Megosztás a következőn keresztül:

Alkalmazásonkénti hozzáférés konfigurálása globális biztonságos hozzáférési alkalmazásokkal

  • Cikk

Microsoft Entra privát hozzáférés biztonságos hozzáférést biztosít a szervezet belső erőforrásaihoz. Létre kell hoznia egy globális biztonságos hozzáférési alkalmazást, és meg kell adnia a biztonságossá tenni kívánt belső, privát erőforrásokat. Globális biztonságos hozzáférésű alkalmazás konfigurálásával alkalmazásonkénti hozzáférést hoz létre a belső erőforrásokhoz. A globális biztonságos hozzáférésű alkalmazás részletesebben kezelheti az erőforrások alkalmazásonkénti elérését.

Ez a cikk azt ismerteti, hogyan konfigurálható alkalmazásonkénti hozzáférés globális biztonságos hozzáférésű alkalmazások használatával.

Előfeltételek

Globális biztonságos hozzáférési alkalmazás konfigurálásához a következővel kell rendelkeznie:

  • Globális biztonságos hozzáférés-rendszergazdai és alkalmazásadminisztrátori szerepkörök a Microsoft Entra-azonosítóban
  • A termék licencelést igényel. További részletekért tekintse meg a Mi a globális biztonságos hozzáférés licencelési szakaszát. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.

A Globális biztonságos hozzáférésű alkalmazásokhoz szükséges Microsoft Entra magánhálózati összekötőcsoportok kezeléséhez a következőkkel kell rendelkeznie:

  • Alkalmazásadminisztrátori szerepkör a Microsoft Entra-azonosítóban
  • Microsoft Entra ID P1 vagy P2 licencek

Ismert korlátozások

  • Kerülje az egymást átfedő alkalmazásszegmenseket a gyorselérési és a globális biztonságos hozzáférésű alkalmazások között.
  • A privát hozzáférésű célhelyekre irányuló forgalom IP-cím szerinti bújtatása csak a végfelhasználói eszköz helyi alhálózatán kívüli IP-tartományok esetében támogatott.
  • Jelenleg a privát hozzáférésű forgalom csak a Global Secure Access-ügyféllel szerezhető be. A távoli hálózatok nem rendelhetők hozzá a privát hozzáférésű forgalomtovábbítási profilhoz.

Magas szintű lépések

Az alkalmazásonkénti hozzáférés egy új globális biztonságos hozzáférési alkalmazás létrehozásával van konfigurálva. Létrehozhatja az alkalmazást, kiválaszthat egy összekötőcsoportot, és hálózati hozzáférési szegmenseket vehet fel. Ezek a beállítások alkotják azt az egyéni alkalmazást, amelyhez felhasználókat és csoportokat rendelhet hozzá.

Az alkalmazásonkénti hozzáférés konfigurálásához rendelkeznie kell legalább egy aktív Microsoft Entra-alkalmazásproxy-összekötővel rendelkező összekötőcsoporttal. Ez az összekötőcsoport kezeli az új alkalmazás felé irányuló forgalmat. Az Összekötők segítségével hálózatonként és összekötőnként elkülönítheti az alkalmazásokat.

Összefoglalva az általános folyamat a következő:

  1. Hozzon létre egy összekötőcsoportot legalább egy aktív privát hálózati összekötővel.

    • Ha már rendelkezik összekötőcsoportval, győződjön meg arról, hogy a legújabb verziót használja.

  2. Globális biztonságos hozzáférési alkalmazás létrehozása.

  3. Felhasználók és csoportok hozzárendelése az alkalmazáshoz.

  4. Feltételes hozzáférési szabályzatok konfigurálása.

  5. Engedélyezze a Microsoft Entra privát hozzáférés.

Privát hálózati összekötőcsoport létrehozása

Globális biztonságos hozzáférésű alkalmazások konfigurálásához rendelkeznie kell legalább egy aktív magánhálózati összekötővel rendelkező összekötőcsoporttal.

Ha még nincs beállítva összekötő, olvassa el az Összekötők konfigurálása című témakört.

Feljegyzés

Ha korábban telepített egy összekötőt, telepítse újra a legújabb verzió beszerzéséhez. Frissítéskor távolítsa el a meglévő összekötőt, és törölje a kapcsolódó mappákat.

A privát hozzáféréshez szükséges összekötő minimális verziója az 1.5.3417.0.

Globális biztonságos hozzáférési alkalmazás létrehozása

Új alkalmazás létrehozásához adjon meg egy nevet, válasszon ki egy összekötőcsoportot, majd adjon hozzá alkalmazásszegmenseket. Az alkalmazásszegmensek magukban foglalják a teljes tartományneveket (teljes tartományneveket) és a szolgáltatáson keresztüli bújtatáshoz szükséges IP-címeket. Mindhárom lépést egyszerre hajthatja végre, vagy a kezdeti beállítás befejezése után is hozzáadhatja őket.

Név és összekötőcsoport kiválasztása

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba a megfelelő szerepkörökkel.

  2. Keresse meg a Global Secure Access>Applications>Enterprise-alkalmazásokat.

  3. Válassza az Új alkalmazás lehetőséget.

    Képernyőkép az Enterprise-alkalmazásokról és az Új alkalmazás hozzáadása gombról.

  4. Adja meg az alkalmazás nevét.

  5. Válasszon egy Összekötő csoportot a legördülő menüből.

    Fontos

    Az alkalmazás létrehozásához legalább egy aktív összekötőnek kell lennie. Az összekötőkkel kapcsolatos további információkért lásd a Microsoft Entra magánhálózati összekötőjének ismertetése című témakört.

  6. A lap alján található Mentés gombra kattintva privát erőforrások hozzáadása nélkül hozhatja létre az alkalmazást.

Alkalmazásszegmens hozzáadása

Az Alkalmazásszegmens hozzáadása folyamat határozza meg azokat a teljes tartományneveket és IP-címeket, amelyeket fel szeretne venni a globális biztonságos hozzáférésű alkalmazás forgalmába. Az alkalmazás létrehozásakor hozzáadhat webhelyeket, és később továbbiak hozzáadásához vagy szerkesztéséhez visszatérhet.

Teljes tartományneveket (FQDN), IP-címeket és IP-címtartományokat adhat hozzá. Az egyes alkalmazásszegmenseken belül több portot és porttartományt is hozzáadhat.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.

  2. Keresse meg a Global Secure Access>Applications>Enterprise-alkalmazásokat.

  3. Válassza az Új alkalmazás lehetőséget.

  4. Válassza az Alkalmazásszegmens hozzáadása lehetőséget.

  5. A megnyíló alkalmazásszegmens létrehozása panelen válasszon egy céltípust.

  6. Adja meg a kiválasztott céltípus megfelelő adatait. Attól függően, hogy mit választ, a következő mezők ennek megfelelően változnak.

    • IP-cím:
      • Az Internet Protocol 4-es verziójának (IPv4) címe, például a 192.168.2.1, amely azonosítja a hálózaton lévő eszközt.
      • Adja meg a felvenni kívánt portokat.
    • Teljes tartománynév (beleértve a helyettesítő teljes tartományneveket):
      • Tartománynév, amely megadja a számítógép vagy egy gazdagép pontos helyét a tartománynévrendszerben (DNS).
      • Adja meg a felvenni kívánt portokat.
      • A NetBIOS nem támogatott. Például használja contoso.local/app1 ahelyett, hogy contoso/app1.
    • IP-címtartomány (CIDR)::
      • Az osztály nélküli tartományközi útválasztás (CIDR) olyan IP-címtartományt jelöl, ahol az IP-címet egy utótag követi, amely az alhálózati maszkban lévő hálózati bitek számát jelzi.
      • A 192.168.2.0/24 például azt jelzi, hogy az IP-cím első 24 bitje a hálózati címet, míg a fennmaradó 8 bit a gazdagép címét jelöli.
      • Adja meg a kezdőcímet, a hálózati maszkot és a portokat.
    • IP-címtartomány (IP-cím–IP)::
      • Az IP-címek tartománya a kezdő IP-címtől (például 192.168.2.1) a végponti IP-címig (például 192.168.2.10).
      • Adja meg az IP-cím kezdő, záró és portokat.

  7. Adja meg a portokat, és válassza az Alkalmaz gombot.

    • Több port elkülönítése vesszővel.
    • Adja meg a kötőjellel rendelkező porttartományokat.
    • A módosítások alkalmazásakor az értékek közötti szóközök el lesznek távolítva.
    • Például: 400-500, 80, 443.

    Képernyőkép az alkalmazásszegmens létrehozása panelről több port hozzáadásával.

    Az alábbi táblázat a leggyakrabban használt portokat és a hozzájuk tartozó hálózati protokollokat tartalmazza:

    Kikötő Protokoll
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)

  8. Válassza a Mentés parancsot.

Feljegyzés

Legfeljebb 500 alkalmazásszegmenst adhat hozzá az alkalmazáshoz.

Ne fedje át a teljes tartományneveket, AZ IP-címeket és az IP-tartományokat a Gyorselérési alkalmazás és a Private Access-alkalmazások között.

Felhasználók és csoportok hozzárendelése

Hozzáférést kell adnia a létrehozott alkalmazáshoz úgy, hogy felhasználókat és/vagy csoportokat rendel hozzá az alkalmazáshoz. További információ: Felhasználók és csoportok hozzárendelése egy alkalmazáshoz.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.
  2. Keresse meg a Global Secure Access>Applications>Enterprise-alkalmazásokat.
  3. Keresse meg és válassza ki az alkalmazást.
  4. Válassza ki a Felhasználók és csoportok lehetőséget az oldalsó menüből.
  5. Szükség szerint vegyen fel felhasználókat és csoportokat.

Feljegyzés

A felhasználókat közvetlenül az alkalmazáshoz vagy az alkalmazáshoz rendelt csoporthoz kell hozzárendelni. A beágyazott csoportok nem támogatottak.

Alkalmazásszegmensek frissítése

Az alkalmazásban található teljes tartományneveket és IP-címeket bármikor hozzáadhatja vagy frissítheti.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.
  2. Keresse meg a Global Secure Access>Applications>Enterprise-alkalmazásokat.
  3. Keresse meg és válassza ki az alkalmazást.
  4. Válassza ki a hálózati hozzáférési tulajdonságokat az oldalsó menüből.
    • Új teljes tartománynév vagy IP-cím hozzáadásához válassza az Alkalmazásszegmens hozzáadása lehetőséget.
    • Meglévő alkalmazás szerkesztéséhez válassza ki a Céltípus oszlopból.

Hozzáférés engedélyezése vagy letiltása a globális biztonságos hozzáférési ügyféllel

A Global Secure Access alkalmazáshoz való hozzáférést a Globális biztonságos hozzáférési ügyféllel engedélyezheti vagy letilthatja. Ez a beállítás alapértelmezés szerint be van jelölve, de letiltható, így az alkalmazásszegmensekben szereplő teljes tartománynevek és IP-címek nem bújtathatók a szolgáltatáson keresztül.

Képernyőkép a hozzáférés engedélyezése jelölőnégyzetről.

Feltételes hozzáférési szabályzatok hozzárendelése

Az alkalmazásonkénti hozzáférés feltételes hozzáférési szabályzatai alkalmazásszinten vannak konfigurálva az egyes alkalmazásokhoz. A feltételes hozzáférési szabályzatok két helyről hozhatók létre és alkalmazhatók az alkalmazásra:

  • Nyissa meg a Global Secure Access>Applications>Enterprise-alkalmazásokat. Válasszon ki egy alkalmazást, majd válassza a Feltételes hozzáférés lehetőséget az oldalsó menüből.
  • Lépjen a Védelmi>feltételes hozzáférési>szabályzatok elemre. Válassza a + Új szabályzat létrehozása lehetőséget.

További információ: Feltételes hozzáférési szabályzatok alkalmazása privát hozzáférésű alkalmazásokra.

Microsoft Entra privát hozzáférés engedélyezése

Miután konfigurálta az alkalmazást, hozzáadta a magánerőforrásokat, az alkalmazáshoz rendelt felhasználókat, engedélyezheti a privát hozzáférésű forgalomátirányítási profilt. A globális biztonságos hozzáférésű alkalmazások konfigurálása előtt engedélyezheti a profilt, de az alkalmazás és a profil konfigurálása nélkül nincs továbbítandó forgalom.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.
  2. Tallózással keresse meg a globális biztonságos hozzáférésű>csatlakozás>forgalmának továbbítását.
  3. Válassza ki a privát hozzáférési profil kapcsolót.

Következő lépések

A következő lépés a Microsoft Entra privát hozzáférés használatának megkezdéséhez engedélyezni kell a Privát hozzáférésű forgalomátirányítási profilt.

A privát hozzáféréssel kapcsolatos további információkért tekintse meg a következő cikkeket: