共用方式為

了解 Microsoft 和 Zscaler 如何與安全服務邊緣(SSE)整合共存

在現今快速發展的數字環境中,組織需要健全且統一的解決方案,以確保安全且順暢的連線能力。 Microsoft和 Zscaler 提供互補的安全存取服務 Edge (SASE) 功能,在整合時,可為各種存取案例提供增強的安全性和連線能力。

本指南概述如何設定及部署Microsoft Entra 解決方案,以及 Zscaler 的安全性服務 Edge (SSE) 供應專案。 藉由使用這兩個平臺的優點,您可以優化組織的安全性狀態,同時維護私人應用程式的高效能連線、Microsoft 365 流量和因特網存取。

  1. Microsoft Entra Private Access 與 Zscaler Internet Access

    在此案例中,全域安全存取會處理私人應用程式流量。 Zscaler 只會擷取因特網流量。 因此,Zscaler Private Access 模組會從 Zscaler 入口網站停用。

  2. Microsoft使用 Zscaler Private Access 和 Zscaler Internet Access 進入私人存取

    在此案例中,這兩個用戶端都會處理個別私人應用程式的流量。 全域安全存取會在 Microsoft Entra Private Access 中處理私人應用程式。 Zscaler 中的私人應用程式會使用 Zscaler Private Access 模組。 Zscaler Internet Access 會處理因特網流量。

  3. Microsoft Entra Microsoft Access 搭配 Zscaler Private Access 和 Zscaler Internet Access

    在此案例中,全域安全存取會處理所有Microsoft 365 流量。 Zscaler Private Access 會處理私人應用程式流量,Zscaler Internet Access 會處理因特網流量。

  4. Microsoft Entra Internet Access、Microsoft Entra Access 以及使用 Zscaler Private Access

    在此案例中,全域安全存取會處理因特網和Microsoft 365 流量。 Zscaler 只會擷取私人應用程式流量。 因此,Zscaler Internet Access 模組在 Zscaler 入口網站被停用。

先決條件

若要為統一 SASE 解決方案設定Microsoft和 Zscaler,請從設定 Microsoft Entra Internet Access 和 Microsoft Entra Private Access 開始。 接下來,設定 Zscaler Private Access 和 Zscaler 因特網存取。 最後,請務必建立必要的 FQDN 和 IP 繞過,以確保兩個平台之間的順暢整合。

  • 設定 Microsoft Entra Internet Access 和 Microsoft Entra Private Access。 這些產品構成全域安全存取解決方案。
  • 設定 Zscaler Private Access 和 Internet Access
  • 配置全球安全存取的 FQDN 和 IP 例外規則

Microsoft全域安全存取

若要設定Microsoft Entra Global Secure Access,並測試本檔中的所有案例:

Zscaler Private Access 和 Internet Access

若要整合 Zscaler Private Access 和 Zscaler Internet Access 與 Microsoft Global Secure Access,請務必完成下列必要條件。 這些步驟可確保順暢整合、更好的流量管理,以及改善的安全性。

全域安全存取服務會繞過 FQDN 和 IP

設定 Zscaler Client Connector 應用程式設定檔,以使用 Microsoft Entra 服務完整網域名稱(FQDN)和網際網路協定(IP)位址。

每個情境的應用程式配置檔案中都必須有這些項目:

  • IP:150.171.15.0/24、、150.171.18.0/24150.171.19.0/24150.171.20.0/2413.107.232.0/2413.107.233.0/24、、、 151.206.0.0/166.6.0.0/16
  • FQDN:internet.edgediagnostic.globalsecureaccess.microsoft.comm365.edgediagnostic.globalsecureaccess.microsoft.comprivate.edgediagnostic.globalsecureaccess.microsoft.comaps.globalsecureaccess.microsoft.comauth.edgediagnostic.globalsecureaccess.microsoft.com<tenantid>.internet.client.globalsecureaccess.microsoft.com<tenantid>.m365.client.globalsecureaccess.microsoft.com<tenantid>.private.client.globalsecureaccess.microsoft.com<tenantid>.auth.client.globalsecureaccess.microsoft.com<tenantid>.private-backup.client.globalsecureaccess.microsoft.com<tenantid>.internet-backup.client.globalsecureaccess.microsoft.com<tenantid>.m365-backup.client.globalsecureaccess.microsoft.com<tenantid>.auth-backup.client.globalsecureaccess.microsoft.com
  • 安裝及設定 Zscaler Client Connector 軟體。

設定 1:Microsoft Entra Private Access 與 Zscaler Internet Access 配合使用

在此案例中,Microsoft Entra Private Access 會處理私人應用程式流量,而 Zscaler Internet Access 則管理因特網流量。 Zscaler Private Access 模組在 Zscaler 入口網站中已停用。 若要設定 Microsoft Entra Private Access,您需要完成數個步驟。 首先,啟用轉寄設定檔。 接下來,安裝專用網連接器。 之後,請設定快速存取並設定私人 DNS。 最後,安裝全域安全存取用戶端。 針對 Zscaler Internet Access,設定牽涉到建立轉送配置檔和應用程式配置檔、新增Microsoft Entra 服務的略過規則,以及安裝 Zscaler 用戶端連接器。 最後,會驗證組態,並測試流量流程,以確保個別解決方案正確處理私人和因特網流量。

Microsoft Entra 私人存取 組態

在此案例中,您需要:

Zscaler Internet Access 設定

在 Zscaler 入口網站中執行:

  • 設置及配置 Zscaler 網際網路存取
  • 建立轉送配置檔。
  • 建立應用程式設定檔。
  • 安裝 Zscaler 用戶端連接器

從用戶端連接器入口網站新增轉送設定檔:

  1. 流覽至 Zscaler Client Connector 管理入口網站>管理>轉寄配置檔>新增轉寄配置檔
  2. 新增設定檔名稱,例如 ZIA Only
  3. 通道驅動程式類型中選取[基於封包篩選]
  4. 選取轉送設定檔動作為通道,然後選取通道版本。 例如, Z-Tunnel 2.0
  5. 向下捲動至 ZPA 的傳送設定檔動作
  6. 針對本節中的所有選項,選取 [無 ]。

從用戶端連接器入口網站新增應用程式設定檔:

  1. 導航到 Zscaler Client Connector 管理入口網站>應用程式設定檔>Windows(或 macOS)>新增 Windows 原則(或 macOS)。
  2. 新增 名稱,設定 規則順序 ,例如 1,選取 [啟用],選取 [使用者] ,以套用此原則,然後選取 [ 轉送配置檔]。 例如,選取 [僅限 ZIA]。
  3. 向下捲動,將 Microsoft SSE 服務的 IP 位址和 FQDN 新增至 [全域安全存取服務 FQDN 和 IP 排除] 區段中的 [VPN 閘道的主機名或 IP 位址排除] 欄位。

移至系統匣,檢查全域安全存取和 Zscaler 用戶端是否已啟用。

確認客戶端的組態:

  1. 以滑鼠右鍵按兩下 [全域安全存取用戶端>進階診斷>轉送配置檔 ],並確認私人存取和私人 DNS 規則已套用至此用戶端。
  2. 請轉到進階診斷>健康檢查並確認所有檢查都正常。
  3. 以滑鼠右鍵按兩下 Zscaler 用戶端>開啟 Zscaler>更多。 確認 應用程式原則 符合先前步驟中的組態。 驗證其為最新狀態或更新。
  4. 流覽至 Zscaler 用戶端>因特網安全性。 確認 服務狀態ON ,且驗證狀態為 Authenticated
  5. 流覽至 Zscaler 用戶端私人存取。 確認 服務狀態DISABLED

備註

如需針對健康檢查失敗進行疑難排解的資訊,請參閱 全域安全存取用戶端診斷疑難排解 - 健康檢查

測試流量:

  1. 在系統匣中,以滑鼠右鍵按兩下 [全域安全存取用戶端 ],然後選取 [ 進階診斷]。 選取 流量 標籤,然後選取 開始收集
  2. 從瀏覽器存取這些網站: bing.comsalesforce.comInstagram.com
  3. 在系統匣中,以滑鼠右鍵按兩下 [ 全域安全存取用戶端 ],然後選取 [ 進階診斷>流量 ] 索引標籤。
  4. 捲動以觀察全域安全存取用戶端 不會 從這些網站擷取流量。
  5. 登入 Microsoft Entra 系統管理中心,並流覽至全域安全存取>> 驗證與這些網站相關的流量是否沒有出現在全域安全存取流量記錄中。
  6. 登入 Zscaler Internet Access (ZIA) 系統管理入口網站,並流覽至 Analytics>Web Insights>記錄。 驗證與這些網站相關的流量存在於 Zscaler 記錄中。
  7. 存取在 Microsoft Entra Private Access 中設定的私人應用程式。 例如,透過伺服器訊息區塊存取檔案共用(SMB)。
  8. 登入 Microsoft Entra 系統管理中心,並流覽至全域安全存取>>
  9. 驗證與檔案共用相關的流量 是在 全域安全存取流量記錄中擷取的。
  10. 登入 Zscaler Internet Access (ZIA) 系統管理入口網站,並流覽至 Analytics>Web Insights>記錄。 確認與私人應用程式相關的流量不存在於儀錶板或流量記錄中。
  11. 在系統匣中,以滑鼠右鍵按兩下 [全域安全存取用戶端 ],然後選取 [ 進階診斷]。 在 [ 流量 ] 對話框中,選取 [ 停止收集]。
  12. 捲動以確認全域安全存取用戶端只處理私人應用程式流量。

設定 2:Microsoft Entra Private Access 搭配 Zscaler Private Access 和 Zscaler 網際網路存取

在此案例中,這兩個用戶端都會處理個別私人應用程式的流量。 全域安全存取會在 Microsoft Entra Private Access 中處理私人應用程式。 Zscaler 中的私人應用程式會使用 Zscaler Private Access 模組。 Zscaler Internet Access 會處理因特網流量。

Microsoft Entra Private Access 配置 2

在此案例中,您需要:

Zscaler Private Access 和 Zscaler Internet Access 設定 2

在 Zscaler 入口網站中執行步驟:

  • 設置並配置 Zscaler Internet Access 和 Zscaler Private Access。
  • 建立轉送配置檔。
  • 建立應用程式設定檔。
  • 安裝 Zscaler 用戶端連接器。

從用戶端連接器入口網站新增轉送設定檔:

  1. 流覽至 Zscaler Client Connector 管理入口網站>管理>轉寄配置檔>新增轉寄配置檔
  2. 新增設定檔名稱,例如 ZIA and ZPA
  3. 通道驅動程式類型中選取[基於封包篩選]
  4. 選取 [轉送配置檔] 動作作為 [隧道],然後選取 [隧道版本]。 例如: Z-Tunnel 2.0
  5. 向下捲動至 ZPA 的傳送設定檔動作
  6. 針對本節中的所有選項選取 [通道]。

從用戶端連接器入口網站新增應用程式設定檔:

  1. 導航到 Zscaler Client Connector 管理入口網站>應用程式設定檔>Windows(或 macOS)>新增 Windows 原則(或 macOS)。
  2. 新增 名稱,設定 規則順序 ,例如 1,選取 [啟用],選取 [使用者] ,以套用此原則,然後選取 [ 轉送配置檔]。 例如,選取 [ZIA] 和 [ZPA]。
  3. 向下捲動,將 Microsoft SSE 服務的 IP 位址和 FQDN 新增至 [全域安全存取服務 FQDN 和 IP 排除] 區段中的 [VPN 閘道的主機名或 IP 位址排除] 欄位。

移至系統匣,檢查全域安全存取和 Zscaler 用戶端是否已啟用。

確認客戶端的組態:

  1. 以滑鼠右鍵按兩下 [全域安全存取用戶端>進階診斷>轉送配置檔 ],並確認私人存取和私人 DNS 規則已套用至此用戶端。
  2. 請轉到進階診斷>健康檢查並確認所有檢查都正常。
  3. 以滑鼠右鍵按兩下 Zscaler 用戶端>開啟 Zscaler>更多。 確認 應用程式原則 符合先前步驟中的組態。 驗證其為最新狀態或更新。
  4. 流覽至 Zscaler 用戶端>因特網安全性。 確認 服務狀態ON ,且驗證狀態為 Authenticated
  5. 流覽至 Zscaler 用戶端私人存取。 確認 服務狀態ON ,且驗證狀態為 Authenticated

備註

如需針對健康檢查失敗進行疑難排解的資訊,請參閱 全域安全存取用戶端診斷疑難排解 - 健康檢查

測試流量:

  1. 在系統匣中,以滑鼠右鍵按兩下 [全域安全存取用戶端 ],然後選取 [ 進階診斷]。 選取 流量 標籤,然後選取 開始收集
  2. 從瀏覽器存取這些網站: bing.comsalesforce.comInstagram.com
  3. 在系統匣中,以滑鼠右鍵按兩下 [ 全域安全存取用戶端 ],然後選取 [ 進階診斷>流量 ] 索引標籤。
  4. 捲動以觀察全域安全存取用戶端 不會 從這些網站擷取流量。
  5. 登入 Microsoft Entra 系統管理中心,並流覽至全域安全存取>> 驗證與這些網站相關的流量是否沒有出現在全域安全存取流量記錄中。
  6. 登入 Zscaler Internet Access (ZIA) 系統管理入口網站,並流覽至 Analytics>Web Insights>記錄。
  7. 驗證與這些網站相關的流量存在於 Zscaler 記錄中。
  8. 存取在 Microsoft Entra Private Access 中設定的私人應用程式。 例如,透過SMB存取檔案共用。
  9. 存取在 Zscaler Private Access 中設定的私人應用程式。 例如,開啟私人伺服器的 RDP 連線。
  10. 登入 Microsoft Entra 系統管理中心,並流覽至全域安全存取>>
  11. 驗證已擷取與 SMB 檔案共用私人應用程式相關的流量,且確認未在全域安全存取流量記錄中擷取與 RDP 會話相關的流量。
  12. 登入 Zscaler Private Access (ZPA) 系統管理入口網站,並流覽至 [分析>診斷記錄>]。 驗證與 RDP 會話相關的流量是否存在,且與 SMB 檔案共用相關的流量 不在 儀錶板或診斷記錄中。
  13. 在系統匣中,以滑鼠右鍵按兩下 [全域安全存取用戶端 ],然後選取 [ 進階診斷]。 在 [ 流量 ] 對話框中,選取 [ 停止收集]。
  14. 捲動以確認全域安全存取用戶端已處理SMB檔案共用的私人應用程式流量,且未處理 RDP 會話流量。

設定 3:Microsoft Entra Microsoft Access 與 Zscaler Private Access 和 Zscaler Internet Access 連接使用

在此案例中,全域安全存取會處理所有Microsoft 365 流量。 Zscaler Private Access 會處理私人應用程式流量,Zscaler Internet Access 會處理因特網流量。

Microsoft Entra Microsoft Access 設定 3

在此案例中,您需要:

Zscaler Private Access 和 Zscaler Internet Access 設定 3

在 Zscaler 入口網站中執行:

  • 設定及配置 Zscaler Private Access。
  • 建立轉送配置檔。
  • 建立應用程式設定檔。
  • 安裝 Zscaler 用戶端連接器。

從用戶端連接器入口網站新增轉送設定檔:

  1. 流覽至 Zscaler Client Connector 管理入口網站>管理>轉寄配置檔>新增轉寄配置檔
  2. 新增設定檔名稱,例如 ZIA and ZPA
  3. 通道驅動程式類型中選取[基於封包篩選]
  4. 選取 [轉送配置檔] 動作作為 [隧道],然後選取 [隧道版本]。 例如: Z-Tunnel 2.0
  5. 向下捲動至 ZPA 的傳送設定檔動作
  6. 針對本節中的所有選項選取 [通道]。

從用戶端連接器入口網站新增應用程式設定檔:

  1. 導航到 Zscaler Client Connector 管理入口網站>應用程式設定檔>Windows(或 macOS)>新增 Windows 原則(或 macOS)。
  2. 新增 名稱,設定 規則順序 ,例如 1,選取 [啟用],選取 [使用者] ,以套用此原則,然後選取 [ 轉送配置檔]。 例如,選取 [ZIA] 和 [ZPA]。
  3. 向下捲動,將 Microsoft SSE 服務的 IP 位址和 FQDN 新增至 [全域安全存取服務 FQDN 和 IP 排除] 區段中的 [VPN 閘道的主機名或 IP 位址排除] 欄位。

移至系統匣,檢查全域安全存取和 Zscaler 用戶端是否已啟用。

確認客戶端的組態:

  1. 以滑鼠右鍵按兩下 [全域安全存取用戶端>進階診斷>轉送配置檔 ],並確認只有Microsoft 365 個規則套用至此用戶端。
  2. 請轉到進階診斷>健康檢查並確認所有檢查都正常。
  3. 以滑鼠右鍵按兩下 Zscaler 用戶端>開啟 Zscaler>更多。 確認 應用程式原則 符合先前步驟中的組態。 驗證其為最新狀態或更新。
  4. 流覽至 Zscaler 用戶端>因特網安全性。 確認 服務狀態ON ,且驗證狀態為 Authenticated
  5. 流覽至 Zscaler 用戶端私人存取。 確認 服務狀態ON ,且驗證狀態為 Authenticated

備註

如需針對健康檢查失敗進行疑難排解的資訊,請參閱 全域安全存取用戶端診斷疑難排解 - 健康檢查

測試流量:

  1. 在系統匣中,以滑鼠右鍵按兩下 [全域安全存取用戶端 ],然後選取 [ 進階診斷]。 選取 流量 標籤,然後選取 開始收集
  2. 從瀏覽器存取這些網站: bing.comsalesforce.comInstagram.com
  3. 在系統匣中,以滑鼠右鍵按兩下 [ 全域安全存取用戶端 ],然後選取 [ 進階診斷>流量 ] 索引標籤。
  4. 捲動以觀察全域安全存取用戶端 不會 從這些網站擷取流量。
  5. 登入 Microsoft Entra 系統管理中心,並流覽至全域安全存取>> 驗證與這些網站相關的流量是否沒有出現在全域安全存取流量記錄中。
  6. 登入 Zscaler Internet Access (ZIA) 系統管理入口網站,並流覽至 Analytics>Web Insights>記錄。
  7. 驗證與這些網站相關的流量存在於 Zscaler 記錄中。
  8. 存取在 Zscaler Private Access 中設定的私人應用程式。 例如,開啟私人伺服器的 RDP 連線。
  9. 登入 Microsoft Entra 系統管理中心,並流覽至全域安全存取>>
  10. 驗證 RDP 連線相關的流量 不在 Global Secure Access 流量記錄中
  11. 登入 Zscaler Private Access (ZPA) 系統管理入口網站,並流覽至 [分析>診斷記錄>]。 請驗證 RDP 工作階段相關的流量是否出現在控制台或診斷記錄中。
  12. Access Outlook Online (outlook.com, , outlook.office.comoutlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com)。
  13. 在系統匣中,以滑鼠右鍵按兩下 [全域安全存取用戶端 ],然後選取 [ 進階診斷]。 在 [ 流量 ] 對話框中,選取 [ 停止收集]。
  14. 捲動以確認全域安全存取用戶端只處理Microsoft 365 流量。
  15. 您也可以驗證流量是否已在全域安全存取流量記錄中擷取。 在 Microsoft Entra 系統管理中心,流覽至 [全域安全存取]>監控>流量記錄
  16. 驗證與 Outlook Online 和 SharePoint Online 相關的流量在 Analytics>Web Insights>中缺少 Zscaler Internet Access 記錄

設定 4:Microsoft Entra Internet Access 和 Microsoft Entra Microsoft Access 和 Zscaler Private Access

在此案例中,全域安全存取會處理因特網和Microsoft 365 流量。 Zscaler 只會擷取私人應用程式流量。 因此,Zscaler Internet Access 模組在 Zscaler 入口網站被停用。

** Microsoft Entra 網際網路 和 Microsoft Access 設定 4

在此案例中,您必須設定:

在全域安全存取中新增 Zscaler 的自定義略過:

  1. 登入 Microsoft Entra 系統管理中心,並瀏覽至全域安全存取>連線>流量轉送>網際網路存取設定檔。 在 [因特網存取原則] 下,選取 [檢視]。
  2. 展開 [自定義略過 ],然後選取 [新增規則]。
  3. 保留目的地類型 FQDN ,並在 [目的地 ] 中輸入 *.prod.zpath.net
  4. 選取 [儲存]。

Zscaler Private Access 設定 4

在 Zscaler 入口網站中執行程式:

  • 設定及配置 Zscaler Private Access。
  • 建立轉送配置檔。
  • 建立應用程式設定檔。
  • 安裝 Zscaler 用戶端連接器。

從用戶端連接器入口網站新增轉送設定檔:

  1. 流覽至 Zscaler Client Connector 管理入口網站>管理>轉送配置檔>新增轉送配置檔
  2. 新增設定檔名稱,例如 ZPA Only
  3. 通道驅動程式類型中選取[基於封包篩選]
  4. 選擇 [轉送設定檔操作] 為
  5. 向下捲動至 ZPA 的傳送設定檔動作
  6. 針對本節中的所有選項選取 [通道]。

從用戶端連接器入口網站新增應用程式設定檔:

  1. 導航到 Zscaler Client Connector 管理入口網站>應用程式設定檔>Windows(或 macOS)>新增 Windows 原則(或 macOS)。
  2. 新增 名稱,設定 規則順序 ,例如 1,選取 [啟用],選取 [使用者] ,以套用此原則,然後選取 [ 轉送配置檔]。 例如,選取 [僅限 ZPA]。
  3. 向下捲動,將 Microsoft SSE 服務的 IP 位址和 FQDN 新增至 [全域安全存取服務 FQDN 和 IP 排除] 區段中的 [VPN 閘道的主機名或 IP 位址排除] 欄位。

開啟系統匣,檢查全域安全存取和 Zscaler 用戶端是否已啟用。

確認客戶端的組態:

  1. 以滑鼠右鍵按兩下 [全域安全存取用戶端>進階診斷>轉送配置檔 ],並確認已將此用戶端套用Microsoft 365 和因特網存取規則。
  2. 展開網路存取規則 > 確認自定義繞過 *.prod.zpath.net 存在於設定檔中。
  3. 請轉到進階診斷>健康檢查並確認所有檢查都正常。
  4. 以滑鼠右鍵按兩下 Zscaler 用戶端>開啟 Zscaler>更多。 確認 應用程式原則 符合先前步驟中的組態。 驗證其為最新狀態或更新。
  5. 流覽至 Zscaler 用戶端私人存取。 確認 服務狀態ON ,且驗證狀態為 Authenticated
  6. 流覽至 Zscaler 用戶端>因特網安全性。 確認 服務狀態DISABLED

備註

如需針對健康檢查失敗進行疑難排解的資訊,請參閱 全域安全存取用戶端診斷疑難排解 - 健康檢查

測試流量:

  1. 在系統匣中,以滑鼠右鍵按兩下 [全域安全存取用戶端 ],然後選取 [ 進階診斷]。 選取 流量 標籤,然後選取 開始收集
  2. 從瀏覽器存取這些網站:bing.com、、salesforce.comInstagram.comOutlook Online (outlook.com、、outlook.office.comoutlook.office365.com、)、SharePoint Online (<yourtenantdomain>.sharepoint.com)。
  3. 登入 Microsoft Entra 系統管理中心,並流覽至全域安全存取>> 在全域安全存取流量記錄中擷取與這些網站相關的流量。
  4. 存取在 Zscaler Private Access 中設定的私人應用程式。 例如,使用遠端桌面 (RDP)。
  5. 登入 Zscaler Private Access (ZPA) 系統管理入口網站,並流覽至 [分析>診斷記錄>]。 請驗證 RDP 工作階段相關的流量是否出現在控制台或診斷記錄中。
  6. 登入 Zscaler Internet Access (ZIA) 系統管理入口網站,並流覽至 Analytics>Web Insights>記錄。 驗證來自 Microsoft 365 和因特網的流量,例如 Instagram.com、Outlook Online 及 SharePoint Online,是否遺漏在 ZIA 記錄中。
  7. 在系統匣中,以滑鼠右鍵按兩下 [全域安全存取用戶端 ],然後選取 [ 進階診斷]。 在 [ 流量 ] 對話框中,選取 [ 停止收集]。
  8. 捲動以觀察全域安全存取用戶端 不會 從私人應用程式擷取流量。 此外,請注意 Global Secure Access 用戶端 正在 擷取 Microsoft 365 和其他網際網路流量。