Internet访问流量转发配置文件通过全球安全访问客户端转发互联网流量。 启用此流量转发配置文件,使远程工作人员能够以受控和安全的方式上网。 借助 Microsoft Entra Internet 访问的功能,可以控制可以访问哪些 Internet 站点。 还可以根据 IP 地址、IP 地址范围、IP 子网和完全限定的域名 (FQDN) 配置要从全球安全访问中排除的流量。
先决条件
若要为租户启用 Internet 访问转发配置文件,你必须具备:
- Microsoft Entra ID 中的全局安全访问管理员角色。
- 产品需要经过许可。 有关详细信息,请参阅什么是全球安全访问的许可部分。 如果需要,可以购买许可证或获取试用许可证。
Internet 访问流量转发配置文件策略
查看与互联网访问流量转发概况相关的策略。 默认情况下有三个策略。 若要查看它们,请执行以下操作:
- 以全球安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“全球安全访问”>“连接”>“流量转发”。
- 在“Internet 访问策略”部分中选择“查看”链接。
默认 Internet 访问策略包括:
- “自定义绕过”含从 Internet 流量配置文件中排除的用户定义流量/终结点。 换句话说,定义配置文件不应获取的流量。 通常可以排除流量,例如 VPN 终结点、专用 IP 范围和抢占 IP 范围,以及利用网络访问控制列表 (ACL) 的终结点。
- 默认绕过:包含 Internet 流量配置文件未获取的预定义流量。 例如专用 IP 范围。 无法更改此策略中的规则。
- 默认获取:定义 Internet 流量配置文件获取的流量。 目前,所有的 Internet 流量都在端口 80 和 443 上通过传输控制协议 TCP 传输。 评估所有绕过规则后,策略的优先级最低。 无法更改此策略中的规则。
添加自定义绕过策略的示例:
- 以全球安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“全球安全访问”>“连接”>“流量转发”。
- 在“Internet 访问流量转发配置文件”区域的“Internet 访问策略”部分中,选择“查看”链接
- 展开自定义绕过策略。
- 选择“添加规则”。
- 选择目标类型,例如完全限定的域名 (FQDN)。 可以添加多个逗号分隔的目标值。 不要添加空格。 例如,
contoso.com,fabrikam.com或10.0.0.1/32,10.0.0.2/32。 端口、协议和操作始终是固定的,无法更改。 - 请输入有效的目标。
- 选择“保存”。
注意
流量从上到下进行评估,这意味着只有在其中一个绕过规则中未绕过 Internet 流量配置文件时,才会获取流量。
用户和组分配
可以将 Internet 访问配置文件的范围限定为特定用户和组。
若要详细了解用户和组分配,请参阅如何使用流量转发配置文件分配和管理用户和组。
启用 Internet 访问流量转发配置文件
若要启用 Microsoft Entra Internet 访问转发配置文件以转发用户流量,请执行以下操作:
- 以全球安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“全球安全访问”>“连接”>“流量转发”。
- 在流量配置文件上设置策略。 例如,设置自定义绕过规则以排除特定流量。
- 启用“Internet 访问配置文件”。 Internet 流量开始从所有客户端设备转发到 Microsoft 的安全服务 Edge (SSE) 代理,你可在那里配置精细的安全策略。
注意
启用 Internet 访问转发配置文件时,还应启用 Microsoft 流量转发配置文件,以优化 Microsoft 流量路由。 通过在启用 Internet 访问流量转发配置文件的同一页上选中配置文件复选框,可以启用“Microsoft 流量配置文件”。 要了解 Microsoft 流量转发配置文件,请参阅如何启用和管理 Microsoft 配置文件。
验证确认 Internet 访问流量转发配置文件
添加到策略的规则需要 10-20 分钟才能显示在用户计算机上的客户端中。 如果此时间之后未显示该规则,请禁用并重新启用 Internet 访问流量转发配置文件。
要验证确认流量转发配置文件、流量转发策略和规则,请执行以下操作:
- 在系统托盘中,右键单击全球安全访问客户端,然后选择“高级诊断”。
- 打开 Web 浏览器并导航到内部网络上的目标。 确认未捕获流量。
- 打开 Web 浏览器并导航到绕过的目标。 确认未捕获流量。
- 打开 Web 浏览器并导航到由配置文件获取的公共目标。 确认正在通过 Internet 渠道获取流量。