如何设置 Microsoft Entra Internet 访问

Microsoft Entra Internet Access 是一种新的解决方案，也是 Microsoft Entra 产品组的成员，它使管理人员能够创建渐进步骤，以构建具有内置全面安全性的零信任环境。

在本教程中，我将向您展示如何部署 Microsoft Entra Internet Access 和条件访问，以为 Microsoft 365 应用和服务创建安全访问方法。

什么是 Microsoft Entra Internet Access

Microsoft Entra Internet 访问可保护用户对环境中的 Microsoft 365 服务和企业应用程序的访问，同时保护用户的数据免受常见在线威胁。

该解决方案集成到 Microsoft Entra 和整个 Microsoft 平台上的用户身份中，以通过互联网提供无缝且安全的访问。当与条件访问中的网络位置检查条件相结合时，它还有助于阻止越来越常见的威胁，例如令牌重放攻击。

要求

要与 Microsoft Entra Internet Access（或任何全局安全访问功能）交互并进行配置，您至少需要分配全局安全访问管理员角色。建议您使用 PIM 来分配角色。

要使用预览功能，您必须向任何受益于该服务的用户分配 Microsoft Entra ID Premium P1 许可证。然而，由于尚处于产品生命周期的早期，许可要求可能很快就会发生变化。

Microsoft Entra Internet Access 的工作原理

Microsoft Entra Internet Access 的工作原理是，将客户端应用程序部署到最终用户的设备，将流量隧道传输到 Global Secure Access 服务，流量有效地代理到目标服务，而不会对性能产生任何影响。

除了客户端应用程序之外，Microsoft Entra Internet Access 还可以通过直接与本地网络路由设备集成来与远程网络连接。这使得连接可以直接路由到 Internet 访问服务，而无需部署客户端应用程序。对此的主要注意事项之一是条件访问策略只能在使用 GSA 客户端而不是远程网络时应用。

步骤1.启用流量转发配置文件

流量转发配置文件要求与该配置文件相关的所有流量都通过 Microsoft Entra Internet Access 代理服务。在本例中，我们选择 Microsoft 365 配置文件。请按照以下步骤确保 Global Secure Access 中的 Microsoft 365 配置文件。

1. 登录 Microsoft Entra https://entra.microsoft.com/

2. 展开全球安全访问，然后展开连接

3. 选择流量转发

4. 启用 Microsoft 365 配置文件

步骤 2. 查看 Microsoft 365 配置文件策略和规则

Microsoft 365 配置文件的策略和规则部分使你能够定义通过 Microsoft Entra Internet Access 服务代理并受保护的流量。流量规则由流量的目的地和目的地类型、端口、协议以及它们所属的服务明确定义。如果您希望确保此流量的安全，这可以让您做出明智的决定。

若要查看策略和规则，请选择流量转发，然后单击Microsoft 365 流量策略旁边的查看。您可以在此处启用或禁用规则组并将操作更改为转发或绕过单个规则。

步骤 3. 安装 Global Secure Access Windows 客户端

Global Secure Access Client 充当 VPN 客户端，无需部署额外的网络适配器，因此您不会通过控制面板或使用 ipconfig 命令看到额外的适配器。

选项 1：手动安装 Global Secure Access 客户端

要在单台计算机上安装客户端，请从 https://aka.ms/GSAClientDownload 下载客户端并运行安装程序。安装程序将以管理员权限运行，并将客户端安装到“C:\Program Files\Global Secure Access Client”。

选项 2：使用 Intune 部署全局安全访问客户端

1. 首先下载 Global Secure 访问客户端 (https://aka.ms/GSAClientDownload) 和 Microsoft Win32 内容准备工具 (https://github.com/microsoft/Microsoft-Win32-Content-Prep-Tool/ blob/master/IntuneWinAppUtil.exe)

2. 在系统上创建两个文件夹：

• C:\Temp\Intune
• C:\Temp\Intune\GSAClient

3. 将 IntuneWinAppUtil.exe 文件保存在 C:\temp\intune 中，并将 GlobalSecureAccessClient.exe 文件保存在 C:\temp\intune 中\GSAClient。

4. 打开 PowerShell 并运行以下命令，这将导航到新位置并运行 Intune Windows 应用程序打包工具：

• cd c:\temp\intune
• .\IntuneWinAppUtil.exe

5. 应用程序随后将启动，并要求您填写打包 Global Secure Access 客户端所需的信息。输入以下信息，然后输入N：

• 请指定源文件夹： C:\Temp\Intune\GSAClient
• 请指定安装文件： GlobalSecureAccessClient.exe
• 请指定输出文件夹： C:\Temp\Intune\GSAClient

完成后，您将在输出文件夹中看到 GlobalSecureAccessClient.intunewin 文件：

6. 登录 Microsoft Intune (https://intune.microsoft.com/) 并选择 > 应用 > Windows > 添加 > Windows 应用程序 (Win32) > 选择

7. 点击选择应用程序包文件，在弹出窗口中选择文件夹图标，上传您之前创建的GlobalSecureAccessClient.intunewin文件，然后点击确定。

8. 在应用程序信息页面上，输入发布者名称 Microsoft，然后单击下一步。如果您想上传 Global Secure Access 图标，请将其复制到下面。它应该已经是 .png 格式，大小为 256 像素 x 256 像素。

9. 在“程序”页面上，您需要配置安装命令和卸载命令，准备就绪后单击下一步。您可以使用以下示例：

• 安装命令： .\GlobalSecureAccessClient.exe /q n
• 卸载命令： MsiExec.exe /X{4DB0A026-1C26-4A8C-8378-DCB94900B604} /quiet

根据您部署的客户端版本，卸载命令可能与我的示例有所不同。您应该在设备上手动安装该应用程序，然后使用 RegEdit 找到 UninstallSting 注册表值： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

10. 在“要求”页面上，确保将操作系统体系结构设置为 64 位，并将最低操作系统设置为 Windows 支持版本。 （虽然正式该客户端在所有 64 位版本的 Windows 11 或 10 上均受支持，但这可能只是模糊的措辞）。

11. 在检测规则选项卡上，您需要配置规则以确定客户端是否已成功部署。为此，我选择一个文件规则，该规则将监视位于 C:\Program Files\Global Secure Access Client 中的 GlobalSecureAccessTunnelingService.exe 文件是否存在。

在规则格式下拉框中，选择手动配置检测规则，然后输入以下设置：

• 规则类型：文件
• 路径： C:\Program Files\Global Secure Access Client
• 文件或文件夹： GlobalSecureAccessTunnelingService.exe
• 检测方法：文件或文件夹存在
• 与 64 位客户端上的 32 位应用关联：否

12. 您可以跳过依赖项和Supersedense页面，因为现在不需要这些。

13. 在“分配”页面上的必需标题下，确保添加此应用程序应部署到的用户或设备组，然后单击下一步。然后最后单击查看和创建。

一旦您的设备接下来与 Intune 同步，该应用程序就会部署。至于最终用户的体验，他们将在设备上的消息中心收到通知：

然后，用户将立即收到提示，并且必须选择他们想要登录的帐户。由于设备需要加入 AzureAD，这应该是单击体验，并且不会提示输入密码。

步骤 4. 启用全局安全访问信令

全局安全访问信令是一项重要功能，如果没有它，Microsoft Entra ID 审核日志中的源 IP 信息将不准确。这可能会对报告的准确性产生不利影响，更重要的是，会对基于受信任位置强制访问的任何条件访问策略产生不利影响。

要启用全局安全访问信令，请从 Entra 管理中心展开全局安全访问并选择会话管理。在自适应访问选项卡上，将滑块更改为打开。

从 Azure AD Sign 日志中，您将看到客户端源的 IP 地址发生变化。下面紫色突出显示的是 Microsoft Entra Internet Access 服务的 IP 地址（信号关闭时），蓝色突出显示的是我的 Azure 虚拟机面向公众的 IP（信号打开时）。正如您所看到的，打开信令时会显示准确的信息，因此在大多数情况下应该启用它。

步骤 5. 配置条件访问策略

条件访问可以与全局安全访问客户端一起使用，以确保只有合规设备才能验证并连接到客户端。创建针对客户端和位置的多个策略将使您能够为 Microsoft 365 服务和应用程序创建安全访问解决方案。

对于这种情况，我将创建 2 个策略，如下所述：

政策 1：

此策略将根据需要针对 Exchange Online、SharePoint Online 和任何云应用程序。目前，Microsoft 365 流量配置文件仅支持这些服务，因此最终可以将此策略扩展到覆盖所有云应用程序。该策略将针对排除“所有合规网络位置”的所有位置。该策略将被设置为阻止。

• 名称：位置块 - 基线
• 目标资源：Exchange Online 和 SharePoint Online
• 条件： 包括：任何位置，排除：所有合规网络位置
• 授予：阻止访问

政策 2：

此策略将针对应用了 Microsoft 365 流量策略的全局安全访问资源，并将包括用于要求 MFA 和合规设备的授予控制。

• 名称： GSA - 允许
• 用户：所有用户
• 目标资源：全球安全访问：Microsoft 365 流量
• 授予：需要 MFA 和合规设备

启用这两个策略后，当全局安全访问处于关闭状态时，您将无法访问 Microsoft 365 服务：