Настройка фильтрации веб-контента в системе Global Secure Access

Обзор

Фильтрация веб-содержимого позволяет реализовать детализированные элементы управления доступом к Интернету для вашей организации на основе классификации веб-сайтов.

Интернет-доступ Microsoft Entra первые функции безопасного веб-шлюза (SWG) включают фильтрацию веб-содержимого на основе доменных имен. Microsoft интегрирует гранулированные политики фильтрации с Microsoft Entra ID и Условный доступ Microsoft Entra, что приводит к политикам фильтрации, которые учитывают пользователей, контекст и удобны в управлении.

Функция веб-фильтрации в настоящее время поддерживает фильтрацию веб-категорий на основе URL-адресов с учетом контекста, фильтрацию URL-адресов и фильтрацию FQDN (полных доменных имён).

Подсказка

Сведения о фильтрации на основе типов файлов (типы MIME) и интеграции с Microsoft Purview для предотвращения потери данных см. в статье Create политика содержимого для фильтрации содержимого сетевого файла.

Предварительные условия

  • Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.

  • Выполните инструкцию по началу работы с руководством по глобальному безопасному доступу .

  • Установите клиент Global Secure Access на устройствах конечных пользователей.

  • Для туннелирования сетевого трафика необходимо отключить систему доменных имен (DNS) по протоколу HTTPS (Secure DNS). Используйте правила полных доменных имен (FQDN) в профиле пересылки трафика. Дополнительные сведения см. в разделе "Настройка DNS-клиента для поддержки DoH".

  • Отключите встроенный DNS-клиент в Chrome и Microsoft Edge.

  • Трафик IPv6 не приобретается клиентом и поэтому передается непосредственно в сеть. Чтобы включить туннелирование всего соответствующего трафика, установите для свойств сетевого адаптера предпочтение на IPv4.

  • Трафик протокола UDP (то есть QUIC) не поддерживается в текущей предварительной версии Доступа к Интернету. Большинство веб-сайтов поддерживают резервный вариант протокола управления передачей (TCP), если не удается установить QUIC. Для улучшения пользовательского интерфейса можно развернуть правило брандмауэра Windows, которое блокирует исходящий UDP 443: New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.

  • Ознакомьтесь с концепциями фильтрации веб-содержимого. Дополнительные сведения см. в разделе "Фильтрация веб-содержимого".

Шаги высокого уровня

Существует несколько шагов по настройке фильтрации веб-содержимого. Запишите, где необходимо настроить политику условного доступа.

  1. Включите переадресацию трафика в Интернете.
  2. Создайте политику фильтрации веб-содержимого.
  3. Создайте профиль безопасности.
  4. Свяжите профиль безопасности с политикой условного доступа.
  5. Назначьте пользователей или группы для профиля пересылки трафика.

Включение перенаправления трафика в Интернет

Первым шагом является включение профиля пересылки трафика через Интернет. Дополнительные сведения о профиле и его включении см. в статье "Управление профилем пересылки трафика через Интернет".

Создание политики фильтрации веб-содержимого

  1. Перейдите к Global Secure AccessSecure политике фильтрации веб-содержимого .
  2. Выберите "Создать политику".
  3. Введите имя и описание политики и нажмите кнопку "Далее".
  4. Выберите "Добавить правило".
  5. Введите имя, выберите веб-категорию, допустимый URL-адрес или допустимое полное доменное имя, а затем нажмите кнопку "Добавить".
    • Допустимые URL-адреса и полные доменные имена в этой функции также могут включать подстановочные знаки с помощью символа звездочки *, а также могут быть списками, разделенными запятыми.
    • При вводе FQDN (полных доменных имён) используйте только сам домен. Не включать протоколы (например https://, номера портов или URL-пути). Например, введите contoso.com вместо https://contoso.com:443/path.
    • Чтобы сопоставить все поддомены домена, используйте формат *.domain.comподстановочных знаков. Обратите внимание, что подстановочный знак *.domain.com соответствует поддоменам, таким как, www.domain.com но не соответствует самому корневому домену domain.com . Чтобы охватывать как домен, так и все его поддомены, включите обе записи в виде разделенного запятыми списка (например, *.contoso.com,contoso.com).
    • При вводе нескольких полных доменных имен в разделенном запятыми списке не включайте пробелы между записями (например, contoso.com,fabrikam.com,*.example.com).
    • Обратите внимание, что предварительная версия фильтрации URL-адресов поддерживает не более 1000 URL-адресов для каждого клиента.
  6. Выберите Далее, чтобы просмотреть политику, а затем выберите Создать политику.

Создание профиля безопасности

Профили безопасности — это группа политик фильтрации. Вы можете назначить профили безопасности с помощью политик Условный доступ Microsoft Entra или связать их. Один профиль безопасности может содержать несколько политик фильтрации. И один профиль безопасности может быть связан с несколькими политиками условного доступа.

На этом шаге вы создадите профиль безопасности для группирования политик фильтрации. Затем вы назначаете профили безопасности с политикой условного доступа или связываете их с учетом пользователя или контекста.

Примечание.

Дополнительные сведения о политиках Условный доступ Microsoft Entra см. в разделе Создание политики условного доступа.

  1. Перейдите к Глобальному безопасному доступу>Безопасные>профили безопасности.
  2. Выберите "Создать профиль".
  3. Введите имя и описание политики и нажмите кнопку "Далее".
  4. Выберите "Привязать политику", а затем выберите "Существующая политика".
  5. Выберите уже созданную политику фильтрации веб-содержимого и нажмите кнопку "Добавить".
  6. Нажмите кнопку "Далее", чтобы просмотреть профиль безопасности и связанную политику.
  7. Выберите "Создать профиль".
  8. Выберите "Обновить" , чтобы обновить страницу профилей и просмотреть новый профиль.

Создайте политику условного доступа для конечных пользователей или групп и доставьте профиль безопасности с помощью элементов управления сеансом условного доступа. Условный доступ — это механизм предоставления осведомлённости о пользователях и контексте для политик доступа в интернет. Дополнительные сведения об элементах управления сеансами см. в разделе "Условный доступ: сеанс".

  1. Войдите в Центр администрирования Microsoft Entra по крайней мере с правами Администратора условного доступа.
  2. Перейдите к Entra ID>Условный доступ>Политики.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Организации должны создать значимый стандарт для имен своих политик.
  5. В разделе "Назначения" выберите "Пользователи" или "Идентификаторы рабочей нагрузки".
    1. В разделе Включить выберите Все пользователи.
  6. Выберите целевые ресурсы и все интернет-ресурсы с помощью глобального безопасного доступа.
  7. Выберите Сессию>, используйте профиль безопасности глобального безопасного доступа, а затем выберите профиль безопасности.
  8. Нажмите кнопку "Выбрать".
  9. В разделе "Включить политику " убедитесь, что выбран параметр On .
  10. Нажмите кнопку "Создать".

Примечание.

Предварительная версия явного прокси-сервера пересылки (EFP) в настоящее время не включена в группу все интернет-ресурсы с Global Secure Access. Если ваши пользователи используют явный прокси-сервер пересылки (предварительная версия), следуйте инструкциям, описанным в документе Как настроить политики условного доступа EFP

Включение фильтрации веб-содержимого для удаленного сетевого трафика

Удаленное сетевое подключение позволяет подключать филиалы и другие удаленные расположения к глобальному безопасному доступу без установки клиента на отдельных устройствах. Дополнительные сведения о удаленном сетевом подключении см. в разделе "Глобальный безопасный доступ" для удаленного сетевого подключения.

Базовый профиль безопасности можно использовать для применения политик фильтрации веб-содержимого на уровне клиента ко всему удаленному сетевому трафику. Базовый профиль применяет политики с наименьшим приоритетом в стеке политик и применяется ко всем трафику Интернет-доступа, перенаправленным через службу, что делает его идеальным для защиты удаленных сетевых расположений.

  1. Перейдите к Глобальный безопасный доступ>Безопасный>Профили безопасности>Базовый профиль.

  2. Выберите "Привязать политику", а затем выберите "Существующая политика".

  3. Выберите политику фильтрации веб-содержимого, которую нужно применить к удаленному сетевому трафику, и нажмите кнопку "Добавить".

  4. Базовый профиль автоматически применяется ко всему удаленному сетевому трафику без необходимости в политике условного доступа.

    Снимок экрана страницы

Примечание.

Базовый профиль безопасности применяется ко всем трафику, перенаправленным через глобальный безопасный доступ, включая как клиентский, так и удаленный сетевой трафик. Конфигурация политики условного доступа не требуется для удаленного сетевого трафика, так как базовый профиль применяет политики по умолчанию.

Дополнительные сведения о применении политик безопасности к удаленным сетям см. в разделе "Применение политик безопасности к удаленному сетевому трафику".

Схема потока доступа к Интернету

Этот пример показывает поток трафика Интернет-доступ Microsoft Entra с применением политик фильтрации веб-содержимого.

На следующей схеме потоков показана блокировка политик фильтрации веб-содержимого или разрешение доступа к интернет-ресурсам.

На схеме показан поток для политик фильтрации веб-содержимого, блокирующих или разрешающих доступ к интернет-ресурсам.

Этап Описание:
1 Клиент Global Secure Access пытается подключиться к Microsoft Security Service Edge.
2 Клиент перенаправляется на Microsoft Entra ID для проверки подлинности и авторизации.
3 Пользователь и устройство проходят аутентификацию. Проверка подлинности выполняется легко, если у пользователя есть действительный первичный маркер обновления (PRT).
4 После аутентификации пользователя и устройства система условного доступа сопоставляет условия с правилами доступа к Интернету и добавляет соответствующие профили безопасности к токену. Он применяет применимые политики авторизации.
5 Microsoft Entra ID представляет маркер для Microsoft Security Service Edge для проверки.
6 Туннель устанавливается между клиентом Global Secure Access и Microsoft Security Service Edge.
7 Трафик начинает поступать и проходит через туннель доступа в Интернет.
8 Microsoft Security Service Edge оценивает политики безопасности в токене доступа в порядке приоритета. После того как он соответствует правилу фильтрации веб-содержимого, оценка политики фильтрации веб-содержимого останавливается.
9 Microsoft Security Service Edge применяет политики безопасности.
10 Политика = блокировка приводит к ошибке для HTTP-трафика или к исключению сброса соединения для HTTPS-трафика.
11 Правило = разрешить приводит к перенаправлению трафика к месту назначения.

Примечание.

Применение нового профиля безопасности может занять до 60–90 минут из-за применения профилей безопасности с маркерами доступа. Пользователь должен получить новый токен доступа с новым идентификатором профиля безопасности в виде требования, прежде чем это вступит в силу. Изменения существующих профилей безопасности начинают применяться гораздо быстрее.

Назначения пользователей и групп

Профиль Доступа к Интернету можно ограничить определенными пользователями и группами. Дополнительные сведения о назначении пользователей и групп см. в статье "Назначение пользователей и групп" и управление ими с помощью профилей пересылки трафика.

Проверка применения политики конечных пользователей

Когда трафик достигает Microsoft Secure Service Edge, Интернет-доступ Microsoft Entra выполняет элементы управления безопасностью двумя способами. Для незашифрованного HTTP-трафика используется универсальный указатель ресурсов (URL-адрес). Для трафика HTTPS, зашифрованного с помощью протокола TLS, используется указание имени сервера (SNI).

Используйте устройство Windows с установленным клиентом Глобального безопасного доступа. Войдите в систему как пользователь, которому назначен профиль приобретения трафика Интернета. Убедитесь, что переход на веб-сайты разрешен или ограничен должным образом.

  1. Щелкните правой кнопкой мыши значок клиента Глобального безопасного доступа в области диспетчера задач и откройте расширенную диагностику>профиль пересылки. Убедитесь, что существуют правила приобретения доступа к Интернету. Кроме того, проверьте, происходит ли получение данных об имени узла и потоки интернет-трафика пользователей во время просмотра.

  2. Перейдите к разрешенным и заблокированным сайтам и проверьте, правильно ли они работают. Перейдите к Глобальному безопасному доступу>Мониторингу>Журналам трафика, чтобы убедиться, что трафик заблокирован или разрешен соответствующим образом.

Текущая блокировка для всех браузеров включает текстовую ошибку для HTTP-трафика и ошибку "Сброс подключения" для HTTPS-трафика.

Снимок экрана, показывающий текстовую ошибку браузера для незашифрованного интернет-трафика или проверенного трафика TLS.

Снимок экрана, на котором показана ошибка браузера

Примечание.

Изменения конфигурации в интерфейсе глобального безопасного доступа, связанные с фильтрацией веб-содержимого, обычно вступают в силу менее чем за 5 минут. Изменения конфигурации в условном доступе, связанные с фильтрацией веб-содержимого, вступили в силу примерно через час.

Примечание.

Чтобы ускорить изменение конфигурации условного доступа для тестирования, отмените сеансы пользователей в администраторском центре Microsoft Entra (выберите Отменить сеансы на странице обзора пользователя). Это заставляет пользователей получать новые токены с обновленными политиками. Дополнительные сведения об оценке непрерывного доступа.

Следующие шаги

  • Last updated on