Freigeben über

Konfigurieren des Zugriffs per App mithilfe von Global Secure Access-Anwendungen

  • Artikel

Microsoft Entra Private Access bietet sicheren Zugriff auf die internen Ressourcen Ihrer Organisation. Sie erstellen eine Global Secure Access-Anwendung und geben die internen, privaten Ressourcen an, die Sie schützen möchten. Wenn Sie eine Global Secure Access-Anwendung konfigurieren, erstellen Sie Zugriff per App auf Ihre internen Ressourcen. Die Global Secure Access-Anwendung bietet eine detailliertere Möglichkeit zum Verwalten des Zugriffs auf die Ressourcen per App.

In diesem Artikel wird beschrieben, wie Sie den Zugriff per App mithilfe von Global Secure Access-Anwendungen konfigurieren.

Voraussetzungen

Zum Konfigurieren einer Global Secure Access-App benötigen Sie Folgendes:

  • Die Rollen Global Secure Access-Administrator und Anwendungsadministrator in Microsoft Entra ID
  • Für die Vorschau ist eine Microsoft Entra ID P1-Lizenz erforderlich. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.

Um Gruppen privater Microsoft Entra-Netzwerkconnectors zu verwalten, wie für Apps mit globalem sicherem Zugriff gefordert ist, ist Folgendes erforderlich:

  • Die Rolle Anwendungsadministrator in Microsoft Entra ID
  • Eine P1- oder P2-Lizenz für Microsoft Entra ID

Bekannte Einschränkungen

  • Vermeiden Sie Überschneidungen von App-Segmenten zwischen Schnellzugriffs- und Global Secure Access-Apps.
  • Das Tunneln von Datenverkehr zu Zielen des privaten Zugriffs nach IP-Adresse wird nur für IP-Bereiche außerhalb des lokalen Subnetzes des Endbenutzergeräts unterstützt.
  • Private Access-Datenverkehr kann derzeit nur mit dem Global Secure Access Client abgerufen werden. Remotenetzwerke können nicht dem Profil für Datenverkehrsweiterleitung für privaten Zugriff zugewiesen werden.

Schritte auf oberer Ebene:

Zugriff per App wird durch Erstellen einer neuen Global Secure Access-App konfiguriert. Sie erstellen die App, wählen eine Connectorgruppe aus und fügen Netzwerkzugriffssegmente hinzu. Diese Einstellungen bilden die App, der Sie Benutzer und Gruppen zuweisen können.

Zum Konfigurieren des Schnellzugriffs benötigen Sie eine Connectorgruppe mit mindestens einem aktiven Microsoft Entra Anwendungsproxy-Connector. Diese Connectorgruppe verarbeitet den Datenverkehr zu dieser neuen Anwendung. Mit Connectoren können Sie Apps per Netzwerk und Connector isolieren.

Zusammenfassend sieht der Gesamtprozess wie folgt aus:

  1. Erstellen Sie eine Connectorgruppe mit mindestens einem aktiven privaten Netzwerkconnector.

    • Wenn Sie bereits über eine Connectorgruppe verfügen, stellen Sie sicher, dass Sie die neueste Version verwenden.

  2. Erstellen einer Global Secure Access-App.

  3. Zuweisen von Benutzern und Gruppen zur App.

  4. Konfigurieren von Richtlinien für bedingten Zugriff.

  5. Aktivieren von Microsoft Entra Private Access.

Erstellen von Gruppen privater Netzwerkconnectors

Zum Konfigurieren einer App mit globalem sicherem Zugriff müssen Sie über eine Connectorgruppe mit mindestens einem privaten Netzwerkconnector verfügen.

Wenn Sie noch keinen Connector eingerichtet haben, finden Sie weitere Informationen unter Konfigurieren von Connectoren.

Hinweis

Wenn Sie bereits einen Connector installiert haben, installieren Sie ihn neu, um die neueste Version zu erhalten. Deinstallieren Sie beim Upgrade den vorhandenen Connector, und löschen Sie alle zugehörigen Ordner.

Die für Private Access erforderliche Mindestversion des Connectors ist 1.5.3417.0.

Erstellen einer Global Secure Access-Anwendung

Um eine neue App zu erstellen, geben Sie einen Namen an, wählen Sie eine Connectorgruppe aus und fügen Sie dann Anwendungssegmente hinzu. App-Segmente umfassen die vollqualifizierten Domänennamen (FQDNs) und IP-Adressen, die Sie durch den Dienst tunneln möchten. Sie können alle drei Schritte gleichzeitig ausführen oder sie hinzufügen, nachdem die Ersteinrichtung abgeschlossen ist.

Name und Connectorgruppe auswählen

  1. Melden Sie sich mit geeigneten Rollenberechtigungen beim Microsoft Entra Admin Center an.

  2. Wechseln Sie zu Globaler sicherer Zugriff (Vorschau)>Anwendungen>Unternehmensanwendungen.

  3. Wählen Sie Neue Anwendung aus.

    Screenshot der Unternehmensanwendungen und der Schaltfläche zum Hinzufügen einer Anwendung.

  4. Geben Sie einen Namen für die App ein.

  5. Wählen Sie im Dropdownmenü eine Connectorgruppe aus.

    • Vorhandene Connectorgruppen werden im Dropdownmenü angezeigt.

  6. Wählen Sie unten auf der Seite die Schaltfläche Speichern aus, um Ihre App zu erstellen, ohne private Ressourcen hinzuzufügen.

Hinzufügen eines Anwendungssegments

Im Prozess Anwendungssegment hinzufügen definieren Sie die FQDNs und IP-Adressen, die Sie in den Datenverkehr für die Global Secure Access-App einschließen möchten. Sie können Websites hinzufügen, wenn Sie die App erstellen und später zurückkehren, um weitere hinzuzufügen oder sie zu bearbeiten.

Sie können vollqualifizierte Domänennamen (FQDN), IP-Adressen und IP-Adressbereiche hinzufügen. Innerhalb jedes Anwendungssegments können Sie mehrere Ports und Portbereiche hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Wechseln Sie zu Globaler sicherer Zugriff (Vorschau)>Anwendungen>Unternehmensanwendungen.

  3. Wählen Sie Neue Anwendung aus.

  4. Wählen Sie Anwendungssegment hinzufügen aus.

    Screenshot der Schaltfläche zum Hinzufügen eines Anwendungssegments.

  5. Wählen Sie im daraufhin geöffneten Bereich Anwendungssegment erstellen einen Zieltyp aus.

    Screenshot des Bereichs zum Erstellen eines App-Segments.

  6. Geben Sie die entsprechenden Details für den ausgewählten Zieltyp ein. Je nachdem, was Sie auswählen, ändern sich die nachfolgenden Felder entsprechend.

    • IP-Adresse:
      • Internetprotokoll-Version 4 (IPv4)-Adresse, z. B. 192.0.2.1, die ein Gerät im Netzwerk identifiziert.
      • Geben Sie die Ports an, die Sie einschließen möchten.
    • Vollqualifizierter Domänenname (einschließlich Platzhalter-FQDNs):
      • Domänenname, der den genauen Speicherort eines Computers oder Hosts im DNS (Domain Name System) angibt.
      • Geben Sie die Ports an, die Sie einschließen möchten.
      • NetBIOS wird nicht unterstützt. Verwenden Sie beispielsweise contoso.local/app1 anstelle von contoso/app1..
    • IP-Adressbereich (CIDR):
      • Classless Inter-Domain Routing ist eine Möglichkeit zum Darstellen eines IP-Adressbereichs, in dem einer IP-Adresse ein Suffix folgt, das die Anzahl der Netzwerkbits in der Subnetzmaske angibt.
      • Beispiel: 192.0.2.0/24 gibt an, dass die ersten 24 Bit der IP-Adresse die Netzwerkadresse darstellen, während die restlichen 8 Bits die Hostadresse darstellen.
      • Geben Sie die Startadresse, die Netzwerkmaske und die Ports an.
    • IP-Adressbereich (IP zu IP):
      • Bereich der IP-Adressen von der Start-IP (z. B. 192.0.2.1) bis zur End-IP (z. B. 192.0.2.10).
      • Geben Sie den Anfang, das Ende und die Ports der IP-Adresse an.

  7. Geben Sie die Ports ein, und wählen Sie die Schaltfläche Anwenden aus.

    • Trennen Sie mehrere Bereiche durch ein Komma.
    • Geben Sie Portbereiche mit einem Bindestrich an.
    • Wenn Sie die Änderungen anwenden, werden Leerzeichen zwischen Werten entfernt.
    • Beispiel: 400-500, 80, 443.

    Screenshot des Bereichs zum Erstellen eines App-Segments mit mehreren hinzugefügten Ports.

    Die folgende Tabelle enthält die am häufigsten verwendeten Ports und die zugehörigen Netzwerkprotokolle:

    Port Protocol
    22 Secure Shell (SSH)
    80 Hypertext Transfer-Protokoll (HTTP)
    443 Hypertext Transfer-Protokoll Secure (HTTPS)
    445 Server Message Block (SMB)-Dateifreigabe
    3389 Remotedesktopprotokoll (RDP)

  8. Wählen Sie die Schaltfläche Speichern aus, wenn Sie fertig sind.

Hinweis

Sie können Ihrer App bis zu 500 Anwendungssegmente hinzufügen.

Überlappen Sie keine FQDNs, IP-Adressen und IP-Bereiche von Ihrer Schnellzugriffs-App und allen Private Access-Apps.

Zuweisen von Benutzern und Gruppen

Sie müssen der von Ihnen erstellten App Zugriff gewähren, indem Sie der App Benutzer und/oder Gruppen zuweisen. Weitere Informationen finden Sie unter Zuweisen von Benutzern und Gruppen zu einer Anwendung.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Wechseln Sie zu Globaler sicherer Zugriff (Vorschau)>Anwendungen>Unternehmensanwendungen.
  3. Suchen Sie nach Ihrer Anwendung, und wählen Sie sie aus.
  4. Wählen Sie im Seitenmenü Benutzer und Gruppen aus.
  5. Fügen Sie nach Bedarf Benutzer und Gruppen hinzu.

Hinweis

Benutzer müssen der App oder der Gruppe, die der App zugewiesen ist, direkt zugewiesen sein. Geschachtelte Gruppen werden nicht unterstützt.

Aktualisieren von Anwendungssegmenten

Sie können die in Ihrer App enthaltenen FQDNs und IP-Adressen jederzeit hinzufügen oder aktualisieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Wechseln Sie zu Globaler sicherer Zugriff (Vorschau)>Anwendungen>Unternehmensanwendungen.
  3. Suchen Sie nach Ihrer Anwendung, und wählen Sie sie aus.
  4. Wählen Sie im Seitenmenü Netzwerkzugriffseigenschaften aus.
    • Um einen neuen FQDN oder eine neue IP-Adresse hinzuzufügen, wählen Sie Anwendungssegment hinzufügen aus.
    • Um eine vorhandene App zu bearbeiten, wählen Sie sie in der Spalte Zieltyp aus.

Aktivieren oder Deaktivieren des Zugriffs mit dem Global Secure Access-Client

Sie können den Zugriff auf die Global Secure Access-App mithilfe des Global Secure Access-Clients aktivieren oder deaktivieren. Diese Option ist standardmäßig ausgewählt, kann aber deaktiviert werden, sodass die in den App-Segmenten enthaltenen FQDNs und IP-Adressen nicht durch den Dienst getunnelt werden.

Screenshot des Kontrollkästchens „Zugriff aktivieren“.

Zuweisen von Richtlinien für bedingten Zugriff

Richtlinien für bedingten Zugriff für den Zugriff per App werden auf Anwendungsebene für jede App konfiguriert. Richtlinien für bedingten Zugriff können an zwei Stellen erstellt und auf die Anwendung angewendet werden:

  • Wechseln Sie zu Global Secure Access (Vorschau)>Anwendungen>Unternehmensanwendungen. Wählen Sie eine Anwendung und dann bedingten Zugriff aus dem Seitenmenü aus.
  • Wählen Sie Schutz>Bedingter Zugriff>Richtlinien aus. Wählen Sie +Neue Richtlinie erstellen aus.

Weitere Informationen finden Sie unter Anwenden von Richtlinien für bedingten Zugriff auf Apps mit privatem Zugriff.

Microsoft Entra Private Access aktivieren

Nachdem Sie Ihre App konfiguriert haben, Ihre privaten Ressourcen hinzugefügt haben, und Benutzer der App zugewiesen sind, können Sie das Profil Datenverkehrsweiterleitung für privaten Zugriff aktivieren. Sie können das Profil vor dem Konfigurieren einer Global Secure Access-App aktivieren, aber ohne dass die App und das Profil konfiguriert sind, gibt es keinen weiterzuleitenden Datenverkehr.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Globaler sicherer Zugriff (Vorschau)>Connect>Datenweiterleitung.
  3. Aktivieren Sie das Kontrollkästchen für privates Zugriffsprofil.

Screenshot der Seite für die Datenweiterleitung mit aktiviertem privatem Zugriffsprofil.

Nutzungsbedingungen

Ihre Verwendung der Vorschauumgebungen und Features von Microsoft Entra-Privatzugriff und Microsoft Entra-Internetzugriff unterliegt den Bestimmungen für Onlinedienste (Vorschau), unter denen Sie die Dienste erworben haben. Vorschauversionen unterliegen möglicherweise eingeschränkten oder abweichenden Sicherheits-, Compliance- und Datenschutzverpflichtungen, wie in Allgemeine Lizenzbedingungen für Onlinedienste und im Nachtrag zum Datenschutz in Verbindung mit Produkten und Diensten von Microsoft sowie allen anderen mit der Vorschau bereitgestellten Hinweisen näher erläutert.

Nächste Schritte

Der nächste Schritt für die ersten Schritte mit Microsoft Entra Private Access besteht darin, das Profil für die Datenverkehrsweiterleitung für privaten Zugriff zu aktivieren.

Weitere Informationen zu privatem Zugriff finden Sie in den folgenden Artikeln: