Sdílet prostřednictvím


Konfigurace rychlého přístupu pro globální zabezpečený přístup

Pomocí globálního zabezpečeného přístupu můžete definovat konkrétní plně kvalifikované názvy domén (FQDN) nebo IP adresy privátních prostředků, které se mají zahrnout do provozu pro Microsoft Entra Soukromý přístup. Zaměstnanci vaší organizace pak budou mít přístup k aplikacím a webům, které zadáte. Tento článek popisuje, jak nakonfigurovat Rychlý přístup pro Microsoft Entra Soukromý přístup.

Požadavky

Pokud chcete nakonfigurovat Rychlý přístup, musíte mít:

  • Role globálního správce zabezpečeného přístupu a správce aplikací v MICROSOFT Entra ID.
  • Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.

Pokud chcete spravovat skupiny privátních síťových konektorů Microsoft Entra, které jsou potřeba pro Rychlý přístup, musíte mít:

  • Role správce aplikace v Microsoft Entra ID
  • Licence Microsoft Entra ID P1 nebo P2

Známá omezení

Tato funkce má jedno nebo více známých omezení. Podrobnější informace o známých problémech a omezeních této funkce najdete v tématu Známá omezení globálního zabezpečení přístupu.

Základní postup

Konfigurace nastavení Rychlého přístupu je hlavní komponentou pro využití Microsoft Entra Soukromý přístup. Když rychlý přístup nakonfigurujete poprvé, privátní přístup vytvoří novou podnikovou aplikaci. Vlastnosti této nové aplikace jsou automaticky nakonfigurované tak, aby fungovaly s privátním přístupem.

Pokud chcete nakonfigurovat Rychlý přístup, musíte mít skupinu konektorů s alespoň jedním aktivním konektorem proxy aplikací Microsoft Entra. Skupina konektorů zpracovává provoz do této nové aplikace. Jakmile máte nakonfigurovanou skupinu rychlý přístup a skupinu privátních síťových konektorů, musíte aplikaci udělit přístup.

Celkový proces je shrnutý takto:

  1. Vytvořte skupinu konektorů s alespoň jedním aktivním privátním síťovým konektorem.
  2. Konfigurace rychlého přístupu
  3. Přiřaďte k aplikaci uživatele a skupiny.
  4. Nakonfigurujte zásady podmíněného přístupu.
  5. Povolte profil předávání přenosů privátního přístupu.

Vytvoření skupiny privátních síťových konektorů

Pokud chcete nakonfigurovat Rychlý přístup, musíte mít skupinu konektorů s alespoň jedním aktivním privátním síťovým konektorem.

Pokud ještě nemáte nastavenou skupinu konektorů, přečtěte si téma Konfigurace konektorů pro Rychlý přístup.

Poznámka:

Pokud jste dříve nainstalovali konektor, nainstalujte ho znovu, abyste získali nejnovější verzi. Při upgradu odinstalujte existující konektor a odstraňte všechny související složky.

Minimální verze konektoru vyžadovaná pro privátní přístup je 1.5.3417.0.

Konfigurace rychlého přístupu

Na stránce Rychlý přístup zadáte název aplikace Rychlý přístup, vyberete skupinu konektorů a přidáte segmenty aplikací, které zahrnují plně kvalifikované názvy domén a IP adresy. Všechny tři kroky můžete dokončit současně nebo můžete po dokončení počátečního nastavení přidat segmenty aplikace.

Název a skupina konektorů

  1. Přihlaste se do Centra pro správu Microsoft Entra s příslušnými rolemi.
  2. Přejděte do globálního rychlého přístupu k aplikacím>
  3. Zadejte název. Doporučujeme použít název Rychlý přístup.
  4. V rozevírací nabídce vyberte skupinu konektorů.
  5. Výběrem možnosti Uložit vytvoříte aplikaci Rychlý přístup bez plně kvalifikovaných názvů domén, IP adres a privátních přípon DNS.

Přidání segmentu aplikace Rychlý přístup

Definujete plně kvalifikované názvy domén a IP adresy, které mají být zahrnuty při přidání segmentu aplikace Rychlý přístup. Tyto prostředky přidáte při vytváření nebo aktualizaci aplikace Rychlý přístup.

Můžete přidat plně kvalifikované názvy domén( FQDN), IP adresy a rozsahy IP adres. V každém segmentu aplikace můžete přidat více portů a rozsahů portů.

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Přejděte do rychlého přístupu k globálním aplikacím>

  3. Vyberte Přidat segment aplikace Rychlý přístup.

  4. Na panelu Vytvořit segment aplikace, který se otevře, vyberte typ cíle.

  5. Zadejte příslušné podrobnosti pro vybraný typ cíle. V závislosti na tom, co vyberete, se následná pole odpovídajícím způsobem změní.

    • IP adresa:
      • Adresa protokolu IPv4 (Internet Protocol verze 4), například 192.168.2.1, která identifikuje zařízení v síti.
      • Zadejte porty, které chcete zahrnout.
    • Plně kvalifikovaný název domény (včetně plně kvalifikovaných názvů domén se zástupnými názvy):
      • Název domény, který určuje přesné umístění počítače nebo hostitele v SYSTÉMU DNS (Domain Name System).
      • Zadejte porty, které chcete zahrnout.
      • Rozhraní NetBIOS se nepodporuje. Například místo contoso.local/app1 .contoso/app1
    • Rozsah IP adres (CIDR):
      • CiDR (Classless Inter-Domain Routing) představuje rozsah IP adres. Za IP adresou následuje přípona označující počet síťových bitů v masce podsítě.
      • Například 192.168.2.0/24 označuje, že prvních 24 bitů IP adresy představuje síťovou adresu, zatímco zbývajících 8 bitů představuje adresu hostitele.
      • Zadejte počáteční adresu, masku sítě a porty.
    • Rozsah IP adres (IP na IP adresu):
      • Rozsah IP adres od počáteční IP adresy (například 192.168.2.1) až po koncovou IP adresu (například 192.168.2.10).
      • Zadejte počáteční, koncový a port IP adresy a porty.
  6. Zadejte porty a protokol a vyberte Použít.

    • Oddělte několik portů čárkou.
    • Zadejte rozsahy portů pomocí spojovníku.
    • Mezery mezi hodnotami se odeberou při použití změn.
    • Například 400-500, 80, 443.

    Snímek obrazovky s panelem vytvořit segment aplikace s přidanými několika porty

    Následující tabulka obsahuje nejčastěji používané porty a jejich přidružené síťové protokoly:

    Port Protokol
    22 Secure Shell (SSH)
    80 Protokol HTTP (Hypertext Transfer Protocol)
    443 Protokol HTTPS (Hypertext Transfer Protocol Secure)
    445 Sdílení souborů SMB (Server Message Block)
    3389 Protokol RDP (Remote Desktop Protocol)
  7. Jakmile budete hotovi, vyberte Uložit.

Poznámka:

Do aplikace Rychlý přístup můžete přidat až 500 segmentů aplikace.

Nepřekrývejte plně kvalifikované názvy domén, IP adresy a rozsahy IP adres mezi aplikací Rychlý přístup a všemi aplikacemi pro Privátní přístup.

Přidání privátních přípon DNS

Privátní DNS podpora pro Microsoft Entra Soukromý přístup umožňuje dotazovat se na vlastní interní servery DNS za účelem překladu IP adres pro interní názvy domén. Podívejme se na příklad. Řekněme, že máte interní rozsah IP adres 10.8.0.010.8.255.255. Tento rozsah nakonfigurujete v definici aplikace Rychlý přístup. Chcete, aby uživatelé při psaní 10.8.0.5 ve webovém prohlížeči měli přístup k webové aplikaci, která odpovídá na IP https://benefits adrese. Ale nechcete pro aplikaci konfigurovat plně kvalifikovaný název domény. Pomocí Privátní DNS nakonfigurujete odpovídající příponu DNS tak, aby klient globálního zabezpečeného přístupu věděl, jak správně směrovat požadavek.

Kromě toho můžete poskytnout prostředí jednotného přihlašování (SSO) pro prostředky Kerberos konfigurací ověřování kerberos pro řadiče domény pomocí Privátní DNS. Další informace o vytváření prostředí jednotného přihlašování najdete v tématu Použití protokolu Kerberos pro jednotné přihlašování (SSO) k prostředkům pomocí Microsoft Entra Soukromý přístup.

Přidejte příponu DNS, která se má použít pro privátní DNS.

  1. Vyberte kartu Privátní DNS.
  2. Zaškrtnutím políčka povolíte privátní DNS.
  3. Vyberte Přidat příponu DNS.
  4. Zadejte příponu DNS a pak vyberte Přidat.

Přiřazení uživatelů a skupin

Když nakonfigurujete Rychlý přístup, vytvoří se za vás nová podniková aplikace. Musíte udělit přístup k aplikaci Rychlý přístup, kterou jste vytvořili přiřazením uživatelů nebo skupin k aplikaci.

Vlastnosti můžete zobrazit z Rychlého přístupu nebo přejít do podnikových aplikací a vyhledat aplikaci Rychlý přístup.

Tip

Pokud chcete najít aplikaci na stránce Podnikové aplikace , vymažte všechny filtry, abyste aplikaci, kterou hledáte, neodfiltrujte.

  1. V části Rychlý přístup vyberte Upravit nastavení aplikace.

    Snímek obrazovky s úpravou nastavení aplikace

  2. V boční nabídce vyberte Uživatelé a skupiny .

  3. Podle potřeby přidejte uživatele a skupiny.

Poznámka:

Uživatelé musí být přímo přiřazeni k aplikaci nebo ke skupině přiřazené k aplikaci. Vnořené skupiny nejsou podporovány.

Zásady podmíněného přístupu se dají použít pro aplikaci Rychlý přístup. Použití zásad podmíněného přístupu poskytuje další možnosti pro správu přístupu k aplikacím, webům a službám.

Vytvoření zásad podmíněného přístupu je podrobně popsáno v části Vytvoření zásad podmíněného přístupu pro aplikace privátního přístupu.

Povolení Microsoft Entra Soukromý přístup

Jakmile nakonfigurujete aplikaci Rychlý přístup, přidá se vaše soukromé prostředky, uživatelé přiřazení k aplikaci, můžete povolit profil privátního přístupu z oblasti předávání přenosů globálního zabezpečeného přístupu. Profil můžete povolit před konfigurací Rychlého přístupu, ale bez nakonfigurované aplikace a profilu neexistuje žádný provoz k přesměrování. Informace o povolení profilu předávání přenosů privátního přístupu najdete v tématu Správa profilu předávání přenosů privátního přístupu.

Další kroky