Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Профили пересылки трафика в Global Secure Access используются для применения политик к сетевому трафику, который ваша организация хочет защитить и управлять ими. Сетевой трафик оценивается по настроенным политикам пересылки трафика. Профили применяются, а трафик проходит через службу к соответствующим приложениям и ресурсам.
В этой статье описываются профили пересылки трафика и их работа.
Переадресация трафика
Переадресация трафика позволяет настроить тип сетевого трафика для туннелирования через Частный доступ Microsoft Entra и службы Интернет-доступ Microsoft Entra. Профили настраиваются для управления тем, как управляются определенные типы трафика.
Когда трафик поступает через глобальный безопасный доступ, служба оценивает тип трафика сначала через профиль доступа Майкрософт, а затем через профиль частного доступа и, наконец, через профиль доступа к Интернету. Любой трафик, который не соответствует этим трем профилям, не пересылается в глобальный безопасный доступ.
Для каждого профиля пересылки трафика можно настроить следующее:
- Какие пользователи получают профиль пересылки трафика и как ваши пользователи подключаются к службе
- Какой трафик нужно перенаправить в службу
- Какие политики условного доступа применяются
Трафик Майкрософт
Профиль пересылки трафика Майкрософт включает Microsoft Teams, SharePoint Online, Exchange Online и другие приложения Майкрософт. Политики пересылки трафика группируются на основе рабочей нагрузки, например Exchange Online. Вы можете перенаправить трафик из каждой группы в глобальный безопасный доступ или обойти его.
Трафик Майкрософт пересылается в службу через удаленное сетевое подключение, например расположение филиала или через клиент глобального безопасного доступа.
Дополнительные сведения о профиле трафика Майкрософт
Лицензирование
Для профиля трафика Майкрософт требуются следующие лицензии:
- Microsoft Entra ID P1 или P2 (предварительные требования).
Закрытый доступ
С помощью профиля приватного доступа можно маршрутизировать трафик к частным ресурсам. Этот профиль пересылки трафика требует настройки быстрого доступа, который включает полные доменные имена (FQDN) и IP-адреса частных приложений и ресурсов, которые вы хотите перенаправить в службу.
Трафик частного доступа можно перенаправить в службу, подключившись через десктоп-клиент Global Secure Access.
Лицензирование
Для частного профиля доступа требуются следующие лицензии:
- Microsoft Entra ID P1 или P2 (предварительные требования).
- Частный доступ Microsoft Entra или Microsoft Entra Suite.
Доступ к Интернету
С помощью профиля доступа к Интернету можно маршрутизировать трафик в общедоступный Интернет, включая трафик к приложениям SaaS. Этот профиль пересылки трафика состоит из предварительно заполненного списка регулярных выражений для полных доменных имен (FQDN) и IP-адресов, представляющих общедоступный Интернет.
Заметка
Профиль доступа к Интернету не включает интернет-ресурсы, доступные в профиле трафика Microsoft. Для полного покрытия включите профиль трафика Майкрософт вместе с профилем доступа к Интернету.
Трафик доступа в Интернет можно перенаправить на службу, подключившись через настольный клиент Global Secure Access.
Лицензирование
Для профиля доступа к Интернету требуются следующие лицензии:
- Microsoft Entra ID P1 или P2 (предварительные требования).
- Microsoft Entra Internet Access или Microsoft Entra Suite.
Трафик Microsoft Entra
Профиль трафика Microsoft Entra — это выделенный системный профиль в глобальном безопасном доступе, который обрабатывает весь трафик проверки подлинности и трафика, связанного с удостоверениями для служб Microsoft Entra. Этот профиль работает независимо от других профилей трафика (таких как приватный или интернет-доступ), гарантируя, что трафик идентификации всегда приобретается и защищается, независимо от SKU или присвоения лицензии. Поскольку это профиль, управляемый системой, администраторы не могут его видеть на портале.
Ключевые характеристики:
- Всегда включен с любым профилем: трафик Microsoft Entra автоматически включается как только активируется любой другой профиль пересылки трафика. Вы не можете включить или отключить его независимо.
- Самый высокий приоритет политики: трафик Microsoft Entra приоритетен в политике клиента, чтобы гарантировать, что он всегда обрабатывается первым, используя mTLS и проверку подлинности на основе сертификатов для безопасного туннелирования.
- Явное назначение не требуется: не требуется явное назначение пользователя или ветви. Трафик Microsoft Entra включается автоматически с любым активным профилем.
- Комплексное покрытие. Профиль охватывает определенный набор полных доменных имен и диапазонов IP-адресов, связанных с конечными точками проверки подлинности Microsoft Entra, включая вход, API Graph и службы проверки сертификатов.
Заметка
Если вы используете условия сети в политиках условного доступа, включите сигнал условного доступа для идентификатора Microsoft Entra в глобальном безопасном доступе. См. раздел "Включить сигнал глобального безопасного доступа" для условного доступа.