Включение профиля пересылки трафика Майкрософт и управление ими

Обзор

С включенным профилем Microsoft, Microsoft Entra Internet Access перехватывает трафик, направляющийся к службам Microsoft. Профиль Майкрософт управляет следующими группами политик:

• Обмен онлайн
• SharePoint Online и Microsoft OneDrive
• Microsoft Teams
• Общие функции Microsoft 365 и Office Online

Предварительные условия

Чтобы включить профиль пересылки трафика Майкрософт для клиента, необходимо:

• Роль глобального администратора безопасного доступа в Microsoft Entra ID для включения профилей трафика.
• Роль администратора условного доступа для создания и взаимодействия с политиками условного доступа.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Известные ограничения

Подробные сведения об известных проблемах и ограничениях см. в разделе "Известные ограничения для глобального безопасного доступа".

Включение профиля трафика Майкрософт

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.

2. Перейдите к Global Secure Access>Connect>Traffic forwarding.

3. Включите профиль трафика Microsoft. Трафик Майкрософт начинает переадресацию со всех клиентских устройств на прокси-сервер Microsoft Security Service Edge (SSE), где можно настроить расширенные функции безопасности, относящиеся к трафику Майкрософт.

   

Политики трафика Майкрософт

Чтобы управлять сведениями, включенными в политику пересылки трафика Майкрософт, выберите ссылку "Вид " для политик трафика Майкрософт.

Перечислены группы политик с флажком, чтобы указать, включена ли группа политик. Разверните группу политик, чтобы просмотреть все IP-адреса и полные доменные имена, включенные в группу.

К группам политик относятся следующие сведения:

• Тип назначения: FQDN или подсеть IP-адреса
• Назначение: сведения о полном доменном имени или IP-подсети
• Порты: порты TCP или UDP, объединенные с IP-адресами для формирования сетевой конечной точки.
• Протокол: TCP (протокол управления передачей) или UDP (протокол пользовательской диаграммы данных)
• Действие: переадресовать или игнорировать

Вы можете настроить правила приобретения трафика, чтобы избежать процесса приобретения трафика. При этом пользователи по-прежнему могут получить доступ к ресурсам; однако служба Global Secure Access не обрабатывает трафик. Вы можете обойти трафик к определенному полностью квалифицированному доменному имени или IP-адресу, всей группе политик безопасности в профиле или всему профилю Microsoft. Если необходимо перенаправлять только некоторые ресурсы Майкрософт в группе политик, включите группу, а затем измените параметр действие соответственно.

В следующем примере показано, как настроить *.sharepoint.com полное доменное имя (FQDN) на Bypass, чтобы трафик не перенаправлялся к службе.

Если клиент глобального безопасного доступа не может подключиться к службе (например, из-за авторизации или сбоя условного доступа), служба проходит трафик. Трафик отправляется напрямую и локально, а не блокируется. В этом сценарии можно создать политику условного доступа для проверки сети, чтобы заблокировать трафик, если клиент не может подключиться к службе.

Связанные политики условного доступа

Политики условного доступа создаются и применяются к профилю пересылки трафика в области условного доступа идентификатора Microsoft Entra. Например, можно создать политику, требующую совместимых устройств, когда пользователи устанавливают сетевое подключение для служб в профиле трафика Майкрософт.

Если в разделе "Политики условного доступа" отображается "Нет", политика условного доступа не связана с профилем пересылки трафика. Сведения о создании политики условного доступа см. в статье "Универсальный условный доступ" с помощью глобального безопасного доступа.

Изменение существующей политики условного доступа

Если профиль пересылки трафика имеет связанную политику условного доступа, вы можете просмотреть и изменить эту политику.

1. Выберите ссылку Просмотр для связанных политик условного доступа.

   

2. Выберите политику в списке. Сведения о политике открываются в разделе Условный доступ.

   

Назначения удаленной сети профиля трафика Майкрософт

Профили трафика можно назначать удаленным сетям, чтобы сетевой трафик перенаправился в глобальный безопасный доступ, не устанавливая клиент на устройствах конечных пользователей. Если устройство находится за клиентским локальным оборудованием (CPE), клиент не требуется. Прежде чем добавить его в профиль, необходимо создать удаленную сеть. Дополнительные сведения см. в разделе "Создание удаленных сетей".

Чтобы назначить удаленную сеть в профиле Майкрософт, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
2. Перейдите к Global Secure Access>Connect>Traffic forwarding.
3. В разделе "Удаление сетевых назначений" выберите ссылку "Вид" для профиля.
4. Выберите удаленную сеть из списка и нажмите кнопку "Добавить".

Назначения пользователей и групп

Профиль Майкрософт можно ограничить определенными пользователями и группами, а не применять профиль трафика ко всем пользователям. Дополнительные сведения о назначении пользователей и групп см. в статье "Назначение пользователей и групп" и управление ими с помощью профилей пересылки трафика.

Следующие шаги

Следующий шаг для начала работы с профилем трафика Майкрософт — установка и настройка клиента глобального безопасного доступа на устройствах конечных пользователей

Дополнительные сведения о переадресации трафика см. в следующей статье:

• Сведения о профилях пересылки трафика
• Сведения о профиле пересылки трафика Майкрософт