Configuración del Acceso rápido para el Acceso global seguro
Con el Acceso global seguro, puedes definir nombres de dominio completos (FQDN) específicos o direcciones IP de recursos privados que se incluirán en el tráfico para Microsoft Entra Private Access. Después, los empleados de la organización pueden acceder a las aplicaciones y sitios que especifique. En este artículo se describe cómo configurar el Acceso rápido para Microsoft Entra Private Access.
Requisitos previos
Para configurar el Acceso rápido, debes tener:
- Los roles de Administrador de acceso global seguro y Administrador de aplicaciones en Microsoft Entra ID.
- El producto requiere licencias. Para obtener más información, consulta la sección de licencias de Qué es el Acceso global seguro. Si es necesario, puedes comprar una licencia u obtener licencias de prueba.
Para administrar los grupos de conectores de red privada de Microsoft Entra, que es necesario para el acceso rápido, debes tener:
- Un rol de Administrador de aplicaciones en Microsoft Entra ID
- Unas licencias de Microsoft Entra ID P1 o P2
Limitaciones conocidas
Evita superponer segmentos de aplicación entre el Acceso rápido y el acceso por aplicación.
La tunelización del tráfico a destinos de Acceso privado por dirección IP solo se admite para intervalos IP fuera de la subred local del dispositivo del usuario final.
En este momento, el tráfico de acceso privado solo se puede adquirir con el cliente de acceso global seguro. Las redes remotas no se pueden asignar al perfil de reenvío de tráfico de acceso privado.
Pasos de alto nivel
La configuración de los valores de Acceso rápido es un componente importante para usar Microsoft Entra Private Access. Al configurar el Acceso rápido por primera vez, Private Access crea una nueva aplicación empresarial. Las propiedades de esta nueva aplicación se configuran automáticamente para que funcionen con Private Access.
Para configurar el Acceso rápido, debes tener un grupo de conectores con al menos un conector activo de proxy de aplicación de Microsoft Entra. El grupo de conectores controla el tráfico a esta nueva aplicación. Una vez configurado el acceso rápido y un grupo de conectores de red privada, debe conceder acceso a la aplicación.
En resumen, el proceso general es el siguiente:
- Crear un grupo de conectores con al menos un conector de red privada activo.
- Configuración del acceso rápido.
- Asignación de usuarios y grupos a la aplicación.
- Configuración de directivas de acceso condicional.
- Habilitación del perfil de reenvío de tráfico de Acceso privado.
Creación de un grupo de conectores de red privada
Para configurar el acceso rápido, debes tener un grupo de conectores con al menos un conector de red privada activo.
Si aún no tienes configurado un grupo de conectores, consulta Configuración de conectores para Acceso rápido.
Nota:
Si anteriormente has instalado un conector, vuelva a instalarlo para obtener la última versión. Al actualizar, desinstala el conector existente y elimina las carpetas relacionadas.
La versión mínima del conector necesaria para Private Access es 1.5.3417.0.
Configuración del acceso rápido
En la página de Acceso rápido, debes proporcionar un nombre para la aplicación de Acceso rápido, seleccionar un grupo de conectores y agregar segmentos de aplicación, que incluyen FQDN y direcciones IP. Puedes completar los tres pasos al mismo tiempo, o puedes agregar los segmentos de aplicación una vez completada la configuración inicial.
Nombre y grupo de conectores
- Inicia sesión en el Centro de administración de Microsoft Entra con los roles adecuados.
- Ve a Acceso global seguro>Aplicaciones>Acceso rápido.
- Escribe un nombre. Se recomienda usar el nombre Acceso rápido.
- Selecciona un grupo de conectores en el menú desplegable.
- Selecciona Guardar para crear la aplicación "Acceso rápido" sin FQDN, direcciones IP y sufijos DNS privados.
Adición de un segmento de aplicación de Acceso rápido
Define los FQDN y las direcciones IP que se van a incluir al segmento Agregar aplicación de Acceso rápido. Estos recursos se agregan al crear o actualizar la aplicación de Acceso rápido.
Puedes agregar nombres de dominio completos (FQDN), direcciones IP e intervalos de direcciones IP. Dentro de cada segmento de aplicación, puedes agregar varios puertos e intervalos de puertos.
Inicia sesión en el Centro de administración de Microsoft Entra.
Ve a Acceso global seguro>Aplicaciones>Acceso rápido.
Selecciona Agregar segmento de aplicación de Acceso rápido.
En el panel Crear segmento de aplicación que se abre, selecciona un Tipo de destino.
Escribe los detalles adecuados para el tipo de destino seleccionado. En función de lo que selecciones, los campos posteriores cambian según corresponda.
- Dirección IP:
- Dirección del protocolo de Internet versión 4 (IPv4), como 192.168.2.1, que identifica un dispositivo en la red.
- Proporciona los puertos que deseas incluir.
- Nombre de dominio completo (incluidos los FQDN con caracteres comodín):
- Nombre de dominio que especifica la ubicación exacta de un equipo o host en el Sistema de nombres de dominio (DNS).
- Proporciona los puertos que se van a incluir.
- NetBIOS no se admite. Por ejemplo, usa
contoso.local/app1
en lugar decontoso/app1
.
- Intervalo de direcciones IP (CIDR)::
- Enrutamiento entre dominios sin clases (CIDR) representa un intervalo de direcciones IP. Una dirección IP va seguida de un sufijo que indica el número de bits de red en la máscara de subred.
- Por ejemplo, 192.168.2.0/24 indica que los primeros 24 bits de la dirección IP representan la dirección de red, mientras que los 8 bits restantes representan la dirección host.
- Proporciona la dirección inicial, la máscara de red y los puertos.
- Intervalo de direcciones IP (IP a IP):
- Intervalo de direcciones IP de la IP de inicio (como 192.168.2.1) a la IP final (por ejemplo, 192.168.2.10).
- Proporciona la dirección IP de inicio, fin y puertos.
- Dirección IP:
Escribe los puertos y el protocolo y selecciona Aplicar.
- Separa varios puertos con una coma.
- Especifica intervalos de puertos con un guión.
- Los espacios entre valores se quitan cuando se aplican los cambios.
- Por ejemplo,
400-500, 80, 443
.
En la tabla siguiente se proporcionan los puertos más usados y sus protocolos de red asociados:
Puerto Protocolo 22 Secure Shell (SSH) 80 Protocolo de transferencia de hipertexto (HTTP) 443 Protocolo de transferencia de hipertexto con cifrado de Capa de sockets seguros (HTTPS) 445 Uso compartido de archivos de bloque de mensajes del servidor (SMB) 3389 Protocolo de escritorio remoto (RDP) Cuando hayas terminado, selecciona Guardar.
Nota:
Puedes agregar hasta 500 segmentos de aplicación a la aplicación de Acceso rápido.
No superpongas los FQDN, las direcciones IP y los intervalos IP entre la aplicación de Acceso rápido y las aplicaciones de Private Access.
Adición de sufijos DNS privados
La compatibilidad con DNS privado para Microsoft Entra Private Access te permite consultar tus propios servidores DNS internos para resolver direcciones IP para nombres de dominio internos. Veamos un ejemplo. Supongamos que tienes un intervalo de IP interna de 10.8.0.0
a 10.8.255.255
. Configura este intervalo en tu definición de aplicación de acceso rápido. Deseas que los usuarios accedan a una aplicación web que responda en la IP 10.8.0.5
cuando escriban https://benefits
en su explorador web. Pero no quieres configurar un FQDN para la aplicación. Mediante DNS privado, se configura un sufijo DNS correspondiente para que el cliente del acceso seguro global sepa cómo enrutar la solicitud correctamente.
Además, puedes proporcionar una experiencia de inicio de sesión único (SSO) para los recursos de Kerberos mediante la configuración de la autenticación Kerberos en controladores de dominio mediante DNS privado. Para obtener más información sobre la creación de una experiencia SSO, consulta Uso de Kerberos para el inicio de sesión único (SSO) en tus recursos con Microsoft Entra Private Access.
Agregar un sufijo DNS que se usará para DNS privado.
- Selecciona la pestaña DNS privado.
- Activa la casilla para habilitar DNS privado.
- Selecciona Agregar sufijo DNS.
- Escribe el sufijo DNS y selecciona Agregar.
Asignación de usuarios y grupos
Al configurar el Acceso rápido, se crea una nueva aplicación empresarial en su nombre. Debes conceder acceso a la aplicación de Acceso rápido que has creado mediante la asignación de usuarios o grupos a la aplicación.
Puedes ver las propiedades en Acceso rápido o navegar a Aplicaciones empresariales y buscar la aplicación de acceso rápido.
Sugerencia
Para buscar una aplicación en la página Aplicaciones empresariales, borra todos los filtros para que no filtres la aplicación que buscas.
Selecciona Editar configuración de la aplicación en Acceso rápido.
Selecciona Usuarios y grupos en el menú lateral.
Agrega usuarios y grupos según sea necesario.
- Para obtener más información, consulta Asignación de usuarios y grupos a una aplicación.
Nota:
Los usuarios deben asignarse directamente a la aplicación o al grupo asignado a la aplicación. No se admiten grupos anidados.
Vinculación de directivas de acceso condicional
Las directivas de acceso condicional se pueden aplicar a la aplicación de Acceso rápido. La aplicación de directivas de acceso condicional proporciona más opciones para administrar el acceso a aplicaciones, sitios y servicios.
La creación de una directiva de acceso condicional se describe en detalle en Creación de una directiva de acceso condicional para aplicaciones de acceso privado.
Habilitación de Microsoft Entra Private Access
Tras configurar la aplicación de Acceso rápido, agregar los recursos privados y asignar los usuarios a la aplicación, puedes habilitar el perfil de acceso privado desde el área de Reenvío de tráfico de Global Secure Access. Puedes habilitar el perfil antes de configurar el Acceso rápido, pero sin la aplicación y el perfil configurados, no hay tráfico que reenviar. Obtén información sobre cómo habilitar el perfil de reenvío de tráfico de Private Access, consulta Cómo administrar el perfil de reenvío de tráfico de Private Acces.