如何使用 Global Secure Access 配置 Web 内容过滤

Global Secure Access 是 Microsoft 的 SSE（或安全服务边缘）解决方案，使组织能够将 Microsoft Entra Identity Security 的优势一直扩展到网络边缘。这确保用户在世界任何地方都受到保护。 Global Secure Access 还允许管理员在用户连接到其环境时根据网站类别或 FQDN（域名）阻止对网站的访问，从而提供增强的网络内容安全性。

Global Secure Access 中的 Web 内容过滤如何工作

使用 Global Secure Access 进行 Web 内容过滤的工作原理是，当用户连接到 Global Secure Access 客户端时，对访问网站实施网络级限制。这意味着，如果用户暂停连接（无需本地管理员访问权限即可执行此操作），那么他们将能够访问被阻止的站点。 Web 内容筛选仅在与 Microsoft 365 流量转发配置文件和阻止从不受信任位置访问服务的相关条件访问规则配合使用时才最有效。

Web 内容筛选器不会取代其他产品中内置的 Web 内容筛选解决方案，例如 Microsoft Defender for Endpoint 或其他第三方托管的 DNS 筛选解决方案。

先决条件

要完成配置全局安全访问和 Web 内容过滤以进行 Internet 访问的所有步骤，您需要确保您在 Microsoft Entra 中具有以下角色：

• 全球安全访问管理员
• 条件访问管理员

这些角色将使您能够与配置解决方案所需的所有服务进行交互。

如果您尚未将 Global Secure Access 客户端部署到您的最终用户设备，请考虑查看我的文章；如何使用 Intune 部署全局安全访问客户端，对于此步骤，您还需要 Intune 管理员 角色。 本文不会介绍如何部署客户端。

启用互联网流量转发配置文件

Global Secure Access 中的互联网访问流量转发配置文件将告诉系统，所有互联网访问也应转发到 Global Secure Access。启用配置文件后，流量将转发给租户中的所有用户/设备。请按照以下步骤启用 Internet 访问配置文件：

1. 登录entra.microsoft.com。
2. 展开全球安全访问 > 连接。
3. 选择流量转发。
4. 选中该框以启用 Internet 访问配置文件。

使用 Microsoft Graph PowerShell

还可以使用 Microsoft Graph PowerShell 启用 Internet 访问流量转发配置文件。

Connect-MgGraph
$uri = "https://graph.microsoft.com/beta/networkaccess/forwardingProfiles/063a63c1-050c-4f1d-b7fd-5855c7171c0d"
$body = @{
    "state" = "enabled"
} | ConvertTo-Json
Invoke-MgGraphRequest -uri $uri -body $body -method PATCH -contenttype "Application/Json"

创建 Web 内容过滤策略

下一步是创建网页内容过滤策略，这将允许您定义要为最终用户阻止哪些网址或网站类别。请按照以下步骤创建新的网页内容过滤策略：

1. 登录entra.microsoft.com

2. 展开全局安全访问 > 安全，然后选择网络内容过滤策略。

3. 单击创建策略。

4. 在基本页面上，定义名称以及您希望策略应用于目标网站的操作。

5. 在策略规则页面上，单击添加规则。然后在右侧的弹出窗口中，选择目标类型为 webCategory 或 fqdn。下面我选择了我将阻止的社交网络类别。

要按 FQDN 阻止，请选择 FQDN 作为目标类型，然后输入您要阻止的地址。可以使用通配符。

5. 单击创建策略。

使用 Microsoft Graph PowerShell

还可以使用 Microsoft Graph PowerShell 启用 Web 内容筛选策略。

Connect-MgGraph
$uri = "https://graph.microsoft.com/beta/networkaccess/filteringPolicies"

$body = @'
{
    "name": "Block Social Media",
    "policyRules": [
        {
            "@odata.type": "#microsoft.graph.networkaccess.webCategoryFilteringRule",
            "name": "Social media",
            "ruleType": "webCategory",
            "destinations": [
                {
                    "@odata.type": "#microsoft.graph.networkaccess.webCategory",
                    "name": "SocialNetworking"
                }
            ]
        },
          {
            "@odata.type": "#microsoft.graph.networkaccess.fqdnFilteringRule",
            "name": "Online games",
             "ruleType": "fqdn",
            "destinations": [
                {
                    "@odata.type": "#microsoft.graph.networkaccess.fqdn",
                    "value": "*.miniclip.com"
                }
            ]
        }
    ],
    "action": "block",
    "@odata.type": "#microsoft.graph.networkaccess.filteringPolicy"
}
'@

Invoke-MgGraphRequest -uri $uri -body $body -method POST -contenttype "Application/Json"

创建安全配置文件并链接您的 Web 内容过滤策略

通过使用条件访问策略将安全配置文件应用于用户。然后，Web 内容过滤策略会链接到安全配置文件以应用所需的过滤。请按照以下步骤创建安全配置文件：

1. 登录entra.microsoft.com

2. 展开全局安全访问 > 安全，然后选择安全配置文件。

3. 单击创建个人资料。

4. 在基本页面上，定义配置文件的名称、状态和优先级。 注意：优先级是指安全配置文件的顺序以及应用多个配置文件时它们的应用方式。如果您要创建基准策略，优先级应为最低值 (100)。

5. 在“链接策略”页面上，选择链接策略 > 现有策略。从下拉列表中选择您的网络内容过滤策略，然后定义优先级并将状态设置为启用。

（您可以将多个网页内容过滤策略添加到您的安全配置文件中）

6. 单击下一步，然后单击创建配置文件。

创建条件访问策略并链接您的安全配置文件

条件访问策略通过会话控制将安全配置文件应用到策略的目标用户。这意味着只要用户连接到 Global Secure Access 客户端，会话控制和 Web 内容过滤策略就会适用。请按照以下步骤创建链接了您的安全配置文件的条件访问策略：

1. 登录entra.microsoft.com

2. 展开保护并选择条件访问。

3. 单击创建新策略。

4. 包括您的目标用户，然后在目标资源上，从第一个下拉列表中选择全局安全访问，然后在第二个下拉列表中选择 >互联网流量。

5. 定义您的授权控制，然后在会话控制部分选择使用全局安全访问安全配置文件，并从下拉列表中选择您的安全配置文件。

6. 启用策略并单击创建。

有关使用 Microsoft Graph PowerShell 创建条件访问策略的指南，请参阅我的文章：如何使用 Microsoft Graph PowerShell 创建条件访问策略。

最终用户体验

将条件访问策略应用于最终用户几分钟后，网页内容过滤器将生效，并且将阻止对网站的访问。

通过右键单击系统托盘中的 Global Secure Access 客户端图标，然后选择“高级诊断”，您可以使用“流量”选项卡来监视已被阻止的连接。