Microsoft Entra Internet Access ist eine Cloud-Lösung, die den Zugriff auf Webinhalte sichert. Sie schützt Benutzer, Geräte und Daten vor Internetbedrohungen. Diese Lösung ist Teil von Microsofts Security Service Edge (SSE), zu dem auch Microsoft Entra Private Access gehört. Die Grundlage dieser Lösung bilden die Kernprinzipien des Zero-Trust-Network-Access (ZTNA), die darauf abzielen, das Prinzip der minimalen Rechte anzuwenden, explizit zu verifizieren und von einem Angriff auszugehen. Microsoft Entra Internet Access setzt adaptive Zugriffssteuerungen ein, vereinfacht die Netzwerksicherheit und ermöglicht eine konsistente Benutzererfahrung, unabhängig vom Standort. Microsoft stellt die Lösung über das Microsoft Wide Area Network bereit, das mehr als 140 Länder und 190 Netzwerkkantenstandorte umfasst.
Dieser Blog Artikel zeigt die Konfigurationschritte für Microsoft Entra Internet Access um Webinhalte nach Kategorien zu filtern.
Voraussetzungen und Lizenzierung
Lizenzen
Für Microsoft Entra Internet Access ist pro Benutzer eine der folgenden Lizenzen notwendig:
- Microsoft Entra Suite
- Microsoft Entra Internet Access
Detaillierte Informationen und Preisgestaltung zu den verschiedenen Plänen sind übersichtlich auf der Microsoft Produktwebseite: Microsoft Entra Plans and Pricing | Microsoft Security
Rollen nach dem Prinzip der geringsten Rechte
Für die Konfiguration und Verwaltung Microsoft Entra Internet Access können folgende Microsoft Entra Rollen verwendet werden:
| Rolle | Berechtigung |
| Global Secure Access Administrator | Einrichten und Verwalten von Microsoft Entra Internet Access |
| Administrator für bedingten Zugriff | Einrichten und Verwalten von bedingtem Microsoft Entra-Zugriff |
| Anwendungsadministrator | Hinzufügen oder Entfernen von Benutzern zu Datenverkehrsprofilen (in Kombination mit der Rolle Global Secure Access Administrator) |
Geräte
Folgende Voraussetzungen gelten für die Geräte:
- Betriebssystem Windows 10, Windows 11 oder Android
- iOS und MacOS als Preview verfügbar
- Windows Geräte müssen Microsoft Entra joined oder Microsoft Entra hybrid joined sein, Microsoft Entra registered wird nicht unterstützt.
Onboard Microsoft Entra Internet Access
Microsoft Entra Internet Access wird im Microsoft Entra Admin Center (https://entra.microsoft.com) aktiviert.
Datenverkehrsweiterleitungen
Internetzugriffsprofil unter Globaler sicherer Zugriff > Verbinden > Datenverkehrsweiterleitung aktivieren.
Benutzer- und Gruppenzuweisungen vornehmen.
Es können alle Benutzer (1), einzelne Benutzer oder Gruppen (2) ausgewählt werden. Die Aktion setzt die Rolle Global Secure Access Administrator und Anwendungsadministrator gleichzeitig voraus.
Adaptiver Zugriff
Signalisierung des Global Secure Access im bedingten Microsoft Entra-Zugriffs aktivieren.
Adaptiver Zugriff unter Global sicherer Zugriff > Einstellungen > Sitzungsverwaltung > Adaptiver Zugriff aktivieren.
Konfiguration Microsoft Entra Internet Access
Filterrichtlinien für Webinhalte
Der Zugriff auf Webinhalte wird nach Kategorien gesperrt oder erlaubt. Es ist auch möglich, spezifische Domains zu sperren. In diesem Beispiel wird der Zugriff auf Webseiten der Kategorie Glücksspiele blockiert.
Neue Webfilter Richtlinie unter Globaler sicherer Zugriff > Sicher > Filterrichtlinien für Webinhalte > Richtlinie erstellen anlegen.
- Name der Webfilter Richtlinie eingeben, z.B. Gambling
- Aktion der Webfilter Richtlinie auswählen (sperren oder zulassen)
- Weiter anklicken
- Regel hinzufügen auswählen
- Name der Richtlinie eingeben
- Zieltyp auf webCategory setzen
- Webfilter Kategorie Gambling auswählen
- Regel mit Hinzufügen erstellen
- Richtlinie mit Weiter bestätigen
Einstellungen prüfen und mit Richtlinie erstellen anlegen.
Die neue Filterrichtlinie für Webinhalte ist erstellt.
Sicherheitsprofile
In den Sicherheitsprofilen werden die Filterrichtlinien für Webinhalte organisiert. Mit dem bedingten Microsoft Entra-Zugriff werden Sicherheitsprofile benutzer- und kontextabhängig aktiviert.
Neues Sicherheitsprofil unter Global sicherer Zugriff > Sicher > Sicherheitsprofile > Profil erstellen erstellen.
- Name für das Sicherheitsprofil eingeben, z.B. Illegal Activities
- Status auf enabled setzen
- Priorität innerhalb aller Sicherheitsprofile festlegen, je tiefer der Wert, desto höher die Priorität des Sicherheitsprofils
- Weiter klicken
- Richtlinie verknüpfen > Vorhandene Richtlinie auswählen
- Richtlinie unter Richtlinienname auswählen
- Priorität innerhalb dieses Sicherheitsprofils festlegen, je tiefer der Wert, desto höher die Priorität der Richtlinie
- Status der Richtlinie festlegen (aktiviert oder deaktiviert)
- Richtlinie mit Add hinzufügen
- Richtlinie mit Next bestätigen
Einstellungen prüfen und mit Profil erstellen speichern.
Das neue Sicherheitsprofil ist erstellt.
Sicherheitsprofile mit bedingtem Microsoft Entra-Zugriff aktivieren
Mit dem bedingten Microsoft Entra-Zugriff werden die Sicherheitsprofile nach eigenen Ansprüchen aktiviert.
Schutz > Bedingter Zugriff > Neue Richtlinie erstellen
Name für die bedingte Microsoft Entra Zugriffsrichtlinie vergeben.
Die Benennungskonventionen sind hier beschrieben: Framework und Richtlinien für bedingten Zugriff – Azure Architecture Center | Microsoft Learn
Benutzer oder Benutzergruppen für den bedingten Zugriff auswählen. Wenn Azure Notfallzugriffskonten verwendent werden, diese von der Richtlinie ausschliessen.
In den Zielressourcen die Option Alle Internetressourcen mit global sicherem Zugriff aktivieren.
Das zuvor erstelle Sicherheitsprofil wird unter Sitzung > Sicherheitsprofil für globalen sicheren Zugriff verwenden ausgewählt.
Richtlinie aktivieren und mit Speichern erstellen.
Die Richtlinie ist erstellt und aktiviert.
Onboard Clientsoftware
Der Global Secure Access Client für die Verwendung von Microsoft Entra Internet Access ist für verschiedene Betriebssysteme veröffentlicht. Die Bereitstellung des Software Clients unter Windows ist im Beitrag Microsoft Entra Private Access: Onboard Clientsoftware beschrieben.
Funktionskontrolle
In diesem Beispiel wird von einem Gerät mit dem Global Secure Access Client die Webseite https://www.swisslos.ch aufgerufen. Die Webseite ist der Webfilter Kategorie Glücksspiele zugeordnet und wird durch das erstellte Sicherheitsprofil Illegal Activities und bedingtem Microsoft Entra-Zugriff blockiert.
Im Brower erscheint foglende Meldung:
Request blocked by Microsoft Entra Internet Access policies defined by your admin
Fehlersuche und Fehlerbehebung
Microsoft Entra admin center
Traffic logs
Unter Globaler sicherer Zugriff > Überwachen > Datenverkehrsprotokolle wird der Datenverkehr für die verschiedenen Services von Global Secure Access mit ein wenig Verzögerung angezeigt. Das Datenverkehrsprotokoll bietet viele Filtermöglichkeiten.
Gerät
Der Clobal Secure Access Client bietet unter Advanced diagnostic diverse Möglichkeiten, den aktuellen Status zu prüfen und Datenverkehr in Echtzeit zu sammeln und auszuwerten.
Forwarding profile
Aktive Datenverkehrprofile sind unter Forwarding profile für dieses Gerät ersichtlich. Beim Aufklappen einer Regel werden detaillierte Angaben zum Datenverkehr angezeigt.
Hostname acquisition
Unter Hostname acquisition kann der Datenverkehr aufgezeichnet werden und so geprüft werden, dass der Datenverkehr auch tatsächlich über Global Secure Access geroutet wird.
Traffic
Traffic zeigt in Echtzeit den gesamten Datenverkehr des Geräts an.
Folge mir auf LinkedIn und Bluesky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!
