Настройка политики Условный доступ Microsoft Entra для Explicit Forward Proxy (предварительная версия)

Прямой прокси-сервер для Интернет-доступ Microsoft Entra зависит от сопоставления IP-адресов, среди прочего, для управления сеансами. Хотя политика условного доступа не обязательна, мы рекомендуем настроить такую, которая ограничивает использование явного прокси-сервера пересылки только в тех сетях, которым доверяет ваша организация. Кроме того, политики условного доступа используются для назначения профилей безопасности Интернет-доступ Microsoft Entra пользователям.

Необходимые условия

• Администраторы, которые настраивают политику условного доступа и управляют политикой условного доступа для явного прокси-сервера, должны иметь по крайней мере роль администратора условного доступа.
• Включите явный форвард-прокси в разделе Global Secure Access>Управление сеансами в центре администрирования Microsoft Entra. Включение явного прокси-сервера пересылки создает идентификатор рабочей нагрузки в клиенте. Этот идентификатор рабочей нагрузки является целью политики условного доступа.
• Настройте профиль безопасности в Глобальном Безопасном Доступе>Профили Безопасности>.
• Определите именованное расположение, представляющее известные корпоративные сети в Условный доступ Microsoft Entra.

Область явного перенаправления прокси-сервера в известные сети

1. Перейдите в центр администрирования Microsoft Entra. В разделе Entra ID выберите Conditional Access. Затем нажмите кнопку +Создать политику.

2. Присвойте политике имя, соответствующее стандартам именования политик вашей организации. Например, используйте GSA — политика известных расположений явного прокси-сервера.

3. В разделе "Назначения" выберите "Пользователи и группы". Как правило, эта политика будет применяться к всем пользователям, и исключения (например, аварийные учетные записи) можно создавать по мере необходимости на вкладке Исключить.

4. В разделе "Целевые ресурсы" выберите "Выбрать ресурсы>",чтобы выбрать определенные ресурсы. Найдите удостоверение рабочей нагрузки GSA-ExplicitForwardProxy и выберите его.

5. На вкладке "Сеть" новой политики выберите "Настроить " и оставьте значения по умолчанию в разделе "Включить " — любая сеть или расположение. В разделе «Исключить» выберите именованное расположение, представляющее известные сети, из которых разрешено использовать прямой прокси-сервер пересылки.

6. На вкладке "Предоставление" выберите "Блокировать".

7. Переключите тумблер Управление политикой в положение Включено, затем нажмите кнопку Создать.

Назначение профилей безопасности явному прокси-серверу пересылки

Профили безопасности назначаются с помощью политик Условный доступ Microsoft Entra. Вы можете назначать политики для явного прокси-сервера пересылки, нацелив идентификатор рабочей нагрузки GSA-ExplicitForwardProxy.

1. Перейдите в центр администрирования Microsoft Entra. В разделе Entra ID выберите Conditional Access. Затем нажмите кнопку +Создать политику.

2. Присвойте политике имя, соответствующее стандартам именования политик вашей организации. Например, используйте GSA — профиль безопасности для явного пересылающего прокси-сервера.

3. В разделе "Назначения" выберите "Пользователи и группы". Политику можно применить ко всем пользователям или создать несколько политик, чтобы назначить разные профили безопасности разным группам пользователей. Настройте исключения (например, аварийные учетные записи) на вкладке "Исключить".

4. В разделе "Целевые ресурсы" выберите "Выбрать ресурсы>",чтобы выбрать определенные ресурсы. Найдите учетную запись удостоверения рабочей нагрузки GSA-ExplicitForwardProxy и выберите её.

5. На вкладке "Сеанс" новой политики выберите "Использовать профиль безопасности глобального безопасного доступа". Вам не нужно настраивать раздел Grant .

6. Установите переключатель Управление политиками в положение Включено, а затем нажмите кнопку Создать.

Связанный контент

• Явное управление сеансами перенаправления прокси-сервера
• Настройка политик веб-фильтрации