Condividi tramite

Come configurare il filtro dei contenuti web di Global Secure Access

Informazioni generali

Il filtro dei contenuti Web consente di implementare controlli di accesso a Internet granulari per l'organizzazione in base alla categorizzazione dei siti Web.

Le prime funzionalità di gateway Web sicuro (SWG) di Accesso a Internet Microsoft Entra includono il filtro dei contenuti Web in base ai nomi di dominio. Microsoft integra criteri di filtro granulari con Microsoft Entra ID e Accesso condizionale di Microsoft Entra, il che comporta criteri di filtro che supportano l'utente, con riconoscimento del contesto e facili da gestire.

La funzionalità di filtro web supporta attualmente il filtro delle categorie web consapevole dell'utente e del contesto basato su URL (Uniform Resource Locator), il filtro URL e il filtro FQDN.

Suggerimento

Per i filtri basati sui tipi di file (tipi MIME) e l'integrazione con Microsoft Purview per la prevenzione della perdita dei dati, vedere Creare un criterio di contenuto per filtrare il contenuto dei file di rete.

Prerequisiti

  • Gli amministratori che interagiscono con le funzionalità di accesso sicuro globale devono avere una o più delle assegnazioni di ruolo seguenti a seconda delle attività eseguite.

  • Completare la Guida introduttiva all'accesso sicuro globale .

  • Installare il client Accesso sicuro globale nei dispositivi degli utenti finali.

  • Per eseguire il tunneling del traffico di rete, è necessario disabilitare il Domain Name System (DNS) su HTTPS (Secure DNS). Utilizzare le regole dei nomi di dominio completi (FQDN) nel profilo di inoltro del traffico. Per altre informazioni, vedere Configurare il client DNS per supportare DoH.

  • Disabilitare il client DNS predefinito in Chrome e Microsoft Edge.

  • Il traffico IPv6 non viene acquisito dal client e viene quindi trasferito direttamente alla rete. Per consentire il tunneling di tutto il traffico pertinente, impostare le proprietà della scheda di rete su IPv4 preferite.

  • Il traffico UDP (User Datagram Protocol), ovvero QUIC, non è supportato nell'anteprima corrente di Accesso a Internet. La maggior parte dei siti web supporta il ripiego sul Transmission Control Protocol (TCP) quando non è possibile stabilire una connessione QUIC. Per un'esperienza utente migliorata, è possibile distribuire una regola firewall Windows che blocca UDP 443 in uscita: New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.

  • Esaminare i concetti relativi al filtro del contenuto Web. Per altre informazioni, vedere Filtro del contenuto Web.

Passaggi di livello elevato

Esistono diversi passaggi per configurare il filtro del contenuto Web. Prendere nota di dove è necessario configurare un criterio di Accesso condizionale.

  1. Abilitare l'inoltro del traffico Internet.
  2. Creare un criterio di filtro del contenuto Web.
  3. Creare un profilo di sicurezza.
  4. Collegare il profilo di sicurezza a un criterio di accesso condizionale.
  5. Assegna utenti o gruppi al profilo di instradamento del traffico.

Abilitare l'inoltro del traffico Internet

Il primo passaggio consiste nell'abilitare il profilo di inoltro del traffico di Accesso Internet. Per altre informazioni sul profilo e su come abilitarlo, vedere Come gestire il profilo di inoltro del traffico di Accesso Internet.

Creare un criterio di filtro contenuto Web

  1. Passare a Global Secure Access>protezione>criteri di filtro dei contenuti web.
  2. Selezionare Crea politica.
  3. Immettere un nome e una descrizione per il criterio e selezionare Avanti.
  4. Selezionare Aggiungi regola.
  5. Immettere un nome, selezionare una categoria Web, un URL valido o un nome di dominio completo valido e quindi selezionare Aggiungi.
    • Gli URL e i nomi di dominio completi validi in questa funzionalità possono includere anche caratteri jolly usando il simbolo asterisco, *e possono essere elenchi delimitati da virgole.
    • Quando si immettono FQDN (nomi di dominio completamente qualificati), usare solo il nome di dominio. Non includere protocolli (ad esempio https://), numeri di porta o percorsi URL. Ad esempio, immettere contoso.com anziché https://contoso.com:443/path.
    • Per trovare la corrispondenza con tutti i sottodomini di un dominio, usare il formato carattere jolly *.domain.com. Si noti che il carattere jolly *.domain.com corrisponde a sottodomini come www.domain.com, ma non corrisponde al dominio radice domain.com stesso. Per coprire sia il dominio che tutti i relativi sottodomini, includere entrambe le voci come elenco delimitato da virgole (ad esempio, *.contoso.com,contoso.com).
    • Quando si immettono più FQDN in un elenco delimitato da virgole, non includere spazi tra le voci , ad esempio contoso.com,fabrikam.com,*.example.com.
    • Si noti che l'anteprima dei filtri URL supporta un massimo di 1.000 URL per ogni tenant.
  6. Selezionare Avanti per esaminare i criteri e quindi selezionare Crea criterio.

Creare un profilo di sicurezza

I profili di sicurezza sono un raggruppamento dei criteri di filtro. È possibile assegnare o collegare profili di sicurezza con criteri di Accesso condizionale di Microsoft Entra. Un profilo di sicurezza può contenere molteplici criteri di filtro. Inoltre, è possibile associare un profilo di sicurezza a più criteri di Accesso condizionale.

In questo passaggio viene creato un profilo di sicurezza per raggruppare i criteri di filtro. Quindi si assegnano o si collegano i profili di sicurezza con un criterio di Accesso condizionale in modo che tengano conto dell'utente o del contesto.

Nota

Per altre informazioni sui criteri di Accesso condizionale di Microsoft Entra, vedere Building a Conditional Access policy.

  1. Passare a Global Secure Access>Secure>Security profiles (Profili di sicurezza).
  2. Selezionare Crea profilo.
  3. Immettere un nome e una descrizione per il criterio e selezionare Avanti.
  4. Selezionare Collega un criterio e quindi selezionare Criteri esistenti.
  5. Selezionare i criteri di filtro del contenuto Web già creati e selezionare Aggiungi.
  6. Selezionare Avanti per esaminare il profilo di sicurezza e i criteri associati.
  7. Selezionare Crea un profilo.
  8. Selezionare Aggiorna per aggiornare la pagina dei profili e visualizzare il nuovo profilo.

Creare criteri di accesso condizionale per utenti o gruppi e fornire il profilo di sicurezza tramite i controlli della sessione di accesso condizionale. L'Accesso condizionale è il meccanismo che permette di utilizzare criteri di Accesso a Internet che tengano conto dell’utente e del contesto. Per altre informazioni sui controlli sessione, vedere Accesso condizionale: Sessione.

  1. Accedere al Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di accesso condizionale.
  2. Passare a Entra ID>Accesso condizionale>Criteri.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua politica. Le organizzazioni devono creare uno standard significativo per i nomi dei criteri.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi, selezionare Tutti gli utenti
  6. Selezionare Risorse di destinazione e Tutte le risorse Internet con Accesso sicuro globale.
  7. Selezionare Session>Usa il profilo di sicurezza di Accesso Sicuro Globale e scegliere un profilo di sicurezza.
  8. Seleziona.
  9. Nella sezione Enable policy (Abilita criterio ) verificare che l'opzione Sì sia selezionata.
  10. Selezionare Crea.

Abilitare il filtro contenuto Web per il traffico di rete remoto

La connettività di rete remota consente di connettere succursali e altre posizioni remote ad Accesso sicuro globale senza installare il client in singoli dispositivi. Per altre informazioni sulla connettività di rete remota, vedere Connettività di rete remota di Accesso sicuro globale.

È possibile usare il profilo di sicurezza di base per applicare criteri di filtro del contenuto Web a livello di tenant a tutto il traffico di rete remoto. Il profilo di base applica i criteri alla priorità più bassa nello stack di criteri e si applica a tutto il traffico di Accesso Internet instradato attraverso il servizio, rendendolo ideale per la protezione dei percorsi di rete remoti.

  1. Passare a Accesso sicuro globale>Profilo di sicurezza>Profili di sicurezza>Profilo di base.

  2. Selezionare Collega un criterio e quindi selezionare Criteri esistenti.

  3. Selezionare i criteri di filtro del contenuto Web da applicare al traffico di rete remoto e selezionare Aggiungi.

  4. Il profilo di base si applica automaticamente a tutto il traffico di rete remoto senza richiedere criteri di accesso condizionale.

    Screenshot della pagina Profili di sicurezza che mostra la scheda Profilo baseline con il profilo di base elencato con priorità 65000.

Nota

Il profilo di sicurezza di base si applica a tutto il traffico indirizzato tramite Accesso sicuro globale, incluso il traffico di rete remoto e basato su client. Non è necessaria alcuna configurazione dei criteri di accesso condizionale per il traffico di rete remoto, perché il profilo di base applica i criteri per impostazione predefinita.

Per altre informazioni sull'applicazione di criteri di sicurezza alle reti remote, vedere Applicare criteri di sicurezza al traffico di rete remoto.

Diagramma di flusso di Accesso a Internet

Questo esempio illustra il flusso del traffico Accesso a Internet Microsoft Entra quando si applicano criteri di filtro del contenuto Web.

Il diagramma di flusso seguente illustra i criteri di filtro dei contenuti Web che bloccano o consentono l'accesso alle risorse Internet.

Diagramma che mostra il flusso per i criteri di filtro del contenuto Web che bloccano o consentono l'accesso alle risorse Internet.

Passo Descrizione
1 Il client Accesso sicuro globale tenta di connettersi alla soluzione Security Service Edge di Microsoft.
2 Il client viene reindirizzato a Microsoft Entra ID per l'autenticazione e l'autorizzazione.
3 L'utente e il dispositivo eseguono l'autenticazione. L'autenticazione viene eseguita senza problemi quando l'utente ha un token di aggiornamento primario valido.
4 Dopo l'autenticazione dell'utente e del dispositivo, l'accesso condizionale corrisponde alle regole di accesso condizionale di Accesso a Internet e aggiunge i profili di sicurezza applicabili al token. Applica i criteri di autorizzazione applicabili.
5 Microsoft Entra ID presenta il token per Microsoft Security Service Edge per la convalida.
6 Il tunnel viene stabilito tra il client di Accesso Sicuro Globale e Microsoft Security Service Edge.
7 Il traffico inizia a essere acquisito e instradato attraverso il tunnel di accesso a Internet.
8 Microsoft Security Service Edge valuta i criteri di sicurezza nel token di accesso in ordine di priorità. Dopo che il contenuto corrisponde a una regola di filtro Web, la valutazione della politica di filtro del contenuto Web si arresta.
9 Microsoft Security Service Edge applica i criteri di sicurezza.
10 Policy = blocca genera un errore per il traffico HTTP o si verifica un'eccezione di reimpostazione della connessione per il traffico HTTPS.
11 Policy = allow consente l'inoltro del traffico verso la destinazione.

Nota

L'applicazione di un nuovo profilo di sicurezza può richiedere fino a 60-90 minuti a causa dell'imposizione del profilo di sicurezza con token di accesso. L'utente deve ricevere un nuovo token di accesso con un nuovo ID profilo di sicurezza come attestazione prima che diventi effettivo. Le modifiche ai profili di sicurezza esistenti iniziano a essere applicate molto più rapidamente.

Assegnazioni di utenti e gruppi

È possibile definire l'ambito del profilo di Accesso a Internet a utenti e gruppi specifici. Per altre informazioni sull'assegnazione di utenti e gruppi, vedere Come assegnare e gestire utenti e gruppi con profili di inoltro del traffico.

Verificare l'applicazione dei criteri dell'utente finale

Quando il traffico raggiunge Microsoft Secure Service Edge, Accesso a Internet Microsoft Entra esegue i controlli di sicurezza in due modi. Per il traffico HTTP non crittografato, usa l'URL (Uniform Resource Locator). Per il traffico HTTPS crittografato con Transport Layer Security (TLS), usa l'indicazione del nome del server (SNI).

Usare un dispositivo Windows con il client Accesso sicuro globale installato. Accedere come utente a cui è assegnato il profilo di acquisizione del traffico Internet. Verificare che il passaggio ai siti Web sia consentito o limitato come previsto.

  1. Fare clic con il pulsante destro del mouse sull'icona del client Accesso sicuro globale nell'area di notifica e aprire Diagnostica avanzata>profilo di inoltro. Assicurarsi che siano presenti le regole di acquisizione dell'accesso a Internet. Controllare inoltre se l'acquisizione del nome host e i flussi di traffico Internet degli utenti vengono acquisiti durante la navigazione.

  2. Passare a siti consentiti e bloccati e verificare se si comportano correttamente. Passare a Global Secure Access>Monitor>Log del traffico per verificare che il traffico sia bloccato o consentito in modo appropriato.

L'esperienza di blocco corrente per tutti i browser include un errore del browser in testo non crittografato per il traffico HTTP e un errore del browser "Reimpostazione collegamento" per il traffico HTTPS.

Screenshot che mostra un errore del browser in testo semplice per traffico HTTP non crittografato o ispezionato tramite TLS.

Screenshot che mostra un errore del browser

Nota

Le modifiche alla configurazione nell'esperienza di Accesso Globale Sicuro relative al filtro dei contenuti web in genere hanno effetto in meno di 5 minuti. Le modifiche di configurazione nell'Accesso condizionale correlato al filtro contenuto Web diventano effettive in circa un'ora.

Nota

Per accelerare le modifiche alla configurazione dell'accesso condizionale per i test, revocare le sessioni utente nel centro di amministrazione di Microsoft Entra (selezionare Revoca sessioni nella pagina di panoramica dell'utente). In questo modo gli utenti possono ottenere nuovi token con criteri aggiornati. Altre informazioni sulla valutazione dell'accesso continuo.

Passaggi successivi

  • Last updated on