若要建立 CSR 並上傳 TLS 終止的已簽署憑證：

以全球安全存取管理員的身分登入 Microsoft Entra 系統管理中心。
流覽至 [全域安全存取>安全>TLS 檢查原則]。
切換至 [TLS 檢查設定 ] 索引標籤。
選取 [+ 建立憑證]。
在 [ 建立憑證] 窗格中，填入下列欄位：
- 憑證名稱：在瀏覽器中檢視時，此名稱會出現在憑證階層中。它必須是唯一的，不含空格，且長度不超過 12 個字元。您無法重複使用先前的名稱。
- 一般名稱 （CN）：一般名稱，例如 Contoso TLS ICA，可識別中繼憑證。
- 組織單位 （OU）：組織名稱，例如 Contoso IT。
選取 建立 CSR。
使用 PKI 服務簽署 CSR。請確定 [伺服器驗證] 位於 [擴充金鑰使用方式] 和 certificate authority (CA)=truekeyUsage=critical,keyCertSign,cRLSignbasicConstraints=critical,CA:TRUE [基本擴充功能] 中。以 .pem 格式儲存已簽署的證書。
選取 +上傳憑證。
在 [上傳憑證] 窗體中，上傳 certificate.pem 和 chain.pem 檔案。
選取 [上傳已簽署的憑證]。
憑證上傳之後，狀態會變更為 [作用中]。

如需測試組態，請參閱使用 OpenSSL 和自簽名根憑證授權中心進行測試組態。

步驟 2：全域安全存取管理員：建立 TLS 檢查原則

若要建立 TLS 檢查原則：

在 Microsoft Entra 系統管理中心，移至 [保護>TLS 檢查原則]。
建立新的原則，並將 [動作 ] 設定為 [檢查]。
選取 [儲存]。此設定可針對教育、財務、政府及健康與醫學以外的所有流量類別啟用 TLS 終止。

步驟 3：全域安全存取系統管理員：將 TLS 檢查原則連結至安全性配置檔

將 TLS 檢查原則連結至安全性配置檔。

在啟用使用者流量的 TLS 檢查之前，請確定您的組織已為使用者建立並傳達適當的使用規定（ToU）。此步驟有助於保持透明度，並支持隱私權和同意需求的合規性。

您可以透過兩種方式將 TLS 原則連結至安全性設定檔：

選項 1：將 TLS 原則連結至所有使用者的基準配置檔

使用此方法時，基線概況政策會作為最後一個進行評估，並套用至所有使用者流量。

在 Microsoft Entra 系統管理中心，流覽至 [安全>安全性配置檔]。
切換至 基準配置檔 索引標籤。
選取 [ 編輯配置檔]。
在 [ 鏈接原則 ] 檢視中，選取 [+ 鏈接原則>][現有 TLS 檢查原則]。
在 [鏈接 TLS 檢查原則] 檢視中，選擇 TLS 原則併為其指派優先順序。
選取 ，然後新增。

選項 2：將 TLS 原則連結至特定使用者或群組的安全性配置檔

或者，將 TLS 原則新增至安全性配置檔，並將其連結至特定使用者或群組的條件式存取原則。新的條件式存取原則表單的螢幕快照，其中所有欄位都已填入範例資訊。

步驟 4：測試設定

若要測試組態：

請確保終端使用者裝置已在「受信任的根目錄憑證授權單位」資料夾內安裝根目錄憑證。
設定全域安全存取用戶端：
- 停用安全的 DNS 和內建 DNS。
- 封鎖來自裝置的 QUIC 流量。 Microsoft Entra Internet Access 中不支援 QUIC。當無法建立 QUIC 時，大部分網站都支援使用 TCP 作為後備方案。如需改善的用戶體驗，請部署封鎖輸出 UDP 443 的 Windows 防火牆規則： @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443。
- 請確定已啟用因特網存取流量轉送。 
在用戶端裝置上開啟瀏覽器，並測試各種網站。檢查憑證資訊，並確認全域安全存取憑證。

停用 TLS 檢查

若要停用 TLS 檢查，請執行以下步驟：

從安全性設定檔中移除策略的連結。
1. 流覽至 全域安全存取>安全>安全性設定檔。
2. 切換至 基準配置檔 索引標籤。
3. 選取 [ 編輯配置檔]。
4. 選取 鏈接原則 檢視。
5. 選取您要停用之原則的 [刪除 ] 圖示。
6. 請選取刪除，確認刪除。
移除 TLS 檢查政策：
1. 流覽至 [全域安全存取>安全>TLS 檢查原則]。
2. 選取 [動作]。
3. 選擇刪除。
移除 TLS 檢查政策憑證：
1. 切換至 [TLS 檢查設定 ] 索引標籤。
2. 選取 [動作]。
3. 選擇刪除。

使用 OpenSSL 測試自簽證書的根憑證授權機構

請使用您使用 OpenSSL 建立的自我簽署根證書授權單位（CA）以簽署 CSR，僅供測試之用。若要使用 OpenSSL 進行測試：

如果您還沒有檔案，請使用下列組態建立 openssl.cnf 檔案：

[ rootCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ interCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:1
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ signedCA_ext ]
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
extendedKeyUsage = serverAuth

[ server_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:false
keyUsage = critical, digitalSignature
extendedKeyUsage = serverAuth

使用下列 openssl.cnf 配置檔建立新的根憑證授權中心和私鑰：
openssl req -x509 -new -nodes -newkey rsa:4096 -keyout rootCA.key -sha256 -days 365 -out rootCA.pem -subj "/C=US/ST=US/O=Self Signed/CN=Self Signed Root CA" -config openssl.cnf -extensions rootCA_ext
使用下列命令簽署 CSR： openssl x509 -req -in <CSR file> -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out signedcertificate.pem -days 365 -sha256 -extfile openssl.cnf -extensions signedCA_ext
根據建立 CSR 並上傳已簽署憑證以進行 TLS 終止中的步驟，上傳已簽署的憑證。