Comparteix a través de

Configuración del Acceso rápido para Global Secure Access

  • Article

Con Global Secure Access, puede definir nombres de dominio completos (FQDN) específicos o direcciones IP de recursos privados que se incluirán en el tráfico para Microsoft Entra Private Access. Después, los empleados de la organización pueden acceder a las aplicaciones y sitios que especifique. En este artículo se describe cómo configurar el Acceso rápido para Microsoft Entra Private Access.

Requisitos previos

Para configurar el Acceso rápido, debe tener:

  • Los roles de Administrador de Global Secure Access y Administrador de aplicaciones en Microsoft Entra ID.
  • La versión preliminar requiere una licencia P1 de Microsoft Entra ID. Si es necesario, puede adquirir una licencia u obtener licencias de prueba.

Para administrar los grupos de conectores de red privada de Microsoft Entra, que es necesario para el acceso rápido, debe tener:

  • Un rol de Administrador de aplicaciones en Microsoft Entra ID
  • Unas licencias de Microsoft Entra ID P1 o P2

Limitaciones conocidas

Evite superponer segmentos de aplicación entre el Acceso rápido y el acceso por aplicación.

La tunelización del tráfico a destinos de Acceso privado por dirección IP solo se admite para intervalos IP fuera de la subred local del dispositivo del usuario final.

En este momento, el tráfico de acceso privado solo se puede adquirir con el cliente de acceso seguro global. Las redes remotas no se pueden asignar al perfil de reenvío de tráfico de acceso privado.

Pasos de alto nivel

La configuración de los valores de Acceso rápido es un componente importante para usar Microsoft Entra Private Access. Al configurar el Acceso rápido por primera vez, Private Access crea una nueva aplicación empresarial. Las propiedades de esta nueva aplicación se configuran automáticamente para que funcionen con Private Access.

Para configurar el Acceso rápido, debe tener un grupo de conectores con al menos un conector activo de proxy de aplicación de Microsoft Entra. El grupo de conectores controla el tráfico a esta nueva aplicación. Una vez configurado el acceso rápido y un grupo de conectores de red privada, debe conceder acceso a la aplicación.

En resumen, el proceso general es el siguiente:

  1. Crear un grupo de conectores con al menos un conector de red privada activo.

    • Si ya tiene un grupo de conectores, asegúrese de que está en la versión más reciente.

  2. Configuración del acceso rápido.

  3. Asignación de usuarios y grupos a la aplicación.

  4. Configuración de directivas de acceso condicional.

  5. Habilitación del perfil de reenvío de tráfico de Acceso privado.

Creación de un grupo de conectores de red privada

Para configurar el acceso rápido, debe tener un grupo de conectores con al menos un conector de red privada activo.

Si aún no tiene configurado un grupo de conectores, consulte Configuración de conectores para Acceso rápido.

Nota:

Si anteriormente ha instalado un conector, vuelva a instalarlo para obtener la última versión. Al actualizar, desinstale el conector existente y elimine las carpetas relacionadas.

La versión mínima del conector necesaria para Private Access es 1.5.3417.0.

Configuración del acceso rápido

En la página de Acceso rápido, debe proporcionar un nombre para la aplicación de Acceso rápido, seleccionar un grupo de conectores y agregar segmentos de aplicación, que incluyen FQDN y direcciones IP. Puede completar los tres pasos al mismo tiempo, o puede agregar los segmentos de aplicación una vez completada la configuración inicial.

Nombre y grupo de conectores

  1. Inicie sesión en el centro de administración de Microsoft Entra con los roles adecuados.

  2. Vaya a Global Secure Access (versión preliminar)>Aplicaciones>Acceso rápido.

  3. Escriba un nombre. Se recomienda usar el nombre Acceso rápido.

  4. Seleccione un grupo de conectores en el menú desplegable. Los grupos de conectores existentes aparecen en el menú desplegable.

    Captura de pantalla del nombre de la aplicación de acceso rápido.

  5. Seleccione el botón Guardar en la parte inferior de la página para crear la aplicación "Acceso rápido" sin FQDN y direcciones IP.

Adición de un segmento de aplicación de Acceso rápido

La parte Agregar segmento de aplicación de Acceso rápido de este proceso es donde se definen los FQDN y las direcciones IP que desea incluir en el tráfico para Microsoft Entra Private Access. Puede agregar estos recursos al crear la aplicación de Acceso rápido o volver y agregarlos o editarlos más adelante.

Puede agregar nombres de dominio completos (FQDN), direcciones IP e intervalos de direcciones IP. Dentro de cada segmento de aplicación, puede agregar varios puertos e intervalos de puertos.

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya a Global Secure Access (versión preliminar)>Aplicaciones>Acceso rápido.

  3. Seleccione Agregar segmento de aplicación de Acceso rápido.

    Captura de pantalla del botón Agregar segmento de aplicación de acceso rápido.

  4. En el panel Crear segmento de aplicación que se abre, seleccione un Tipo de destino.

    Captura de pantalla del panel crear segmento de aplicación.

  5. Escriba los detalles adecuados para el tipo de destino seleccionado. En función de lo que seleccione, los campos posteriores cambian según corresponda.

    • Dirección IP:
      • Dirección del protocolo de Internet versión 4 (IPv4), como 192.0.2.1, que identifica un dispositivo en la red.
      • Proporcione los puertos que desea incluir.
    • Nombre de dominio completo (incluidos los FQDN con caracteres comodín):
      • Nombre de dominio que especifica la ubicación exacta de un equipo o host en el Sistema de nombres de dominio (DNS).
      • Proporcione los puertos que se van a incluir.
      • NetBIOS no se admite. Por ejemplo, use contoso.local/app1 en lugar de contoso/app1.
    • Intervalo de direcciones IP (CIDR)::
      • Enrutamiento entre dominios sin clases (CIDR) representa un intervalo de direcciones IP. Una dirección IP va seguida de un sufijo que indica el número de bits de red en la máscara de subred.
      • Por ejemplo, 192.0.2.0/24 indica que los primeros 24 bits de la dirección IP representan la dirección de red, mientras que los 8 bits restantes representan la dirección host.
      • Proporcione la dirección inicial, la máscara de red y los puertos.
    • Intervalo de direcciones IP (IP a IP):
      • Intervalo de direcciones IP de la IP de inicio (como 192.0.2.1) a la IP final (por ejemplo, 192.0.2.10).
      • Proporcione la dirección IP de inicio, fin y puertos.

  6. Escriba los puertos y seleccione el botón Aplicar.

    • Separe varios puertos con una coma.
    • Especifique intervalos de puertos con un guión.
    • Los espacios entre valores se quitan cuando se aplican los cambios.
    • Por ejemplo, 400-500, 80, 443.

    Captura de pantalla del panel crear segmento de aplicación con varios puertos agregados.

    En la tabla siguiente se proporcionan los puertos más usados y sus protocolos de red asociados:

    Puerto Protocolo
    22 Secure Shell (SSH)
    80 Protocolo de transferencia de hipertexto (HTTP)
    443 Protocolo de transferencia de hipertexto con cifrado de Capa de sockets seguros (HTTPS)
    445 Uso compartido de archivos de bloque de mensajes del servidor (SMB)
    3389 Protocolo de escritorio remoto (RDP)

  7. Seleccione el botón Guardar cuando termine.

Nota:

Puede agregar hasta 500 segmentos de aplicación a la aplicación de Acceso rápido.

No superponga los FQDN, las direcciones IP y los intervalos IP entre la aplicación de Acceso rápido y las aplicaciones de Private Access.

Actualización de segmentos de aplicación de Acceso rápido

Puede agregar o editar segmentos de aplicación una vez completada la configuración inicial.

Desde Acceso seguro global (versión preliminar)>Aplicaciones>Acceso rápido:

  • Seleccione Agregar segmento de aplicación de Acceso rápido para agregar un FQDN o una dirección IP.
  • Seleccione el segmento de aplicación que desea editar en la columna Tipo de destino.

Asignación de usuarios y grupos

Al configurar el Acceso rápido, se crea una nueva aplicación empresarial en su nombre. Debe conceder acceso a la aplicación de Acceso rápido que ha creado mediante la asignación de usuarios o grupos a la aplicación.

Puede ver las propiedades en Acceso rápido o navegar a Aplicaciones empresariales y buscar la aplicación de Acceso rápido.

  1. Seleccione el botón Editar configuración de la aplicación en Acceso rápido.

    Captura de pantalla del botón Editar configuración de la aplicación.

  2. Seleccione Usuarios y grupos en el menú lateral.

  3. Agregue usuarios y grupos según sea necesario.

Nota:

Los usuarios deben asignarse directamente a la aplicación o al grupo asignado a la aplicación. No se admiten grupos anidados.

Las directivas de acceso condicional se pueden aplicar a la aplicación de Acceso rápido. La aplicación de directivas de acceso condicional proporciona más opciones para administrar el acceso a aplicaciones, sitios y servicios.

La creación de una directiva de acceso condicional se describe en detalle en Creación de una directiva de acceso condicional para aplicaciones de acceso privado.

Habilitación de Microsoft Entra Private Access

Tras configurar la aplicación de Acceso rápido, agregar los recursos privados y asignar los usuarios a la aplicación, puede habilitar el perfil de acceso privado desde el área de Reenvío de tráfico de Global Secure Access. Puede habilitar el perfil antes de configurar el Acceso rápido, pero sin la aplicación y el perfil configurados, no hay tráfico que reenviar.

  1. Inicie sesión en el centro de administración de Microsoft Entra.
  2. Vaya a Global Secure Access (versión preliminar)>Conectar>Reenvío de trafico.
  3. Active la casilla de Perfil de acceso privado.

Captura de pantalla de la página de reenvío de tráfico con el perfil de acceso privado habilitado.

Términos de uso

El uso de las experiencias y características de las versiones preliminares de Microsoft Entra Private Access and Microsoft Entra Internet Access se rige por los términos y condiciones del servicio en línea en versión preliminar de los contratos en virtud de los cuales se obtuvieron los servicios. Las vistas previas pueden estar sujetas a compromisos de seguridad, cumplimiento y privacidad reducidos o diferentes, tal y como se explica con más detalle en las Condiciones universales de licencia de los servicios en línea y en el Anexo de protección de datos ("DPA") de los productos y servicios de Microsoft, así como en cualquier otro aviso proporcionado con la Versión preliminar.

Pasos siguientes

El siguiente paso para empezar a trabajar con Microsoft Entra Private Access es habilitar el perfil de reenvío de tráfico de acceso privado.

Para más información sobre Private Access, vea los artículos siguientes: