了解 Microsoft Entra 為所有應用程式提供的網際網路存取權限
Microsoft Entra 網際網路存取為軟體即服務 (SaaS) 應用程式和其他網際網路流量提供以身分識別為中心的安全網頁閘道 (SWG) 解決方案。 其可透過流量記錄提供一流的安全性控制和可見度,保護使用者、裝置及資料免受網際網路廣泛威脅。
網路內容篩選
對於所有應用程式來說,Microsoft Entra 網路存取的核心介紹功能是網路內容篩選。 此功能提供 Web 類別和完整網域名稱 (FQDN) 的細微存取控制。 藉由明確封鎖已知的不當、惡意或不安全網站,您可以保護使用者及其裝置免受來自遠端或公司網路內的任何網際網路連線影響。
當流量到達Microsoft的安全服務 Edge 時,Microsoft Entra 網際網路存取 會以兩種方式執行安全性控制。 針對未加密的 HTTP 流量,它會使用統一資源定位器(URL)。 針對使用傳輸層安全性加密的 HTTPS 流量(TLS),它會使用伺服器名稱指示 (SNI)。
網路內容篩選是使用篩選原則來實作,這些原則會分組至安全性設定檔,其可連結至條件式存取原則。 若要深入了解條件式存取,請參閱 Microsoft Entra 條件式存取。
註
雖然 Web 內容篩選是任何安全 Web 閘道的核心功能,但其他安全性產品也有類似的功能,例如端點安全性產品,例如 適用於端點的 Microsoft Defender 和防火牆,例如 Azure 防火牆。 Microsoft Entra 網際網路存取透過與 Microsoft Entra ID 的政策整合、於雲端邊緣強制執行政策、全面支援所有裝置平台,以及透過傳輸層安全性(TLS)檢查提供未來的安全性增強功能,例如更準確的網頁分類,以提供額外的安全價值。 在常見問題中深入瞭解。
安全設定檔
安全性設定檔是您用來分組篩選原則的物件,並透過考量使用者的條件式存取原則來進行傳遞。 例如,若要封鎖所有新聞網站(除了msn.com以外)給使用者angie@contoso.com,您需要建立兩個網站篩選政策,並將其新增至安全性設定檔。 接著,取得安全性設定檔,並將其連結至指派給 angie@contoso.com 的條件式存取原則。
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
原則處理邏輯
在安全性配置檔中,原則會根據唯一優先順序數位的邏輯順序強制執行,其中 100 是最高優先順序,65,000 是最低優先順序(類似於傳統防火牆邏輯)。 最佳做法是,在優先順序之間增加大約 100 的間距,以便未來靈活使用原則。
將安全性配置檔連結至條件式存取原則之後,如果有多個條件式存取原則相符,則會以相符安全性配置檔的優先順序處理這兩個安全性配置檔。
重要
即使未將基準安全性設定檔連結至條件式存取原則,其仍會套用至所有流量。 其會強制執行原則堆疊中優先順序最低的原則,並作為「總括」原則,套用至透過服務路由的所有網際網路存取流量。 即使條件式存取原則符合其他的安全性配置檔,基準安全性配置檔仍然會執行。
已知的限制
這項功能有一或多個已知的限制。 如需此功能已知問題和限制的詳細資訊,請參閱 全域安全存取的已知限制。