Entra Internet Access & Private Access Entra Internet Access & Private Access
Security Service Edge mit Microsoft Entra Internet Access und Microsoft Entra Private Access – identitätszentriertes Netzwerk-Sicherheitsmodell. Security Service Edge with Microsoft Entra Internet Access and Microsoft Entra Private Access – identity-centric network security model.
SWG (Secure Web Gateway) für Internet-Traffic mit Webkategoriefilterung und FQDN-Regeln.SWG (Secure Web Gateway) for internet traffic with web category filtering and FQDN rules.
Zero-Trust Network Access (ZTNA) für on-prem und private Cloud-Applikationen ohne VPN.Zero-Trust Network Access (ZTNA) for on-premises and private cloud applications without VPN.
Optimiertes Routing für M365-Datenverkehr mit Source-IP-Wiederherstellung für CA.Optimized routing for M365 traffic with source IP restoration for CA.
CAE-Integration: Netzwerkstatus wird in Echtzeit in Token-Entscheidungen einbezogen.CAE integration: network state is incorporated into token decisions in real time.
Überblick – Security Service EdgeOverview – Security Service Edge
Global Secure Access (GSA) ist Microsofts Security Service Edge (SSE) Lösung, die in Microsoft Entra ID integriert ist. Sie ersetzt klassische VPN- und Perimeter-basierte Modelle durch ein identitäts- und kontextbasiertes Netzwerkzugriffsmodell. Der Client leitet Datenverkehr über die Microsoft Global Network Edge-PoPs, wo Policies durchgesetzt werden. Global Secure Access (GSA) is Microsoft's Security Service Edge (SSE) solution integrated into Microsoft Entra ID. It replaces traditional VPN and perimeter-based models with an identity- and context-based network access model. The client routes traffic through Microsoft Global Network Edge PoPs where policies are enforced.
Entra Internet Access und Entra Private Access sind separate SKUs (Teil von Microsoft Entra Suite oder einzeln). Für M365-Traffic-Profil ist Microsoft Entra ID P1 ausreichend, aber die erweiterten Filterfeatures brauchen Internet Access oder Suite. Prüfen Sie das aktuelle Lizenz-Guidance, da GSA noch aktiv weiterentwickelt wird. Entra Internet Access and Entra Private Access are separate SKUs (part of Microsoft Entra Suite or individual). For the M365 traffic profile Microsoft Entra ID P1 is sufficient, but advanced filtering features require Internet Access or Suite. Check current licensing guidance as GSA is still being actively developed.
Architektur und KomponentenArchitecture and components
| KomponenteComponent | BeschreibungDescription | OrtLocation |
|---|---|---|
| Global Secure Access ClientGlobal Secure Access Client | Leichtgewichtiger Agent auf Windows-Geräten; leitet konfigurierten Traffic in den GSA-TunnelLightweight agent on Windows devices; routes configured traffic into the GSA tunnel | Endgerät (Windows 10/11)Endpoint (Windows 10/11) |
| Private Network ConnectorPrivate Network Connector | Dienst im Unternehmensnetzwerk oder privater Cloud; nimmt Private-Access-Traffic vom Microsoft-Edge anService in the corporate network or private cloud; accepts Private Access traffic from the Microsoft edge | On-premises / Azure VNetOn-premises / Azure VNet |
| Microsoft Edge NetworkMicrosoft Edge Network | Globale PoP-Infrastruktur von Microsoft; Policy-Engine, TLS-Inspection, Web-FilterungMicrosoft's global PoP infrastructure; policy engine, TLS inspection, web filtering | Microsoft-CloudMicrosoft cloud |
| Traffic Forwarding ProfilesTraffic Forwarding Profiles | Konfigurieren, welcher Traffic durch GSA geleitet wird (M365, Internet, Private Access)Configure which traffic is routed through GSA (M365, internet, Private Access) | Entra Admin CenterEntra Admin Center |
Traffic Forwarding ProfileTraffic forwarding profiles
Traffic Forwarding Profile bestimmen, welcher Datenverkehr vom GSA-Client abgefangen und umgeleitet wird. Es gibt drei vordefinierte Profile, die unabhängig aktiviert werden können. Traffic forwarding profiles determine which network traffic is intercepted and redirected by the GSA client. There are three predefined profiles that can be activated independently.
| ProfilProfile | Traffic-TypTraffic type | HauptfunktionMain function |
|---|---|---|
| Microsoft 365Microsoft 365 | Exchange Online, SharePoint, Teams, etc.Exchange Online, SharePoint, Teams, etc. | Source-IP-Wiederherstellung für CA; optimiertes Routing; Token-SchutzSource IP restoration for CA; optimized routing; token protection |
| Microsoft Entra Private AccessMicrosoft Entra Private Access | Privater Datenverkehr zu konfigurierten Apps/SegmentenPrivate traffic to configured apps/segments | ZTNA-Zugriff auf interne Apps ohne VPNZTNA access to internal apps without VPN |
| Microsoft Entra Internet AccessMicrosoft Entra Internet Access | Gesamter oder ausgewählter Internet-TrafficAll or selected internet traffic | Secure Web Gateway, FQDN/Kategoriefilterung, TLS-InspektionSecure Web Gateway, FQDN/category filtering, TLS inspection |
Microsoft Entra Private AccessMicrosoft Entra Private Access
Entra Private Access ist ein identitätsbasierter VPN-Ersatz für den Zugriff auf On-Premises- und private Cloud-Applikationen. Anders als ein klassisches VPN gewährt Private Access keinen Netzwerk-Zugriff, sondern nur App-spezifischen Zugriff, der durch Conditional Access abgesichert ist. Entra Private Access is an identity-based VPN replacement for access to on-premises and private cloud applications. Unlike a classical VPN, Private Access does not grant network access but only app-specific access secured by Conditional Access.
| KonzeptConcept | BeschreibungDescription |
|---|---|
| Private Network ConnectorPrivate Network Connector | Lightweight-Service im Unternehmensnetzwerk; ausgehende Verbindung zum Microsoft-Edge (kein Inbound-Firewall-Port erforderlich)Lightweight service in the corporate network; outbound connection to Microsoft edge (no inbound firewall port required) |
| Connector GroupConnector Group | Gruppe von Connectoren für HA und geografische VerteilungGroup of connectors for HA and geographic distribution |
| Private Access AppPrivate Access App | Enterprise-App-Objekt mit konfigurierten Ziel-FQDNs, IPs und PortsEnterprise app object with configured destination FQDNs, IPs, and ports |
| Quick AccessQuick Access | Schnelles App-Segment ohne vollständige App-Konfiguration; für einfachen EinstiegQuick app segment without full app configuration; for simple onboarding |
| Conditional Access für Private AccessConditional Access für Private Access | CA-Policy greift bei jedem Private-Access-Zugriffsversuch; Device-Compliance, MFA, Risikosignale anwendbarCA policy applies to every Private Access access attempt; device compliance, MFA, risk signals applicable |
Connector-AnforderungenConnector requirements
| AnforderungRequirement | DetailDetail |
|---|---|
| BetriebssystemBetriebssystem | Windows Server 2016+ oder Windows 10/11 (für Tests)Windows Server 2016+ oder Windows 10/11 (für Tests) |
| Ausgehende PortsOutbound ports | TCP 443, TCP 80 (zur Installation)TCP 443, TCP 80 (zur Installation) |
| Ausgehende URLsOutbound URLs | *.msappproxy.net, *.servicebus.windows.net, login.microsoftonline.com*.msappproxy.net, *.servicebus.windows.net, login.microsoftonline.com |
| Entra-Rolle für InstallationEntra role for installation | Global Administrator oder Application AdministratorGlobal Administrator oder Application Administrator |
| Mindest-Speicher/CPUMinimum memory/CPU | 1,5 GB RAM, 1 vCPU (empfohlen: 2 vCPU, 3,5 GB RAM)1,5 GB RAM, 1 vCPU (empfohlen: 2 vCPU, 3,5 GB RAM) |
Microsoft Entra Internet AccessMicrosoft Entra Internet Access
Entra Internet Access ist ein Secure Web Gateway (SWG), das Internet-Traffic über das Microsoft-Edge-Netzwerk leitet. Es bietet Webkategoriefilterung, FQDN-basierte Filterung, TLS-Inspektion und Integration mit dem Conditional-Access-Signalfluss. Entra Internet Access is a Secure Web Gateway (SWG) that routes internet traffic through the Microsoft edge network. It provides web category filtering, FQDN-based filtering, TLS inspection, and integration with the Conditional Access signal flow.
| FeatureFeature | BeschreibungDescription |
|---|---|
| WebkategoriefilterungWeb category filtering | Sperren oder Erlauben von Websitekategorien (z. B. Social Media, Glücksspiel, Malware)Block or allow website categories (e.g. social media, gambling, malware) |
| FQDN / URL-FilterungFQDN / URL-Filterung | Feingranulare Regeln für einzelne Domains oder PfadeFine-grained rules for individual domains or paths |
| TLS-InspektionTLS-Inspektion | Entschlüsselung und Inspection von HTTPS-Traffic; CA-Zertifikat auf Clients erforderlichDecryption and inspection of HTTPS traffic; CA certificate on clients required |
| Threat IntelligenceThreat intelligence | Blockierung bekannter bösartiger Domains und IPsBlocking of known malicious domains and IPs |
| Source IP RestorationSource IP Restoration | M365-Ressourcen erhalten Originalquelladresse des Clients statt Microsoft-Edge-IPM365 resources receive original source address of the client instead of Microsoft edge IP |
| Profilbasierte PoliciesProfile-based policies | Unterschiedliche Filterprofile für Benutzergruppen (z. B. Admins, Dev, Standard-User)Different filter profiles per user group (e.g. admins, dev, standard users) |
Microsoft 365 Traffic ProfilMicrosoft 365 traffic profile
Das M365-Profil ist das einfachste Einsteigsprofil. Es leitet nur Microsoft 365-Datenverkehr durch das GSA-Netzwerk und bietet dadurch Source IP Restoration: Entra CA sieht die tatsächliche Client-IP statt einer anonymisierten Verbindung. The M365 profile is the simplest entry profile. It routes only Microsoft 365 traffic through the GSA network and thereby provides Source IP Restoration: Entra CA sees the actual client IP instead of an anonymized connection.
Mit dem M365-Profil können Sie Token Protection in Conditional Access aktivieren: Das Access Token ist an ein bestimmtes Gerät oder eine Session gebunden und kann nicht gestohlen und auf einem anderen Gerät genutzt werden (Token-Replay-Angriffe). With the M365 profile you can enable Token Protection in Conditional Access: the access token is bound to a specific device or session and cannot be stolen and used on another device (token replay attacks).
Conditional Access IntegrationConditional Access integration
GSA ist tief mit Conditional Access integriert. Der Netzwerkstandort des Clients (via GSA) wird als CA-Signal verwendet, und CA-Policies können den Netzwerkzustand als Bedingung einschließen. GSA is deeply integrated with Conditional Access. The network location of the client (via GSA) is used as a CA signal, and CA policies can include network state as a condition.
| CA-IntegrationCA integration | FunktionFunction |
|---|---|
| Source IP RestorationSource IP Restoration | CA Named Location (Trusted IP) funktioniert wieder zuverlässig trotz GSA-TunnelCA Named Location (Trusted IP) works reliably again despite GSA tunnel |
| Compliant Network CheckCompliant Network Check | CA kann verlangen, dass der Benutzer über GSA verbunden ist (Compliant Network Condition)CA can require that the user is connected through GSA (Compliant Network Condition) |
| Token Protection (Preview)Token Protection (Preview) | Token an Gerät/Client binden; Replay auf anderen Devices verhindernBind token to device/client; prevent replay on other devices |
| Kontinuierliche ZugriffsevaluierungContinuous access evaluation | Netzwerkänderungen (IP-Wechsel über GSA) lösen Token-Re-Evaluierung ausNetwork changes (IP change via GSA) trigger token re-evaluation |
Deployment-SchritteDeployment steps
| ## | SchrittStep | BeschreibungDescription |
|---|---|---|
| 11 | Lizenz prüfenVerify license | Entra Suite oder Internet/Private Access SKU im Tenant aktiviertEntra Suite or Internet/Private Access SKU activated in tenant |
| 22 | GSA im Admin Center aktivierenActivate GSA in admin center | Entra Admin Center → Global Secure Access → AktivierungEntra admin center → Global Secure Access → Activation |
| 33 | Traffic-Profil auswählenSelect traffic profile | M365 als erster Schritt empfohlen; dann Private Access oder Internet AccessM365 recommended as first step; then Private Access or Internet Access |
| 44 | Connector installieren (Private Access)Install connector (Private Access) | Private Network Connector im Unternehmensnetzwerk oder Azure VNet installierenInstall Private Network Connector in corporate network or Azure VNet |
| 55 | GSA-Client deployenDeploy GSA client | Via Intune oder MDM auf Windows 10/11-Geräte; macOS/iOS in PreviewVia Intune or MDM on Windows 10/11 devices; macOS/iOS in preview |
| 66 | CA-Policies anpassenAdjust CA policies | Compliant Network und Token Protection Policies konfigurierenConfigure Compliant Network and Token Protection policies |
| 77 | Logs überwachenMonitor logs | Network Access Traffic Logs in Monitoring/Diagnoseeinstellungen aktivierenActivate Network Access Traffic Logs in Monitoring/Diagnostic settings |
Traffic-Protokolle und MonitoringTraffic logs and monitoring
GSA erzeugt Network Access Traffic Logs, die per Diagnoseeinstellung nach Log Analytics exportiert werden können. Sie enthalten Informationen über alle durch den Tunnel geleiteten Verbindungen. GSA generates Network Access Traffic Logs that can be exported to Log Analytics via diagnostic settings. They contain information about all connections routed through the tunnel.
NetworkAccessTrafficLogs
| where TimeGenerated > ago(24h)
| summarize Connections = count() by DestinationFqdn, DestinationPort
| sort by Connections desc
| take 30NetworkAccessTrafficLogs
| where TimeGenerated > ago(24h)
| where Action == "block"
| summarize BlockedCount = count() by UserPrincipalName, DestinationFqdn, PolicyName
| sort by BlockedCount descRemote Networks (Branch Office Verbindungen)Remote networks (branch office connections)
Neben dem Client-Agent unterstützt Global Secure Access auch Remote-Network-Verbindungen für Standorte oder SD-WAN-Geräte. Dabei wird ein IPSec/BGP-Tunnel von einem physischen oder virtuellen Netzwerkgerät zur Microsoft Edge-Infrastruktur aufgebaut. In addition to the client agent, Global Secure Access also supports remote network connections for sites or SD-WAN devices. This establishes an IPSec/BGP tunnel from a physical or virtual network device to the Microsoft edge infrastructure.
| VerbindungstypConnection type | EinsatzUse case | AnforderungenRequirements |
|---|---|---|
| CPE / Router (IKEv2)CPE / Router (IKEv2) | Physische Bürostandorte ohne Client-AgentPhysical office sites without client agent | IKEv2 IPSec, BGP, statische IPsIKEv2 IPSec, BGP, statische IPs |
| SD-WAN IntegrationSD-WAN Integration | Bestehende SD-WAN-InfrastrukturExisting SD-WAN infrastructure | Herstellerabhängig; Partner-Integrationen verfügbarVendor-dependent; partner integrations available |
| Azure VNetAzure VNet | Azure-gehostete Workloads ohne ClientAzure-hosted workloads without client | Azure VPN Gateway oder Virtual WANAzure VPN Gateway oder Virtual WAN |
ZTNA vs. VPN – VergleichZTNA vs. VPN – comparison
| MerkmalAspect | Klassisches VPNKlassisches VPN | Entra Private Access (ZTNA)Entra Private Access (ZTNA) |
|---|---|---|
| NetzwerkzugangNetwork access | Gesamtes Netz-SegmentEntire network segment | Nur einzelne Apps/PortsOnly specific apps/ports |
| MFA / CAMFA / CA | Nur beim VPN-AufbauOnly at VPN establishment | Bei jedem App-Zugriff erzwungenEnforced at each app access |
| GerätecomplianceDevice compliance | Optional, oft nicht erzwungenOptional, often not enforced | Über CA-Policy erzwingbarEnforceable via CA policy |
| Lateral MovementLateral movement | Möglich nach VPN-ZugangPossible after VPN access | Verhindert durch App-spezifischen ZugangPrevented by app-specific access |
| BenutzeridentitätUser identity | IP-basiertIP-based | Identitätsbasiert (Entra ID)Identity-based (Entra ID) |
| SkalierungScalability | Eingehende Firewall-Ports erforderlichInbound firewall ports required | Nur ausgehende Verbindungen vom ConnectorOnly outbound connections from connector |
Troubleshooting Global Secure AccessTroubleshooting Global Secure Access
| ProblemIssue | DiagnoseDiagnosis | LösungSolution |
|---|---|---|
| Client verbindet nichtClient not connecting | Windows Event Log → GlobalSecureAccessWindows Event Log → GlobalSecureAccess | TLS-Inspektion auf GSA-Endpoints prüfen; Port 443 freischaltenCheck TLS inspection on GSA endpoints; open port 443 |
| Private Access App nicht erreichbarPrivate Access app not reachable | Connector Health im Admin Center prüfenCheck Connector Health in admin center | Connector-Service neu starten; DNS-Auflösung auf Connector prüfenRestart connector service; check DNS resolution on connector |
| M365-Traffic nicht durch GSAM365 traffic not through GSA | GSA Client Status in System Tray; Traffic Profile StatusGSA client status in system tray; traffic profile status | M365-Profil in den Tenant-Einstellungen aktivieren; Client neustartenEnable M365 profile in tenant settings; restart client |
# Global Secure Access Client Status
Get-Service -Name "Global Secure Access Client"
Get-EventLog -LogName "Application" -Source "GlobalSecureAccess*" -Newest 20
# Connector Health per Graph API
GET https://graph.microsoft.com/beta/networkAccess/connectivity/branches
GET https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworksWeb-Filterung und SicherheitsprofileWeb filtering and security profiles
Sicherheitsprofile in Entra Internet Access definieren, welche Web-Kategorien, FQDNs oder Threat Intelligence-basierte Sperrlisten für eine Benutzergruppe gelten. Unterschiedliche Profile können verschiedenen Entra-ID-Gruppen zugewiesen werden. Security profiles in Entra Internet Access define which web categories, FQDNs, or threat intelligence-based block lists apply to a user group. Different profiles can be assigned to different Entra ID groups.
| FilterkategorieFilter category | BeispieleExamples | StandardaktionDefault action |
|---|---|---|
| Malware / PhishingMalware / Phishing | Known malware distribution, phishing pagesKnown malware distribution, phishing pages | Blockieren (empfohlen)Block (recommended) |
| Soziale MedienSocial media | Facebook, Instagram, TikTokFacebook, Instagram, TikTok | Erlauben oder je nach GruppeAllow or group-dependent |
| ProduktivitätsverlustProductivity loss | Gaming, Streaming, Adult contentGaming, Streaming, Adult content | Blockieren für Standard-UserBlock for standard users |
| Anonymizer / VPNAnonymizer / VPN | Proxy services, Tor, VPN sitesProxy services, Tor, VPN sites | BlockierenBlock |
GSA Graph API EndpunkteGSA Graph API endpoints
# Traffic Forwarding Profile
GET https://graph.microsoft.com/beta/networkAccess/forwardingProfiles
# Private Access Apps (Enterprise App Segments)
GET https://graph.microsoft.com/beta/applications?$filter=tags/any(t:t eq 'PrivateAccessApplication')
# Connector Groups und Connector Health
GET https://graph.microsoft.com/beta/onPremisesPublishingProfiles/applicationProxy/connectorGroups
GET https://graph.microsoft.com/beta/onPremisesPublishingProfiles/applicationProxy/connectors
# Network Access Tenanteinstellungen
GET https://graph.microsoft.com/beta/networkAccess/settingsGSA-Diagnose & TroubleshootingGSA Diagnostics & Troubleshooting
Der Global Secure Access Client bietet ein integriertes Diagnose-Dashboard und Ereignisprotokollierung für die Fehlerbehebung.The Global Secure Access client provides a built-in diagnostics dashboard and event logging for troubleshooting.
| SymptomSymptom | Mögliche UrsachePossible Cause | LösungResolution |
|---|---|---|
| Tunnel verbindet nichtTunnel not connecting | Firewall blockiert Port 443/UDPFirewall blocking port 443/UDP | Ausgehende Verbindungen zu *.globalsecureaccess.microsoft.com zulassenAllow outbound to *.globalsecureaccess.microsoft.com |
| Private App nicht erreichbarPrivate app unreachable | App Connector nicht verbundenApp Connector not connected | Connector-Status im Entra Portal prüfenCheck connector status in Entra portal |
| Hohe LatenzHigh latency | Suboptimaler Edge-StandortSuboptimal edge location | Nearest PoP in Network Health-Dashboard prüfenCheck nearest PoP in network health dashboard |
| Zugriff verweigert (CA)Access denied (CA) | Compliant Network-Bedingung nicht erfülltCompliant Network condition not met | GSA-Client-Version und Registrierungsstatus prüfenCheck GSA client version and enrolment status |
| Web-Kategorien werden nicht gefiltertWeb categories not filtered | Internet Access Profil nicht zugewiesenInternet Access profile not assigned | Security Profile Assignment prüfenCheck security profile assignment |
Global Secure Access ClientGlobal Secure Access client
Der Global Secure Access (GSA) Client ist ein leichtgewichtiger Agent, der auf Windows-Endgeräten installiert wird und den Netzwerktraffic an die Microsoft-SSE-Infrastruktur weiterleitet. Der Client ist für Entra Joined und Hybrid Joined Geräte verfügbar. The Global Secure Access (GSA) Client is a lightweight agent installed on Windows endpoints that forwards network traffic to Microsoft's SSE infrastructure. The client is available for Entra Joined and Hybrid Joined devices.
| AspektAspect | DetailDetail |
|---|---|
| Unterstützte PlattformenSupported platforms | Windows 10/11 (GA), macOS (Preview), Android/iOS (Preview)Windows 10/11 (GA), macOS (Preview), Android/iOS (Preview) |
| DeploymentDeployment | Intune, SCCM, GPO, manuelle InstallationIntune, SCCM, GPO, manuelle Installation |
| AuthentifizierungAuthentication | Nutzt den Primary Refresh Token des GerätsUses the device's Primary Refresh Token |
| Split-TunnelingSplit tunneling | Nur definierter Traffic wird weitergeleitet; anderer Traffic geht direkt ins InternetOnly defined traffic is forwarded; other traffic goes directly to the internet |
# GSA Client Status prüfen (auf dem Endgerät)
# Check GSA client status (on the endpoint)
Get-Service -Name GlobalSecureAccessTunnelService | Select-Object Status, StartType
# Client-Logs abrufen
Get-WinEvent -LogName "Microsoft-Windows-GlobalSecureAccess/Operational" -MaxEvents 50Global Secure Access DashboardGlobal Secure Access dashboard
Das Global Secure Access Dashboard im Entra Admin Center bietet einen Überblick über Traffic-Volumen, Richtlinientreffer, Gerätezustand und Sicherheitswarnungen. Es ist der zentrale Ausgangspunkt für Monitoring und Troubleshooting. The Global Secure Access Dashboard in the Entra Admin Center provides an overview of traffic volume, policy hits, device health, and security alerts. It is the central starting point for monitoring and troubleshooting.
| Dashboard-WidgetDashboard widget | InhaltContent |
|---|---|
| Traffic-ÜbersichtTraffic overview | Gesamttraffic nach Profil (M365, Internet, Private Access)Total traffic by profile (M365, Internet, Private Access) |
| Aktive GeräteActive devices | Anzahl Geräte mit aktivem GSA-ClientNumber of devices with active GSA client |
| Gesperrte TransaktionenBlocked transactions | Anzahl und Grund der blockierten AnfragenNumber and reason for blocked requests |
| AlertsAlerts | Sicherheitswarnungen (Token-Exfiltration, unbekannte Geräte)Security alerts (token exfiltration, unknown devices) |
Private Access – PowerShell-ReferenzPrivate Access – PowerShell Reference
# Alle Enterprise App Connectors auflisten
Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $spId
# Private Access Segmente über Graph
$params = @{
name = "Intern-SSH"
destinationType = "ip"
destinations = @(@{ value = "10.0.0.0/8"; ports = @("22"); protocol = "tcp" })
}
New-MgNetworkAccessFilteringPolicyRule -FilteringPolicyId $policyId -BodyParameter $params
# Connector-Gruppen auflisten
Get-MgOnPremisesPublishingProfile -OnPremisesPublishingProfileId "applicationProxy" |
Select-Object -ExpandProperty ConnectorGroups |
Format-Table Id, Name, ConnectorGroupTypeSicherheitsprofile & WeiterleitungsrichtlinienSecurity Profiles & Forwarding Policies
Sicherheitsprofile bündeln Filterrichtlinien und werden Benutzergruppen oder Geräten zugewiesen.Security profiles bundle filtering policies and are assigned to user groups or devices.
| KomponenteComponent | FunktionFunction | BeispielExample |
|---|---|---|
| Security ProfileSecurity Profile | Container für FilterrichtlinienContainer for filtering policies | "Corporate Standard""Corporate Standard" |
| Filtering PolicyFiltering Policy | Regeln für Kategorien/FQDNs/IPsRules for categories/FQDNs/IPs | Gambling blockierenBlock gambling |
| Forwarding ProfileForwarding Profile | Steuert welcher Traffic GSA-Tunnel nutztControls which traffic uses GSA tunnel | M365, Private Apps, InternetM365, Private apps, Internet |
| Traffic LogTraffic Log | Alle Verbindungen mit Policy-ErgebnisAll connections with policy result | Erlaubt / Blockiert / UmgeleitetAllowed / Blocked / Bypassed |
Beginnen Sie mit dem Traffic Profil „Microsoft 365" im Audit-Modus (nur Logging), bevor Sie die Weiterleitung aktivieren. So vermeiden Sie Unterbrechungen bei bestehenden M365-Verbindungen.Start with the Microsoft 365 traffic profile in audit mode (log only) before enabling forwarding to avoid disrupting existing M365 connections.
Das Network Health Dashboard im Entra Portal zeigt die Verbindungsqualität zu jedem GSA-Edge-Standort (PoP) in Echtzeit, einschließlich Latenz, Paketverlust und Tunnelstatus. Konfigurieren Sie Alerts für Degradierungen über Azure Monitor.The Network Health Dashboard in the Entra portal shows real-time connectivity quality to each GSA edge location (PoP), including latency, packet loss, and tunnel status. Configure alerts for degradations via Azure Monitor.