Cómo configurar el filtrado de contenido web de Acceso global seguro

Visión general

El filtrado de contenido web le permite implementar controles granulares de acceso a Internet para su organización en función de la categorización del sitio web.

las primeras características de Secure Web Gateway (SWG) de Acceso a Internet de Microsoft Entra incluyen el filtrado de contenido web basado en nombres de dominio. Microsoft integra directivas de filtrado pormenorizadas con Microsoft Entra ID y Acceso condicional de Microsoft Entra, lo que da lugar a directivas de filtrado que son compatibles con el usuario, compatibles con el contexto y fáciles de administrar.

Actualmente, la función de filtrado web soporta filtrado de categorías web, filtrado de URL y FQDN basados en el Localizador Uniforme de Recursos (URL) según el usuario y el contexto.

El filtrado de contenido web también admite dos condiciones de regla opcionales que permiten la aplicación de directivas compatibles con el tráfico:

• Filtrado de tipos de tráfico de origen (versión preliminar): reglas de ámbito para tipos de tráfico específicos, como agente, explorador o aplicación.
• Filtrado de solicitudes de método HTTP (versión preliminar): bloquee o permita métodos HTTP específicos, como GET, POST, PUT, PATCH y DELETE.

Requisitos previos

• Los administradores que interactúan con las características de acceso seguro global deben tener una o varias de las siguientes asignaciones de roles en función de las tareas que realicen.

  • El rol Administrador de acceso seguro global destinado a gestionar las funciones de acceso seguro global.
  • Administrador de acceso condicional para crear e interactuar con las directivas de acceso condicional.

• Complete la guía Introducción al acceso seguro global .

• Instale el cliente de Acceso seguro global en dispositivos de usuario final.

• Debe deshabilitar el sistema de nombres de dominio (DNS) a través de HTTPS (DNS seguro) para tunelizar el tráfico de red. Use las reglas de los nombres de dominio completos (FQDN) en el perfil de reenvío de tráfico. Para obtener más información, consulte Configuración del cliente DNS para admitir DoH.

• Deshabilite el cliente DNS integrado en Chrome y Microsoft Edge.

• El cliente no adquiere el tráfico IPv6 y, por tanto, se transfiere directamente a la red. Para permitir que todo el tráfico pertinente se tunelizará, establezca las propiedades del adaptador de red en IPv4 preferido.

• El tráfico que usa el protocolo de datagramas de usuario (UDP) (es decir, QUIC) no se admite en la versión preliminar actual de Acceso a Internet. La mayoría de los sitios web admiten la reserva en el Protocolo de control de transmisión (TCP) cuando no se puede establecer QUIC. Para obtener una experiencia de usuario mejorada, puede implementar una regla de firewall de Windows que bloquee UDP 443 saliente: New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.

• Para aplicar reglas de solicitud basadas en el tipo de tráfico de origen y el método HTTP al tráfico HTTPS, habilite la inspección de TLS. Sin la inspección de TLS, solo se aplican reglas de filtrado de contenido web basadas en indicación de nombre de servidor (SNI).

• El filtrado de tipos de tráfico de origen requiere conexiones de acceso seguro global basadas en cliente. Las redes remotas no admiten reglas de tipo de tráfico de origen.

• Revisa los conceptos de filtrado de contenido web. Para obtener más información, consulte filtrado de contenido web.

Pasos de alto nivel

Hay varios pasos para configurar el filtrado de contenido web. Tome nota de dónde debe configurar una directiva de acceso condicional.

1. Habilite el reenvío de tráfico de Internet.
2. Cree una directiva de filtrado de contenido web.
3. Cree un perfil de seguridad.
4. Vincule el perfil de seguridad a una directiva de acceso condicional.
5. Asigne usuarios o grupos al perfil de reenvío de tráfico.

Habilitación del reenvío de tráfico de Internet

El primer paso es habilitar el perfil de reenvío de tráfico de Acceso a Internet. Para obtener más información sobre el perfil y cómo habilitarlo, consulte Administración del perfil de reenvío de tráfico de Acceso a Internet.

Creación de una directiva de filtrado de contenido web

1. Consulta la política de filtrado de contenido web seguro de Acceso>Seguro Global (Acceso Seguro>).
2. Seleccione Crear directiva.
3. Escriba un nombre y una descripción para la directiva y seleccione Siguiente.
4. Seleccione Agregar regla.
5. Escriba un nombre, seleccione una categoría web, una dirección URL válida o un FQDN válido y, a continuación, seleccione Agregar.
   • Las direcciones URL y los FQDN válidos de esta característica también pueden incluir caracteres comodín mediante el símbolo de asterisco, *, y pueden ser listas separadas por comas.
   • Al escribir FQDN, use solo el nombre de dominio. No incluya protocolos (como https://), números de puerto o rutas URL. Por ejemplo, escriba contoso.com en lugar de https://contoso.com:443/path.
   • Para coincidir con todos los subdominios de un dominio, use el formato comodín *.domain.com. Tenga en cuenta que el carácter comodín *.domain.com coincide con subdominios como www.domain.com pero no coincide con el propio dominio domain.com raíz. Para cubrir tanto el dominio como todos sus subdominios, incluya ambas entradas como una lista separada por comas (por ejemplo, *.contoso.com,contoso.com).
   • Al escribir varios FQDN en una lista separada por comas, no incluya espacios entre entradas (por ejemplo, contoso.com,fabrikam.com,*.example.com).
   • Tenga en cuenta que la versión preliminar del filtrado de direcciones URL admite un máximo de 1000 direcciones URL por inquilino.
6. (Opcional) Configure la condición Tipo de origen (versión preliminar). Para obtener más información, consulte Configuración del filtrado de tipos de tráfico de origen (versión preliminar).
7. (Opcional) Configure la condición de solicitud del método HTTP (versión preliminar). Para obtener más información, consulte Configuración del filtrado de solicitudes de método HTTP (versión preliminar).
8. Seleccione Siguiente para revisar la directiva y, a continuación, seleccione Crear directiva.

Configuración del filtrado de tipos de tráfico de origen (versión preliminar)

El filtrado de tipos de tráfico de origen permite definir el ámbito de las reglas de filtrado de contenido web a tipos específicos de tráfico de red. Puede aplicar directivas diferenciadas en función de si el tráfico se origina desde un agente de IA, un explorador web o una aplicación.

Tipos de tráfico de origen admitidos

Configuración de la condición de tipo de tráfico de origen

1. En la configuración de la regla de filtrado de contenido web, busque el campo Tipo de origen .
2. Habilite el campo Tipo de origen para incluirlo en la regla.
3. Seleccione los tipos de tráfico de origen que se van a incluir en la regla.

Ejemplo: Impedir que los agentes de IA accedan a sitios de redes sociales

Para evitar que los agentes de inteligencia artificial accedan a sitios web de redes sociales, al tiempo que permiten el tráfico del explorador y de la aplicación:

1. Cree una regla de directiva de filtrado de contenido web.
2. Seleccione la categoría web SocialNetworking.
3. Habilite Tipo de origen y seleccione Agente.
4. Establezca la acción de directiva en Bloquear.

Esta configuración bloquea el tráfico del agente de IA a los sitios de redes sociales, a la vez que permite que los usuarios del explorador y la aplicación accedan a los mismos sitios.

Configuración del filtrado de solicitudes de método HTTP (versión preliminar)

El filtrado de solicitudes de método HTTP permite bloquear o permitir métodos HTTP específicos para el tráfico coincidente. Para aplicar el acceso con privilegios mínimos, restrinja las operaciones de escritura al tiempo que permite el acceso de solo lectura.

Métodos HTTP admitidos

Configuración de la condición de solicitud del método HTTP

1. En la configuración de la regla de filtrado de contenido web, busque el campo solicitud de método HTTP .
2. Habilite el campo de solicitud de método HTTP para incluirlo en la regla.
3. Seleccione los métodos HTTP que se van a incluir en la regla.

Ejemplo: Bloquear operaciones de escritura del agente de IA

Para evitar que los agentes de IA realicen operaciones de escritura (PUT, PATCH y DELETE) en recursos empresariales:

1. Cree una regla de directiva de filtrado de contenido web.
2. Seleccione las direcciones URL de destino, los FQDN o las categorías web que desea proteger.
3. Habilite Tipo de origen y seleccione Agente.
4. Habilite la solicitud de método HTTP y seleccione PUT, PATCH y DELETE.
5. Establezca la acción de directiva en Bloquear.

Esta configuración impide que el tráfico de agentes de IA realice operaciones de escritura en los destinos especificados, mientras permite el método GET y otros métodos de solo lectura.

Combinación del tipo de tráfico de origen y las condiciones del método HTTP

Puede usar las condiciones de solicitud de tipo de tráfico de origen y método HTTP de forma independiente o conjunta en una sola regla:

• Solo tipo de origen: aplique una regla a todo el tráfico desde un tipo de origen específico independientemente del método HTTP.
• Solo solicitud de método HTTP: aplique una regla a métodos HTTP específicos independientemente del origen de tráfico.
• Ambas condiciones: aplique una regla solo cuando el tipo de tráfico de origen y el método HTTP coincidan.

Al configurar ambas condiciones en una regla, una solicitud debe coincidir con el tipo de tráfico de origen especificado y el método HTTP especificado para que se aplique la regla. Las condiciones se evalúan mediante la lógica AND entre atributos.

Evaluación y prioridad de directivas

La evaluación de directivas sigue las reglas de prioridad y ordenación del marco de directivas de filtrado de contenido web existentes:

• Dentro del mismo atributo: lógica O. La coincidencia de cualquier valor seleccionado desencadena la condición.
• Entre atributos: lógica AND. Todas las condiciones configuradas deben coincidir.
• Acciones en conflicto: Cuando varias directivas coinciden y sus acciones entran en conflicto, prevalece la acción más restrictiva (se prioriza bloquear sobre permitir).

Creación de un perfil de seguridad

Los perfiles de seguridad son una agrupación de directivas de filtrado. Puede asignar, o vincular, perfiles de seguridad con directivas de Acceso condicional de Microsoft Entra. Un perfil de seguridad puede contener varias directivas de filtrado. Y un perfil de seguridad se puede asociar a varias directivas de acceso condicional.

En este paso, creará un perfil de seguridad para agrupar las directivas de filtrado. A continuación, asigne o vincule los perfiles de seguridad con una directiva de acceso condicional para que sean conscientes del usuario o del contexto.

1. Vaya a Acceso seguro global>Seguro>Perfiles de seguridad.
2. Seleccione Crear perfil.
3. Escriba un nombre y una descripción para la directiva y seleccione Siguiente.
4. Seleccione Vincular una directiva y, a continuación, seleccione Directiva existente.
5. Seleccione la directiva de filtrado de contenido web que ya ha creado y seleccione Agregar.
6. Seleccione Siguiente para revisar el perfil de seguridad y la directiva asociada.
7. Seleccione Crear un perfil.
8. Seleccione Actualizar para actualizar la página de perfiles y ver el nuevo perfil.

Creación y vinculación de la directiva de acceso condicional

Cree una directiva de acceso condicional para los usuarios finales o grupos y entregue el perfil de seguridad a través de controles de sesión de acceso condicional. El Acceso condicional es el mecanismo de entrega para el reconocimiento del usuario y el contexto de las directivas de acceso a Internet. Para obtener más información sobre los controles de sesión, consulte Acceso condicional: Sesión.

1. Inicie sesión en el Centro de administración Microsoft Entra como mínimo un Administrador de acceso condicional.
2. Vaya a Entra ID>Acceso condicional>Políticas.
3. Seleccione Nueva directiva.
4. Asigna un nombre a la política. Las organizaciones deben crear un estándar significativo para los nombres de sus políticas.
5. En Asignaciones, selecciona Usuarios o identidades de trabajo.
   1. En Incluir, seleccione Todos los usuarios
6. Seleccione Recursos de destino y Todos los recursos de Internet con acceso seguro global.
7. Selecciona Sesión>Usar perfil de seguridad de Acceso Seguro Global y elige un perfil de seguridad.
8. Seleccione Seleccionar.
9. En la sección Habilitar directiva , asegúrese de que Activado está seleccionado.
10. Seleccione Crear.

Habilitación del filtrado de contenido web para el tráfico de red remoto

La conectividad de red remota permite conectar sucursales y otras ubicaciones remotas al acceso seguro global sin instalar el cliente en dispositivos individuales. Para obtener más información sobre la conectividad de red remota, consulte Conectividad de red remota de acceso seguro global.

Puede usar el perfil de seguridad de línea base para aplicar directivas de filtrado de contenido web a todo el tráfico de red remoto de todo el inquilinato. El perfil de línea base aplica directivas con la prioridad más baja en la pila de directivas y se aplica a todo el tráfico de acceso a Internet enrutado a través del servicio, lo que lo convierte en ideal para proteger las ubicaciones de red remotas.

Para obtener más información sobre cómo aplicar directivas de seguridad a redes remotas, consulte Aplicación de directivas de seguridad al tráfico de red remoto.

Diagrama de flujo de acceso a Internet

En este ejemplo se muestra el flujo de tráfico de Acceso a Internet de Microsoft Entra al aplicar políticas de filtrado de contenido web.

En el diagrama de flujo siguiente se muestran las directivas de filtrado de contenido web que bloquean o permiten el acceso a los recursos de Internet.

Asignaciones de usuarios y grupos

Puede definir el ámbito del perfil de acceso a Internet a usuarios y grupos específicos. Para obtener más información sobre la asignación de usuarios y grupos, consulte Asignación y administración de usuarios y grupos con perfiles de reenvío de tráfico.

Comprobación de la aplicación de directivas de usuario final

Cuando el tráfico llega a Microsoft Secure Service Edge, Acceso a Internet de Microsoft Entra realiza controles de seguridad de dos maneras. Para el tráfico HTTP sin cifrar, usa el localizador uniforme de recursos (URL). Para el tráfico HTTPS cifrado con TLS (Seguridad de la Capa de Transporte), utiliza la Indicación de Nombre de Servidor (SNI).

Use un dispositivo Windows con el cliente de acceso seguro global instalado. Inicie sesión como un usuario que tenga asignado el perfil de adquisición de tráfico de Internet. Pruebe que la navegación a sitios web está permitida o restringida según lo previsto.

1. Haga clic con el botón derecho en el icono del cliente de acceso seguro global en la bandeja del administrador de tareas y abra diagnóstico avanzado>perfil de reenvío. Asegúrese de que las reglas de adquisición de acceso a Internet estén presentes. Además, compruebe si se adquieren los flujos y la adquisición del nombre de host para el tráfico de Internet de los usuarios durante la exploración.

2. Vaya a los sitios permitidos y bloqueados y compruebe si se comportan correctamente. Vaya a Global Secure Access>Monitor>Registros de tráfico para confirmar que el tráfico está bloqueado o permitido correctamente.

3. Para comprobar el tipo de tráfico de origen y las reglas de solicitud de método HTTP, genere tráfico a partir de diferentes tipos de origen. Por ejemplo, use un agente de IA para enviar una solicitud PATCH a un recurso protegido y confirme que la regla se aplica correctamente en registros de tráfico.

La experiencia de bloqueo actual para todos los exploradores incluye un error de explorador de texto no cifrado para el tráfico HTTP y un error de "Restablecimiento de conexión" del explorador para el tráfico HTTPS.

Contenido relacionado

• Creación de una directiva de contenido para filtrar el contenido del archivo de red
• Más información sobre el panel de tráfico
• Limitaciones conocidas del Acceso global seguro