Microsoft Entra Internet Access: Schutz der Benutzer durch leistungsstarke Filterung von Webinhalten

Microsoft Entra Internet Access ist eine Cloud-Lösung, die den Zugriff auf Webinhalte sichert. Sie schützt Benutzer, Geräte und Daten vor Internetbedrohungen. Diese Lösung ist Teil von Microsofts Security Service Edge (SSE), zu dem auch Microsoft Entra Private Access gehört. Die Grundlage dieser Lösung bilden die Kernprinzipien des Zero-Trust-Network-Access (ZTNA), die darauf abzielen, das Prinzip der minimalen Rechte anzuwenden, explizit zu verifizieren und von einem Angriff auszugehen. Microsoft Entra Internet Access setzt adaptive Zugriffssteuerungen ein, vereinfacht die Netzwerksicherheit und ermöglicht eine konsistente Benutzererfahrung, unabhängig vom Standort. Microsoft stellt die Lösung über das Microsoft Wide Area Network bereit, das mehr als 140 Länder und 190 Netzwerkkantenstandorte umfasst.

Dieser Blog Artikel zeigt die Konfigurationschritte für Microsoft Entra Internet Access um Webinhalte nach Kategorien zu filtern.

Zum Zeitpunkt des Erstellens dieses Beitrags befindet sich Microsoft Entra Internet Access in der Preview-Phase. Der Artikel wird fortlaufend aktualisiert.

Voraussetzungen und Lizenzierung

Lizenzen

Während der Preview Phase ist eine Microsoft Entra ID P1 Lizenz vorausgesetzt. Zum Zeitpunkt des Erstellens dieses Beitrages ist noch nicht bekannt, welche Lizenzen, Pläne oder AddOns nach globaler Verfügbarkeit von Microsoft Entra Internet Access notwendig sind.

Rollen

Das Einrichten und Verwalten von Microsoft Entra Internet Access setzt die Rolle Global Secure Access Administrator voraus.

Das Einrichten und Verwalten von bedingtem Microsoft Entra-Zugriff setzt entweder die Rolle Conditional Access Administrator oder Security Administrator voraus.

Geräte

Folgende Voraussetzungen gelten für die Geräte:

• Betriebssystem Windows 10, Windows 11 oder Android
  Frühzeitiger Zugang für iOS und MacOS als Private Preview verfügbar.
• Windows Geräte müssen Microsoft Entra joined oder Microsoft Entra hybrid joined sein. Microsoft Entra registered wird nicht unterstützt.

Onboard Microsoft Entra Internet Access

Microsoft Entra Internet Access wird im Microsoft Entra admin center (https://entra.microsoft.com) aktiviert.

Datenverkehrsweiterleitungen

Internet access profile unter Global Secure Access > Connect > Traffic forwarding aktivieren.

Adaptive Access

Signalisierung des Global Secure Access im bedingten Microsoft Entra-Zugriffs aktivieren.

Adaptive Access unter Global Secure Access > Global Settings > Session management > Adaptive Access aktivieren.

Konfiguration Microsoft Entra Internet Access

Filterrichtlinien für Webinhalte

Der Zugriff auf Webinhalte wird nach Kategorien gesperrt oder erlaubt. Es ist auch möglich, spezifische Domains zu sperren. In diesem Beispiel wird der Zugriff auf Webseiten der Kategorie Glücksspiele blockiert.

Neue Webfilter Richtlinie unter Global Secure Access > Secure > Web content filtering policies > Create policy erstellen.

1. Name der Webfilter Richtlinie eingeben, z.B. Gambling
2. Aktion der Webfilter Richtlinie auswählen (sperren oder zulassen)
3. Next anklicken

1. Add Rule auswählen
2. Name der Richtlinie eingeben
3. Zielart auf webCategory setzen
4. Webfilter Kategorie Gambling auswählen
5. Richtlinie mit Add hinzufügen
6. Richtlinie mit Next bestätigen

Einstellungen prüfen und mit Create Policy erstellen.

Die neue Filterrichtlinie für Webinhalte ist erstellt.

Sicherheitsprofile

In den Sicherheitsprofilen werden die Filterrichtlinien für Webinhalte organisiert. Mit dem bedingten Microsoft Entra-Zugriff werden Sicherheitsprofile benutzer- und kontextabhängig aktiviert.

Neues Sicherheitsprofil unter Global Secure Access > Secure > Security profiles > Create profil erstellen.

1. Name für das Sicherheitsprofil eingeben, z.B. Illegal Activities
2. Status auf enabled setzen
3. Priorität innerhalb aller Sicherheitsprofile festlegen, je tiefer der Wert, desto höher die Priorität des Sicherheitsprofils
4. Next klicken

1. Add Rule auswählen
2. Name der Richtlinie eingeben
3. Priorität innerhalb dieses Sicherheitsprofils festlegen, je tiefer der Wert, desto höher die Priorität der Richtlinie
4. Status der Richtlinie festlegen (aktiviert oder deaktiviert)
5. Richtlinie mit Add hinzufügen
6. Richtlinie mit Next bestätigen

Einstellungen prüfen und mit Create profile erstellen.

Das neue Sicherheitsprofil ist erstellt.

Sicherheitsprofile mit bedingtem Microsoft Entra-Zugriff aktivieren

Mit dem bedingten Microsoft Entra-Zugriff werden die Sicherheitsprofile nach eigenen Ansprüchen aktiviert.

Protection > Conditional Access > Create new policy

Benutzer oder Benutzergruppen für bedingten Zugriff unter Users festlegen. Wenn Azure Notfallzugriffskonten verwendent werden, diese von der Richtlinie ausschliessen.

Die Anwendung des bedingten Zugriffs erfolgt unter Target resources auf Global Secure Access (1) und das Datenverkehrsprofil Internet Traffic (2).

Das zuvor erstelle Sicherheitsprofil wird in der Kategorie Session unter Use Global Secure Access security profile ausgewählt.

Richtlinie aktivieren und mit Create erstellen.

Die Richtlinie ist erstellt und aktiviert.

Onboard Clientsoftware

Der Global Secure Access Client für die Verwendung von Microsoft Entra Internet Access ist für verschiedene Betriebssysteme veröffentlicht. Die Bereitstellung des Software Clients unter Windows ist im Beitrag Microsoft Entra Private Access: Onboard Clientsoftware beschrieben.

Funktionskontrolle

In diesem Beispiel wird von einem Gerät mit Global Secure Access Client die Webseite https://www.swisslos.ch aufgerufen. Die Webseite ist der Webfilter Kategorie Glücksspiele zugeordnet und wird durch das erstellte Sicherheitsprofil Illegal Activities und bedingtem Microsoft Entra-Zugriff blockiert.

Zum Zeitpunkt der Erstellung dieses Blogbeitrags ist es noch nicht möglich, die nachfolgende Benachrichtigung über Blockierungen anzupassen.

Fehlersuche und Fehlerbehebung

Microsoft Entra admin center

Traffic logs

Unter Global Secure Access > Monitor > Traffic logs wird der Datenverkehr für die verschiedenen Services von Global Secure Access mit ein wenig Verzögerung angezeigt. Das Traffic log bietet viele Filtermöglichkeiten.

Gerät

Der Clobal Secure Access Client bietet unter Advanced diagnostic diverse Möglichkeiten, den aktuellen Status zu prüfen und Datenverkehr in Echtzeit zu sammeln und auszuwerten.

Forwarding profile

Aktive Datenverkehrprofile sind unter Forwarding profile für dieses Gerät ersichtlich. Beim Aufklappen einer Regel werden detaillierte Angaben zum Datenverkehr angezeigt.

Hostname acquisition

Unter Hostname acquisition kann der Datenverkehr aufgezeichnet werden und so geprüft werden, dass der Datenverkehr auch tatsächlich über Global Secure Access geroutet wird.

Traffic

Traffic zeigt in Echtzeit den gesamten Datenverkehr des Geräts an.

---

Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.

Auf LinkedIn folgen

War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Duft eines frisch gebrühten Kaffees für mich!