Compartir a través de

Configuración de acceso por aplicación mediante aplicaciones de Global Secure Access

  • Artículo

Microsoft Entra Private Access proporciona acceso seguro a los recursos internos de la organización. Crea una aplicación de Global Secure Access y especifica los recursos internos y privados que desea proteger. Al configurar una aplicación de Global Secure Access, va a crear acceso por aplicación a los recursos internos. La aplicación Global Secure Access proporciona una capacidad más detallada de administrar cómo se accede a los recursos por aplicación.

En este artículo se describe cómo configurar el acceso por aplicación mediante aplicaciones de Global Secure Access.

Requisitos previos

Para configurar una aplicación de Global Secure Access, debe tener:

Para administrar los grupos de conectores de red privada de Microsoft Entra, que es necesario para las aplicaciones de Acceso seguro global, debe tener:

  • Un rol de Administrador de aplicaciones en Microsoft Entra ID
  • Unas licencias de Microsoft Entra ID P1 o P2

Limitaciones conocidas

  • Evite superponer segmentos de aplicaciones entre aplicaciones de Acceso rápido y de Global Secure Access.
  • La tunelización del tráfico a destinos de Acceso privado por dirección IP solo se admite para intervalos IP fuera de la subred local del dispositivo del usuario final.
  • En este momento, el tráfico de acceso privado solo se puede adquirir con el cliente de acceso seguro global. Las redes remotas no se pueden asignar al perfil de reenvío de tráfico de acceso privado.

Pasos de alto nivel

El acceso por aplicación se configura mediante la creación de una nueva aplicación de Global Secure Access. Cree la aplicación, seleccione un grupo de conectores y agregue segmentos de acceso a la red. Esta configuración constituye la aplicación individual a la que puede asignar usuarios y grupos.

Para configurar el acceso por aplicación, debe tener un grupo de conectores con al menos un conector activo de proxy de aplicación de Microsoft Entra. Este grupo de conectores controla el tráfico a esta nueva aplicación. Con los conectores, puede aislar las aplicaciones por red y conector.

En resumen, el proceso general es el siguiente:

  1. Crear un grupo de conectores con al menos un conector de red privada activo.

    • Si ya tiene un grupo de conectores, asegúrese de que está en la versión más reciente.

  2. Creación de una aplicación de Global Secure Access.

  3. Asignación de usuarios y grupos a la aplicación.

  4. Configuración de directivas de acceso condicional.

  5. Habilitación de Microsoft Entra Private Access.

Creación de un grupo de conectores de red privada

Para configurar una aplicación de acceso seguro global, debe tener un grupo de conectores con al menos un conector de red privada activo.

Si aún no tiene configurado un conector, consulte Configuración de conectores.

Nota:

Si anteriormente ha instalado un conector, vuelva a instalarlo para obtener la última versión. Al actualizar, desinstale el conector existente y elimine las carpetas relacionadas.

La versión mínima del conector necesaria para Private Access es 1.5.3417.0.

Creación de una aplicación de Global Secure Access

Para crear una nueva aplicación, proporcione un nombre, seleccione un grupo de conectores y agregue segmentos de aplicación. Los segmentos de la aplicación incluyen los nombres de dominio completos (FQDN) y las direcciones IP que desea tunelizar a través del servicio. Puede completar los tres pasos al mismo tiempo, o puede agregarlos una vez completada la configuración inicial.

Elección del nombre y el grupo de conectores

  1. Inicie sesión en el centro de administración de Microsoft Entra con los roles adecuados.

  2. Vaya a Aplicaciones de Acceso global seguro>Aplicaciones>Aplicación empresariales.

  3. Seleccione Nueva aplicación.

    Captura de pantalla del botón Aplicaciones empresariales y Agregar nueva aplicación.

  4. Escriba un nombre para la aplicación.

  5. Seleccione un grupo de conectores en el menú desplegable.

    Importante

    Debe tener al menos un conector activo para crear una aplicación. Para obtener más información sobre los conectores, consulte Descripción del conector de red privada de Microsoft Entra.

  6. Seleccione el botón Guardar situado en la parte inferior de la página para crear la aplicación sin agregar recursos privados.

Adición de un segmento de aplicación

El proceso Agregar segmento de aplicación es donde se definen los FQDN y las direcciones IP que desea incluir en el tráfico de la aplicación de Global Secure Access. Puede agregar sitios al crear la aplicación y volver y agregar más o editarlos más adelante.

Puede agregar nombres de dominio completos (FQDN), direcciones IP e intervalos de direcciones IP. Dentro de cada segmento de aplicación, puede agregar varios puertos e intervalos de puertos.

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya a Aplicaciones de Acceso global seguro>Aplicaciones>Aplicación empresariales.

  3. Seleccione Nueva aplicación.

  4. Seleccione Agregar segmento de aplicación.

  5. En el panel Crear segmento de aplicación que se abre, seleccione un Tipo de destino.

  6. Escriba los detalles adecuados para el tipo de destino seleccionado. En función de lo que seleccione, los campos posteriores cambian según corresponda.

    • Dirección IP:
      • Dirección del protocolo de Internet, versión 4 (IPv4), como 192.168.2.1, que identifica un dispositivo en la red.
      • Proporcione los puertos que desea incluir.
    • Nombre de dominio completo (incluidos los FQDN con caracteres comodín):
      • Nombre de dominio que especifica la ubicación exacta de un equipo o host en el Sistema de nombres de dominio (DNS).
      • Proporcione los puertos que desea incluir.
      • NetBIOS no se admite. Por ejemplo, use contoso.local/app1 en lugar de contoso/app1.
    • Intervalo de direcciones IP (CIDR)::
      • El enrutamiento entre dominios sin clases (CIDR) representa un intervalo de direcciones IP en el que una dirección IP va seguida de un sufijo que indica el número de bits de red en la máscara de subred.
      • Por ejemplo, 192.168.2.0/24 indica que los primeros 24 bits de la dirección IP representan la dirección de red, mientras que los 8 bits restantes representan la dirección host.
      • Proporcione la dirección inicial, la máscara de red y los puertos.
    • Intervalo de direcciones IP (IP a IP):
      • Intervalo de direcciones IP de la IP de inicio (como 192.168.2.1) a la IP final (por ejemplo, 192.168.2.10).
      • Proporcione la dirección IP de inicio, fin y puertos.

  7. Escriba los puertos y seleccione el botón Aplicar.

    • Separe varios puertos con una coma.
    • Especifique intervalos de puertos con un guión.
    • Los espacios entre valores se quitan cuando se aplican los cambios.
    • Por ejemplo, 400-500, 80, 443.

    Captura de pantalla del panel crear segmento de aplicación con varios puertos agregados.

    En la tabla siguiente se proporcionan los puertos más usados y sus protocolos de red asociados:

    Puerto Protocolo
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)

  8. Seleccione Guardar.

Nota:

Puede agregar hasta 500 segmentos de aplicación a la aplicación.

No superponga los FQDN, las direcciones IP y los intervalos IP entre la aplicación de Acceso rápido y las aplicaciones de Private Access.

Asignación de usuarios y grupos

Debe conceder acceso a la aplicación que ha creado mediante la asignación de usuarios o grupos a la aplicación. Para obtener más información, consulte Asignación de usuarios y grupos a una aplicación.

  1. Inicie sesión en el centro de administración de Microsoft Entra.
  2. Vaya a Aplicaciones de Acceso global seguro>Aplicaciones>Aplicación empresariales.
  3. Busque y seleccione la aplicación.
  4. Seleccione Usuarios y grupos en el menú lateral.
  5. Agregue usuarios y grupos según sea necesario.

Nota:

Los usuarios deben asignarse directamente a la aplicación o al grupo asignado a la aplicación. No se admiten grupos anidados.

Actualización de segmentos de aplicación

Puede agregar o actualizar los FQDN y las direcciones IP incluidas en la aplicación en cualquier momento.

  1. Inicie sesión en el centro de administración de Microsoft Entra.
  2. Vaya a Aplicaciones de Acceso global seguro>Aplicaciones>Aplicación empresariales.
  3. Busque y seleccione la aplicación.
  4. Seleccione Propiedades de acceso de red en el menú lateral.
    • Para agregar un nuevo FQDN o una dirección IP, seleccione Agregar segmento de aplicación.
    • Para editar una aplicación existente, selecciónela en la columna Tipo de destino.

Habilitación o deshabilitación del acceso con el cliente de Global Secure Access

Puede habilitar o deshabilitar el acceso a la aplicación de Global Secure Access mediante el cliente de Global Secure Access. Esta opción está seleccionada de forma predeterminada, pero se puede deshabilitar, de esta forma los FQDN y las direcciones IP incluidas en los segmentos de la aplicación no se tunelizarán a través del servicio.

Captura de pantalla de la casilla Habilitar acceso.

Asignación de directivas de acceso condicional

Las directivas de acceso condicional para el acceso por aplicación se configuran en el nivel de aplicación para cada aplicación. Las directivas de acceso condicional se pueden crear y aplicar a la aplicación desde dos lugares:

  • Vaya a Acceso global seguro>Aplicaciones>Aplicaciones empresariales. Seleccione una aplicación y después Acceso condicional en el menú lateral.
  • Seleccione Protección>Acceso condicional>Directivas. Seleccione + Crear nueva directiva.

Para más información, vea Aplicación de directivas de acceso condicional a aplicaciones de acceso privado.

Habilitación de Microsoft Entra Private Access

Tras configurar la aplicación, agregar los recursos privados y asignar los usuarios a la aplicación, puede habilitar el perfil de reenvío de tráfico de acceso privado. Puede habilitar el perfil antes de configurar una aplicación de Global Secure Access, pero sin la aplicación y el perfil configurados, no hay tráfico que reenviar.

  1. Inicie sesión en el centro de administración de Microsoft Entra.
  2. Vaya a Global Secure Access>Conectar>Reenvío de trafico.
  3. Seleccione el botón de alternancia para Perfil de acceso privado.

Pasos siguientes

El siguiente paso para empezar a trabajar con Microsoft Entra Private Access es habilitar el perfil de reenvío de tráfico de acceso privado.

Para más información sobre Private Access, vea los artículos siguientes: