配置传输层安全检查策略（预览版）

通过Microsoft Entra Internet Access 中的传输层安全性（TLS）检查，可以在服务边缘位置解密和检查加密的流量。此功能允许全局安全访问应用高级安全控制，例如威胁检测、内容筛选和精细访问策略。这些访问策略有助于防范加密通信中可能隐藏的威胁。

重要

传输层安全检查功能目前以预览版提供。
此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。
在预览版中，请勿在生产环境中使用 TLS 检查。

本文介绍如何创建上下文感知传输层安全检查策略并将其分配给组织中的用户。

先决条件

若要完成此过程中的步骤，必须满足以下先决条件：

若要创建上下文感知传输层安全检查策略并将其分配给组织中的用户，请完成以下步骤：

若要创建 TLS 检查策略，请执行以下作：

在Microsoft Entra 管理中心，转到 “安全>TLS 检查策略>创建策略”。 “创建 TLS 检查策略”屏幕的屏幕截图，其中打开了“基础”选项卡。“默认动作”指定在没有规则匹配的情况下要执行的操作。默认设置为 “检查”。
选择 “下一步”>添加规则。在 “规则 ”页上，可以通过指定 FQDN 或选择 Web 类别来定义自定义规则。
若要完成策略配置，请转到保存>下一步>提交。请注意，系统规则已自动创建，以排除不适用于 TLS 检查的目标。会自动创建可编辑建议的绕过规则，以排除从预览版迁移的 TLS 策略的教育、财务、政府和健康与医学类别。
若要查看规则（包括自动创建的规则），请选择策略，然后转到 “编辑>规则”。

将 TLS 检查策略链接到安全配置文件。

在对用户流量启用 TLS 检查之前，请确保组织已建立 TLS 策略并将其传达给最终用户。此步骤有助于保持透明度，并支持符合隐私和同意要求。

可以通过两种方式将 TLS 策略链接到安全配置文件：

使用此方法，最后评估基线配置文件策略，并将其应用于所有用户流量。

或者，将 TLS 策略添加到安全配置文件，并将其链接到特定用户或组的条件访问策略。新的条件访问策略窗体的屏幕截图，其中所有字段都已填写了示例信息。

确保设备信任用于中断和检查 TLS 流量的根证书。可以使用 Intune 将受信任的证书部署到托管的 Windows 设备。

以测试配置：

确保最终用户设备在“受信任的根证书颁发机构”文件夹中安装了根证书。
设置全局安全访问客户端：
- 禁用安全 DNS 和内置 DNS。
- 阻止来自设备的 QUIC 流量。 Microsoft Entra Internet Access 不支持 QUIC。大多数网站都支持在无法建立 QUIC 时回退到 TCP。为了改善用户体验，请部署阻止出站 UDP 443 的 Windows 防火墙规则： @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443
- 确保已启用 Internet 访问流量转发。 
在客户端设备上打开浏览器并测试各种网站。检查证书信息并确认全局安全访问证书。

若要禁用 TLS 检查，请执行：

此页面是否有帮助？