Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra Suite proporciona funcionalidades para implementar una solución sólida para controlar quién puede acceder a aplicaciones locales y heredadas en escenarios de trabajo remoto modernos. Microsoft Entra Private Access permite a las organizaciones modernizar la forma en que los usuarios se conectan de forma segura a aplicaciones web existentes, aplicaciones heredadas y otros recursos en redes privadas, tanto si el usuario es local como si accede de forma remota. La administración de derechos permite a las organizaciones administrar el ciclo de vida de identidad y acceso a escala mediante la automatización de flujos de trabajo de solicitud de acceso, asignaciones de acceso, revisiones y expiración.
De forma similar a las aplicaciones en la nube, las aplicaciones locales que admiten el aprovisionamiento o la federación, o grupos de seguridad, las aplicaciones configuradas para la conexión a través de Microsoft Entra Private Access se pueden integrar en la administración de derechos, lo que permite a las organizaciones mantener un proceso de gobernanza coherente en todos los recursos de muchos tipos.
Tradicionalmente, entra Application Proxy se ha usado para proporcionar acceso remoto seguro a aplicaciones locales basadas en web sin necesidad de una VPN. Los usuarios que trabajan de forma remota pueden seguir necesitando acceso a aplicaciones no basadas en web que tradicionalmente requieren una VPN para protocolos como MSSQL, SSH o RDP. Esto presenta dos problemas clave:
- La mayoría de las VPN proporcionan acceso a toda la red
- Algunas VPN proporcionan acceso históricamente a cualquier persona con un cliente y no comprueban la necesidad autorizada del usuario para acceder.
Escenarios comunes
En los escenarios siguientes se muestra cómo Microsoft Entra Suite puede ayudar a modernizar su entorno al gobernar quién puede acceder a las aplicaciones en redes privadas.
Escenario 1: Reemplazo de VPN para aplicaciones integradas que no son de Active Directory
Entra ID Governance puede establecer quién debe tener acceso a una aplicación local, lo que permite a los usuarios acceder de forma segura a la aplicación a través de Entra Private Access cuando el usuario no se encuentra en el entorno local.
Muchas organizaciones tienen aplicaciones en redes privadas que permiten a los usuarios asignados acceder a esas aplicaciones mientras los usuarios están en la red de su organización. A través de los conectores de aprovisionamiento de Microsoft Entra, entra ID Governance puede orquestar la creación de cuentas de usuario en la mayoría de los sistemas locales, como directorios LDAP o bases de datos SQL.
En función de su escenario, habrá dos o tres objetos en Entra que representen su aplicación real:
- Habrá un objeto de aplicación que represente la conexión de Entra Private Access con los puntos de conexión de esa aplicación.
- Si la aplicación está federada en el directorio de Microsoft Entra como proveedor de identidades, habrá un objeto de aplicación que represente la autenticación del usuario en el punto de conexión de la aplicación, como el uso de SAML, OAuth o OpenID Connect.
- Si la aplicación usa conectores del agente de aprovisionamiento local para que se aprovisionen a través de LDAP, SQL, PowerShell, SOAP o REST, habrá un objeto de aplicación que represente esa integración de aprovisionamiento.
- Si la aplicación usa un grupo de Active Directory creado por Microsoft Entra (consulte el escenario 3 siguiente), habrá un grupo.
Incluya los recursos de la aplicación relacionada en un paquete de acceso y, cuando un usuario solicite el paquete y se apruebe, recibirá asignaciones de roles de aplicación en cada aplicación. Esto hará que se aprovisionen en la aplicación (si es necesario), que Microsoft Entra emita, a petición, tokens de federación para el usuario de la aplicación, y el usuario podrá conectarse a la aplicación utilizando Entra Private Access. Cuando finaliza la asignación de paquetes de acceso del usuario, su cuenta se quita de la aplicación y también se revoca su capacidad de conectarse a la aplicación.
Escenario 2: Reemplazo de VPN para aplicaciones integradas de Active Directory locales
A menudo, las organizaciones se enfrentan a desafíos en la habilitación del acceso seguro a aplicaciones integradas de AD para usuarios híbridos, aquellos cuyas identidades existen tanto en la nube como en el entorno local. Al usar Entra Private Access, la administración de derechos y la escritura inversa de grupos, las organizaciones pueden implementar un acceso regulado para los usuarios híbridos a aplicaciones locales integradas con AD.
Un grupo de Entra está configurado para la devolución de escritura de grupos, lo que sincroniza las pertenencias a grupos de Entra con un grupo de AD local. Un usuario inicia el proceso mediante el envío de una solicitud de un paquete de acceso en Entra que contiene el grupo de seguridad Entra. Una vez aprobada la solicitud, al usuario se le asigna el paquete de acceso y se agrega al grupo.
A través de la sincronización de grupos mediante escritura, la pertenencia al grupo Entra del usuario se refleja en el grupo de AD local correspondiente. Esta sincronización garantiza que la pertenencia del grupo de AD local esté siempre actualizada con los cambios realizados en Entra. El grupo de AD local, a su vez, está configurado para proporcionar acceso a la aplicación local de destino. La pertenencia a grupos se ha configurado con una directiva de ámbito de acceso privado, que define las condiciones en las que los usuarios pueden conectarse de forma segura al recurso local.
Con el acceso del usuario aprovisionado, ahora puede conectarse de forma segura a la aplicación local a través de Entra Private Access.
Escenario 3: Reemplazo de VPN para aplicaciones desconectadas
Las organizaciones pueden tener aplicaciones heredadas que no admiten ningún protocolo de aprovisionamiento ni protocolos de autenticación modernos como Kerberos o SAML. En estos escenarios, las organizaciones pueden aprovisionar manualmente usuarios a la aplicación y, a continuación, colocar la aplicación en un segmento de red independiente (una VLAN) junto con sus dependencias y el proxy entra Private Access. Esto impide que los usuarios, incluso en el entorno local, se conecten a la aplicación.
A continuación, los usuarios pueden solicitar acceso a la aplicación protegida. Una vez aprobada, Entra ID Governance abre un vale de servicio (por ejemplo, en ServiceNow) para que el propietario de la aplicación proporcione manualmente al empleado una cuenta en ese sistema. A continuación, entra ID Governance asigna al usuario la representación de la aplicación en Entra.
Ahora, cuando el empleado se conecta a la aplicación desde su PC, Entra Private Access tuneliza automáticamente su conexión de forma segura desde su PC a la aplicación protegida.
Cuando expire la asignación de acceso, Entra ID Governance abrirá de manera similar otro ticket para que el propietario de la aplicación quite su cuenta manualmente, eliminando la capacidad del usuario de conectarse a esa aplicación.
