Sdílet prostřednictvím

Postup konfigurace přístupu pro jednotlivé aplikace pomocí aplikací globálního zabezpečeného přístupu

Microsoft Entra Private Access poskytuje zabezpečený přístup k interním prostředkům vaší organizace tím, že umožňuje řídit a zabezpečit přístup ke konkrétním síťovým cílům ve vaší privátní síti. Díky tomu můžete poskytovat podrobný přístup k síti na základě potřeb uživatelů. Uděláte to tak, že vytvoříte podnikovou aplikaci a přidáte segment aplikace používaný interním privátním prostředkem, který chcete zabezpečit. Síťové požadavky odeslané ze zařízení s klientem globálního zabezpečeného přístupu do segmentu aplikace, který jste přidali do podnikové aplikace, budou získány a směrovány do interní aplikace cloudovou službou globálního zabezpečeného přístupu, aniž by bylo možné se připojit k dalším prostředkům ve vaší síti. Konfigurací podnikové aplikace vytvoříte přístup k interním prostředkům pro jednotlivé aplikace. Podnikové aplikace poskytují segmentovanou podrobnou schopnost spravovat způsob přístupu k prostředkům na základě jednotlivých aplikací.

Tento článek popisuje, jak nakonfigurovat přístup pro jednotlivé aplikace pomocí podnikových aplikací.

Požadavky

Pokud chcete nakonfigurovat globální aplikaci Secure Access Enterprise, musíte mít:

Pokud chcete spravovat skupiny privátních síťových konektorů Microsoft Entra, které jsou potřeba pro globální aplikace pro zabezpečený přístup, musíte mít:

  • Role správce aplikace v Microsoft Entra ID
  • Licence Microsoft Entra ID P1 nebo P2

Známá omezení

Podrobné informace o známých problémech a omezeních najdete v tématu Známá omezení globálního zabezpečeného přístupu.

Kroky na vysoké úrovni

Přístup pro jednotlivé aplikace se konfiguruje vytvořením nové globální aplikace pro zabezpečený přístup. Vytvoříte aplikaci, vyberete skupinu konektorů a přidáte segmenty přístupu k síti. Tato nastavení tvoří jednotlivé aplikace, ke kterým můžete přiřadit uživatele a skupiny.

Pokud chcete nakonfigurovat Per-App Access, musíte mít skupinu konektorů s alespoň jedním aktivním konektorem proxy aplikací Microsoft Entra . Tato skupina konektorů zpracovává provoz pro tuto novou aplikaci. Pomocí konektorů můžete izolovat aplikace pro každou síť a konektor.

Celkový proces je shrnutý takto:

  1. Vytvořte skupinu konektorů s alespoň jedním aktivním privátním síťovým konektorem.

    • Pokud už máte skupinu konektorů, ujistěte se, že používáte nejnovější verzi.

  2. Vytvořte globální aplikaci pro zabezpečený přístup.

  3. Přiřaďte k aplikaci uživatele a skupiny.

  4. Nakonfigurujte zásady podmíněného přístupu.

  5. Povolte privátní přístup Microsoft Entra.

Vytvoření skupiny privátních síťových konektorů

Pokud chcete nakonfigurovat globální aplikaci zabezpečený přístup, musíte mít skupinu konektorů s alespoň jedním aktivním privátním síťovým konektorem.

Pokud ještě nemáte nastavený konektor, přečtěte si téma Konfigurace konektorů.

Poznámka:

Pokud jste dříve nainstalovali konektor, nainstalujte ho znovu, abyste získali nejnovější verzi. Při upgradu odinstalujte existující konektor a odstraňte všechny související složky.

Minimální verze konektoru vyžadovaná pro privátní přístup je 1.5.3417.0.

Vytvoření globální podnikové aplikace zabezpečeného přístupu

Pokud chcete vytvořit novou aplikaci, zadejte název, vyberte skupinu konektorů a pak přidejte segmenty aplikace. Segmenty aplikací zahrnují plně kvalifikované názvy domén (FQDN) a IP adresy, které chcete tunelovat přes službu. Všechny tři kroky můžete provést současně nebo je můžete přidat po dokončení počátečního nastavení.

Volba názvu a skupiny konektorů

  1. Přihlaste se do Centra pro správu Microsoft Entra s příslušnými rolemi.

  2. Přejděte ke Globálnímu zabezpečenému přístupu>aplikace> a podnikovým aplikacím.

  3. Vyberte Nová aplikace.

    Snímek obrazovky s podnikovými aplikacemi a tlačítkem Přidat novou aplikaci

  4. Zadejte název aplikace.

  5. V rozevírací nabídce vyberte skupinu konektorů.

    Důležité

    Abyste mohli vytvořit aplikaci, musíte mít alespoň jeden aktivní konektor. Další informace o konektorech najdete v tématu Vysvětlení privátního síťového konektoru Microsoft Entra.

  6. Výběrem tlačítka Uložit v dolní části stránky vytvořte aplikaci bez přidání privátních prostředků.

Přidání segmentu aplikace

Segment aplikace je definován 3 poli – cíl, port a protokol. Pokud dva nebo více segmentů aplikace zahrnuje stejný cíl, port a protokol, považují se za překrývající se. Proces Přidat segment aplikace je místo, kde definujete plně kvalifikované názvy domén a IP adresy, které má klient služby Globální zabezpečený přístup směrovat na cílovou soukromou aplikaci. Segmenty aplikace můžete přidat při vytváření aplikace a později se můžete vrátit a přidat další nebo upravit.

Můžete přidat plně kvalifikované názvy domén( FQDN), IP adresy a rozsahy IP adres. V každém segmentu aplikace můžete přidat více portů a rozsahů portů.

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Přejděte ke Globálnímu zabezpečenému přístupu>aplikace> a podnikovým aplikacím.

  3. Vyberte Nová aplikace.

  4. Vyberte Přidat segment aplikace.

  5. Na panelu Vytvořit segment aplikace , který se otevře, vyberte typ cíle.

  6. Zadejte příslušné podrobnosti pro vybraný typ cíle. V závislosti na tom, co vyberete, se následná pole odpovídajícím způsobem změní.

    • IP adresa:
      • Adresa protokolu IPv4 (Internet Protocol verze 4), například 192.168.2.1, která identifikuje zařízení v síti.
      • Zadejte porty, které chcete zahrnout.
    • Plně kvalifikovaný název domény (včetně plně kvalifikovaných názvů domén se zástupnými znaky):
      • Název domény, který určuje přesné umístění počítače nebo hostitele v SYSTÉMU DNS (Domain Name System).
      • Zadejte porty, které chcete zahrnout.
      • Rozhraní NetBIOS se nepodporuje. Například použijte contoso.local/app1 místo contoso/app1.
    • Rozsah IP adres (CIDR):
      • CiDR (Classless Inter-Domain Routing) představuje rozsah IP adres, za kterými následuje přípona IP adresy, která označuje počet síťových bitů v masce podsítě.
      • Například 192.168.2.0/24 označuje, že prvních 24 bitů IP adresy představuje síťovou adresu, zatímco zbývajících 8 bitů představuje adresu hostitele.
      • Zadejte počáteční adresu, masku sítě a porty.
    • Rozsah IP adres (IP na IP adresu):
      • Rozsah IP adres od počáteční IP adresy (například 192.168.2.1) až po koncovou IP adresu (například 192.168.2.10).
      • Zadejte počáteční a koncovou IP adresu a porty.

  7. Zadejte porty a vyberte tlačítko Použít .

    • Oddělte několik portů čárkou.
    • Zadejte rozsahy portů pomocí spojovníku.
    • Mezery mezi hodnotami se odeberou při použití změn.
    • Například 400-500, 80, 443.

    Snímek obrazovky s panelem vytvoření segmentu aplikace s několika přidanými porty

    Následující tabulka obsahuje nejčastěji používané porty a jejich přidružené síťové protokoly:

    Přístav Protokol
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)

  8. Vyberte Uložit.

Poznámka:

Do aplikace můžete přidat až 500 segmentů, ale žádný z těchto segmentů nesmí mít překrývající se plně kvalifikované doménové názvy, IP adresy nebo rozsahy IP adres v rámci nebo mezi jakýmikoli aplikacemi Privátního přístupu. Zvláštní výjimka je povolená pro překrývající se segmenty mezi aplikacemi privátního přístupu a rychlým přístupem, aby bylo možné nahradit síť VPN. Pokud se segment definovaný v podnikové aplikaci (například 10.1.1.1:3389) překrývá se segmentem definovaným ve službě Rychlý přístup (například 10.1.1.0/24:3389), bude daný segment definovaný službou GSA přiřazen prioritě služby GSA. Žádný provoz od žádného uživatele do segmentu aplikace definovaného jako podniková aplikace nebude zpracován pomocí Quick Access. To znamená, že každý uživatel, který se pokusí o připojení RDP k 10.1.1.1, se vyhodnotí a směruje podle konfigurace podnikové aplikace, včetně přiřazení uživatelů a zásad podmíněného přístupu. Osvědčeným postupem je odebrat segmenty aplikací, které definujete v podnikových aplikacích z Rychlého přístupu, rozdělit podsítě IP do menších rozsahů, aby bylo možné vyloučení.

Přiřazení uživatelů a skupin

Musíte udělit přístup k aplikaci, kterou jste vytvořili přiřazením uživatelů nebo skupin k aplikaci. Další informace najdete v tématu Přiřazení uživatelů a skupin k aplikaci.

  1. Přihlaste se do Centra pro správu Microsoft Entra.
  2. Přejděte ke Globálnímu zabezpečenému přístupu>aplikace> a podnikovým aplikacím.
  3. Vyhledejte a vyberte aplikaci.
  4. V boční nabídce vyberte Uživatelé a skupiny .
  5. Podle potřeby přidejte uživatele a skupiny.

Poznámka:

Musíte přiřadit uživatele přímo k aplikaci nebo ke skupině přiřazené k aplikaci. Vnořené skupiny nejsou podporovány. Všimněte si také, že přiřazení přístupu se automaticky nepřenesou do nově vytvořené podnikové aplikace ani v případě, že existuje existující (překrývající se) segment aplikace definovaný v rychlém přístupu. To je důležité, protože můžete narazit na problém, kdy se uživatelům, kteří úspěšně přistupovali k segmentu aplikace prostřednictvím Rychlého přístupu, zablokuje přístup, když se segment aplikace přesune do Podnikových aplikací, dokud jim nepřiřadíte přístup konkrétně k podnikové aplikaci. Počkejte 15 minut, než se změna konfigurace synchronizuje s klienty globálního zabezpečeného přístupu.

Aktualizace segmentů aplikace

Kdykoli můžete přidat nebo aktualizovat plně kvalifikované názvy domén a IP adresy zahrnuté v aplikaci.

  1. Přihlaste se do Centra pro správu Microsoft Entra.
  2. Přejděte ke Globálnímu zabezpečenému přístupu>aplikace> a podnikovým aplikacím.
  3. Vyhledejte a vyberte aplikaci.
  4. V boční nabídce vyberte Vlastnosti přístupu k síti .
    • Pro přidání nového plně kvalifikovaného názvu domény nebo IP adresy vyberte Přidat segment aplikace.
    • Pokud chcete upravit existující aplikaci, vyberte ji ve sloupci Typ cíle .

Povolení nebo zakázání přístupu pomocí globálního klienta zabezpečeného přístupu

Pomocí globálního klienta zabezpečeného přístupu můžete povolit nebo zakázat přístup k aplikaci Globální zabezpečený přístup. Tato možnost je ve výchozím nastavení vybraná, ale je možné ji zakázat, takže plně kvalifikované názvy domén a IP adresy zahrnuté v segmentech aplikací nejsou tunelovány prostřednictvím služby.

Snímek obrazovky se zaškrtávacím políčkem povolení přístupu.

Přiřazení zásad podmíněného přístupu

Zásady podmíněného přístupu pro přístup k aplikacím se konfigurují na úrovni aplikace pro každou aplikaci. Zásady podmíněného přístupu je možné vytvořit a použít na aplikaci ze dvou míst:

  • Přejděte na Globální zabezpečený přístup>aplikace>Podnikové aplikace. Vyberte aplikaci a v boční nabídce vyberte Podmíněný přístup .
  • Přejděte do Entra ID>Podmíněný přístup>Zásad. Vyberte + Vytvořit novou zásadu.

Další informace najdete v tématu Použití zásad podmíněného přístupu pro aplikace privátního přístupu.

Povolení soukromého přístupu Microsoft Entra

Jakmile máte aplikaci nakonfigurovanou, vaše privátní prostředky přidané, uživatelé přiřazeni k aplikaci, můžete povolit profil pro směrování provozu soukromého přístupu. Profil můžete povolit před konfigurací aplikace globálního zabezpečeného přístupu, ale bez nakonfigurované aplikace a profilu není žádný provoz k přesměrování.

  1. Přihlaste se do Centra pro správu Microsoft Entra.
  2. Přejděte k předávánípřenosů přes >>
  3. Vyberte přepínač profilu privátního přístupu.

Tento diagram ukazuje, jak funguje Microsoft Entra Soukromý přístup při pokusu o připojení k serveru v privátní síti pomocí protokolu Remote Desktop Protocol.

Diagram služby Microsoft Entra Private Access pracující s protokolem Remote Desktop Protocol

Krok Popis
1 Uživatel zahájí relaci protokolu RDP na plně kvalifikovaný název domény, který se mapuje na cílový server. Klient GSA zachytí provoz a tuneluje ho do SSE Edge.
2 SSE Edge vyhodnocuje zásady uložené v Microsoft Entra ID, jako je například to, jestli je uživatel přiřazen k aplikaci a zásadám podmíněného přístupu.
3 Jakmile je uživatel autorizovaný, Microsoft Entra ID vydá token pro aplikaci privátního přístupu.
4 Síťový provoz je uvolněn a pokračuje ke službě Private Access s přístupovým tokenem aplikace.
5 Služba Privátní přístup ověří přístupový token a připojení se zprostředkuje do back-endové služby privátního přístupu.
6 Připojení se zprostředkuje k privátnímu síťovému konektoru.
7 Konektor privátní sítě provede dotaz DNS, který identifikuje IP adresu cílového serveru.
8 Služba DNS v privátní síti odešle odpověď.
9 Konektor privátní sítě přesměruje provoz na cílový server. Relace RDP se vyjedná (včetně ověřování RDP) a pak se vytvoří.

Další kroky

Dalším krokem pro zahájení práce se službou Microsoft Entra Private Access je aktivace profilu přesměrování provozu pro privátní přístup.

Další informace o privátním přístupu najdete v následujících článcích:

  • Last updated on