Partage via


Comment configurer l’accès par application en utilisant des applications d’Accès global sécurisé

Accès privé Microsoft Entra offre un accès sécurisé aux ressources internes de votre organisation. Vous créez une application Global Secure Access et spécifiez les ressources internes et privées que vous souhaitez sécuriser. En configurant une application Global Secure Access, vous créez un accès par application à vos ressources internes. L'application Global Secure Access offre une capacité plus détaillée de gérer la manière dont les ressources sont accessibles pour chaque application.

Cet article décrit comment configurer l’accès par application en tirant parti des applications d’Accès global sécurisé.

Prérequis

Pour configurer une application Global Secure Access, vous devez avoir :

Pour gérer les groupes de connecteurs de réseau privé Microsoft Entra, ce qui est nécessaire pour les applications Global Secure Access, vous devez disposer des éléments suivants :

  • Rôle Administrateur d’application dans Microsoft Entra ID
  • Licence Microsoft Entra ID P1 ou P2

Limitations connues

  • Évitez les segments d'application qui se chevauchent entre les applications Quick Access et Global Secure Access.
  • Le tunneling du trafic vers des destinations Accès privé par adresse IP est pris en charge uniquement pour les plages IP en dehors du sous-réseau local de l’appareil de l’utilisateur final.
  • À l’heure actuelle, le trafic Accès privé ne peut être acquis qu’avec le client Accès global sécurisé. Les réseaux distants ne peuvent pas être attribués au profil de transfert de trafic Accès privé.

Étapes de haut niveau

L'accès par application est configuré en créant une nouvelle application Global Secure Access. Vous créez l'application, sélectionnez un groupe de connecteurs et ajoutez des segments d'accès au réseau. Ces paramètres constituent l'application individuelle à laquelle vous pouvez attribuer des utilisateurs et des groupes.

Pour configurer l'accès par application, vous devez disposer d'un groupe de connecteurs avec au moins un connecteur proxy d'application Microsoft Entra actif. Ce groupe de connecteurs gère le trafic vers cette nouvelle application. Avec les connecteurs, vous pouvez isoler les applications par réseau et par connecteur.

Pour résumer, le processus global est le suivant :

  1. Créez un groupe de connecteurs avec au moins un connecteur de réseau privé actif.

    • Si vous disposez déjà d’un groupe de connecteurs, vérifiez que vous utilisez la dernière version.
  2. Créez une application Global Secure Access.

  3. Affectez des utilisateurs et des groupes à l’application.

  4. Configurez des stratégies d’accès conditionnel.

  5. Activer Accès privé Microsoft Entra.

Créer un groupe de connecteurs de réseau privé

Pour configurer une application Global Secure Access, vous devez disposer d’un groupe de connecteurs avec au moins un connecteur de réseau privé actif.

Si vous n’avez pas encore configuré de connecteur, consultez Configurer les connecteurs.

Remarque

Si vous avez déjà installé un connecteur, réinstallez-le pour obtenir la dernière version. Lors de la mise à niveau, désinstallez le connecteur existant et supprimez tous les dossiers associés.

La version minimale du connecteur requise pour l’Accès privé est 1.5.3417.0.

Créer une application Global Secure Access

Pour créer une nouvelle application, vous fournissez un nom, sélectionnez un groupe de connecteurs, puis ajoutez des segments d'application. Les segments d'application incluent les noms de domaine complets (FQDN) et les adresses IP que vous souhaitez acheminer via le service. Vous pouvez effectuer les trois étapes en même temps ou les ajouter une fois la configuration initiale terminée.

Choisissez le nom et le groupe de connecteurs

  1. Connectez-vous au centre d’administration Microsoft Entra avec les rôles appropriés.

  2. Accédez à Accès global sécurisé>Applications>Applications d’entreprise.

  3. Sélectionnez Nouvelle application.

    Capture d’écran des applications Enterprise et du bouton Ajouter une nouvelle application.

  4. Entrez un nom pour l’application.

  5. Sélectionnez un groupe de connecteurs dans le menu déroulant.

    Important

    Vous devez disposer d’au moins un connecteur actif pour créer une application. Pour en savoir plus sur les connecteurs, consultez Comprendre le connecteur de réseau privé Microsoft Entra.

  6. Sélectionnez le bouton Enregistrer en bas de la page pour créer votre application sans ajouter de ressources privées.

Ajouter un segment d'application

Le processus Ajouter un segment d'application vous permet de définir les noms de domaine complets et les adresses IP que vous souhaitez inclure dans le trafic de l'application Global Secure Access. Vous pouvez ajouter des sites lorsque vous créez l'application et revenir pour en ajouter d'autres ou les modifier ultérieurement.

Vous pouvez ajouter des noms de domaine complets, des adresses IP et des plages d’adresses IP. Dans chaque segment d’application, vous pouvez ajouter plusieurs ports et plages de ports.

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Accès global sécurisé>Applications>Applications d’entreprise.

  3. Sélectionnez Nouvelle application.

  4. Sélectionnez Ajouter un segment d'application.

  5. Dans le panneau Créer un segment d’application qui s’ouvre, sélectionnez un Type de destination.

  6. Entrez les détails appropriés pour le type de destination sélectionné. Les champs suivants changent en fonction de ce que vous sélectionnez.

    • Adresse IP :
      • Adresse IPv4 (Internet Protocol version 4), telle que 192.168.2.1, qui identifie un appareil sur le réseau.
      • Indiquez les ports que vous souhaitez inclure.
    • Nom de domaine complet (y compris les noms de domaine complets génériques) :
      • Nom de domaine qui spécifie l’emplacement exact d’un ordinateur ou d’un hôte dans le système DNS (Domain Name System).
      • Indiquez les ports que vous souhaitez inclure.
      • NetBIOS n’est pas pris en charge. Par exemple, utilisez contoso.local/app1 au lieu de contoso/app1.
    • Plage d’adresses IP (CIDR) :
      • Le routage CIDR (Classless InterDomain Routing) représente une plage d’adresses IP dans laquelle une adresse IP est suivie d’un suffixe qui indique le nombre de bits réseau dans le masque de sous-réseau.
      • Par exemple, 192.168.2.0/24 indique que les 24 premiers bits de l’adresse IP représentent l’adresse réseau, tandis que les 8 bits restants représentent l’adresse d’hôte.
      • Indiquez l’adresse de départ, le masque de réseau et les ports.
    • Plage d’adresses IP (IP à IP) :
      • Plage d’adresses IP allant de l’IP de début (par exemple, 192.168.2.1) jusqu’à l’IP de fin (par exemple, 192.168.2.10).
      • Indiquez le début, la fin et les ports de l’adresse IP.
  7. Entrez les ports et sélectionnez le bouton Appliquer.

    • Séparez plusieurs ports par une virgule.
    • Spécifiez des plages de ports avec un trait d’union.
    • Les espaces entre les valeurs sont supprimés lorsque vous appliquez les modifications.
    • Par exemple : 400-500, 80, 443.

    Capture d’écran du panneau Créer un segment d’application avec plusieurs ports ajoutés.

    Le tableau suivant fournit les ports les plus couramment utilisés et leurs protocoles réseau associés :

    Port Protocole
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)
  8. Cliquez sur Enregistrer.

Remarque

Vous pouvez ajouter jusqu'à 500 segments d'application à votre application.

Ne chevauchez pas les noms de domaine complets, adresses IP et plages IP entre votre application Accès rapide et les applications Accès privé.

Affecter des utilisateurs et des groupes

Vous devez accorder l'accès à l'application que vous avez créée en attribuant des utilisateurs et/ou des groupes à l'application. Pour plus d’informations, consultez Affecter des utilisateurs et des groupes à une application.

  1. Connectez-vous au centre d’administration Microsoft Entra.
  2. Accédez à Accès global sécurisé>Applications>Applications d’entreprise.
  3. Recherchez et sélectionnez votre application.
  4. Sélectionnez Utilisateurs et groupes dans le menu latéral.
  5. Ajoutez des utilisateurs et des groupes selon vos besoins.

Remarque

Les utilisateurs doivent être directement attribués à l’application ou au groupe attribué à l’application. Les groupes imbriqués ne sont pas pris en charge.

Mettre à jour les segments d'application

Vous pouvez ajouter ou mettre à jour les FQDN et les adresses IP inclus dans votre application à tout moment.

  1. Connectez-vous au centre d’administration Microsoft Entra.
  2. Accédez à Accès global sécurisé>Applications>Applications d’entreprise.
  3. Recherchez et sélectionnez votre application.
  4. Sélectionnez Propriétés d'accès au réseau dans le menu latéral.
    • Pour ajouter un nouveau nom de domaine complet ou une nouvelle adresse IP, sélectionnez Ajouter un segment d'application.
    • Pour modifier une application existante, sélectionnez-la dans la colonne Type de Destination.

Activer ou désactiver l'accès avec le client Global Secure Access

Vous pouvez activer ou désactiver l'accès à l'application Global Secure Access à l'aide du client Global Secure Access. Cette option est sélectionnée par défaut, mais peut être désactivée, de sorte que les noms de domaine complets et les adresses IP inclus dans les segments d'application ne soient pas acheminés via le service.

Capture d’écran de la case à cocher Activer l’accès.

Attribuer des stratégies d'accès conditionnel

Les stratégies d’accès conditionnel pour l’accès par application sont configurées au niveau de l’application pour chaque application. Les stratégies d’accès conditionnel peuvent être créées et appliquées à l’application à partir de deux endroits :

  • Accédez à Accès global sécurisé>Applications>Applications d'entreprise. Sélectionnez une application, puis sélectionnez Accès conditionnel dans le menu latéral.
  • Accédez à Protection>Accès conditionnel>Stratégies. Sélectionnez + Créer une nouvelle stratégie.

Pour obtenir plus d’informations, consultez Appliquer des stratégies d’accès conditionnel aux applications à accès privé.

Activer Accès privé Microsoft Entra

Une fois votre application configurée, vos ressources privées ajoutées et les utilisateurs affectés à l'application, vous pouvez activer le profil de transfert de trafic d'accès privé. Vous pouvez activer le profil avant de configurer une application Global Secure Access, mais sans l'application et le profil configurés, il n'y a aucun trafic à transférer.

  1. Connectez-vous au centre d’administration Microsoft Entra.
  2. Accédez à Global Secure Access>Connecter>Transfert de trafic.
  3. Sélectionnez le bouton bascule pour le profil Accès privé.

Étapes suivantes

La prochaine étape pour bien démarrer avec Accès privé Microsoft Entra consiste à activer le profil de transfert de trafic Accès privé.

Pour obtenir plus d’informations sur Accès privé, consultez les articles suivants :