Freigeben über

Konfigurieren des Zugriffs per App mithilfe von Anwendungen für den global sicheren Zugriff

Microsoft Entra Private Access bietet sicheren Zugriff auf die internen Ressourcen Ihrer Organisation, indem Sie den Zugriff auf bestimmte Netzwerkziele in Ihrem privaten Netzwerk steuern und sichern können. Auf diese Weise können Sie basierend auf den Benutzeranforderungen präzisen Netzwerkzugriff bereitstellen. Erstellen Sie dazu eine Enterprise-Anwendung, und fügen Sie das Anwendungssegment hinzu, das von der internen, privaten Ressource verwendet wird, die Sie sichern möchten. Netzwerkanfragen, die von Geräten gesendet werden, auf denen der Global Secure Access-Client läuft und die an das Anwendungssegment gesendet werden, das Sie Ihrer Unternehmensanwendung hinzugefügt haben, werden vom Global Secure Access-Cloud-Service erfasst und zu Ihrer internen Anwendung weitergeleitet, ohne die Möglichkeit, zu anderen Ressourcen in Ihrem Netzwerk eine Verbindung herzustellen. Indem Sie eine Enterprise-Anwendung konfigurieren, erstellen Sie pro App Zugriff auf Ihre internen Ressourcen. Unternehmensanwendungen bieten Ihnen eine segmentierte, präzise Möglichkeit, zu verwalten, wie auf Ihre Ressourcen pro App zugegriffen wird.

In diesem Artikel wird beschrieben, wie Sie den App-Zugriff mithilfe von Enterprise-Anwendungen konfigurieren.

Voraussetzungen

Um eine Global Secure Access Enterprise-App zu konfigurieren, müssen Sie folgendes haben:

Um Microsoft Entra-Gruppen von privaten Netzwerk-Verbindern zu verwalten, die für Anwendungen mit Globalem Sicherem Zugriff erforderlich sind, benötigen Sie Folgendes:

  • Eine Anwendungsadministratorrolle in der Microsoft Entra-ID
  • Eine P1- oder P2-Lizenz für Microsoft Entra ID

Bekannte Einschränkungen

Ausführliche Informationen zu bekannten Problemen und Einschränkungen finden Sie unter "Bekannte Einschränkungen für den globalen sicheren Zugriff".

Schritte auf oberer Ebene:

Zugriff per App wird durch Erstellen einer neuen Global Secure Access-App konfiguriert. Sie erstellen die App, wählen eine Connectorgruppe aus und fügen Netzwerkzugriffssegmente hinzu. Diese Einstellungen bilden die App, der Sie Benutzer und Gruppen zuweisen können.

Um Per-App-Zugriff zu konfigurieren, müssen Sie über eine Connectorgruppe mit mindestens einem aktiven Microsoft Entra Anwendungsproxy-Connector verfügen. Diese Connectorgruppe verarbeitet den Datenverkehr zu dieser neuen Anwendung. Mit Connectoren können Sie Apps per Netzwerk und Connector isolieren.

Zusammenfassend sieht der Gesamtprozess wie folgt aus:

  1. Erstellen Sie eine Connectorgruppe mit mindestens einem aktiven privaten Netzwerkconnector.

    • Wenn Sie bereits über eine Verbindungsgruppe verfügen, vergewissern Sie sich, dass Sie die neueste Version verwenden.

  2. Erstellen Sie eine globale App für den sicheren Zugriff.

  3. Weisen Sie der App Benutzer und Gruppen zu.

  4. Konfigurieren von Richtlinien für bedingten Zugriff.

  5. Microsoft Entra Private Access aktivieren.

Erstellen Sie eine private Netzwerkconnector-Gruppe

Zum Konfigurieren einer App mit globalem sicherem Zugriff müssen Sie über eine Connectorgruppe mit mindestens einem privaten Netzwerkconnector verfügen.

Wenn Sie noch keinen Connector eingerichtet haben, lesen Sie "Konfigurieren von Connectors".

Hinweis

Wenn Sie bereits einen Connector installiert haben, installieren Sie ihn neu, um die neueste Version zu erhalten. Deinstallieren Sie beim Upgrade den vorhandenen Connector, und löschen Sie alle zugehörigen Ordner.

Die für private Access erforderliche Mindestversion des Connectors ist 1.5.3417.0.

Erstellen einer Global Secure Access Enterprise-Anwendung

Um eine neue App zu erstellen, geben Sie einen Namen an, wählen Sie eine Connectorgruppe aus und fügen Sie dann Anwendungssegmente hinzu. App-Segmente umfassen die vollqualifizierten Domänennamen (FQDNs) und IP-Adressen, die Sie durch den Dienst tunneln möchten. Sie können alle drei Schritte gleichzeitig ausführen oder sie hinzufügen, nachdem die Ersteinrichtung abgeschlossen ist.

Name und Connectorgruppe auswählen

  1. Melden Sie sich mit den entsprechenden Rollen beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Global Secure Access>Applications>Enterprise-Anwendungen.

  3. Wählen Sie "Neue Anwendung" aus.

    Screenshot der Schaltfläche

  4. Geben Sie einen Namen für die App ein.

  5. Wählen Sie im Dropdownmenü eine Connectorgruppe aus.

    Wichtig

    Sie müssen über mindestens einen aktiven Connector verfügen, um eine Anwendung erstellen zu können. Weitere Informationen zu Konnektoren finden Sie unter Grundlegendes zum privaten Netzwerkanschluss von Microsoft Entra.

  6. Wählen Sie unten auf der Seite die Schaltfläche " Speichern " aus, um Ihre App zu erstellen, ohne private Ressourcen hinzuzufügen.

Hinzufügen eines Anwendungssegments

Ein Anwendungssegment wird durch 3 Felder definiert – Ziel, Port und Protokoll. Wenn zwei oder mehr Anwendungssegmente dasselbe Ziel, portieren und Protokoll enthalten, werden sie als überlappend betrachtet. Im Prozess zum Hinzufügen von Anwendungssegmenten definieren Sie die FQDNs und IP-Adressen, die der Client für den globalen sicheren Zugriff an Ihre private Zielanwendung weiterleiten soll. Sie können Anwendungssegmente hinzufügen, wenn Sie die App erstellen und später zurückkehren, um mehr hinzuzufügen oder sie zu bearbeiten.

Sie können vollqualifizierte Domänennamen (FQDN), IP-Adressen und IP-Adressbereiche hinzufügen. Innerhalb jedes Anwendungssegments können Sie mehrere Ports und Portbereiche hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Global Secure Access>Applications>Enterprise-Anwendungen.

  3. Wählen Sie "Neue Anwendung" aus.

  4. Wählen Sie "Anwendungssegment hinzufügen" aus.

  5. Wählen Sie im daraufhin geöffneten Bereich " Anwendungssegment erstellen" einen Zieltyp aus.

  6. Geben Sie die entsprechenden Details für den ausgewählten Zieltyp ein. Je nachdem, was Sie auswählen, ändern sich die nachfolgenden Felder entsprechend.

    • IP-Adresse:
      • Internetprotokoll-Version 4 (IPv4)-Adresse, z. B. 192.168.2.1, die ein Gerät im Netzwerk identifiziert.
      • Geben Sie die Ports an, die Sie einschließen möchten.
    • Vollqualifizierter Domänenname (einschließlich Wildcard-FQDNs):
      • Domänenname, der den genauen Speicherort eines Computers oder Hosts im DNS (Domain Name System) angibt.
      • Geben Sie die Ports an, die Sie einschließen möchten.
      • NetBIOS wird nicht unterstützt. Verwenden Sie beispielsweise contoso.local/app1 anstelle von contoso/app1..
    • IP-Adressbereich (CIDR):
      • Classless Inter-Domain Routing (CIDR) stellt einen Bereich von IP-Adressen dar, bei dem einer IP-Adresse ein Suffix folgt, das die Anzahl der Netzwerkbits in der Subnetzmaske angibt.
      • Zum Beispiel: 192.168.2.0/24 gibt an, dass die ersten 24 Bit der IP-Adresse die Netzwerkadresse darstellen, während die restlichen 8 Bits die Hostadresse darstellen.
      • Geben Sie die Startadresse, die Netzwerkmaske und die Ports an.
    • IP-Adressbereich (IP zu IP):
      • Bereich der IP-Adressen von der Start-IP (z. B. 192.168.2.1) bis zur End-IP (z. B. 192.168.2.10).
      • Geben Sie den Anfang, das Ende und die Ports der IP-Adresse an.

  7. Geben Sie die Ports ein, und wählen Sie die Schaltfläche "Übernehmen " aus.

    • Trennen Sie mehrere Ports durch ein Komma.
    • Geben Sie Portbereiche mit einem Bindestrich an.
    • Wenn Sie die Änderungen anwenden, werden Leerzeichen zwischen Werten entfernt.
    • Beispiel: 400-500, 80, 443.

    Screenshot des Bereichs

    Die folgende Tabelle enthält die am häufigsten verwendeten Ports und die zugehörigen Netzwerkprotokolle:

    Hafen Protokoll
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)

  8. Wählen Sie "Speichern" aus.

Hinweis

Sie können Ihrer App bis zu 500 Anwendungssegmente hinzufügen, jedoch kann keiner dieser Anwendungssegmente überlappende FQDNs, IP-Adressen oder IP-Bereiche innerhalb oder zwischen beliebigen Apps für den privaten Zugriff aufweisen. Eine besondere Ausnahme ist für überlappende Segmente zwischen Private Access-Apps und Schnellzugriff zulässig, um den Ersatz von VPNs zu ermöglichen. Wenn ein segment, das für eine Enterprise-App definiert ist (z. B. 10.1.1.1:3389), mit einem Segment überlappt, das für den Schnellzugriff definiert ist (z. B. 10.1.1.0/24:3389), erhält das segment, das in der Enterprise-App definiert ist, dem GSA-Dienst Priorität. Kein Datenverkehr von einem Benutzer zu einem Anwendungssegment, das als Enterprise-App definiert ist, wird von Quick Access verarbeitet. Dies bedeutet, dass jeder Benutzer, der versucht, eine RDP-Verbindung zu 10.1.1.1 herzustellen, gemäß der Enterprise-App-Konfiguration ausgewertet und weitergeleitet wird, einschließlich Benutzerzuweisungen und Richtlinien für bedingten Zugriff. Entfernen Sie als bewährte Methode Anwendungssegmente, die Sie in Enterprise-Apps definieren, aus dem Schnellzugriff, und trennen Sie IP-Subnetze in kleinere Bereiche, sodass der Ausschluss möglich ist.

Zuweisen von Benutzern und Gruppen

Sie müssen der von Ihnen erstellten App Zugriff gewähren, indem Sie der App Benutzer und/oder Gruppen zuweisen. Weitere Informationen finden Sie unter Zuweisen von Benutzern und Gruppen zu einer Anwendung.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Global Secure Access>Applications>Enterprise-Anwendungen.
  3. Suchen Sie nach Ihrer Anwendung, und wählen Sie sie aus.
  4. Wählen Sie "Benutzer und Gruppen " im Seitenmenü aus.
  5. Fügen Sie nach Bedarf Benutzer und Gruppen hinzu.

Hinweis

Sie müssen Benutzer direkt der App oder der der App zugewiesenen Gruppe zuweisen. Geschachtelte Gruppen werden nicht unterstützt. Beachten Sie außerdem, dass Zugriffszuweisungen nicht automatisch auf eine neu erstellte Enterprise-App übertragen werden, auch wenn ein in Der Schnellzugriff definiertes (überlappende) Anwendungssegment vorhanden ist. Dies ist wichtig, da ein Problem auftreten kann, bei dem Benutzer, die erfolgreich über den Quick Access auf ein App-Segment zugegriffen haben, beim Verschieben des App-Segments auf Enterprise Apps blockiert werden, bis Sie ihnen speziell Zugriff auf die Enterprise App zuweisen. Lassen Sie 15 Minuten zu, dass Ihre Konfigurationsänderung mit Ihren Global Secure Access-Clients synchronisiert wird.

Aktualisieren von Anwendungssegmenten

Sie können die in Ihrer App enthaltenen FQDNs und IP-Adressen jederzeit hinzufügen oder aktualisieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Global Secure Access>Applications>Enterprise-Anwendungen.
  3. Suchen Sie nach Ihrer Anwendung, und wählen Sie sie aus.
  4. Wählen Sie im Seitmenü Netzwerkzugriffseigenschaften aus.
    • Um einen neuen FQDN oder eine neue IP-Adresse hinzuzufügen, wählen Sie "Anwendungssegment hinzufügen" aus.
    • Um eine vorhandene App zu bearbeiten, wählen Sie sie aus der Spalte " Zieltyp " aus.

Aktivieren oder Deaktivieren des Zugriffs mit dem Global Secure Access-Client

Sie können den Zugriff auf die Global Secure Access-App mithilfe des Global Secure Access-Clients aktivieren oder deaktivieren. Diese Option ist standardmäßig ausgewählt, kann aber deaktiviert werden, sodass die in den App-Segmenten enthaltenen FQDNs und IP-Adressen nicht durch den Dienst getunnelt werden.

Screenshot des Kontrollkästchens

Zuweisen von Richtlinien für bedingten Zugriff

Richtlinien für bedingten Zugriff für den Zugriff per App werden auf Anwendungsebene für jede App konfiguriert. Richtlinien für bedingten Zugriff können an zwei Stellen erstellt und auf die Anwendung angewendet werden:

  • Wechseln Sie zu Global Secure Access>Applications>Enterprise-Anwendungen. Wählen Sie eine Anwendung aus, und wählen Sie dann im Seitmenü den bedingten Zugriff aus.
  • Wechseln Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>. Wählen Sie +Neue Richtlinie erstellen.

Weitere Informationen finden Sie unter Anwenden von Richtlinien für bedingten Zugriff auf Private Access-Apps.

Microsoft Entra Private Access aktivieren

Nachdem Sie Ihre App konfiguriert haben, Ihre privaten Ressourcen hinzugefügt haben, und Benutzer der App zugewiesen sind, können Sie das Profil Datenverkehrsweiterleitung für privaten Zugriff aktivieren. Sie können das Profil vor dem Konfigurieren einer Global Secure Access-App aktivieren, aber ohne dass die App und das Profil konfiguriert sind, gibt es keinen weiterzuleitenden Datenverkehr.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Global Secure Access>Connect>Traffic Forwarding.
  3. Wählen Sie den Umschalter für das Profil für den privaten Zugriff aus.

In diesem Diagramm wird veranschaulicht, wie Microsoft Entra Private Access funktioniert, wenn versucht wird, das Remotedesktopprotokoll zum Herstellen einer Verbindung mit einem Server in einem privaten Netzwerk zu verwenden.

Diagramm von Microsoft Entra Private Access, das mit Remotedesktopprotokoll arbeitet.

Schritt Beschreibung
1 Der Benutzer oder die Benutzerin initiiert die RDP-Sitzung mit einem FQDN, der dem Zielserver zugeordnet ist. Der GSA-Client fängt den Datenverkehr ab und tunnelt ihn an den SSE-Edge.
2 Der SSE Edge wertet Richtlinien aus, die in Microsoft Entra ID gespeichert sind, wie etwa, ob der Benutzer der Anwendung zugewiesen ist, sowie die Richtlinien für bedingten Zugriff.
3 Nachdem der Benutzer autorisiert wurde, gibt Microsoft Entra ID ein Token für die Private Access-Anwendung aus.
4 Der Datenverkehr wird freigegeben, um den Private Access-Dienst zusammen mit dem Zugriffstoken der Anwendung fortzusetzen.
5 Der Private Access-Dienst überprüft das Zugriffstoken, und die Verbindung wird mit dem Back-End-Dienst für Private Access vermittelt.
6 Die Verbindung wird an den privaten Netzwerkconnector vermittelt.
7 Der private Netzwerkconnector führt eine DNS-Abfrage aus, um die IP-Adresse des Zielservers zu identifizieren.
8 Der DNS-Dienst im privaten Netzwerk sendet die Antwort.
9 Der private Netzwerkconnector leitet den Datenverkehr an den Zielserver weiter. Die RDP-Sitzung wird ausgehandelt (einschließlich RDP-Authentifizierung) und anschließend eingerichtet.

Nächste Schritte

Der nächste Schritt für die ersten Schritte mit Microsoft Entra Private Access besteht darin, das Private Access-Datenverkehrsweiterleitungsprofil zu aktivieren.

Weitere Informationen zu privatem Zugriff finden Sie in den folgenden Artikeln: