Share via


Come configurare l'accesso rapido per l'accesso sicuro globale

Con l'accesso sicuro globale è possibile definire specifici nomi di dominio completi (FQDN) o indirizzi IP delle risorse private da includere nel traffico per Accesso privato Microsoft Entra. I dipendenti dell'organizzazione possono quindi accedere alle app e ai siti specificati. Questo articolo descrive come configurare l'accesso rapido per Accesso privato Microsoft Entra.

Prerequisiti

Per configurare l'accesso rapido, è necessario disporre di:

  • I ruoli Global Secure Access Amministrazione istrator e Application Amministrazione istrator in Microsoft Entra ID.
  • L'anteprima richiede una licenza microsoft Entra ID P1. Se necessario, è possibile acquistare licenze o ottenere licenze di valutazione.

Per gestire i gruppi di connettori di rete privata Di Microsoft Entra, necessari per l'accesso rapido, è necessario disporre di:

  • Ruolo application Amministrazione istrator in Microsoft Entra ID
  • Licenze microsoft Entra ID P1 o P2

Limitazioni note

Evitare la sovrapposizione dei segmenti di app tra accesso rapido e accesso per app.

Il tunneling del traffico verso destinazioni di accesso privato in base all'indirizzo IP è supportato solo per gli intervalli IP esterni alla subnet locale del dispositivo dell'utente finale.

Al momento, il traffico di accesso privato può essere acquisito solo con il client Di accesso sicuro globale. Le reti remote non possono essere assegnate al profilo di inoltro del traffico di accesso privato.

Passaggi di livello elevato

La configurazione delle impostazioni di Accesso rapido è un componente principale per l'uso di Accesso privato Microsoft Entra. Quando si configura l'accesso rapido per la prima volta, l'accesso privato crea una nuova applicazione aziendale. Le proprietà di questa nuova app vengono configurate automaticamente per l'uso con Accesso privato.

Per configurare l'accesso rapido, è necessario disporre di un gruppo di connettori con almeno un connettore proxy dell'applicazione Microsoft Entra attivo. Il gruppo di connettori gestisce il traffico verso questa nuova applicazione. Dopo aver configurato l'accesso rapido e un gruppo di connettori di rete privata, è necessario concedere l'accesso all'app.

Per riepilogare, il processo complessivo è il seguente:

  1. Creare un gruppo di connettori con almeno un connettore di rete privata attivo.

    • Se si ha già un gruppo di connettori, assicurarsi di essere nella versione più recente.
  2. Configurare l'accesso rapido.

  3. Assegnare utenti e gruppi all'app.

  4. Configurare i criteri di accesso condizionale.

  5. Abilitare il profilo di inoltro del traffico di accesso privato.

Creare un gruppo di connettori di rete privata

Per configurare l'accesso rapido, è necessario disporre di un gruppo di connettori con almeno un connettore di rete privata attivo.

Se non è già stato configurato un gruppo di connettori, vedere Configurare i connettori per l'accesso rapido.

Nota

Se in precedenza è stato installato un connettore, reinstallarlo per ottenere la versione più recente. Durante l'aggiornamento, disinstallare il connettore esistente ed eliminare eventuali cartelle correlate.

La versione minima del connettore necessaria per l'accesso privato è 1.5.3417.0.

Configurare l'accesso rapido

Nella pagina Accesso rapido si specifica un nome per l'app Accesso rapido, si seleziona un gruppo di connettori e si aggiungono segmenti di applicazione, che includono FQDN e indirizzi IP. È possibile completare tutti e tre i passaggi contemporaneamente oppure aggiungere i segmenti dell'applicazione al termine dell'installazione iniziale.

Nome e gruppo di connettori

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra con i ruoli appropriati.

  2. Passare a Accesso sicuro globale (anteprima)>Accesso rapido alle applicazioni.>

  3. Immetti un nome. È consigliabile usare il nome Accesso rapido.

  4. Selezionare un gruppo di Connessione or dal menu a discesa. I gruppi di connettori esistenti vengono visualizzati nel menu a discesa.

    Screenshot del nome dell'app Accesso rapido.

  5. Selezionare il pulsante Salva nella parte inferiore della pagina per creare l'app "Accesso rapido" senza FQDN e indirizzi IP.

Aggiungere un segmento di applicazione accesso rapido

La parte aggiungi segmento di applicazione accesso rapido di questo processo è la posizione in cui si definiscono i nomi di dominio completo e gli indirizzi IP da includere nel traffico per Accesso privato Microsoft Entra. È possibile aggiungere queste risorse quando si crea l'app Di accesso rapido o si torna ad aggiungerle o modificarle in un secondo momento.

È possibile aggiungere nomi di dominio completi (FQDN), indirizzi IP e intervalli di indirizzi IP. All'interno di ogni segmento di applicazione è possibile aggiungere più porte e intervalli di porte.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Passare a Accesso sicuro globale (anteprima)>Accesso rapido alle applicazioni.>

  3. Selezionare Aggiungi segmento di applicazione Accesso rapido.

    Screenshot del pulsante Aggiungi segmento di applicazione Accesso rapido.

  4. Nel pannello Crea segmento di applicazione visualizzato selezionare un tipo di destinazione.

    Screenshot del pannello Crea segmento di app.

  5. Immettere i dettagli appropriati per il tipo di destinazione selezionato. A seconda di ciò che si seleziona, i campi successivi cambiano di conseguenza.

    • Indirizzo IP:
      • Indirizzo IPv4 (Internet Protocol versione 4), ad esempio 192.0.2.1, che identifica un dispositivo in rete.
      • Specificare le porte da includere.
    • Nome di dominio completo (inclusi FQDN con caratteri jolly):
      • Nome di dominio che specifica la posizione esatta di un computer o di un host nel DNS (Domain Name System).
      • Specificare le porte da includere.
      • NetBIOS non è supportato. Usare, ad esempio, contoso.local/app1 invece di contoso/app1.
    • Intervallo di indirizzi IP (CIDR):
      • CiDR (Classless Inter-Domain Routing) rappresenta un intervallo di indirizzi IP. Un indirizzo IP è seguito da un suffisso che indica il numero di bit di rete nella subnet mask.
      • Ad esempio, 192.0.2.0/24 indica che i primi 24 bit dell'indirizzo IP rappresentano l'indirizzo di rete, mentre gli altri 8 bit rappresentano l'indirizzo host.
      • Specificare l'indirizzo iniziale, la maschera di rete e le porte.
    • Intervallo di indirizzi IP (da IP a IP):
      • Intervallo di indirizzi IP dall'indirizzo IP iniziale (ad esempio 192.0.2.1) all'indirizzo IP finale (ad esempio 192.0.2.10).
      • Specificare l'inizio, la fine e le porte dell'indirizzo IP.
  6. Immettere le porte e selezionare il pulsante Applica .

    • Separare più porte con una virgola.
    • Specificare gli intervalli di porte con un trattino.
    • Gli spazi tra i valori vengono rimossi quando si applicano le modifiche.
    • Ad esempio: 400-500, 80, 443.

    Screenshot del pannello Crea segmento di app con più porte aggiunte.

    La tabella seguente fornisce le porte usate più di frequente e i protocolli di rete associati:

    Porta Protocollo
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Condivisione file SMB (Server Message Block)
    3389 Remote Desktop Protocol (RDP)
  7. Al termine, selezionare il pulsante Salva.

Nota

È possibile aggiungere fino a 500 segmenti di applicazioni all'app Accesso rapido.

Non sovrapporre FQDN, indirizzi IP e intervalli IP tra l'app accesso rapido e le app di accesso privato.

Aggiornare i segmenti dell'applicazione accesso rapido

È possibile aggiungere o modificare i segmenti dell'applicazione al termine dell'installazione iniziale.

Da Accesso sicuro globale (anteprima)>Accesso rapido alle applicazioni:>

  • Selezionare Aggiungi segmento di applicazione Accesso rapido per aggiungere un nome di dominio completo o un indirizzo IP.
  • Selezionare il segmento dell'applicazione da modificare nella colonna Tipo di destinazione.

Assegnare utenti e gruppi

Quando si configura l'accesso rapido, viene creata una nuova app aziendale per conto dell'utente. È necessario concedere l'accesso all'app di accesso rapido creata assegnando utenti e/o gruppi all'app.

È possibile visualizzare le proprietà da Accesso rapido o passare alle applicazioni aziendali e cercare l'app accesso rapido.

  1. Selezionare il pulsante Modifica impostazioni applicazione da Accesso rapido.

    Screenshot del pulsante Modifica impostazioni applicazione.

  2. Selezionare Utenti e gruppi dal menu laterale.

  3. Aggiungere utenti e gruppi in base alle esigenze.

Nota

Gli utenti devono essere assegnati direttamente all'app o al gruppo assegnato all'app. I gruppi annidati non sono supportati.

I criteri di accesso condizionale possono essere applicati all'app Accesso rapido. L'applicazione dei criteri di accesso condizionale offre altre opzioni per la gestione dell'accesso ad applicazioni, siti e servizi.

La creazione di un criterio di accesso condizionale è descritta in dettaglio in Come creare criteri di accesso condizionale per le app di accesso privato.

Abilitare Accesso privato Microsoft Entra

Dopo aver configurato l'app Accesso rapido, le risorse private aggiunte, gli utenti assegnati all'app, è possibile abilitare il profilo di accesso privato dall'area Inoltro traffico di Accesso sicuro globale. È possibile abilitare il profilo prima di configurare l'accesso rapido, ma senza l'app e il profilo configurati, non è previsto alcun traffico da inoltrare.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
  2. Passare a Accesso sicuro globale (anteprima)>Connessione> Forwardingtraffic.
  3. Selezionare la casella di controllo Profilo di accesso privato.

Screenshot della pagina di inoltro del traffico con il profilo di accesso privato abilitato.

Condizioni per l’Utilizzo

L'uso delle Accesso privato Microsoft Entra e delle Accesso a Internet Microsoft Entra esperienze e funzionalità di anteprima è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali sono stati ottenuti i servizi. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy ridotti o diversi, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nel componente aggiuntivo per la protezione dei dati dei prodotti e servizi Microsoft ("DPA") e qualsiasi altro avviso fornito con l'anteprima.

Passaggi successivi

Il passaggio successivo per iniziare a usare Accesso privato Microsoft Entra consiste nell'abilitare il profilo di inoltro del traffico di accesso privato.

Per altre informazioni sull'accesso privato, vedere gli articoli seguenti: