Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Проверка протокола TLS в Интернет-доступ Microsoft Entra позволяет расшифровывать и проверять зашифрованный трафик в пограничных расположениях службы. Эта функция позволяет глобально безопасному доступу применять расширенные элементы управления безопасностью, такие как обнаружение угроз, фильтрация содержимого и детализированные политики доступа. Эти политики доступа помогают защитить от угроз, которые могут быть скрыты в зашифрованных сообщениях. В этой статье объясняется, как создать политику проверки транспортного уровня с учетом контекста и назначить ее пользователям в вашей организации.
Предпосылки
Чтобы выполнить действия в этом процессе, необходимо иметь следующие предварительные требования:
- Завершены настройки инспекции TLS с активным, включенным сертификатом.
- Тестовые устройства или виртуальные машины, работающие под управлением Windows, которые присоединены к Microsoft Entra ID вашей организации либо напрямую, либо в гибридном режиме.
- Пробная лицензия для Интернет-доступ Microsoft Entra.
- Предварительные требования для глобального безопасного доступа
Создание политики проверки TLS с учетом контекста
Чтобы создать политику инспекции безопасности уровня транспортного слоя с учетом контекста и назначить ее пользователям в вашей организации, выполните следующие действия.
Шаг 1. Глобальный администратор безопасного доступа: создание политики проверки TLS
Чтобы создать политику проверки TLS, выполните следующие действия.
В Центр администрирования Microsoft Entra перейдите к разделу политики проверки Secure>проверки TLS>Создать политику.
Действие по умолчанию указывает, что делать, если правила не соответствуют правилам. Параметром по умолчанию является проверка.Нажмите кнопку "Далее>добавить правило". На странице "Правила " можно определить пользовательское правило, указав полное доменное имя или выбрав веб-категорию.
Чтобы завершить настройку политики, перейдите в раздел "Сохранить>Далее>Отправить". Обратите внимание, что системное правило было создано автоматически, чтобы исключить направления, которые не работают с проверкой TLS. Для исключения категорий Образование, Финансы, Правительство и Здравоохранение и медицина автоматически создается рекомендуемое правило обхода.
Чтобы просмотреть правила, включая автоматически созданные правила, выберите политику и перейдите к разделу "Изменить>правила".
Шаг 2. Глобальный администратор безопасного доступа: связывание политики проверки TLS с профилем безопасности
Свяжите политику проверки TLS с профилем безопасности.
Прежде чем включить проверку TLS на трафик пользователей, убедитесь, что ваша организация установила и связыла политику TLS с конечными пользователями. Этот шаг помогает поддерживать прозрачность и поддерживать соответствие требованиям к конфиденциальности и согласию.
Политику TLS можно связать с профилем безопасности двумя способами:
Вариант 1. Связывание политики TLS с базовым профилем для всех пользователей
С помощью этого метода политика базового профиля вычисляется последней и применяется ко всему трафику пользователя.
- В центре администрирования Microsoft Entra перейдите к Безопасность>Профили безопасности.
- Перейдите на вкладку "Базовый профиль ".
- Выберите "Изменить профиль".
- В представлении политик ссылок выберите +Добавить привязку политики>Существующая политика проверки TLS.
- В представлении политики проверки TLS выберите политику TLS и назначьте ей приоритет.
- Нажмите кнопку "Добавить".
Вариант 2. Связывание политики TLS с профилем безопасности для определенных пользователей или групп
Кроме того, добавьте политику TLS в профиль безопасности и свяжите ее с политикой условного доступа для конкретного пользователя или группы.
Шаг 4. Тестирование конфигурации
Убедитесь, что устройства доверяют корневому сертификату, используемому для разрыва и проверки трафика TLS. Intune можно использовать для развертывания доверенного сертификата на управляемых устройствах Windows.
Чтобы проверить конфигурацию, выполните следующие действия.
Убедитесь, что устройство конечного пользователя имеет корневой сертификат, установленный в папке доверенных корневых центров сертификации.
Настройте клиент глобального безопасного доступа:
- Отключите безопасный DNS и встроенный DNS.
- Блокировать трафик QUIC с устройства. QUIC не поддерживается в Интернет-доступ Microsoft Entra. Большинство веб-сайтов поддерживают резервный доступ к TCP, если не удается установить QUIC. Для улучшения пользовательского интерфейса разверните правило брандмауэра Windows, которое блокирует исходящий UDP 443:
New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443. - Убедитесь, что переадресация трафика через Интернет включена.
Откройте браузер на клиентском устройстве и проверьте различные веб-сайты. Проверьте сведения о сертификате и подтвердите сертификат глобального безопасного доступа.
Отключение проверки TLS
Чтобы отключить проверку TLS, выполните приведенные действия.
- Удалите ссылку политики из профиля безопасности:
- Перейдите к Глобальному безопасному доступу>Безопасные>профили безопасности.
- Перейдите на вкладку "Базовый профиль ".
- Выберите "Изменить профиль".
- Выберите представление политик ссылок .
- Щелкните значок удаления у политики, которую вы отключаете.
- Выберите Удалить, чтобы подтвердить.
- Удалите политику проверки TLS:
- Перейдите к Global Secure Access>Secure>политикам проверки TLS.
- Выберите Действия.
- Нажмите кнопку "Удалить".
- Удалите сертификат политики проверки TLS:
- Перейдите на вкладку параметров проверки TLS .
- Выберите Действия.
- Нажмите кнопку "Удалить".
Связанный контент
- Настройка параметров проверки TLS
- Создание сертификатов TLS с помощью ADCS
- Создание сертификата TLS с помощью OpenSSL
- Что такое инспекция безопасности транспортного уровня?
- Часто задаваемые вопросы о проверке безопасности транспортного уровня
- Устранение проблем безопасности транспортного уровня (TLS)