Júlio César Gonçalves VasconcelosNo artigo de hoje, vou ensina-los como ativar e configurar o “Microsoft Traffic Profile”, um recurso da solução Security Service Edge (SSE) da Microsoft.
Microsoft Traffic Profile: O que é e como ele pode ajudar na segurança da sua rede?
No mundo da cibersegurança, diferenciar o tráfego legítimo de ameaças reais é um dos maiores desafios para os profissionais da área. Para facilitar esse processo, a Microsoft oferece o “Microsoft Traffic Profile“, uma funcionalidade essencial que faz parte do “Global Secure Access”. Mas o que exatamente ele faz? E por que sua empresa deve usá-lo?
O “Microsoft Traffic Profile” otimiza o encaminhamento de tráfego para serviços da Microsoft. Ele utiliza regras predefinidas baseadas em nomes de domínio totalmente qualificados (FQDNs) e intervalos de IP necessários para o funcionamento dos serviços da Microsoft.
Com o “Microsoft Traffic Profile“, você pode configurar como o tráfego é adquirido e encaminhado, seja para permitir ou ignorar o processamento pelo serviço de segurança da Microsoft. Isso inclui a gestão de políticas de tráfego para serviços como “Exchange Online”, “SharePoint Online”, “OneDrive” e outros serviços do “Microsoft 365”.
O que você irá precisar para isso:
- Licenças Microsoft Entra ID P1 ou P2.
ATENÇÃO: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção.
Passo a passo – Hands On
1. Vamos acessar o portal do EntraID.
2. No menu lateral esquerdo vamos clicar em “Global Secure Access” e no submenu vamos clicar em “Settings“ e depois em “Session management” e depois em “Adaptive Access” e vamos habilitar a opção “Enable CA Signaling for Entra ID (covering all cloud apps)”.
3. Ainda no menu lateral esquerdo, agora vamos selecionar “Connect” e depois “Traffic forward” e vamos habilitar o “Microsoft Traffic Profile” e depois selecionar um usuário que iremos habilitar o Traffic Profile.
4. Agora vamos selecionar na lateral esquerda “Protection” e depois selecionar “Conditional Access” e na sequencia selecionar “Create new policy” para criarmos uma CA que bloqueia o acesso aos recursos da Microsoft em maquinas que estão sem o cliente do “Global Secure Access” instalado ou desabilitado.
5. Defina um nome para a politica, e em “Assingments – Users” selecione o usuário que vamos aplicar a “Conditional Access”.
6. Em “Target resources” selecione “All resources (formerly ‘All cloud apps’)”.
7. Em “Network” habilite o configure como “Yes” e selecione “Any network or location” depois selecione “Exlcude” e marque a opção “All Compliant Network locations”.
8. Depois em “Access controls” selecione “Block access”, deixe selecionado “Require one of the selected controls” clique em “Select” e depois selecione “On” para ativarmos a CA e depois “Save” para salva-la.
Pronto agora nós temos uma “Conditional Access” que não permite que, o usuário acesse os recursos da Microsoft sem que esteja com o “Global Secure Access” instalado.
Como podemos ver, ao tentarmos acessar sem o cliente, recebemos a mensagem que não podemos acessar isso agora.
Agora vamos baixar e instalar o cliente do “Global Secure Access” na maquina para testarmos.
1. No menu lateral esquerdo vá novamente em “Global Secure Access”, clique em “Connect” e depois em “Client Download” e baixe o cliente para Windows 10/11.
2. A instalação é bem simples, só marque “I agree to the license terms..” e depois clique em “Install”, nesse momento irá pedir suas credenciais de Admin para finalizar a instalação.
Agora já com o cliente instalado e conectado, podemos ver que conseguimos ter acesso ao portal do M365 normalmente.
Você também consegue monitorar os acessos e bloqueios através dos logs dentro do portal do EntraID em “Global Secure Access” > “Monitor” > “Traffic logs”.
Agora iremos criar uma “Conditional Access” para não permitir que maquinas em não conformidade consigam acessar os recursos da Microsoft utilizando o “Global Secure Access”.
1. Vamos refazer os mesmo passos de criação de uma CA, defina um nome, e selecione o usuário que irá recebe-la.
2. Agora em “Target resources” selecione “All internet resources with Global Secure Access”.
3. Em “Grant” selecione “Grant access” e depois “Require device to be marked as compliant” deixe como “Require one of the selected controls” clique em “Select” depois selecione “On” e depois “Save”.
Pronto agora nós temos uma “Conditional Access”, que não permite que o usuário acesse os recursos da Microsoft sem que a maquina esteja em conformidade e que tenha o “Global Secure Access” instalado. Como podemos ver, ao tentarmos acessar com a maquina fora de conformidade e com cliente instalado recebemos a mensagem que o Device deve cumprir com os requerimentos de conformidade da empresa.
E chegamos ao final de mais uma jornada do conhecimento, onde pudemos aprender juntos como habilitar e configurar o Microsoft Traffic Control para acessar os recursos da Microsoft através de uma rede ZTNA (Zero Trust Network Access).
Irei escrever em um próximo artigo sobre o Internet Access Profile que também compõem o Global Secure Access , onde conseguimos ter o controle do que é navegado na Internet.
Me diga nos comentários: vocês já implementaram o Microsoft Traffic Control junto com o Global Secure Access em seu ambiente? Compartilhe sua experiencia, faça você também parte desta jornada. ☁️
2 comentários
Parabéns bem intuitivo e explicativo !
Bom dia.
Muito obrigado André, fico a disposição caso tenha duvidas e sugestões.