Применение политик безопасности к удаленному сетевому трафику

Обзор

Глобальный безопасный доступ позволяет применять комплексные политики безопасности к удаленному сетевому трафику, обеспечивая согласованную защиту по всему периметру сети. Используя базовый профиль безопасности, вы можете применять элементы управления безопасностью на уровне клиента во всех удаленных сетях, не требуя политик условного доступа.

В этой статье объясняется, как настроить и применить политики безопасности для защиты трафика от удаленных сетей, таких как филиалы, розничные расположения и другие удаленные сайты.

Предпосылки

Чтобы применить политики безопасности к удаленному сетевому трафику, необходимо:

Роль глобального администратора безопасного доступа в идентификаторе Microsoft Entra.
Удаленные сети, настроенные и подключенные к глобальному безопасному доступу. Дополнительные сведения см. в статье "Создание удаленной сети".
По крайней мере одна политика безопасности создана (например, фильтрация веб-содержимого, аналитика угроз, проверка TLS, брандмауэр облака).
Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Известные ограничения

Подробные сведения об известных проблемах и ограничениях см. в разделе "Известные ограничения для глобального безопасного доступа".

Общие сведения о базовом профиле безопасности

Базовый профиль безопасности — это специальный профиль безопасности на уровне клиента, который применяется ко всем трафику, перенаправленным через глобальный безопасный доступ, включая как клиентский, так и удаленный сетевой трафик. В отличие от профилей безопасности конкретного пользователя, требующих политик условного доступа, базовый профиль применяет политики на уровне клиента по умолчанию.

Ключевые характеристики базового профиля:

Автоматическое применение: применяется ко всем трафику без настройки политики условного доступа.
Общий охват арендатора: Автоматически применяет политики ко всему удаленному сетевому трафику.
Самый низкий приоритет: работает с приоритетом 65 000 в политическом стеке, позволяя профилям конкретных пользователей переопределять его по мере необходимости.

Дополнительные сведения о концепциях профиля безопасности см. в статье "Общие сведения о Microsoft Entra Internet Access".

Центр администрирования Microsoft Entra
API Microsoft Graph

Выполните следующие действия, чтобы применить политики безопасности к удаленному сетевому трафику с помощью базового профиля.

Шаг 1. Создание или выбор политики безопасности

Если вы еще не создали политику безопасности, создайте ее сначала:

Войдите в Центр администрирования Microsoft Entra в качестве Администратора глобального безопасного доступа.
Перейдите к global Secure Access>Secure и выберите тип политики, которую вы хотите создать, например:
- Политика фильтрации веб-содержимого
- Политики аналитики угроз
- Политики проверки TLS
- Политики брандмауэра облака
Выберите "Создать политику" и настройте правила политики.
Сохраните политику.

Шаг 2. Связывание политики с базовым профилем

Перейдите к Глобальный безопасный доступ>Безопасный>Профили безопасности>Базовый профиль.
Выберите "Изменить профиль".
В представлении политик ссылок выберите "Связать существующую политику>".
Выберите тип политики (например, фильтрацию веб-содержимого, аналитику угроз, проверку TLS или брандмауэр облака).
Выберите политику, которую вы хотите применить, и назначьте ее приоритет.
Нажмите кнопку "Добавить".
Нажмите Сохранить.

Замечание

Базовый профиль безопасности автоматически применяется ко всем трафику, перенаправленным через глобальный безопасный доступ, включая удаленный сетевой трафик. Настройка политики условного доступа не требуется.

Базовый профиль можно настроить программным способом с помощью API доступа к сети Microsoft Graph. Полное руководство по настройке политик доступа к Интернету с помощью Microsoft Graph см. в статье "Настройка Microsoft Entra Internet Access с помощью API Microsoft Graph".

Предварительные требования для доступа к API

Делегированные разрешения: NetworkAccess.Read.All и NetworkAccess.ReadWrite.All.
Клиент API, например Graph Explorer.
Роль глобального администратора безопасного доступа .

Шаг 1. Получение идентификатора базового профиля

Получите идентификатор базового профиля безопасности.

Просьба

GET https://graph.microsoft.com/beta/networkaccess/filteringProfiles

Ответ

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkaccess/filteringProfiles",
  "value": [
    {
      "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
      "name": "Baseline Profile",
      "description": "Default baseline security profile",
      "priority": 65000,
      "state": "enabled",
      "version": "1.0.0",
      "createdDateTime": "2024-01-01T00:00:00Z",
      "lastModifiedDateTime": "2024-01-01T00:00:00Z"
    }
  ]
}

Шаг 2. Создание политики безопасности

Создайте политику безопасности, которую вы хотите применить. В этом примере создается политика фильтрации веб-содержимого.

Просьба

POST https://graph.microsoft.com/beta/networkaccess/filteringPolicies
Content-type: application/json

{
  "name": "Block Social Media for Remote Networks",
  "policyRules": [
    {
      "@odata.type": "#microsoft.graph.networkaccess.webCategoryFilteringRule",
      "name": "Block Social Media",
      "ruleType": "webCategory",
      "destinations": [
        {
          "@odata.type": "#microsoft.graph.networkaccess.webCategory",
          "name": "SocialNetworking"
        }
      ]
    }
  ],
  "action": "block"
}

Ответ

{
  "id": "cccccccc-2222-3333-4444-dddddddddddd",
  "name": "Block Social Media for Remote Networks",
  "description": null,
  "version": "1.0.0",
  "lastModifiedDateTime": "2024-02-11T18:10:28Z",
  "createdDateTime": "2024-02-11T18:10:27Z",
  "action": "block"
}

Шаг 3. Связывание политики с базовым профилем

Свяжите политику безопасности с базовым профилем.

Просьба

POST https://graph.microsoft.com/beta/networkaccess/filteringProfiles/{baseline-profile-id}/policies
Content-type: application/json

{
  "priority": 100,
  "state": "enabled",
  "@odata.type": "#microsoft.graph.networkaccess.filteringPolicyLink",
  "loggingState": "enabled",
  "policy": {
    "id": "cccccccc-2222-3333-4444-dddddddddddd",
    "@odata.type": "#microsoft.graph.networkaccess.filteringPolicy"
  }
}

Ответ

{
  "id": "dddddddd-9999-0000-1111-eeeeeeeeeeee",
  "priority": 100,
  "state": "enabled",
  "version": "1.0.0",
  "loggingState": "enabled",
  "lastModifiedDateTime": "2024-02-11T18:31:32Z",
  "createdDateTime": "2024-02-11T18:31:32Z",
  "policy": {
    "@odata.type": "#microsoft.graph.networkaccess.filteringPolicy",
    "id": "cccccccc-2222-3333-4444-dddddddddddd",
    "name": "Block Social Media for Remote Networks",
    "description": null,
    "version": "1.0.0",
    "action": "block"
  }
}

Проверка применения политики

После настройки политик безопасности для удаленных сетей убедитесь, что они применяются:

Перейдите кглобальному безопасному доступу>монитору>журналам трафика.
Отфильтруйте журналы по трафику из удаленных сетей, применяя фильтр DeviceCategory .
Убедитесь, что заблокированный трафик отображает соответствующие действия и сведения о политике.
Убедитесь, что разрешенный трафик проходит как ожидается.

Замечание

Изменения конфигурации базового профиля обычно вступают в силу в течение нескольких минут. Отслеживайте журналы трафика, чтобы подтвердить применение политик.

Приоритет политики и взаимодействие

Если настроены базовый профиль и профили безопасности для конкретных пользователей:

Профили для конкретных пользователей (связанные с политиками условного доступа) оцениваются сначала и имеют более высокий приоритет.
Базовый профиль работает с наименьшим приоритетом (65 000) и предоставляет резервную стратегию.
Политики в профиле оцениваются на основе их назначенных номеров приоритета (100 является самым высоким приоритетом).
После совпадения политики и принятия действий (блокировать или разрешить), оценка политики останавливается.

Эта конструкция позволяет:

Применение широких политик на уровне клиента с помощью базового профиля.
Переопределите базовые политики для определенных пользователей или групп, используя профили, связанные с условным доступом. Осведомленность пользователей возможна только через клиент глобального безопасного доступа. Трафик, не связанный с клиентами, поступающий через удаленные сети, проходит через базовый профиль.
Обеспечение согласованной защиты для всех удаленных сетевых трафика при сохранении гибкости для исключений.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-03-13

Применение политик безопасности к удаленному сетевому трафику

Обзор

Предпосылки

Известные ограничения

Общие сведения о базовом профиле безопасности

Шаг 1. Создание или выбор политики безопасности

Шаг 2. Связывание политики с базовым профилем

Проверка применения политики

Приоритет политики и взаимодействие

Связанный контент

Обратная связь

Дополнительные ресурсы