Sdílet prostřednictvím

Konfigurace rychlého přístupu pro globální zabezpečený přístup

  • Článek

Pomocí globálního zabezpečeného přístupu můžete definovat konkrétní plně kvalifikované názvy domén (FQDN) nebo IP adresy privátních prostředků, které se mají zahrnout do provozu pro Microsoft Entra Soukromý přístup. Zaměstnanci vaší organizace pak budou mít přístup k aplikacím a webům, které zadáte. Tento článek popisuje, jak nakonfigurovat Rychlý přístup pro Microsoft Entra Soukromý přístup.

Požadavky

Pokud chcete nakonfigurovat Rychlý přístup, musíte mít:

  • Role globálního správce zabezpečeného přístupu a správce aplikací v MICROSOFT Entra ID.
  • Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.

Pokud chcete spravovat skupiny privátních síťových konektorů Microsoft Entra, které jsou potřeba pro Rychlý přístup, musíte mít:

  • Role správce aplikace v Microsoft Entra ID
  • Licence Microsoft Entra ID P1 nebo P2

Známá omezení

Vyhněte se překrývání segmentů aplikací mezi rychlým přístupem a přístupem k aplikacím.

Tunelování provozu do cílů privátního přístupu podle IP adresy se podporuje jenom pro rozsahy IP adres mimo místní podsíť zařízení koncového uživatele.

V tuto chvíli je možné přenosy privátního přístupu získat pouze pomocí klienta globálního zabezpečeného přístupu. Vzdálené sítě nelze přiřadit k profilu předávání přenosů privátního přístupu.

Základní postup

Konfigurace nastavení Rychlého přístupu je hlavní komponentou pro využití Microsoft Entra Soukromý přístup. Když rychlý přístup nakonfigurujete poprvé, privátní přístup vytvoří novou podnikovou aplikaci. Vlastnosti této nové aplikace jsou automaticky nakonfigurované tak, aby fungovaly s privátním přístupem.

Pokud chcete nakonfigurovat Rychlý přístup, musíte mít skupinu konektorů s alespoň jedním aktivním konektorem proxy aplikací Microsoft Entra. Skupina konektorů zpracovává provoz do této nové aplikace. Jakmile máte nakonfigurovanou skupinu rychlý přístup a skupinu privátních síťových konektorů, musíte aplikaci udělit přístup.

Celkový proces je shrnutý takto:

  1. Vytvořte skupinu konektorů s alespoň jedním aktivním privátním síťovým konektorem.

    • Pokud už máte skupinu konektorů, ujistěte se, že používáte nejnovější verzi.

  2. Konfigurace rychlého přístupu

  3. Přiřaďte k aplikaci uživatele a skupiny.

  4. Nakonfigurujte zásady podmíněného přístupu.

  5. Povolte profil předávání přenosů privátního přístupu.

Vytvoření skupiny privátních síťových konektorů

Pokud chcete nakonfigurovat Rychlý přístup, musíte mít skupinu konektorů s alespoň jedním aktivním privátním síťovým konektorem.

Pokud ještě nemáte nastavenou skupinu konektorů, přečtěte si téma Konfigurace konektorů pro Rychlý přístup.

Poznámka:

Pokud jste dříve nainstalovali konektor, nainstalujte ho znovu, abyste získali nejnovější verzi. Při upgradu odinstalujte existující konektor a odstraňte všechny související složky.

Minimální verze konektoru vyžadovaná pro privátní přístup je 1.5.3417.0.

Konfigurace rychlého přístupu

Na stránce Rychlý přístup zadáte název aplikace Rychlý přístup, vyberete skupinu konektorů a přidáte segmenty aplikací, které zahrnují plně kvalifikované názvy domén a IP adresy. Všechny tři kroky můžete dokončit současně nebo můžete po dokončení počátečního nastavení přidat segmenty aplikace.

Název a skupina konektorů

  1. Přihlaste se do Centra pro správu Microsoft Entra s příslušnými rolemi.

  2. Přejděte do globálního rychlého přístupu k aplikacím>pro zabezpečený přístup.>

  3. Zadejte název. Doporučujeme použít název Rychlý přístup.

  4. V rozevírací nabídce vyberte skupinu konektorů. Existující skupiny konektorů se zobrazí v rozevírací nabídce.

    Snímek obrazovky s názvem aplikace Rychlý přístup

  5. Výběrem možnosti Uložit v dolní části stránky vytvořte aplikaci Rychlý přístup bez plně kvalifikovaných názvů domén, IP adres a přípon privátních DNS.

Přidání segmentu aplikace Rychlý přístup

Definujete plně kvalifikované názvy domén a IP adresy, které mají být zahrnuty při přidání segmentu aplikace Rychlý přístup. Tyto prostředky přidáte při vytváření nebo aktualizaci aplikace Rychlý přístup.

Můžete přidat plně kvalifikované názvy domén( FQDN), IP adresy a rozsahy IP adres. V každém segmentu aplikace můžete přidat více portů a rozsahů portů.

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Přejděte do rychlého přístupu k globálním aplikacím>pro zabezpečený přístup.>

  3. Vyberte Přidat segment aplikace Rychlý přístup.

    Snímek obrazovky s přidanou částí aplikace Rychlý přístup

  4. Na panelu Vytvořit segment aplikace, který se otevře, vyberte typ cíle.

    Snímek obrazovky s panelem vytvořit segment aplikace

  5. Zadejte příslušné podrobnosti pro vybraný typ cíle. V závislosti na tom, co vyberete, se následná pole odpovídajícím způsobem změní.

    • IP adresa:
      • Adresa protokolu IPv4 (Internet Protocol verze 4), například 192.0.2.1, která identifikuje zařízení v síti.
      • Zadejte porty, které chcete zahrnout.
    • Plně kvalifikovaný název domény (včetně plně kvalifikovaných názvů domén se zástupnými názvy):
      • Název domény, který určuje přesné umístění počítače nebo hostitele v SYSTÉMU DNS (Domain Name System).
      • Zadejte porty, které chcete zahrnout.
      • Rozhraní NetBIOS se nepodporuje. Například místo contoso.local/app1 .contoso/app1
    • Rozsah IP adres (CIDR):
      • CiDR (Classless Inter-Domain Routing) představuje rozsah IP adres. Za IP adresou následuje přípona označující počet síťových bitů v masce podsítě.
      • Například 192.0.2.0/24 označuje, že prvních 24 bitů IP adresy představuje síťovou adresu, zatímco zbývajících 8 bitů představuje adresu hostitele.
      • Zadejte počáteční adresu, masku sítě a porty.
    • Rozsah IP adres (IP na IP adresu):
      • Rozsah IP adres od počáteční IP adresy (například 192.0.2.1) až po koncovou IP adresu (například 192.0.2.10).
      • Zadejte počáteční, koncový a port IP adresy a porty.

  6. Zadejte porty a vyberte Použít.

    • Oddělte několik portů čárkou.
    • Zadejte rozsahy portů pomocí spojovníku.
    • Mezery mezi hodnotami se odeberou při použití změn.
    • Například 400-500, 80, 443.

    Snímek obrazovky s panelem vytvořit segment aplikace s přidanými několika porty

    Následující tabulka obsahuje nejčastěji používané porty a jejich přidružené síťové protokoly:

    Port Protokol
    22 Secure Shell (SSH)
    80 Protokol HTTP (Hypertext Transfer Protocol)
    443 Protokol HTTPS (Hypertext Transfer Protocol Secure)
    445 Sdílení souborů SMB (Server Message Block)
    3389 Protokol RDP (Remote Desktop Protocol)

  7. Jakmile budete hotovi, vyberte Uložit.

Poznámka:

Do aplikace Rychlý přístup můžete přidat až 500 segmentů aplikace.

Nepřekrývejte plně kvalifikované názvy domén, IP adresy a rozsahy IP adres mezi aplikací Rychlý přístup a všemi aplikacemi pro Privátní přístup.

Přidání privátních přípon DNS

Přidejte příponu DNS, která se má použít pro privátní DNS.

  1. Vyberte kartu Privátní DNS.
  2. Zaškrtnutím políčka povolíte privátní DNS.
  3. Vyberte Přidat příponu DNS.
  4. Zadejte příponu DNS a pak vyberte Přidat.

Aktualizace segmentů aplikace Rychlý přístup

Po dokončení počátečního nastavení můžete přidat nebo upravit segmenty aplikace.

Rychlý přístup k aplikacím globálního zabezpečeného přístupu>>:

  • Vyberte Přidat segment aplikace Rychlý přístup a přidejte plně kvalifikovaný název domény nebo IP adresu.
  • Ve sloupci Typ cíle vyberte segment aplikace, který chcete upravit.

Přiřazení uživatelů a skupin

Když nakonfigurujete Rychlý přístup, vytvoří se za vás nová podniková aplikace. Musíte udělit přístup k aplikaci Rychlý přístup, kterou jste vytvořili přiřazením uživatelů nebo skupin k aplikaci.

Vlastnosti můžete zobrazit z Rychlého přístupu nebo přejít do podnikových aplikací a vyhledat aplikaci Rychlý přístup.

  1. V části Rychlý přístup vyberte Upravit nastavení aplikace.

    Snímek obrazovky s úpravou nastavení aplikace

  2. V boční nabídce vyberte Uživatelé a skupiny .

  3. Podle potřeby přidejte uživatele a skupiny.

Poznámka:

Uživatelé musí být přímo přiřazeni k aplikaci nebo ke skupině přiřazené k aplikaci. Vnořené skupiny nejsou podporovány.

Zásady podmíněného přístupu se dají použít pro aplikaci Rychlý přístup. Použití zásad podmíněného přístupu poskytuje další možnosti pro správu přístupu k aplikacím, webům a službám.

Vytvoření zásad podmíněného přístupu je podrobně popsáno v části Vytvoření zásad podmíněného přístupu pro aplikace privátního přístupu.

Povolení Microsoft Entra Soukromý přístup

Jakmile nakonfigurujete aplikaci Rychlý přístup, přidá se vaše soukromé prostředky, uživatelé přiřazení k aplikaci, můžete povolit profil privátního přístupu z oblasti předávání přenosů globálního zabezpečeného přístupu. Profil můžete povolit před konfigurací Rychlého přístupu, ale bez nakonfigurované aplikace a profilu neexistuje žádný provoz k přesměrování.

  1. Přihlaste se do Centra pro správu Microsoft Entra.
  2. Přejděte k předávání přenosů přes globální zabezpečený přístup.>>
  3. Vyberte přepínač profilu privátního přístupu.

Další kroky

Dalším krokem pro zahájení práce s Microsoft Entra Soukromý přístup je povolení profilu předávání přenosů privátního přístupu.

Další informace o privátním přístupu najdete v následujících článcích: