Megosztás a következőn keresztül:

Gyorselérés konfigurálása globális biztonságos hozzáféréshez

  • Cikk

A globális biztonságos hozzáféréssel definiálhat meghatározott teljes tartományneveket (FQDN-eket) vagy magánerőforrások IP-címeit, hogy belefoglalják a Microsoft Entra privát hozzáférés forgalmába. A szervezet alkalmazottai ezután hozzáférhetnek az Ön által megadott alkalmazásokhoz és webhelyekhez. Ez a cikk azt ismerteti, hogyan konfigurálhatja a gyorselérést Microsoft Entra privát hozzáférés.

Előfeltételek

A gyorselérés konfigurálásához az alábbiakra van szükség:

  • A globális biztonságos hozzáférés-rendszergazdai és alkalmazásadminisztrátori szerepkörök a Microsoft Entra-azonosítóban.
  • A termék licencelést igényel. További részletekért tekintse meg a Mi a globális biztonságos hozzáférés licencelési szakaszát. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.

A Gyorseléréshez szükséges Microsoft Entra magánhálózati összekötőcsoportok kezeléséhez a következőkkel kell rendelkeznie:

  • Alkalmazásadminisztrátori szerepkör a Microsoft Entra-azonosítóban
  • Microsoft Entra ID P1 vagy P2 licencek

Ismert korlátozások

Kerülje az alkalmazásszegmensek átfedését a gyorselérés és az alkalmazásonkénti hozzáférés között.

A privát hozzáférésű célhelyekre irányuló forgalom IP-cím szerinti bújtatása csak a végfelhasználói eszköz helyi alhálózatán kívüli IP-tartományok esetében támogatott.

Jelenleg a privát hozzáférésű forgalom csak a Global Secure Access-ügyféllel szerezhető be. A távoli hálózatok nem rendelhetők hozzá a privát hozzáférésű forgalomtovábbítási profilhoz.

Magas szintű lépések

A gyorselérési beállítások konfigurálása a Microsoft Entra privát hozzáférés egyik fő összetevője. Amikor első alkalommal konfigurálja a Gyorselérést, a Private Access létrehoz egy új vállalati alkalmazást. Az új alkalmazás tulajdonságai automatikusan úgy vannak konfigurálva, hogy működjenek a privát hozzáféréssel.

A gyorselérés konfigurálásához rendelkeznie kell legalább egy aktív Microsoft Entra-alkalmazásproxy-összekötővel rendelkező összekötőcsoporttal. Az összekötőcsoport kezeli az új alkalmazás felé irányuló forgalmat. Miután konfigurálta a gyorselérést és egy privát hálózati összekötőcsoportot, hozzáférést kell adnia az alkalmazáshoz.

Összefoglalva az általános folyamat a következő:

  1. Hozzon létre egy összekötőcsoportot legalább egy aktív privát hálózati összekötővel.
  2. Gyorselérés konfigurálása.
  3. Felhasználók és csoportok hozzárendelése az alkalmazáshoz.
  4. Feltételes hozzáférési szabályzatok konfigurálása.
  5. Engedélyezze a privát hozzáférésű forgalomátirányítási profilt.

Privát hálózati összekötőcsoport létrehozása

A gyorselérés konfigurálásához rendelkeznie kell legalább egy aktív magánhálózati összekötővel rendelkező összekötőcsoporttal.

Ha még nincs beállítva összekötőcsoport, olvassa el az Összekötők konfigurálása a gyorseléréshez című témakört.

Feljegyzés

Ha korábban telepített egy összekötőt, telepítse újra a legújabb verzió beszerzéséhez. Frissítéskor távolítsa el a meglévő összekötőt, és törölje a kapcsolódó mappákat.

A privát hozzáféréshez szükséges összekötő minimális verziója az 1.5.3417.0.

Gyorselérés konfigurálása

A Gyorselérés lapon adja meg a Gyorselérési alkalmazás nevét, válasszon ki egy összekötőcsoportot, és adjon hozzá alkalmazásszegmenseket, amelyek teljes tartományneveket és IP-címeket tartalmaznak. Egyszerre mindhárom lépést elvégezheti, vagy a kezdeti beállítás befejezése után hozzáadhatja az alkalmazásszegmenseket.

Név és összekötő csoport

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba a megfelelő szerepkörökkel.
  2. Tallózással keresse meg a globális biztonságos hozzáférési>alkalmazásokat>gyorselérési lehetőségként.
  3. Adjon meg egy nevet. Javasoljuk, hogy használja a Gyorselérés nevet.
  4. Válasszon egy Összekötő csoportot a legördülő menüből.
  5. A Mentés gombra kattintva létrehozhatja a "Gyorselérés" alkalmazást teljes tartománynevek, IP-címek és privát DNS-utótagok nélkül.

Gyorselérési alkalmazásszegmens hozzáadása

A Gyorselérési alkalmazásszegmens hozzáadásakor meg kell határoznia a teljes tartományneveket és AZ IP-címeket. Ezeket az erőforrásokat a Gyorselérési alkalmazás létrehozásakor vagy frissítésekor veheti fel.

Teljes tartományneveket (FQDN), IP-címeket és IP-címtartományokat adhat hozzá. Az egyes alkalmazásszegmenseken belül több portot és porttartományt is hozzáadhat.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.

  2. Keresse meg a globális biztonságos elérésű>alkalmazások>gyors elérését.

  3. Válassza a Gyorselérési alkalmazásszegmens hozzáadása lehetőséget.

  4. A megnyíló alkalmazásszegmens létrehozása panelen válasszon egy céltípust.

  5. Adja meg a kiválasztott céltípus megfelelő adatait. Attól függően, hogy mit választ, a következő mezők ennek megfelelően változnak.

    • IP-cím:
      • Az Internet Protocol 4-es verziójának (IPv4) címe, például a 192.168.2.1, amely azonosítja a hálózaton lévő eszközt.
      • Adja meg a felvenni kívánt portokat.
    • Teljes tartománynév (beleértve a helyettesítő teljes tartományneveket):
      • Tartománynév, amely megadja a számítógép vagy egy gazdagép pontos helyét a tartománynévrendszerben (DNS).
      • Adja meg a belefoglalandó portokat.
      • A NetBIOS nem támogatott. Például használja ahelyett, hogy contoso.local/app1 contoso/app1.
    • IP-címtartomány (CIDR)::
      • Az osztály nélküli tartományközi útválasztás (CIDR) AZ IP-címek tartományát jelöli. Az IP-címeket az alhálózati maszkban található hálózati bitek számát jelző utótag követi.
      • A 192.168.2.0/24 például azt jelzi, hogy az IP-cím első 24 bitje a hálózati címet, míg a fennmaradó 8 bit a gazdagép címét jelöli.
      • Adja meg a kezdőcímet, a hálózati maszkot és a portokat.
    • IP-címtartomány (IP-cím–IP)::
      • Az IP-címek tartománya a kezdő IP-címtől (például 192.168.2.1) a végponti IP-címig (például 192.168.2.10).
      • Adja meg az IP-cím kezdő, záró és portokat.

  6. Adja meg a portokat és a protokollt, és válassza az Alkalmaz lehetőséget.

    • Több port elkülönítése vesszővel.
    • Adja meg a kötőjellel rendelkező porttartományokat.
    • A módosítások alkalmazásakor az értékek közötti szóközök el lesznek távolítva.
    • Például: 400-500, 80, 443.

    Képernyőkép az alkalmazásszegmens létrehozása panelről több port hozzáadásával.

    Az alábbi táblázat a leggyakrabban használt portokat és a hozzájuk tartozó hálózati protokollokat tartalmazza:

    Kikötő Protokoll
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Kiszolgálói üzenetblokk (SMB) fájlmegosztás
    3389 RDP protokoll

  7. Ha végzett, válassza a Mentés lehetőséget.

Feljegyzés

Legfeljebb 500 alkalmazásszegmenst adhat hozzá a Gyorselérési alkalmazáshoz.

Ne fedje át a teljes tartományneveket, AZ IP-címeket és az IP-tartományokat a Gyorselérési alkalmazás és a Private Access-alkalmazások között.

Privát DNS-utótagok hozzáadása

saját DNS Microsoft Entra privát hozzáférés támogatása lehetővé teszi a belső DNS-kiszolgálók lekérdezését a belső tartománynevek IP-címeinek feloldásához. Lássunk egy példát. Tegyük fel, hogy belső IP-címtartománya 10.8.0.0 van.10.8.255.255 Ezt a tartományt a Gyorselérési alkalmazás definíciójában konfigurálhatja. Azt szeretné, hogy a felhasználók ip-cím 10.8.0.5 alapján válaszoló webalkalmazáshoz férjenek hozzá, amikor beírják https://benefits a webböngészőjükbe. De nem szeretne teljes tartománynevet konfigurálni az alkalmazáshoz. A saját DNS használatával konfigurálja a megfelelő DNS-utótagot, hogy a Globális biztonságos hozzáférés ügyfél tudja, hogyan irányíthatja helyesen a kérést.

A Kerberos-erőforrások egyszeri bejelentkezési (SSO)-élményét úgy is biztosíthatja, hogy a Kerberos-hitelesítést saját DNS használó tartományvezérlőkre konfigurálja. Ha többet szeretne megtudni az egyszeri bejelentkezésről, olvassa el a Kerberos használata egyszeri bejelentkezéshez (SSO) az erőforrásokhoz Microsoft Entra privát hozzáférés című témakört.

Adjon hozzá egy DNS-utótagot a privát DNS-hez.

  1. Válassza saját DNS lapot.
  2. Jelölje be a jelölőnégyzetet a privát DNS engedélyezéséhez.
  3. Válassza a DNS-utótag hozzáadása lehetőséget.
  4. Adja meg a DNS-utótagot, majd válassza a Hozzáadás lehetőséget.

Felhasználók és csoportok hozzárendelése

A gyorselérés konfigurálásakor egy új vállalati alkalmazás jön létre az Ön nevében. Hozzáférést kell adnia a létrehozott gyorselérési alkalmazáshoz, ha felhasználókat és/vagy csoportokat rendel hozzá az alkalmazáshoz.

Megtekintheti a tulajdonságokat a Gyorselérés szolgáltatásból, vagy megkeresheti a Nagyvállalati alkalmazásokat, és megkeresheti a Gyorselérési alkalmazást.

Tipp.

Ha a Vállalati alkalmazások lapon szeretne alkalmazást keresni, törölje az összes szűrőt, hogy ne szűrje ki a keresett alkalmazást.

  1. Válassza az Alkalmazásbeállítások szerkesztése lehetőséget a Gyorselérésben.

    Képernyőkép az alkalmazásbeállítások szerkesztéséről.

  2. Válassza ki a Felhasználók és csoportok lehetőséget az oldalsó menüből.

  3. Szükség szerint vegyen fel felhasználókat és csoportokat.

Feljegyzés

A felhasználókat közvetlenül az alkalmazáshoz vagy az alkalmazáshoz rendelt csoporthoz kell hozzárendelni. A beágyazott csoportok nem támogatottak.

A feltételes hozzáférési szabályzatok alkalmazhatók a Gyorselérési alkalmazásra. A feltételes hozzáférési szabályzatok alkalmazása további lehetőségeket kínál az alkalmazásokhoz, webhelyekhez és szolgáltatásokhoz való hozzáférés kezeléséhez.

A feltételes hozzáférési szabályzatok létrehozásáról részletesen a Feltételes hozzáférési szabályzatok privát hozzáférésű alkalmazásokhoz való létrehozásáról szóló cikkben olvashat.

Microsoft Entra privát hozzáférés engedélyezése

Miután konfigurálta a Gyorselérési alkalmazást, hozzáadta a magánerőforrásokat, az alkalmazáshoz rendelt felhasználókat, engedélyezheti a privát hozzáférési profilt a Globális biztonságos hozzáférés forgalomtovábbítási területén. A gyorselérés konfigurálása előtt engedélyezheti a profilt, de az alkalmazás és a profil konfigurálása nélkül nincs továbbítandó forgalom. A privát hozzáférésű adattovábbítási profil engedélyezéséről a Privát hozzáférés adattovábbítási profil kezelése című témakörben olvashat.

Következő lépések