Saiba mais sobre o Acesso à Internet do Microsoft Entra para todos os aplicativos
O Acesso à Internet do Microsoft Entra fornece uma solução SWG (Secure Web Gateway) centrada em identidade para aplicativos SaaS (Software como serviço) e outros tráfegos da Internet. Ele protege usuários, dispositivos e dados do amplo cenário de ameaças da Internet com os melhores controles de segurança e visibilidade por meio de Logs de Tráfego.
Filtragem de conteúdo da Web
O principal recurso introdutório do Acesso à Internet do Microsoft Entra para todos os aplicativos é filtragem de conteúdo da Web. Esse recurso fornece controle de acesso granular para categorias da Web e FQDNs (nomes de domínio totalmente qualificados). Ao bloquear explicitamente sites inadequados, mal-intencionados ou não seguros conhecidos, você protege seus usuários e seus dispositivos de qualquer conexão com a Internet, sejam eles remotos ou dentro da rede corporativa.
Quando o tráfego atinge o Secure Service Edge da Microsoft, o Acesso à Internet do Microsoft Entra executa controles de segurança de duas maneiras. Quanto ao tráfego HTTP não criptografado, ele usa a URL (Uniform Resource Locator). Quanto ao tráfego HTTPS criptografado com TLS (Transport Layer Security), ele usa a SNI (Indicação de Nome do Servidor).
A filtragem de conteúdo da Web é implementada usando políticas de filtragem, que são agrupadas em perfis de segurança, que podem ser vinculados a políticas de Acesso Condicional. Para saber mais sobre o Acesso Condicional, consulte Acesso Condicional do Microsoft Entra.
Observação
Embora a filtragem de conteúdo da Web seja um recurso principal para qualquer Gateway de Web Seguro, há funcionalidades semelhantes em outros produtos de segurança, como produtos de segurança de ponto de extremidade, como Microsoft Defender para Ponto de Extremidade e firewalls como Firewall do Azure. O Microsoft Entra Internet Access fornece valor de segurança adicional por meio da integração de políticas com o Microsoft Entra ID, imposição de políticas na borda da nuvem, suporte universal para todas as plataformas de dispositivo e aprimoramentos futuros de segurança por meio da Inspeção de TLS (Transport Layer Security), como categorização da Web de maior fidelidade. Saiba mais nas perguntas frequentes.
Perfis de segurança
Perfis de segurança são objetos que você usa para agrupar políticas de filtragem e entregá-las por meio de políticas de Acesso Condicional com reconhecimento do usuário. Por exemplo, para bloquear todos os sites Notícias, exceto msn.com para o usuário angie@contoso.com você criar duas políticas de filtragem da Web e adicioná-las a um perfil de segurança. Em seguida, você pega o perfil de segurança e o vincula a uma política de Acesso Condicional atribuída a angie@contoso.com.
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Lógica de processamento de política
Dentro de um perfil de segurança, as políticas são impostas de acordo com a ordenação lógica de números de prioridade exclusivos, sendo 100 a prioridade mais alta e 65.000 sendo a prioridade mais baixa (semelhante à lógica de firewall tradicional). Como prática recomendada, adicione um espaçamento de cerca de 100 entre as prioridades para permitir flexibilidade à política no futuro.
Depois de vincular um perfil de segurança a uma política de AC (Acesso Condicional), se várias políticas de AC corresponderem, ambos os perfis de segurança serão processados na ordenação prioritária dos perfis de segurança correspondentes.
Importante
O perfil de segurança de linha de base se aplica a todo o tráfego, mesmo sem vinculá-lo a uma política de acesso condicional. Ele impõe a política na menor prioridade na pilha de políticas, aplicando-se a todo o tráfego do acesso à Internet roteado pelo serviço como uma política "catch-all". O perfil de segurança de linha de base é executado mesmo se uma política de acesso condicional corresponder a outro perfil de segurança.
Limitações conhecidas
- A plataforma pressupõe portas padrão para tráfego HTTP/S (portas 80 e 443).
- O IPv6 ainda não é suportado nesta plataforma.
- O UDP não é compatível com esta plataforma.
- As notificações do usuário final amigável estão em desenvolvimento.
- A conectividade de rede remota para acesso à Internet está em desenvolvimento.
- A terminação do Transport Layer Security (TLS) está em desenvolvimento.
- A filtragem baseada em caminho de URL e a categorização de URL para tráfego HTTP e HTTPS estão em desenvolvimento.
- Atualmente, um administrador pode criar até 100 políticas de filtragem de conteúdo da web e até 1.000 regras com base em até 8.000 FQDNs totais. Os administradores também podem criar até 256 perfis de segurança.