Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Профиль пересылки трафика в Интернете направляет интернет-трафик через клиент глобального безопасного доступа. Включение этого профиля пересылки трафика позволяет удаленным работникам подключаться к Интернету в управляемом и безопасном режиме. С помощью функций Интернет-доступ Microsoft Entra вы можете управлять доступом к интернет-сайтам. Вы также можете настроить трафик для исключения из глобального безопасного доступа на основе IP-адресов, диапазонов IP-адресов, ПОДсетей IP и полных доменных имен (FQDN).
Предварительные требования
Чтобы включить профиль пересылки интернет-доступа для арендатора, вам необходимо иметь:
- Роль глобального администратора безопасного доступа в идентификаторе Microsoft Entra.
- Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
Политики профиля направления трафика для доступа в Интернет
Просмотрите политики, связанные с профилем пересылки трафика через Интернет. По умолчанию существует три политики. Чтобы просмотреть их:
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к глобальному безопасному доступу>Connect>переадресации трафика.
- Выберите ссылку "Просмотр" в разделе "Политики доступа к Интернету".
Политики доступа к Интернету по умолчанию:
- Настраиваемый обход содержит определяемый пользователем трафик или конечные точки, исключенные из профиля трафика Интернета. Другими словами, вы определяете трафик, который профиль не должен получать. Обычно вы можете исключить трафик, например, конечные точки VPN, частные диапазоны IP-адресов, зарезервированные диапазоны IP-адресов, а также конечные точки, использующие список контроля доступа (ACL).
- Обход по умолчанию содержит предопределенный трафик, который не попадает в профиль интернет-трафика. Например, частные диапазоны IP-адресов. В этой политике нельзя изменять правила.
- Default Acquire определяет трафик, который захватывается профилем трафика Интернета. В настоящее время это весь интернет-трафик через порты 80, 443 по протоколу TCP. Политика имеет наименьший приоритет после оценки всех правил обхода. В этой политике нельзя изменять правила.
Пример добавления настраиваемой политики обхода:
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к глобальному безопасному доступу>Connect>переадресации трафика.
- В области профиля пересылки трафика в Интернете в разделе "Политики доступа к Интернету" выберите ссылку "Вид "
- Разверните политику настраиваемого обхода.
- Выберите Добавить правило.
- Выберите тип назначения, например полное доменное имя (FQDN). Можно добавить несколько значений назначения, разделенных запятыми. Не добавляйте пробелы. Например,
contoso.com,fabrikam.comили10.0.0.1/32,10.0.0.2/32. Порты, протоколы и действия всегда фиксированы и не могут быть изменены. - Введите допустимый пункт назначения.
- Выберите Сохранить.
Примечание.
Трафик оценивается сверху вниз, что означает, что он получает профиль интернет-трафика только в том случае, если не обходится в одном из правил обхода.
Назначения пользователей и групп
Профиль Доступа к Интернету можно ограничить определенными пользователями и группами.
Дополнительные сведения о назначении пользователей и групп см. в статье "Назначение пользователей и групп" и управление ими с помощью профилей пересылки трафика.
Включите профиль пересылки трафика Интернет-доступа
Чтобы активировать профиль пересылки трафика через Internet Microsoft Entra для направления трафика пользователя:
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к глобальному безопасному доступу>Connect>переадресации трафика.
- Задайте политики в профиле трафика. Например, задайте пользовательское правило обхода, чтобы исключить определенный трафик.
- Включите профиль доступа к Интернету. Интернет-трафик начинает переадресацию со всех клиентских устройств на прокси-сервер Microsoft Security Service Edge (SSE), где вы настраиваете детализированные политики безопасности.
Примечание.
При включении профиля пересылки доступа к Интернету также следует включить профиль пересылки трафика Майкрософт для оптимальной маршрутизации трафика Майкрософт. Чтобы включить профиль трафика Майкрософт, установите флажок профиля на той же странице, где вы включите профиль пересылки трафика через Интернет. Дополнительные сведения о профиле пересылки трафика Майкрософт см. в статье "Как включить и управлять профилем Майкрософт".
Проверка профиля пересылки трафика через Интернет
Правило, добавленное в политику, занимает 10–20 минут, пока оно не отобразится на компьютере пользователя. Если правило не появится после этого времени, выключите и снова включите профиль пересылки интернет-трафика.
Для проверки профиля пересылки трафика, политик пересылки трафика и правил:
- В области уведомлений щелкните правой кнопкой мыши клиент Глобального безопасного доступа и выберите Расширенная диагностика.
- Откройте веб-браузер и перейдите к месту назначения во внутренней сети. Убедитесь, что трафик не перехватывается.
- Откройте веб-браузер и перейдите в место назначения, которое обходится. Убедитесь, что трафик не перехватывается.
- Откройте веб-браузер и перейдите к общедоступному месту назначения, полученному профилем. Убедитесь, что трафик приобретается через интернет-канал.