Så här aktiverar och hanterar du Microsofts trafikvidarebefordringsprofil

När Microsoft-profilen är aktiverad hämtar Microsoft Entra internetåtkomst trafiken som ska Microsoft-tjänster. Microsoft-profilen hanterar följande principgrupper:

• Exchange Online
• SharePoint Online och Microsoft OneDrive.
• Microsoft 365 Common och Office Online

Förutsättningar

Om du vill aktivera Microsoft-trafikvidarebefordringsprofilen för din klientorganisation måste du ha:

• En global administratörsroll för säker åtkomst i Microsoft Entra-ID för att aktivera trafikprofiler.
• En administratörsroll för villkorlig åtkomst för att skapa och interagera med principer för villkorsstyrd åtkomst.
• Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Kända begränsningar

• Enskilda tjänster läggs till i Microsofts trafikprofil kontinuerligt. För närvarande stöds Microsoft Entra-ID, Microsoft Graph, Exchange Online och SharePoint Online som en del av Microsoft-trafikprofilen
• Ytterligare begränsningar för Microsoft-trafikprofilen finns i Kända begränsningar för Windows-klienten

Aktivera Microsoft-trafikprofilen

1. Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.

2. Bläddra till Global vidarebefordran av säker åtkomstanslutningstrafik>>.

3. Aktivera Microsoft-trafikprofilen. Microsoft-trafik börjar vidarebefordra från alla klientenheter till Microsofts SSE-proxy (Security Service Edge), där du kan konfigurera avancerade säkerhetsfunktioner som är specifika för Microsoft-trafik.

   

Microsofts trafikprinciper

Om du vill hantera informationen som ingår i Microsofts trafikvidarebefordringsprincip väljer du länken Visa för Microsofts trafikprinciper.

Principgrupperna visas med en kryssruta som anger om principgruppen är aktiverad. Expandera en principgrupp för att visa alla IP-adresser och FQDN:er som ingår i gruppen.

Principgrupperna innehåller följande information:

• Måltyp: FQDN eller IP-undernät
• Mål: Information om FQDN eller IP-undernätet
• Portar: TCP- eller UDP-portar som kombineras med IP-adresserna för att bilda nätverksslutpunkten
• Protokoll: TCP (Transmission Control Protocol) eller UDP (User Datagram Protocol)
• Åtgärd: Vidarebefordra eller kringgå

Du kan konfigurera reglerna för trafikförvärv för att kringgå trafikförvärvet. Om du gör det kommer användarna fortfarande att kunna komma åt resurser. Den globala tjänsten för säker åtkomst bearbetar dock inte trafiken. Du kan kringgå trafik till ett specifikt FQDN eller IP-adress, en hel principgrupp i profilen eller hela Själva Microsoft-profilen. Om du bara behöver vidarebefordra vissa Microsoft-resurser inom en principgrupp aktiverar du gruppen och ändrar sedan åtgärden i informationen i enlighet med detta.

I följande exempel visas hur du ställer in *.sharepoint.com FQDN på Bypass så att trafiken inte vidarebefordras till tjänsten.

Om global säker åtkomst-klienten inte kan ansluta till tjänsten (till exempel på grund av ett auktoriseringsfel eller ett fel med villkorsstyrd åtkomst) kringgår tjänsten trafiken. Trafiken skickas direkt och lokalt i stället för att blockeras. I det här scenariot kan du skapa en princip för villkorlig åtkomst för den kompatibla nätverkskontrollen för att blockera trafik om klienten inte kan ansluta till tjänsten.

Principer för länkad villkorlig åtkomst

Principer för villkorlig åtkomst skapas och tillämpas på trafikvidarebefordransprofilen i området Villkorsstyrd åtkomst i Microsoft Entra-ID. Du kan till exempel skapa en princip som kräver kompatibla enheter när användare upprättar nätverksanslutningen för tjänster i Microsoft-trafikprofilen.

Om du ser "Ingen" i avsnittet Principer för länkad villkorsstyrd åtkomst finns det ingen princip för villkorsstyrd åtkomst som är länkad till trafikvidarebefordringsprofilen. Information om hur du skapar en princip för villkorsstyrd åtkomst finns i Universell villkorlig åtkomst via global säker åtkomst.

Redigera en befintlig princip för villkorsstyrd åtkomst

Om profilen för trafikvidarebefordring har en länkad princip för villkorsstyrd åtkomst kan du visa och redigera principen.

1. Välj länken Visa för principer för länkad villkorlig åtkomst.

   

2. Välj en princip i listan. Information om principen öppnas i villkorsstyrd åtkomst.

   

Fjärrnätverkstilldelningar för Microsoft-trafikprofil

Trafikprofiler kan tilldelas till fjärrnätverk så att nätverkstrafiken vidarebefordras till global säker åtkomst utan att klienten behöver installeras på slutanvändarenheter. Så länge enheten ligger bakom kundens lokala utrustning (CPE) krävs inte klienten. Du måste skapa ett fjärrnätverk innan du kan lägga till det i profilen. Mer information finns i Skapa fjärrnätverk.

Så här tilldelar du ett fjärrnätverk till Microsoft-profilen:

1. Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.
2. Bläddra till Global vidarebefordran av säker åtkomstanslutningstrafik>>.
3. I avsnittet Ta bort nätverkstilldelningar väljer du länken Visa för profilen.
4. Välj ett fjärrnätverk i listan och välj Lägg till.

Användar- och grupptilldelningar

Du kan begränsa Microsoft-profilen till specifika användare och grupper i stället för att tillämpa trafikprofilen på alla användare. Mer information om användar- och grupptilldelning finns i Så här tilldelar och hanterar du användare och grupper med profiler för trafikvidarebefordring.

Nästa steg

Nästa steg för att komma igång med Microsofts trafikprofil är att installera och konfigurera den globala klienten för säker åtkomst på slutanvändarenheter

Mer information om vidarebefordran av trafik finns i följande artikel:

• Lär dig mer om profiler för trafikvidarebefordring
• Läs mer om Microsofts trafikvidarebefordringsprofil