Come configurare l'accesso rapido per l'Accesso globale sicuro

Con l'Accesso globale sicuro, è possibile definire specifici nomi di dominio completi (FQDN) o indirizzi IP delle risorse private da includere nel traffico per l’Accesso privato Microsoft Entra. I dipendenti dell'organizzazione possono quindi accedere alle app e ai siti specificati. Questo articolo descrive come configurare l'accesso rapido per l’Accesso privato Microsoft Entra.

Prerequisiti

Per configurare l'Accesso rapido, è necessario disporre di:

• I ruoli Amministratore Accesso globale sicuro e Amministratore applicazione in Microsoft Entra ID.
• Il prodotto richiede licenze. Per informazioni dettagliate, vedere la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario, è possibile acquistare licenze o ottenere licenze di prova gratuita.

Per gestire i gruppi di connettori di rete privata di Microsoft Entra, necessari per l'Accesso rapido, è necessario disporre di:

• Un ruolo Amministratore applicazione in Microsoft Entra ID
• Licenze Microsoft Entra ID P1 o P2

Limitazioni note

Evitare la sovrapposizione dei segmenti di app tra l’Accesso rapido e l’accesso per app.

Il tunneling del traffico verso destinazioni di Accesso privato in base all'indirizzo IP è supportato solo per gli intervalli IP esterni alla subnet locale del dispositivo dell'utente finale.

Al momento, il traffico di Accesso privato può essere acquisito solo con il client di Accesso globale sicuro. Non è possibile assegnare le reti remote al profilo di inoltro del traffico di accesso privato.

Passaggi di livello elevato

La configurazione delle impostazioni di accesso rapido è uno dei passaggi fondamentali per l'uso dell’Accesso privato Microsoft Entra. Quando si configura l'Accesso rapido per la prima volta, Accesso privato crea una nuova applicazione aziendale. Le proprietà di questa nuova app vengono configurate automaticamente per l'uso con Accesso privato.

Per configurare l'Accesso rapido, è necessario avere un gruppo di connettori con almeno un connettore attivo proxy di applicazione Microsoft Entra. Il gruppo di connettori gestisce il traffico verso questa nuova applicazione. Dopo aver configurato l'Accesso rapido e un gruppo di connettori di rete privata, è necessario concedere l'accesso all'app.

Per riepilogare, il processo generale è il seguente:

1. Creare un gruppo di connettori con almeno un connettore di rete privata attivo.

   • Se si dispone già di un gruppo di connettori, assicurarsi di essere nella versione più recente.

2. Configurare l'Accesso rapido.

3. Assegnare utenti e gruppi all'app.

4. Configurare criteri di accesso condizionale.

5. Abilitare il profilo di inoltro del traffico di Accesso privato.

Creare un gruppo di connettori di rete privata

Per configurare Accesso rapido, è necessario disporre di un gruppo di connettori con almeno un connettore di rete privata attivo.

Se non è già stato configurato un gruppo di connettori, vedere Configurare i connettori per l'accesso rapido.

Nota

Se in precedenza è stato installato un connettore, reinstallarlo per ottenere la versione più recente. Durante l'aggiornamento, disinstallare il connettore esistente ed eliminare eventuali cartelle correlate.

La versione minima del connettore necessaria per l'accesso privato è 1.5.3417.0.

Configurare l'Accesso rapido

Nella pagina Accesso rapido, specificare un nome per l'app Accesso rapido, selezionare un gruppo di connettori e aggiungere segmenti di applicazione, che includono FQDN e indirizzi IP. È possibile completare tutti e tre i passaggi contemporaneamente oppure aggiungere i segmenti dell'applicazione al termine dell'installazione iniziale.

Nome e gruppo di connettori

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra con i ruoli appropriati.

2. Passare a Global Secure Access Applications Quick access (Accesso rapido alle applicazioni>di accesso> sicuro globale).

3. Immetti un nome. È consigliabile usare il nome Accesso rapido.

4. Selezionare un gruppo di connettori dal menu a discesa. I gruppi di connettori esistenti appariranno nel menu a discesa.

   

5. Selezionare il pulsante Salva nella parte inferiore della pagina per creare l'app "Accesso rapido" senza FQDN e indirizzi IP.

Aggiungere un segmento di applicazione Accesso rapido

La porzione Aggiungi un segmento di applicazione Acceso rapido di questo processo permette di definire gli FQDN e gli indirizzi IP che si desiderano includere nel traffico per l’Accesso privato Microsoft Entra. È possibile aggiungere queste risorse quando si crea l'app di Accesso rapido oppure tornare per aggiungerle o modificarle in un secondo momento.

È possibile aggiungere nomi di dominio completi (FQDN), indirizzi IP e intervalli di indirizzi IP. All'interno di ogni segmento di applicazione è possibile aggiungere più porte e intervalli di porte.

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

2. Passare a Global Secure Access Applications Quick Access (Accesso rapido alle applicazioni>di accesso> sicuro globale).

3. Selezionare Aggiungi segmento di applicazione Accesso rapido.

   

4. Nel pannello Crea segmento di applicazione che viene mostrato, selezionare un Tipo di destinazione.

   

5. Immettere i dettagli appropriati per il tipo di destinazione selezionato. I successivi campi cambieranno in base alla selezione.

   • Indirizzo IP:
     • Indirizzo protocollo IP versione 4 (IPv4), come ad esempio 192.0.2.1, che identifica un dispositivo in rete.
     • Specificare le porte da includere.
   • Nome di dominio completo (inclusi i nomi FQDN con caratteri jolly):
     • Nome di dominio che specifica la posizione esatta di un computer o di un host nel DNS (Domain Name System).
     • Specificare le porte da includere.
     • NetBIOS non è supportato. Usare, ad esempio, contoso.local/app1 invece di contoso/app1.
   • Intervallo di indirizzi IP (CIDR):
     • CIDR (Classless Inter-Domain Routing) rappresenta un intervallo di indirizzi IP. Un indirizzo IP è seguito da un suffisso che indica il numero di bit di rete nella subnet mask.
     • Ad esempio, 192.0.2.0/24 indica che i primi 24 bit dell'indirizzo IP rappresentano l'indirizzo di rete, mentre gli altri 8 bit rappresentano l'indirizzo host.
     • Specificare l'indirizzo iniziale, la maschera di rete e le porte.
   • Intervallo di indirizzi IP (da IP a IP):
     • Intervallo di indirizzi IP dall'indirizzo IP iniziale (ad esempio 192.0.2.1) all'indirizzo IP finale (ad esempio 192.0.2.10).
     • Specificare l'inizio, la fine e le porte dell'indirizzo IP.

6. Immettere le porte e selezionare il pulsante Applica.

   • Separare le diverse porte con una virgola.
   • Specificare gli intervalli di porte con un trattino.
   • Gli spazi tra i valori vengono rimossi quando si applicano le modifiche.
   • Ad esempio: 400-500, 80, 443.

   

   La tabella seguente indica le porte usate più di frequente e i protocolli di rete associati:

   Porta	Protocollo
   22	Secure Shell (SSH)
   80	Hypertext Transfer Protocol (HTTP)
   443	Hypertext Transfer Protocol Secure (HTTPS)
   445	Condivisione di file Server Message Block (SMB)
   3389	Remote Desktop Protocol (RDP)

7. Al termine, selezionare il pulsante Salva.

Nota

È possibile aggiungere fino a 500 segmenti di applicazioni all'app Accesso rapido.

Non sovrapporre FQDN, indirizzi IP e intervalli IP tra l'app Accesso rapido e le app di Accesso privato.

Aggiornare i segmenti di applicazione Accesso rapido

È possibile aggiungere o modificare i segmenti dell'applicazione al termine dell'installazione iniziale.

Da Accesso rapido alle applicazioni>di accesso> sicuro globale:

• Selezionare Aggiungi segmento di applicazione accesso rapido per aggiungere un FQDN o un indirizzo IP.
• Selezionare il segmento dell'applicazione da modificare nella colonna Tipo di destinazione.

Assegnare utenti e gruppi

Quando si configura l'Accesso rapido, viene creata una nuova app aziendale per conto dell'utente. È necessario concedere l'accesso all'app di accesso rapido creata assegnando utenti e/o gruppi all'app.

È possibile visualizzare le proprietà da Accesso rapido oppure passare ad Applicazioni aziendali e cercare l'app Accesso rapido.

1. Selezionare il pulsante Modifica impostazioni applicazione da Accesso rapido.

   

2. Selezionare Utenti e gruppi dal menu laterale.

3. Aggiungere utenti e gruppi in base alle esigenze.

   • Per altre informazioni, vedere Assegnazione di utenti e gruppi a un'applicazione.

Nota

Gli utenti devono essere assegnati direttamente all'app o al gruppo assegnato all'app. I gruppi annidati non sono supportati.

Collegamento dei criteri di Accesso condizionale

I criteri di Accesso condizionale possono essere applicati all'app Accesso rapido. L'applicazione dei criteri di Accesso condizionale offre altre opzioni per la gestione dell'accesso ad applicazioni, siti e servizi.

La creazione di un criterio di Accesso condizionale è descritta in dettaglio in Come creare criteri di Accesso condizionale per le app di Accesso privato.

Abilitare Accesso privato Microsoft Entra

Dopo aver configurato l'app Accesso rapido, le risorse private aggiunte, gli utenti assegnati all'app, è possibile abilitare il profilo di accesso privato dall'area Inoltro del traffico dell'Accesso globale sicuro. È possibile abilitare il profilo prima di configurare Accesso rapido, ma se non si configurano l’app e il profilo, non ci sarà traffico da inoltrare.

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
2. Passare a Accesso globale sicuro>Connessione>Inoltro del traffico.
3. Selezionare la casella di controllo per Profilo di accesso privato.

Passaggi successivi

Il passaggio successivo per iniziare a usare Accesso privato Microsoft Entra consiste nell’abilitare il profilo di inoltro del traffico di Accesso privato.

Per altre informazioni sull’Accesso privato, vedere gli articoli seguenti:

• Informazioni sui profili di traffico
• Configurare l'accesso per ogni app