Konfigurieren von Microsoft Entra Internet Access mithilfe von Microsoft Graph-APIs

Microsoft Entra Internet Access bietet eine identitätsorientierte SWG-Lösung (Secure Web Gateway) für SaaS-Anwendungen (Software-as-a-Service) und anderen Internetdatenverkehr. Administratoren verwenden Microsoft Entra Internet Access, um Benutzer, Geräte und Daten vor der umfassenden Bedrohungslandschaft des Internets mit erstklassigen Sicherheitskontrollen und Transparenz durch Datenverkehrsprotokolle zu schützen. Die SWG von Microsoft ist tief in Microsoft Entra ID bedingten Zugriff integriert und ist identitätsorientiert und erleichtert IT-Administratoren die Verwaltung ihrer organization-Richtlinie in einer Engine.

In diesem Tutorial erfahren Sie, wie Sie Microsoft Entra Internet Access programmgesteuert mithilfe der Microsoft Graph-Netzwerkzugriffs-APIs konfigurieren. Sie:

  • Erstellen Sie Filterrichtlinien für Webinhalte, um den Zugriff auf bestimmte Ziele zuzulassen oder zu blockieren.
  • Richten Sie Webinhaltsfilterrichtlinien über einen Filterprofilcontainer, auch als Sicherheitsprofil bezeichnet, an Richtlinien für bedingten Zugriff aus.

Wichtig

Einige API-Vorgänge in diesem Tutorial verwenden den beta Endpunkt.

Voraussetzungen

Für dieses Tutorial benötigen Sie Folgendes:

  • Ein Microsoft Entra Mandant mit der Microsoft Entra Suite-Lizenz.
  • Ein API-Client wie Graph Explorer mit einem Konto, das über die unterstützten Administratorrollen verfügt. Die folgenden Microsoft Entra Rollen sind die geringsten Berechtigungen für die Vorgänge in diesem Tutorial:
    • Globaler Administrator für sicheren Zugriff zum Konfigurieren der Webinhaltsfilterungsrichtlinien und Filterprofile.
    • Administrator für bedingten Zugriff zum Konfigurieren von Richtlinien für bedingten Zugriff.
  • Delegierte Berechtigungen: NetworkAccess.Read.All, NetworkAccess.ReadWrite.All und Policy.ReadWrite.ConditionalAccess
  • Ein Testbenutzer, der der Richtlinie für bedingten Zugriff zugewiesen werden soll.
  • Der GSA-Client (Global Secure Access), der auf den Geräten Ihrer organization bereitgestellt wird.

Schritt 1: Aktivieren der Internetzugriffs-Datenverkehrsweiterleitung

Bevor Sie Microsoft Entra Internet Access Filterrichtlinien konfigurieren, stellen Sie zunächst den Global Secure Access(GSA)-Client auf den Geräten Ihrer organization bereit. Beginnen Sie dann mit der Weiterleitung von Datenverkehr an GSA-Edgestandorte, indem Sie das Internet Access-Weiterleitungsprofil aktivieren.

Schritt 1.1: Abrufen des Internet Access-Datenverkehrsweiterleitungsprofils

Notieren Sie sich die ID des Profils zur späteren Verwendung in diesem Tutorial.

Anforderung

GET https://graph.microsoft.com/beta/networkAccess/forwardingProfiles?$filter=trafficForwardingType eq 'internet'

Antwort

HTTP/1.1 200 OK
Content-type: application/json

{
  "trafficForwardingType": "internet",
  "priority": 2,
  "id": "bbbbbbbb-1111-2222-3333-cccccccccccc",
  "name": "Internet traffic forwarding profile",
  "description": "Default traffic forwarding profile for Internet traffic acquisition. Assign the profile to client or branch offices to acquire Internet traffic for Zero Trust Network Access.Internet traffic forwarding profile will exclude all endpoints defined in Microsoft 365 traffic forwarding profile.",
  "state": "enabled",
  "version": "1.0.0",
  "lastModifiedDateTime": "2025-01-14T13:11:57.9295327Z",
  "associations": [],
  "servicePrincipal": {
    "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
  }
}

Schritt 1.2: Aktivieren des Status des Internet Access-Weiterleitungsprofils

Die Anforderung gibt eine 204 No Content Antwort zurück.

Anforderung

PATCH https://graph.microsoft.com/beta/networkAccess/forwardingProfiles/bbbbbbbb-1111-2222-3333-cccccccccccc
Content-type: application/json

{
  "state": "enabled"
}

Schritt 2: Erstellen einer Richtlinie zum Filtern von Webinhalten und eines Sicherheitsprofils

Zum Konfigurieren von Richtlinien in Microsoft Entra Internet Access müssen Sie zunächst eine Filterrichtlinie erstellen, bei der es sich um eine Sammlung von Regeln für den Zugriff auf Ziele wie Webkategorien und vollqualifizierte Domänennamen (FQDNs) handelt. Sie können beispielsweise eine Filterrichtlinie mit Regeln erstellen, die den Zugriff auf die Kategorie künstliche Intelligenz und einzelne FQDNs blockieren. Anschließend organisieren Sie Filterrichtlinien in einem Sicherheitsprofil, für das Sie Richtlinien für bedingten Zugriff verwenden können.

Schritt 2.1: Erstellen einer Richtlinie zum Filtern von Webinhalten

In diesem Beispiel erstellen Sie eine Filterrichtlinie mit Regeln, die den Zugriff auf die Kategorie "Künstliche Intelligenz" und FQDNs für bing.comblockieren. Notieren Sie sich nach dem Erstellen dieser Richtlinie die Filterrichtlinien-ID für die Verknüpfung im Filterprofil.

Anforderung

POST https://graph.microsoft.com/beta/networkaccess/filteringPolicies
Content-type: application/json

{
  "name": "AI and Bing",
  "policyRules": [
    {
      "@odata.type": "#microsoft.graph.networkaccess.webCategoryFilteringRule",
      "name": "AI",
      "ruleType": "webCategory",
      "destinations": [
        {
          "@odata.type": "#microsoft.graph.networkaccess.webCategory",
          "name": "ArtificialIntelligence"
        }
      ]
    },
    {
      "@odata.type": "#microsoft.graph.networkaccess.fqdnFilteringRule",
      "name": "bing FQDNs",
      "ruleType": "fqdn",
      "destinations": [
        {
          "@odata.type": "#microsoft.graph.networkaccess.fqdn",
          "value": "bing.com"
        },
        {
          "@odata.type": "#microsoft.graph.networkaccess.fqdn",
          "value": "*.bing.com"
        }
      ]
    }
  ],
  "action": "block"
}

Antwort

HTTP/1.1 201 Created
Content-type: application/json

{
  "id": "cccccccc-2222-3333-4444-dddddddddddd",
  "name": "AI and Bing",
  "description": null,
  "version": "1.0.0",
  "lastModifiedDateTime": "2025-02-05T18:10:28.9760687Z",
  "createdDateTime": "2025-02-05T18:10:27Z",
  "action": "block"
}

Schritt 2.2: Bearbeiten oder Aktualisieren der Richtlinie zum Filtern von Webinhalten

Nach dem Erstellen einer Filterrichtlinie können Sie sie programmgesteuert bearbeiten oder aktualisieren. Sie können der Richtlinie neue Regeln hinzufügen, indem Sie eine POST-Anforderung senden oder Ziele in vorhandenen Regeln mithilfe einer PATCH-Anforderung aktualisieren. Mit beiden Dieser Änderungen können Sie Filterrichtlinien anpassen, wenn sich die Anforderungen Ihrer organization ändern, z. B. das Blockieren weiterer Kategorien oder Domänen oder das Ändern vorhandener Regeln.

In diesem Beispiel verwenden Sie eine PATCH-Anforderung, um der in Schritt 2.1 erstellten Regel ein Ziel hinzuzufügen.

Anforderung

POST https://graph.microsoft.com/beta/networkaccess/filteringPolicies('cccccccc-2222-3333-4444-dddddddddddd')/policyRules('<policyRuleId>')
Content-type: application/json

{
  "@odata.type": "#microsoft.graph.networkaccess.fqdnFilteringRule",
  "destinations": [
    {
      "@odata.type": "#microsoft.graph.networkaccess.fqdn",
      "value": "bing.com"
    },
    {
      "@odata.type": "#microsoft.graph.networkaccess.fqdn",
      "value": "*.bing.com"
    },
    {
      "@odata.type": "#microsoft.graph.networkaccess.fqdn",
      "value": "bing.co.uk"
    }
  ]
}

Antwort

HTTP/1.1 201 Created
Content-type: application/json

{
  "@odata.type": "#microsoft.graph.networkaccess.fqdnFilteringRule",
  "id": "cccccccc-2222-3333-4444-dddddddddddd",
  "name": "bing FQDNs",
  "ruleType": "fqdn",
  "destinations": [
    {
        "@odata.type": "#microsoft.graph.networkaccess.fqdn",
        "value": "google.co.uk"
    },
    {
        "@odata.type": "#microsoft.graph.networkaccess.fqdn",
        "value": "google.com"
    },
    {
        "@odata.type": "#microsoft.graph.networkaccess.fqdn",
        "value": "bing.com"
    }
  ]
}

Schritt 2.3: Erstellen eines Filterprofils oder Sicherheitsprofils

Erstellen Sie ein Filter- oder Sicherheitsprofil, um Ihre Richtlinien zu speichern und es in der Sitzungssteuerung für bedingten Zugriff als Ziel festzulegen. Notieren Sie sich nach dem Erstellen des Profils die Filterprofil-ID zur späteren Verwendung in der Richtlinie für bedingten Zugriff.

Anforderung

POST https://graph.microsoft.com/beta/networkaccess/filteringProfiles
Content-type: application/json

{
  "name": "Security Profile for UserA",
  "state": "enabled",
  "priority": 100,
  "policies": []
}

Antwort

HTTP/1.1 201 Created
Content-type: application/json

{
  "priority": 100,
  "createdDateTime": "2025-02-05T18:27:31Z",
  "id": "dddddddd-3333-4444-5555-eeeeeeeeeeee",
  "name": "Security Profile for UserA",
  "description": null,
  "state": "enabled",
  "version": "1.0.0",
  "lastModifiedDateTime": "2025-02-05T18:27:31.660891Z"
}

Anforderung

POST https://graph.microsoft.com/beta/networkaccess/filteringProfiles/dddddddd-3333-4444-5555-eeeeeeeeeeee/policies
Content-type: application/json

{
  "priority": 100,
    "state": "enabled",
    "@odata.type": "#microsoft.graph.networkaccess.filteringPolicyLink",
    "loggingState": "enabled",
    "policy": {
        "id": "cccccccc-2222-3333-4444-dddddddddddd",
        "@odata.type": "#microsoft.graph.networkaccess.filteringPolicy"
}

Antwort

HTTP/1.1 201 Created
Content-type: application/json

{
    "id": "dddddddd-9999-0000-1111-eeeeeeeeeeee",
    "priority": 100,
    "state": "enabled",
    "version": "1.0.0",
    "loggingState": "enabled",
    "lastModifiedDateTime": "2025-02-05T18:31:32Z",
    "createdDateTime": "2025-02-05T18:31:32Z",
    "policy": {
        "@odata.type": "#microsoft.graph.networkaccess.filteringPolicy",
        "id": "cccccccc-2222-3333-4444-dddddddddddd",
        "name": "AI and Bing",
        "description": null,
        "version": "1.0.0",
        "lastModifiedDateTime": "2025-02-05T18:15:17.0759384Z",
        "createdDateTime": "2025-02-05T18:15:16Z",
        "action": "block"
    }
}

Um Ihr Filterprofil zu erzwingen, müssen Sie es mit einer Richtlinie für bedingten Zugriff (Ca) verknüpfen. Dadurch wird der Inhalt Ihres Filterprofils benutzer- und kontextorientiert. In diesem Schritt erstellen Sie eine Zertifizierungsstellenrichtlinie mit den folgenden Einstellungen:

  • Richten Sie es an einen Benutzer mit der ID 00aa00aa-bb11-cc22-dd33-44ee44ee44ee und die App "Alle Internetressourcen mit globalem sicheren Zugriff" mit appId5dc48733-b5df-475c-a49b-fa307ef00853.
  • Konfigurieren Sie ein Sitzungssteuerelement mit der globalSecureAccessFilteringProfile-IDdddddddd-9999-0000-1111-eeeeeeeeeeee.

Anforderung

POST https://graph.microsoft.com/beta/identity/conditionalAccess/policies
Content-type: application/json

{
    "conditions": {
        "applications": {
            "includeApplications": [
                "5dc48733-b5df-475c-a49b-fa307ef00853"
            ]
        },
        "users": {
            "includeUsers": [
                "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
            ]
        }
    },
    "displayName": "UserA Access to AI and Bing",
    "sessionControls": {
        "globalSecureAccessFilteringProfile": {
            "profileId": "dddddddd-9999-0000-1111-eeeeeeeeeeee",
            "isEnabled": true
        }
    },
    "state": "enabled"
}

Antwort

HTTP/1.1 201 Created
Content-type: application/json

{
    "id": "9c5fbb22-30ff-4a17-9b83-ea9fbf2912a9",
    "templateId": null,
    "displayName": "UserA Access to AI and Bing",
    "createdDateTime": "2025-02-05T18:58:32.7622998Z",
    "modifiedDateTime": null,
    "state": "enabled",
    "grantControls": null,
    "partialEnablementStrategy": null,
    "conditions": {
        "userRiskLevels": [],
        "signInRiskLevels": [],
        "clientAppTypes": [
            "all"
        ],
        "platforms": null,
        "locations": null,
        "times": null,
        "deviceStates": null,
        "devices": null,
        "clientApplications": null,
        "applications": {
            "includeApplications": [
                "5dc48733-b5df-475c-a49b-fa307ef00853"
            ],
            "excludeApplications": [],
            "includeUserActions": [],
            "includeAuthenticationContextClassReferences": [],
            "applicationFilter": null
        },
        "users": {
            "includeUsers": [
                "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
            ],
            "excludeUsers": [],
            "includeGroups": [],
            "excludeGroups": [],
            "includeRoles": [],
            "excludeRoles": [],
            "includeGuestsOrExternalUsers": null,
            "excludeGuestsOrExternalUsers": null
        }
    },
    "sessionControls": {
        "disableResilienceDefaults": null,
        "applicationEnforcedRestrictions": null,
        "cloudAppSecurity": null,
        "signInFrequency": null,
        "persistentBrowser": null,
        "continuousAccessEvaluation": null,
        "secureSignInSession": null,
        "globalSecureAccessFilteringProfile": {
            "profileId": "dddddddd-9999-0000-1111-eeeeeeeeeeee",
            "isEnabled": true
        }
    }
}

Zusammenfassung

Nachdem Sie nun ein Sicherheitsprofil oder ein Filterprofil konfiguriert haben, das die künstliche Intelligenz blockiert, und bing.com für den Beispielbenutzer wird der Zugriff auf diese Websites blockiert.