Bagikan melalui

Cara mengonfigurasi akses per aplikasi menggunakan aplikasi Akses Aman Global

  • Artikel

Akses Privat Microsoft Entra menyediakan akses aman ke sumber daya internal organisasi Anda. Anda membuat aplikasi Akses Aman Global dan menentukan sumber daya internal privat yang ingin Anda amankan. Dengan mengonfigurasi aplikasi Akses Aman Global, Anda membuat akses per aplikasi ke sumber daya internal Anda. Aplikasi Akses Aman Global menyediakan kemampuan yang lebih rinci untuk mengelola bagaimana sumber daya diakses per aplikasi.

Artikel ini menjelaskan cara mengonfigurasi akses per aplikasi menggunakan aplikasi Akses Aman Global.

Prasyarat

Untuk mengonfigurasi aplikasi Akses Aman Global, Anda harus memiliki:

  • Peran Administrator Akses Aman Global dan Administrator Aplikasi di MICROSOFT Entra ID
  • Produk ini membutuhkan lisensi. Untuk detailnya, lihat bagian lisensi dari Apa itu Akses Aman Global. Jika diperlukan, Anda dapat membeli lisensi atau mendapatkan lisensi uji coba.

Untuk mengelola grup konektor jaringan privat Microsoft Entra, yang diperlukan untuk aplikasi Akses Aman Global, Anda harus memiliki:

  • Peran Administrator Aplikasi di ID Microsoft Entra
  • Lisensi Microsoft Entra ID P1 atau P2

Pembatasan yang diketahui

  • Hindari segmen aplikasi yang tumpang tindih antara aplikasi Akses Cepat dan Akses Aman Global.
  • Penerowongan lalu lintas ke tujuan Akses Privat berdasarkan alamat IP hanya didukung untuk rentang IP di luar subnet lokal perangkat pengguna akhir.
  • Saat ini, lalu lintas Akses Privat hanya dapat diperoleh dengan klien Akses Aman Global. Jaringan jarak jauh tidak dapat ditetapkan ke profil penerusan lalu lintas akses privat.

Langkah-langkah tingkat tinggi

Akses Per Aplikasi dikonfigurasi dengan membuat aplikasi Akses Aman Global baru. Anda membuat aplikasi, memilih grup konektor, dan menambahkan segmen akses jaringan. Pengaturan ini membentuk aplikasi individual yang dapat Anda tetapkan pengguna dan grupnya.

Untuk mengonfigurasi Akses Per Aplikasi, Anda harus memiliki grup konektor dengan setidaknya satu konektor proksi aplikasi Microsoft Entra aktif. Grup konektor ini menangani lalu lintas ke aplikasi baru ini. Dengan Konektor, Anda dapat mengisolasi aplikasi per jaringan dan konektor.

Untuk meringkas, proses keseluruhannya adalah sebagai berikut:

  1. Buat grup konektor dengan setidaknya satu konektor jaringan privat aktif.

    • Jika Anda sudah memiliki grup konektor, pastikan Anda menggunakan versi terbaru.

  2. Membuat aplikasi Akses Aman Global.

  3. Tetapkan pengguna dan grup ke aplikasi.

  4. Mengonfigurasi kebijakan Akses Bersyar.

  5. Aktifkan Akses Privat Microsoft Entra.

Membuat grup konektor jaringan privat

Untuk mengonfigurasi aplikasi Akses Aman Global, Anda harus memiliki grup konektor dengan setidaknya satu konektor jaringan privat aktif.

Jika Anda belum menyiapkan konektor, lihat Mengonfigurasi konektor.

Catatan

Jika sebelumnya Anda telah menginstal konektor, instal ulang untuk mendapatkan versi terbaru. Saat memutakhirkan, hapus instalan konektor yang ada dan hapus folder terkait.

Versi minimum konektor yang diperlukan untuk Akses Privat adalah 1.5.3417.0.

Membuat aplikasi Akses Aman Global

Untuk membuat aplikasi baru, Anda memberikan nama, memilih grup konektor, lalu menambahkan segmen aplikasi. Segmen aplikasi mencakup nama domain yang sepenuhnya memenuhi syarat (FQDN) dan alamat IP yang ingin Anda terowongan melalui layanan. Anda dapat menyelesaikan ketiga langkah tersebut secara bersamaan, atau Anda dapat menambahkannya setelah penyiapan awal selesai.

Pilih nama dan grup konektor

  1. Masuk ke pusat admin Microsoft Entra dengan peran yang sesuai.

  2. Telusuri aplikasi Perusahaan Aplikasi>Akses>Aman Global.

  3. Pilih Aplikasi baru.

    Cuplikan layar aplikasi Enterprise dan tombol Tambahkan aplikasi baru.

  4. Masukkan nama untuk aplikasi.

  5. Pilih grup Konektor dari menu dropdown.

    Penting

    Anda harus memiliki setidaknya satu konektor aktif untuk membuat aplikasi. Untuk mempelajari selengkapnya tentang konektor, lihat Memahami konektor jaringan privat Microsoft Entra.

  6. Pilih tombol Simpan di bagian bawah halaman untuk membuat aplikasi Anda tanpa menambahkan sumber daya privat.

Menambahkan segmen aplikasi

Proses Tambahkan segmen aplikasi adalah tempat Anda menentukan FQDN dan alamat IP yang ingin Anda sertakan dalam lalu lintas untuk aplikasi Akses Aman Global. Anda dapat menambahkan situs saat membuat aplikasi dan kembali untuk menambahkan lebih banyak atau mengeditnya nanti.

Anda dapat menambahkan nama domain yang sepenuhnya memenuhi syarat (FQDN), alamat IP, dan rentang alamat IP. Dalam setiap segmen aplikasi, Anda dapat menambahkan beberapa port dan rentang port.

  1. Masuk ke Pusat Admin Microsoft Entra.

  2. Telusuri aplikasi Perusahaan Aplikasi>Akses>Aman Global.

  3. Pilih Aplikasi baru.

  4. Pilih Tambahkan segmen aplikasi.

  5. Di panel Buat segmen aplikasi yang terbuka, pilih Jenis tujuan.

  6. Masukkan detail yang sesuai untuk jenis tujuan yang dipilih. Bergantung pada apa yang Anda pilih, bidang berikutnya berubah sesuai.

    • Alamat IP:
      • Alamat Protokol Internet versi 4 (IPv4), seperti 192.168.2.1, yang mengidentifikasi perangkat di jaringan.
      • Sediakan port yang ingin Anda sertakan.
    • Nama domain yang sepenuhnya memenuhi syarat (termasuk FQDN kartubebas):
      • Nama domain yang menentukan lokasi komputer atau host yang tepat di Sistem Nama Domain (DNS).
      • Sediakan port yang ingin Anda sertakan.
      • NetBIOS tidak didukung. Misalnya, gunakan contoso.local/app1 alih-alih contoso/app1.
    • Rentang alamat IP (CIDR):
      • Classless Inter-Domain Routing (CIDR) mewakili rentang alamat IP di mana alamat IP diikuti oleh akhiran yang menunjukkan jumlah bit jaringan dalam subnet mask.
      • Misalnya, 192.168.2.0/24 menunjukkan bahwa 24 bit pertama alamat IP mewakili alamat jaringan, sementara 8 bit yang tersisa mewakili alamat host.
      • Berikan alamat awal, masker jaringan, dan port.
    • Rentang alamat IP (IP ke IP):
      • Rentang alamat IP dari IP mulai (seperti 192.168.2.1) hingga IP akhir (seperti 192.168.2.10).
      • Berikan alamat IP mulai, akhir, dan port.

  7. Masukkan port dan pilih tombol Terapkan .

    • Pisahkan beberapa port dengan koma.
    • Tentukan rentang port dengan tanda hubung.
    • Spasi antar nilai dihapus saat Anda menerapkan perubahan.
    • Contohnya,400-500, 80, 443.

    Cuplikan layar panel buat segmen aplikasi dengan beberapa port ditambahkan.

    Tabel berikut ini menyediakan port yang paling umum digunakan dan protokol jaringan terkaitnya:

    Port Protokol
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)

  8. Pilih Simpan.

Catatan

Anda dapat menambahkan hingga 500 segmen aplikasi ke aplikasi Anda.

Jangan tumpang tindih FQDN, alamat IP, dan rentang IP antara aplikasi Akses Cepat Anda dan aplikasi Akses Privat apa pun.

Tetapkan pengguna dan grup

Anda perlu memberikan akses ke aplikasi yang Anda buat dengan menetapkan pengguna dan/atau grup ke aplikasi. Untuk informasi selengkapnya, lihat Menetapkan pengguna dan grup ke aplikasi.

  1. Masuk ke Pusat Admin Microsoft Entra.
  2. Telusuri aplikasi Perusahaan Aplikasi>Akses>Aman Global.
  3. Cari dan pilih aplikasi Anda.
  4. Pilih Pengguna dan grup dari menu samping.
  5. Tambahkan pengguna dan grup sesuai kebutuhan.

Catatan

Pengguna harus langsung ditetapkan ke aplikasi atau ke grup yang ditetapkan ke aplikasi. Grup berlapis tidak didukung.

Memperbarui segmen aplikasi

Anda dapat menambahkan atau memperbarui FQDN dan alamat IP yang disertakan dalam aplikasi Anda kapan saja.

  1. Masuk ke Pusat Admin Microsoft Entra.
  2. Telusuri aplikasi Perusahaan Aplikasi>Akses>Aman Global.
  3. Cari dan pilih aplikasi Anda.
  4. Pilih Properti akses jaringan dari menu samping.
    • Untuk menambahkan FQDN atau alamat IP baru, pilih Tambahkan segmen aplikasi.
    • Untuk mengedit aplikasi yang sudah ada, pilih dari kolom Jenis tujuan.

Mengaktifkan atau menonaktifkan akses dengan Klien Akses Aman Global

Anda dapat mengaktifkan atau menonaktifkan akses ke aplikasi Akses Aman Global menggunakan Klien Akses Aman Global. Opsi ini dipilih secara default, tetapi dapat dinonaktifkan, sehingga FQDN dan alamat IP yang disertakan dalam segmen aplikasi tidak terowongan melalui layanan.

Cuplikan layar kotak centang aktifkan akses.

Menetapkan kebijakan Akses Bersyar

Kebijakan Akses Bersyar untuk akses per aplikasi dikonfigurasi di tingkat aplikasi untuk setiap aplikasi. Kebijakan Akses Bersyar dapat dibuat dan diterapkan ke aplikasi dari dua tempat:

  • Buka Aplikasi Akses>Aman Global Aplikasi> Perusahaan. Pilih aplikasi lalu pilih Akses Bersyarah dari menu samping.
  • Buka Kebijakan Akses>Bersyar perlindungan.> Pilih + Buat kebijakan baru.

Untuk informasi selengkapnya, lihat Menerapkan kebijakan Akses Bersyar ke aplikasi Akses Privat.

Aktifkan Akses Privat Microsoft Entra

Setelah aplikasi dikonfigurasi, sumber daya privat Anda ditambahkan, pengguna yang ditetapkan ke aplikasi, Anda dapat mengaktifkan profil penerusan lalu lintas akses privat. Anda dapat mengaktifkan profil sebelum mengonfigurasi aplikasi Akses Aman Global, tetapi tanpa aplikasi dan profil yang dikonfigurasi, tidak ada lalu lintas yang akan diteruskan.

  1. Masuk ke Pusat Admin Microsoft Entra.
  2. Telusuri penerusan Lalu Lintas Koneksi>Akses>Aman Global.
  3. Pilih tombol untuk Profil akses privat.

Langkah berikutnya

Langkah selanjutnya untuk memulai Akses Privat Microsoft Entra adalah mengaktifkan profil penerusan lalu lintas Akses Privat.

Untuk informasi selengkapnya tentang Akses Privat, lihat artikel berikut ini: