Compartir a través de


Configuración de acceso por aplicación mediante aplicaciones de Global Secure Access

Microsoft Entra Private Access proporciona acceso seguro a los recursos internos de su organización al permitirle controlar y proteger el acceso a destinos de red específicos en la red privada. Esto le permite proporcionar acceso de red pormenorizados en función de las necesidades del usuario. Para ello, cree una aplicación empresarial y agregue el segmento de aplicación que usa el recurso privado interno que desea proteger. Las solicitudes de red enviadas desde dispositivos que ejecutan el cliente Global Secure Access al segmento de aplicación que agregó a su aplicación empresarial serán adquiridas y enrutadas a su aplicación interna por el servicio en la nube Global Secure Access, sin la posibilidad de conectarse a otros recursos de su red interna. Mediante la configuración de una aplicación empresarial, se crea acceso por aplicación a los recursos internos. Las aplicaciones empresariales proporcionan una capacidad segmentada y granular para administrar cómo se accede a los recursos por aplicación.

En este artículo se describe cómo configurar el acceso por aplicación mediante aplicaciones empresariales.

Requisitos previos

Para configurar una aplicación Global Secure Access Enterprise, debe tener:

Para administrar los grupos de conectores de red privada de Microsoft Entra, que es necesario para las aplicaciones de Acceso seguro global, debe tener:

  • Un rol de Administrador de aplicaciones en Microsoft Entra ID
  • Licencias de Microsoft Entra ID P1 o P2

Limitaciones conocidas

Para obtener información detallada sobre los problemas conocidos y las limitaciones, consulte Limitaciones conocidas del acceso seguro global.

Pasos de alto nivel

El acceso por aplicación se configura mediante la creación de una nueva aplicación de Global Secure Access. Cree la aplicación, seleccione un grupo de conectores y agregue segmentos de acceso a la red. Esta configuración constituye la aplicación individual a la que puede asignar usuarios y grupos.

Para configurar el Acceso por Aplicación, debe tener un grupo de conectores que incluya al menos un conector activo de proxy de aplicación de Microsoft Entra. Este grupo de conectores gestiona el tráfico a esta nueva aplicación. Con los conectores, puede aislar las aplicaciones por red y conector.

En resumen, el proceso general es el siguiente:

  1. Crear un grupo de conectores con al menos un conector de red privada activo.

    • Si ya tiene un grupo de conectores, asegúrese de que está en la versión más reciente.
  2. Creación de una aplicación de Global Secure Access.

  3. Asignación de usuarios y grupos a la aplicación.

  4. Configuración de directivas de acceso condicional.

  5. Habilitación de Microsoft Entra Private Access.

Creación de un grupo de conectores de red privada

Para configurar una aplicación de acceso seguro global, debe tener un grupo de conectores con al menos un conector de red privada activo.

Si aún no tiene configurado un conector, consulte Configuración de conectores.

Nota:

Si anteriormente has instalado un conector, vuelva a instalarlo para obtener la última versión. Al actualizar, desinstala el conector existente y elimina las carpetas relacionadas.

La versión mínima del conector necesaria para Private Access es 1.5.3417.0.

Creación de una aplicación global de Secure Access Enterprise

Para crear una nueva aplicación, proporcione un nombre, seleccione un grupo de conectores y agregue segmentos de aplicación. Los segmentos de la aplicación incluyen los nombres de dominio completos (FQDN) y las direcciones IP que desea tunelizar a través del servicio. Puede completar los tres pasos al mismo tiempo, o puede agregarlos una vez completada la configuración inicial.

Elección del nombre y el grupo de conectores

  1. Inicie sesión en el centro de administración de Microsoft Entra con los roles adecuados.

  2. Vaya a Acceso Global Seguro>Aplicaciones>Aplicaciones empresariales.

  3. Seleccione Nueva aplicación.

    Captura de pantalla del botón Aplicaciones empresariales y Agregar nueva aplicación.

  4. Escriba un nombre para la aplicación.

  5. Seleccione un grupo de conectores en el menú desplegable.

    Importante

    Debe tener al menos un conector activo para crear una aplicación. Para obtener más información sobre los conectores, consulte Descripción del conector de red privada de Microsoft Entra.

  6. Seleccione el botón Guardar situado en la parte inferior de la página para crear la aplicación sin agregar recursos privados.

Adición de un segmento de aplicación

Un segmento de aplicación se define mediante 3 campos: destino, puerto y protocolo. Si dos o más segmentos de aplicación incluyen el mismo destino, puerto y protocolo, se consideran superpuestos. El proceso Agregar segmento de aplicación es donde se definen los FQDN y las direcciones IP que desea que el cliente de Acceso seguro global enrute a la aplicación privada de destino. Puede agregar segmentos de aplicación al crear la aplicación y, más adelante, puede volver a agregarlos o editarlos.

Puede agregar nombres de dominio completos (FQDN), direcciones IP e intervalos de direcciones IP. Dentro de cada segmento de aplicación, puedes agregar varios puertos e intervalos de puertos.

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya a Acceso Global Seguro>Aplicaciones>Aplicaciones empresariales.

  3. Seleccione Nueva aplicación.

  4. Seleccione Agregar segmento de aplicación.

  5. En el panel Crear segmento de aplicación que se abre, seleccione un Tipo de destino.

  6. Escribe los detalles adecuados para el tipo de destino seleccionado. En función de lo que selecciones, los campos posteriores cambian según corresponda.

    • Dirección IP:
      • Dirección del protocolo de Internet versión 4 (IPv4), como 192.168.2.1, que identifica un dispositivo en la red.
      • Proporciona los puertos que deseas incluir.
    • Nombre de dominio completo (incluidos los FQDN con caracteres comodín):
      • Nombre de dominio que especifica la ubicación exacta de un equipo o host en el Sistema de nombres de dominio (DNS).
      • Proporciona los puertos que deseas incluir.
      • NetBIOS no se admite. Por ejemplo, use contoso.local/app1 en lugar de contoso/app1.
    • Intervalo de direcciones IP (CIDR)::
      • El enrutamiento entre dominios sin clases (CIDR) representa un intervalo de direcciones IP en el que una dirección IP va seguida de un sufijo que indica el número de bits de red en la máscara de subred.
      • Por ejemplo, 192.168.2.0/24 indica que los primeros 24 bits de la dirección IP representan la dirección de red, mientras que los 8 bits restantes representan la dirección host.
      • Proporciona la dirección inicial, la máscara de red y los puertos.
    • Intervalo de direcciones IP (IP a IP):
      • Intervalo de direcciones IP de la IP de inicio (como 192.168.2.1) a la IP final (por ejemplo, 192.168.2.10).
      • Proporcione la dirección IP de inicio, fin y puertos.
  7. Escriba los puertos y seleccione el botón Aplicar.

    • Separe varios puertos con una coma.
    • Especifique intervalos de puertos con un guión.
    • Los espacios entre valores se quitan cuando se aplican los cambios.
    • Por ejemplo, 400-500, 80, 443.

    Captura de pantalla del panel crear segmento de aplicación con varios puertos agregados.

    En la tabla siguiente se proporcionan los puertos más usados y sus protocolos de red asociados:

    Puerto Protocolo
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)
  8. Seleccione Guardar.

Nota:

Puede agregar hasta 500 segmentos de aplicación a la aplicación, pero ninguno de estos segmentos de aplicación puede tener FQDN superpuestos, direcciones IP o intervalos IP dentro o entre cualquier aplicación de Acceso privado. Se permite una excepción especial para los segmentos superpuestos entre las aplicaciones de acceso privado y el acceso rápido para permitir el reemplazo de VPN. Si un segmento definido en una aplicación empresarial (por ejemplo, 10.1.1.1:3389) se superpone con un segmento definido en acceso rápido (por ejemplo, 10.1.1.0/24:3389), el segmento definido en la aplicación empresarial tendrá prioridad el servicio GSA. El acceso rápido no procesará ningún tráfico de ningún usuario a un segmento de aplicación definido como una aplicación empresarial. Esto significa que cualquier usuario que intente rdP a 10.1.1.1.1 se evaluará y enrutará según la configuración de la aplicación empresarial, incluidas las asignaciones de usuario y las directivas de acceso condicional. Como procedimiento recomendado, quite los segmentos de aplicación que defina en Aplicaciones empresariales del acceso rápido, lo que divide las subredes IP en intervalos más pequeños para que la exclusión sea posible.

Asignación de usuarios y grupos

Debe conceder acceso a la aplicación que ha creado mediante la asignación de usuarios o grupos a la aplicación. Para obtener más información, consulte Asignación de usuarios y grupos a una aplicación.

  1. Inicie sesión en el centro de administración de Microsoft Entra.
  2. Vaya a Acceso Global Seguro>Aplicaciones>Aplicaciones empresariales.
  3. Busque y seleccione la aplicación.
  4. Seleccione Usuarios y grupos en el menú lateral.
  5. Agregue usuarios y grupos según sea necesario.

Nota:

Debe asignar usuarios directamente a la aplicación o al grupo que se le haya asignado. No se admiten grupos anidados. Tenga en cuenta también que las asignaciones de acceso no se transfieren automáticamente a una aplicación empresarial recién creada aunque haya un segmento de aplicación existente (superpuesto) definido en Acceso rápido. Esto es importante porque se puede encontrar un problema por el que los usuarios a los que se ha accedido correctamente a un segmento de aplicación a través del acceso rápido se bloquearán cuando el segmento de la aplicación se mueva a Aplicaciones empresariales hasta que se les asigne acceso específicamente a la aplicación empresarial. Espere 15 minutos para que el cambio de configuración se sincronice con los clientes de Acceso seguro global.

Actualización de segmentos de aplicación

Puede agregar o actualizar los FQDN y las direcciones IP incluidas en la aplicación en cualquier momento.

  1. Inicie sesión en el centro de administración de Microsoft Entra.
  2. Vaya a Acceso Global Seguro>Aplicaciones>Aplicaciones empresariales.
  3. Busque y seleccione la aplicación.
  4. Seleccione Propiedades de acceso de red en el menú lateral.
    • Para agregar un nuevo FQDN o una dirección IP, seleccione Agregar segmento de aplicación.
    • Para editar una aplicación existente, selecciónela en la columna Tipo de destino.

Habilitación o deshabilitación del acceso con el cliente de Global Secure Access

Puede habilitar o deshabilitar el acceso a la aplicación de Global Secure Access mediante el cliente de Global Secure Access. Esta opción está seleccionada de forma predeterminada, pero se puede deshabilitar, de esta forma los FQDN y las direcciones IP incluidas en los segmentos de la aplicación no se tunelizarán a través del servicio.

Captura de pantalla de la casilla Habilitar acceso.

Asignar políticas de acceso condicional

Las directivas de acceso condicional para el acceso por aplicación se configuran en el nivel de aplicación para cada aplicación. Las directivas de acceso condicional se pueden crear y aplicar a la aplicación desde dos lugares:

  • Vaya a Acceso global seguro>Aplicaciones>Aplicaciones empresariales. Seleccione una aplicación y después seleccione Acceso condicional en el menú lateral.
  • Vaya a Entra ID>Acceso Condicional>Directivas. Seleccione + Crear nueva directiva.

Para más información, vea Aplicación de directivas de acceso condicional a aplicaciones de acceso privado.

Habilitación de Microsoft Entra Private Access

Tras configurar la aplicación, agregar los recursos privados y asignar los usuarios a la aplicación, puede habilitar el perfil de reenvío de tráfico de acceso privado. Puede habilitar el perfil antes de configurar una aplicación de Global Secure Access, pero sin la aplicación y el perfil configurados, no hay tráfico que reenviar.

  1. Inicie sesión en el centro de administración de Microsoft Entra.
  2. Vaya a Acceso global seguro>Conectar>Reenvío de trafico.
  3. Seleccione el interruptor para Perfil de acceso privado.

En este diagrama se muestra cómo funciona Microsoft Entra Private Access al intentar usar el protocolo de escritorio remoto para conectarse a un servidor de una red privada.

Diagrama de Acceso privado de Microsoft Entra que funciona con el protocolo de escritorio remoto.

Paso Descripción
1 El usuario inicia una sesión RDP para un FQDN que se corresponde con el servidor de destino. El cliente GSA intercepta el tráfico y lo tuneliza al SSE Edge.
2 SSE Edge evalúa las directivas almacenadas en el identificador de Entra de Microsoft, como si el usuario está asignado a la aplicación y a las directivas de acceso condicional.
3 Una vez autorizado el usuario, Microsoft Entra ID emite un token para el Acceso privado de la aplicación.
4 El tráfico se libera para continuar con el servicio de acceso privado junto con el token de acceso de la aplicación’.
5 El servicio de acceso privado valida el token de acceso y la conexión se inserta en el servicio back-end de acceso privado.
6 La conexión se realiza mediante el conector de red privada.
7 El conector de red privada realiza una consulta de DNS para identificar la dirección IP del servidor de destino.
8 El servicio DNS de la red privada envía la respuesta.
9 El conector de red privada reenvía el tráfico al servidor de destino. La sesión RDP se negocia (incluida la autenticación RDP) y luego se establece.

Pasos siguientes

El siguiente paso para empezar a trabajar con Microsoft Entra Private Access es habilitar el perfil de reenvío de tráfico de acceso privado.

Para más información sobre Private Access, vea los artículos siguientes: