Come abilitare e gestire il profilo di inoltro del traffico Microsoft
Con il profilo Microsoft abilitato, Accesso a Internet Microsoft Entra acquisisce il traffico che passa a servizi Microsoft. Il profilo Microsoft gestisce i gruppi di criteri seguenti:
- Exchange Online
- SharePoint Online e Microsoft OneDrive.
- Microsoft 365 Common e Office Online
Prerequisiti
Per abilitare il profilo di inoltro del traffico Microsoft per il tenant, è necessario disporre di:
- Un ruolo di amministratore dell'Accesso globale sicuro in Microsoft Entra ID per abilitare i profili di traffico.
- Un ruolo di Amministratore accesso condizionale per creare e interagire con i criteri di Accesso condizionale.
- Il prodotto richiede licenze. Per informazioni dettagliate, vedi la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.
Limitazioni note
- I singoli servizi vengono aggiunti al profilo di traffico Microsoft in modo continuativo. Attualmente, Microsoft Entra ID, Microsoft Graph, Exchange Online e SharePoint Online sono supportati come parte del profilo di traffico Microsoft
- Per altre limitazioni del profilo di traffico Microsoft, vedere Limitazioni note del client Windows
Abilitare il profilo di traffico Microsoft
Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.
Passare a Accesso globale sicuro>Connessione>Inoltro del traffico.
Abilitare il profilo del traffico Microsoft. Il traffico Microsoft avvia l'inoltro da tutti i dispositivi client al proxy SSE (Security Service Edge) di Microsoft, in cui è possibile configurare funzionalità di sicurezza avanzate specifiche del traffico Microsoft.
Criteri di traffico Microsoft
Per gestire i dettagli inclusi nei criteri di inoltro del traffico Microsoft, selezionare il collegamento Visualizza per i criteri di traffico Microsoft.
I gruppi di criteri sono elencati, con una casella di controllo per indicare se il gruppo di criteri è abilitato. Espandere un gruppo di criteri per visualizzare tutti gli IP e i FQDN inclusi nel gruppo.
Il gruppo di criteri include i dettagli seguenti:
- Tipo di destinazione: FQDN o subnet dell’IP
- Destinazione: i dettagli dell’FQDN o della subnet dell’IP
- Porte: porte TCP o UDP combinate con gli indirizzi IP per formare l'endpoint di rete
- Protocollo: Transmission Control Protocol (TCP) o User Datagram Protocol (UDP)
- Azione: inoltrare o ignorare
È possibile configurare le regole di acquisizione del traffico per ignorare l'acquisizione del traffico. In tal caso, gli utenti potranno comunque accedere alle risorse; Tuttavia, il servizio Accesso sicuro globale non elabora il traffico. È possibile ignorare il traffico verso un FQDN o un indirizzo IP specifico, un intero gruppo di criteri all'interno del profilo o l'intero profilo Microsoft stesso. Se è sufficiente inoltrare alcune delle risorse Microsoft all'interno di un gruppo di criteri, abilitare il gruppo, quindi modificare l'azione nei dettagli di conseguenza.
Importante
Quando una regola è impostata su Bypass nel profilo del traffico Microsoft, il profilo del traffico di accesso a Internet non acquisirà questo traffico. Anche con il profilo di Accesso Internet abilitato, il traffico ignorato ignora l'acquisizione dell'accesso sicuro globale e usa il percorso di routing di rete del client in uscita verso Internet. Il traffico disponibile per l'acquisizione nel profilo del traffico Microsoft può essere acquisito solo nel profilo del traffico Microsoft.
L’esempio seguente mostra come impostare l'*.sharepoint.com
FQDN su Bypass in modo che il traffico non venga inoltrato al servizio.
Se il client di Accesso globale sicuro non è in grado di connettersi al servizio, ad esempio a causa di un errore di autorizzazione o Accesso condizionale, il servizio ignora il traffico. Il traffico viene inviato in modo diretto e locale anziché essere bloccato. In questa situazione, se il client non è in grado di connettersi al servizio, è possibile creare criteri di Accesso condizionale per il controllo di rete conforme e bloccare così il traffico.
Criteri di accesso condizionale collegati
I Criteri di accesso condizionale vengono creati e applicati al profilo di inoltro del traffico nell'area Accesso condizionale di Microsoft Entra ID. Ad esempio, è possibile creare criteri che richiedono dispositivi conformi quando gli utenti stabiliscono la connessione di rete per i servizi nel profilo del traffico Microsoft.
Se viene visualizzato "Nessuno" nella sezione Criteri di accesso condizionale collegati, vuol dire che non sono presenti criteri di accesso condizionale collegati al profilo di inoltro del traffico. Per creare criteri di accesso condizionale, vedere Accesso condizionale universale tramite l'Accesso globale sicuro.
Modificare un Criterio di accesso condizionale esistente
Se il profilo di inoltro del traffico ha un criterio di accesso condizionale collegato, è possibile visualizzarlo e modificarlo.
Selezionare il collegamento Visualizza per Criteri di accesso condizionale collegati.
Selezionare un criterio dall'elenco. Dettagli dei criteri aperti in Accesso condizionale.
Assegnazioni di rete remota del profilo del traffico Microsoft
I profili di traffico possono essere assegnati alle reti remote, in modo che il traffico di rete venga inoltrato all'Accesso globale sicuro senza che sia necessario installare il client nei dispositivi degli utenti finali. Fintanto che il dispositivo si trovi dietro l'apparecchiatura locale del cliente (CPE), il client non sarà necessario. È necessario creare una rete remota prima di poterla aggiungere al profilo. Per altre informazioni, vedere Informazioni su come creare reti remote.
Per assegnare una rete remota al profilo Microsoft:
- Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.
- Passare a Accesso globale sicuro>Connessione>Inoltro del traffico.
- Nella sezione Rimuovi assegnazioni di rete, selezionare il collegamento Visualizza per il profilo.
- Selezionare una rete remota dall'elenco e selezionare Aggiungi.
Assegnazioni di utenti e gruppi
È possibile definire l'ambito del profilo Microsoft a utenti e gruppi specifici anziché applicare il profilo di traffico a tutti gli utenti. Per ulteriori informazioni sull'assegnazione di utenti e gruppi, vedere Come assegnare e gestire utenti e gruppi con profili di inoltro del traffico.
Passaggi successivi
Il passaggio successivo per iniziare a usare il profilo del traffico Microsoft consiste nell'installare e configurare il client di accesso sicuro globale nei dispositivi degli utenti finali
Per altre informazioni sull’inoltre del traffico, vedere il seguente articolo: