Verwalten des Weiterleitungsprofils für privaten Zugriff

Das Profil für die Weiterleitung des Privatzugriffs leitet den Datenverkehr über den Client für globalen sicheren Zugriff an Ihr privates Netzwerk weiter. Wenn Sie dieses Datenverkehrsweiterleitungsprofil aktivieren, können Remote-Mitarbeiter ohne VPN eine Verbindung zu internen Ressourcen herstellen. Mit den Features von Microsoft Entra-Privatzugriff können Sie steuern, welche privaten Ressourcen über den Dienst tunneln sollen, und Richtlinien für bedingten Zugriff anwenden, um den Zugriff auf diese Dienste zu sichern. Sobald Ihre Konfigurationen vorhanden sind, können Sie alle diese Konfigurationen von einem Ort aus anzeigen und verwalten.

Voraussetzungen

Um das Weiterleitungsprofil für den privaten Zugriff für Ihren Mandanten zu aktivieren, ist Folgendes erforderlich:

• Die Rolle Administrator für globalen sicheren Zugriff in Microsoft Entra ID.
  • Die Rolle Administrator für bedingten Zugriff zum Erstellen und Verwenden von Richtlinien für bedingten Zugriff
• Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.

Bekannte Einschränkungen

• Private Access-Datenverkehr kann derzeit nur mit dem Global Secure Access Client abgerufen werden. Der Datenverkehr für den Privatzugriff kann nicht aus Remote-Netzwerken abgerufen werden.
• Das Tunneln von Datenverkehr zu Zielen des privaten Zugriffs nach IP-Adresse wird nur für IP-Bereiche außerhalb des lokalen Subnetzes des Endbenutzergeräts unterstützt.
• Sie müssen DNS über HTTPS (Secure DNS) deaktivieren, um Netzwerkdatenverkehr basierend auf den Regeln der vollqualifizierten Domänennamen (FQDNs) im Datenverkehrsweiterleitungsprofil zu tunneln.

Aktivieren des Profils für die Weiterleitung von Datenverkehr mit Privatzugriff

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
2. Navigieren Sie zum globalen sicheren Zugriff>Verbinden>Datenweiterleitung.
3. Aktivieren Sie das Kontrollkästchen für Privatzugriffs-Profil.

Richtlinien für den Privatzugriff

Um das Datenverkehrsweiterleitungsprofil für Privatzugriff zu aktivieren, empfehlen wir Ihnen, zuerst den Schnellzugriff zu konfigurieren. Der Schnellzugriff umfasst die IP-Adressen, IP-Bereiche und vollqualifizierten Domänennamen (FQDNs) für die privaten Ressourcen, die Sie in die Richtlinie einbeziehen möchten. Weitere Informationen finden Sie unter Schnellzugriff konfigurieren.

Sie können auch den App-Zugriff auf Ihre privaten Ressourcen konfigurieren, indem Sie eine Privatzugriffs-App erstellen. Ähnlich wie bei Der Schnellzugriff erstellen Sie eine neue Enterprise-App, die dann dem Datenverkehrsweiterleitungsprofil für Privatzugriff zugewiesen werden kann. Der Schnellzugriff enthält die Standardgruppe privater Ressourcen, die Sie immer über den Dienst weiterleiten möchten. Privatzugriffs-Apps können nach Bedarf aktiviert und deaktiviert werden, ohne dass sich die in den Schnellzugriff enthaltenen FQDNs und IP-Adressen auswirken.

Um die Details zu verwalten, die in der Richtlinie für die Weiterleitung von Datenverkehr für privaten Zugriff enthalten sind, wählen Sie den Link Anzeigen für private Zugriffsrichtlinien aus.

Es werden Details zu Ihren Schnellzugriffs- und Unternehmens-Apps für Privatzugriff angezeigt. Wählen Sie den Link für die Anwendung aus, um die Details aus dem Bereich Unternehmensanwendungen der Microsoft Entra ID anzuzeigen.

Verknüpfte Richtlinien für bedingten Zugriff

Richtlinien für bedingten Zugriff für den Privatzugriff per App werden auf Anwendungsebene für jede App konfiguriert. Richtlinien für bedingten Zugriff können an zwei Stellen erstellt und auf die Anwendung angewendet werden:

• Wechseln Sie zu Global Secure Access>Anwendungen>Unternehmensanwendungen. Wählen Sie eine Anwendung und dann bedingten Zugriff aus dem Seitenmenü aus.
• Wählen Sie Schutz>Bedingter Zugriff>Richtlinien aus. Wählen Sie +Neue Richtlinie erstellen aus.

Weitere Informationen finden Sie unter Anwenden von Richtlinien für bedingten Zugriff auf Apps mit privatem Zugriff.

Benutzer- und Gruppenzuweisungen

Sie können das Profil für den privaten Zugriff auf bestimmte Benutzer und Gruppen einschränken. Die Benutzer und Gruppen müssen sowohl den Apps für den privaten Zugriff als auch dem Datenverkehrsweiterleitungsprofil zugewiesen werden.

Weitere Informationen zur Benutzer- und Gruppenzuweisung finden Sie unter Zuweisen und Verwalten von Benutzern und Gruppen mit Datenverkehrsweiterleitungsprofilen.

Nächste Schritte

Der nächste Schritt für den Einstieg in Microsoft Entra-Internetzugriff besteht im Installieren und Konfigurieren des Clients für den globalen sicheren Zugriff auf Endbenutzer-Geräten.

Weitere Informationen zu privatem Zugriff finden Sie in den folgenden Artikeln:

• Informationen zur Datenverkehrsweiterleitung
• Konfigurieren des Schnellzugriffs