Bagikan melalui

Cara mengonfigurasi akses per aplikasi menggunakan aplikasi Akses Aman Global

  • Artikel

Microsoft Entra Private Access menyediakan akses aman ke sumber daya internal organisasi Anda dengan memungkinkan Anda mengontrol dan mengamankan akses ke tujuan jaringan tertentu di jaringan privat Anda. Ini memungkinkan Anda untuk menyediakan akses jaringan terperinci berdasarkan kebutuhan pengguna. Untuk melakukan ini, buat aplikasi Enterprise dan tambahkan segmen aplikasi yang digunakan oleh sumber daya internal privat yang ingin Anda amankan. Permintaan jaringan yang dikirim dari perangkat yang menjalankan klien Akses Aman Global ke segmen aplikasi yang Anda tambahkan ke aplikasi Enterprise Anda akan diperoleh dan dirutekan ke aplikasi internal Anda oleh layanan cloud Akses Aman Global tanpa kemampuan untuk terhubung ke sumber daya lain di jaringan Anda. Dengan mengonfigurasi aplikasi Enterprise, Anda membuat akses per aplikasi ke sumber daya internal Anda. Aplikasi perusahaan memberi Anda kemampuan tersegmentasi dan terperinci untuk mengelola bagaimana sumber daya Anda diakses berdasarkan per aplikasi.

Artikel ini menjelaskan cara mengonfigurasi akses per aplikasi menggunakan aplikasi Enterprise.

Prasyarat

Untuk mengonfigurasi aplikasi Global Secure Access Enterprise, Anda harus memiliki:

Untuk mengelola grup konektor jaringan privat Microsoft Entra, yang diperlukan untuk aplikasi Akses Aman Global, Anda harus memiliki:

  • Peran Administrator Aplikasi di Microsoft Entra ID
  • Lisensi Microsoft Entra ID P1 atau P2

Pembatasan yang diketahui

Fitur ini memiliki satu atau beberapa batasan yang diketahui. Untuk informasi lebih rinci tentang masalah dan batasan yang diketahui dari fitur ini, lihat Batasan yang Diketahui untuk Akses Aman Global.

Langkah-langkah tingkat tinggi

Akses Per Aplikasi dikonfigurasi dengan membuat aplikasi Akses Aman Global baru. Anda membuat aplikasi, memilih grup konektor, dan menambahkan segmen akses jaringan. Pengaturan ini membentuk aplikasi individual yang dapat Anda tetapkan pengguna dan grupnya.

Untuk mengonfigurasi Akses Per Aplikasi, Anda harus memiliki grup konektor dengan setidaknya satu konektor proksi aplikasi Microsoft Entra aktif. Grup konektor ini menangani lalu lintas ke aplikasi baru ini. Dengan Konektor, Anda dapat mengisolasi aplikasi per jaringan dan konektor.

Untuk meringkas, proses keseluruhannya adalah sebagai berikut:

  1. Buat grup konektor dengan setidaknya satu konektor jaringan privat aktif.

    • Jika Anda sudah memiliki grup konektor, pastikan Anda menggunakan versi terbaru.

  2. Buat aplikasi Akses Aman Global.

  3. Tetapkan pengguna dan grup ke aplikasi.

  4. Mengonfigurasi kebijakan Akses Bersyarat.

  5. Aktifkan Akses Privat Microsoft Entra.

Membuat grup konektor jaringan privat

Untuk mengonfigurasi aplikasi Akses Aman Global, Anda harus memiliki grup konektor dengan setidaknya satu konektor jaringan privat aktif.

Jika Anda belum menyiapkan konektor, lihat Mengonfigurasi konektor.

Catatan

Jika sebelumnya Anda telah menginstal konektor, instal ulang untuk mendapatkan versi terbaru. Saat memutakhirkan, hapus instalan konektor yang ada dan hapus folder terkait.

Versi minimum konektor yang diperlukan untuk Akses Privat adalah 1.5.3417.0.

Membuat aplikasi Global Secure Access Enterprise

Untuk membuat aplikasi baru, Anda memberikan nama, memilih grup konektor, lalu menambahkan segmen aplikasi. Segmen aplikasi mencakup nama domain yang sepenuhnya memenuhi syarat (FQDN) dan alamat IP yang ingin Anda salurkan melalui layanan. Anda dapat menyelesaikan ketiga langkah tersebut secara bersamaan, atau Anda dapat menambahkannya setelah penyiapan awal selesai.

Pilih nama dan grup konektor

  1. Masuk ke pusat admin Microsoft Entra dengan peran yang sesuai.

  2. Telusuri ke Akses Aman Global>Aplikasi>aplikasi perusahaan.

  3. Pilih Aplikasi baru.

    Cuplikan layar aplikasi Enterprise dan tombol Tambahkan aplikasi baru.

  4. Masukkan nama untuk aplikasi.

  5. Pilih grup Konektor dari menu dropdown.

    Penting

    Anda harus memiliki setidaknya satu konektor aktif untuk membuat aplikasi. Untuk mempelajari selengkapnya tentang konektor, lihat Memahami konektor jaringan privat Microsoft Entra.

  6. Pilih tombol Simpan di bagian bawah halaman untuk membuat aplikasi Anda tanpa menambahkan sumber daya privat.

Menambahkan segmen aplikasi

Segmen aplikasi ditentukan oleh 3 bidang - tujuan, port, dan protokol. Jika dua segmen aplikasi atau lebih menyertakan tujuan, port, dan protokol yang sama, segmen tersebut dianggap tumpang tindih. Proses Tambahkan segmen aplikasi adalah tempat Anda menentukan FQDN dan alamat IP yang Anda inginkan untuk dirutekan oleh klien Akses Aman Global ke aplikasi privat target Anda. Anda dapat menambahkan segmen aplikasi saat membuat aplikasi dan nantinya Anda dapat kembali untuk menambahkan lebih banyak atau mengeditnya.

Anda dapat menambahkan nama domain yang sepenuhnya memenuhi syarat (FQDN), alamat IP, dan rentang alamat IP. Dalam setiap segmen aplikasi, Anda dapat menambahkan beberapa port dan rentang port.

  1. Masuk ke Pusat Admin Microsoft Entra.

  2. Telusuri ke Akses Aman Global>Aplikasi>aplikasi perusahaan.

  3. Pilih Aplikasi baru.

  4. Pilih Tambahkan segmen aplikasi.

  5. Di panel Buat segmen aplikasi yang terbuka, pilih Jenis tujuan.

  6. Masukkan detail yang sesuai untuk jenis tujuan yang dipilih. Bergantung pada pilihan Anda, bidang-bidang berikutnya akan berubah sesuai.

    • Alamat IP:
      • Alamat Protokol Internet versi 4 (IPv4), seperti 192.168.2.1, yang mengidentifikasi perangkat di jaringan.
      • Sediakan port yang ingin Anda sertakan.
    • Nama domain berkualifikasi lengkap (termasuk FQDN karakter pengganti):
      • Nama domain yang menentukan lokasi komputer atau host yang tepat di Sistem Nama Domain (DNS).
      • Sediakan port yang ingin Anda sertakan.
      • NetBIOS tidak didukung. Misalnya, gunakan contoso.local/app1 alih-alih contoso/app1.
    • Rentang alamat IP (CIDR):
      • Classless Inter-Domain Routing (CIDR) mewakili rentang alamat IP di mana alamat IP diikuti oleh akhiran yang menunjukkan jumlah bit jaringan pada masker subnet.
      • Misalnya, 192.168.2.0/24 menunjukkan bahwa 24 bit pertama alamat IP mewakili alamat jaringan, sementara 8 bit yang tersisa mewakili alamat host.
      • Berikan alamat awal, masker jaringan, dan port.
    • Rentang alamat IP (IP ke IP):
      • Rentang alamat IP dari IP mulai (seperti 192.168.2.1) hingga IP akhir (seperti 192.168.2.10).
      • Berikan alamat IP mulai, akhir, dan port.

  7. Masukkan port dan pilih tombol Terapkan .

    • Pisahkan beberapa port dengan koma.
    • Tentukan rentang port dengan tanda hubung.
    • Spasi antar nilai dihapus saat Anda menerapkan perubahan.
    • Contohnya,400-500, 80, 443.

    Cuplikan layar panel buat segmen aplikasi dengan beberapa port ditambahkan.

    Tabel berikut ini menyediakan port yang paling umum digunakan dan protokol jaringan terkaitnya:

    Pelabuhan Protokol
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)

  8. Pilih Simpan.

Catatan

Anda dapat menambahkan hingga 500 segmen aplikasi ke aplikasi Anda namun tidak ada segmen aplikasi ini yang dapat memiliki FQDN, alamat IP, atau rentang IP yang tumpang tindih di dalam atau di antara aplikasi Akses Privat apa pun. Pengecualian khusus diizinkan untuk segmen yang tumpang tindih antara aplikasi Akses Privat dan Akses Cepat untuk memungkinkan penggantian VPN. Jika segmen yang ditentukan pada Aplikasi Perusahaan (misalnya 10.1.1.1:3389) tumpang tindih dengan segmen yang ditentukan pada Akses Cepat (misalnya 10.1.1.0/24:3389), maka segmen yang ditentukan pada Aplikasi Perusahaan akan diberikan prioritas oleh layanan GSA. Tidak ada lalu lintas dari pengguna mana pun ke segmen aplikasi yang didefinisikan sebagai Aplikasi Perusahaan yang akan diproses oleh Akses Cepat. Ini berarti bahwa setiap pengguna yang mencoba RDP ke 10.1.1.1 akan dievaluasi dan dirutekan sesuai konfigurasi Aplikasi Perusahaan, termasuk penetapan pengguna dan kebijakan akses bersyarat. Sebagai praktik terbaik, hapus segmen aplikasi yang Anda tentukan di Aplikasi Perusahaan dari Akses Cepat, memecah subnet IP menjadi rentang yang lebih kecil sehingga pengecualian dimungkinkan.

Tetapkan pengguna dan grup

Anda perlu memberikan akses ke aplikasi yang Anda buat dengan menetapkan pengguna dan/atau grup ke aplikasi. Untuk informasi selengkapnya, lihat Menetapkan pengguna dan grup ke aplikasi.

  1. Masuk ke Pusat Admin Microsoft Entra.
  2. Telusuri ke Akses Aman Global>Aplikasi>aplikasi perusahaan.
  3. Cari dan pilih aplikasi Anda.
  4. Pilih Pengguna dan grup dari menu samping.
  5. Tambahkan pengguna dan grup sesuai kebutuhan.

Catatan

Anda harus menetapkan pengguna secara langsung ke aplikasi atau ke grup yang terkait dengan aplikasi. Grup berlapis tidak didukung. Perhatikan juga bahwa penetapan akses tidak secara otomatis ditransfer ke Aplikasi Perusahaan yang baru dibuat bahkan ketika ada segmen aplikasi (tumpang tindih) yang ditentukan dalam Akses Cepat. Ini penting karena Anda dapat mengalami masalah di mana pengguna yang berhasil mengakses segmen aplikasi melalui Akses Cepat akan diblokir dari akses saat segmen aplikasi dipindahkan ke Aplikasi Perusahaan hingga Anda menetapkan akses mereka secara khusus ke Aplikasi Perusahaan. Izinkan 15 menit agar perubahan konfigurasi Anda disinkronkan dengan klien Akses Aman Global Anda.

Memperbarui segmen aplikasi

Anda dapat menambahkan atau memperbarui FQDN dan alamat IP yang disertakan dalam aplikasi Anda kapan saja.

  1. Masuk ke Pusat Admin Microsoft Entra.
  2. Telusuri ke Akses Aman Global>Aplikasi>aplikasi perusahaan.
  3. Cari dan pilih aplikasi Anda.
  4. Pilih Properti akses jaringan dari menu samping.
    • Untuk menambahkan FQDN atau alamat IP baru, pilih Tambahkan segmen aplikasi.
    • Untuk mengedit aplikasi yang sudah ada, pilih dari kolom Jenis tujuan.

Mengaktifkan atau menonaktifkan akses dengan Klien Akses Aman Global

Anda dapat mengaktifkan atau menonaktifkan akses ke aplikasi Akses Aman Global menggunakan Klien Akses Aman Global. Opsi ini dipilih sebagai pengaturan awal, tetapi dapat dinonaktifkan, sehingga FQDN dan alamat IP yang disertakan dalam segmen aplikasi tidak diarahkan melalui terowongan layanan.

Cuplikan layar kotak centang aktifkan akses.

Menetapkan kebijakan Akses Bersyarat

Kebijakan Akses Bersyar untuk akses setiap aplikasi dikonfigurasi di tingkat aplikasi bagi masing-masing aplikasi. Kebijakan Akses Kondisional dapat dibuat dan diterapkan ke aplikasi dari dua tempat:

  • Buka Akses Aman Global>Aplikasi>Aplikasi Enterprise. Pilih aplikasi lalu pilih Akses Kondisional dari menu samping.
  • KeamananAkses BersyaratKebijakan Pilih + Buat kebijakan baru.

Untuk informasi selengkapnya, lihat Menerapkan kebijakan Akses Bersyarat ke aplikasi Akses Privat.

Aktifkan Akses Privat Microsoft Entra

Setelah aplikasi Anda dikonfigurasi, menambahkan sumber daya privat dan menetapkan pengguna ke aplikasi, Anda dapat mengaktifkan profil penerusan lalu lintas akses privat. Anda dapat mengaktifkan profil sebelum mengonfigurasi aplikasi Akses Aman Global, tetapi tanpa aplikasi dan profil yang dikonfigurasi, tidak ada lalu lintas yang akan diteruskan.

  1. Masuk ke Pusat Admin Microsoft Entra.
  2. Telusuri ke Akses Aman Global>Sambungkan>Penerusan Lalu Lintas.
  3. Pilih tombol untuk Profil akses privat.

Diagram ini menunjukkan cara kerja Akses Privat Microsoft Entra saat mencoba menggunakan Protokol Desktop Jauh untuk menyambungkan ke server di jaringan privat.

Diagram Microsoft Entra Private Access bekerja dengan Remote Desktop Protocol.

Langkah Deskripsi
1 Pengguna memulai sesi RDP ke FQDN yang terhubung ke server target. Klien GSA mencegat lalu lintas dan menyalurkannya ke SSE Edge.
2 SSE Edge mengevaluasi kebijakan yang disimpan di Microsoft Entra ID, seperti apakah pengguna ditetapkan ke aplikasi dan kebijakan Akses Bersyarat.
3 Setelah pengguna diotorisasi, ID Microsoft Entra mengeluarkan token untuk aplikasi Akses Privat.
4 Lalu lintas diizinkan untuk melanjutkan ke layanan Akses Privat bersama dengan token akses aplikasi.
5 Layanan Akses Privat memvalidasi token akses dan koneksi dialihkan ke layanan backend Akses Privat.
6 Koneksi disalurkan ke Penyambung Jaringan Privat.
7 Konektor Jaringan Privat melakukan kueri DNS untuk mengidentifikasi alamat IP server target.
8 Layanan DNS di jaringan privat mengirimkan respons.
9 Konektor Jaringan Privat meneruskan lalu lintas ke server target. Sesi RDP dinegosiasikan (termasuk autentikasi RDP) dan kemudian ditetapkan.

Langkah berikutnya

Langkah selanjutnya untuk memulai dengan Entra Private Access dari Microsoft adalah mengaktifkan profil penerusan lalu lintas untuk Akses Privat.

Untuk informasi selengkapnya tentang Akses Privat, lihat artikel berikut ini: