Condividi tramite


Informazioni su come gestire il profilo di inoltro del traffico di accesso privato

Il profilo di inoltro del traffico di accesso privato instrada il traffico alla rete privata tramite il client di Accesso globale sicuro. L'abilitazione di questo profilo di inoltro del traffico consente ai lavoratori remoti di connettersi alle risorse interne senza una VPN. Con le funzionalità dell’Accesso privato Microsoft Entra, è possibile controllare per quali risorse private eseguire il tunneling attraverso il servizio e applicare criteri di Accesso condizionale per proteggere l'accesso a tali servizi. Dopo aver creato le configurazioni, è possibile visualizzare e gestire tutte queste configurazioni da un'unica posizione.

Prerequisiti

Per abilitare il profilo di inoltro dell'accesso privato per il tenant, è necessario disporre di:

Limitazioni note

  • Al momento, il traffico di Accesso privato può essere acquisito solo con il client di Accesso globale sicuro. Il traffico di Accesso privato non può essere acquisito da reti remote.
  • Il tunneling del traffico verso destinazioni di Accesso privato in base all'indirizzo IP è supportato solo per gli intervalli IP esterni alla subnet locale del dispositivo dell'utente finale.
  • È necessario disabilitare DNS su HTTPS (Secure DNS) per eseguire il tunneling del traffico di rete in base alle regole dei nomi di dominio completi (FQDN) nel profilo di inoltro del traffico.

Abilitare il profilo di inoltro del traffico di Accesso privato

  1. Accedere al Centro di amministrazione di Microsoft Entra come Amministratore di Accesso globale sicuro.
  2. Passare a Accesso globale sicuro>Connessione>Inoltro del traffico.
  3. Selezionare la casella di controllo per Profilo di accesso privato.

Screenshot della pagina di inoltro del traffico con il profilo di Accesso privato abilitato.

Criteri di accesso privato

Per abilitare il profilo di inoltro del traffico di Accesso privato, è consigliabile configurare prima l'Accesso rapido. Accesso rapido include gli indirizzi IP, gli intervalli IP e i nomi di dominio completi (FQDN) per le risorse private da includere nei criteri. Per altre informazioni, vedere Configurare l’Accesso rapido.

È anche possibile configurare l'accesso per app alle risorse private creando un'app di Accesso privato. Analogamente all'Accesso rapido, si crea una nuova app Aziendale, che può quindi essere assegnata al profilo di inoltro del traffico di Accesso privato. Accesso rapido contiene il gruppo principale di risorse private che si vuole sempre instradare attraverso il servizio. È possibile abilitare e disabilitare le app di Accesso privato in base alle esigenze senza influire sugli FQDN e sugli indirizzi IP inclusi in Accesso rapido.

Per gestire i dettagli inclusi nei criteri di inoltro del traffico dell’Accesso privato, selezionare il collegamento Visualizza per i Criteri di Accesso privato.

Screenshot del profilo di Accesso privato con il collegamento Visualizza applicazioni evidenziato.

Vengono visualizzati i dettagli dell'Accesso rapido e delle app aziendali per l'Accesso privato. Selezionare il collegamento per l'applicazione per visualizzare i dettagli nell'area Applicazioni aziendali di Microsoft Entra ID.

Screenshot dei dettagli dell'applicazione di accesso privato.

Criteri di accesso condizionale collegati

I criteri di Accesso condizionale per l'Accesso privato vengono configurati a livello di applicazione per ogni app. I criteri di Accesso condizionale possono essere creati e applicati all'applicazione da due posizioni:

  • Passare a Accesso globale sicuro>Applicazioni>Applicazioni aziendali. Selezionare un'applicazione e quindi selezionare Accesso condizionale dal menu laterale.
  • Passare a Protezione>Accesso condizionale>Criteri. Selezionare +Crea nuovo criterio.

Per altre informazioni, vedere Applicare criteri di accesso condizionale alle app di Accesso privato.

Assegnazioni di utenti e gruppi

È possibile definire l'ambito del profilo di Accesso privato a utenti e gruppi specifici. Gli utenti e i gruppi devono essere assegnati sia alle app di Accesso privato che al profilo di inoltro del traffico.

Per ulteriori informazioni sull'assegnazione di utenti e gruppi, vedere Come assegnare e gestire utenti e gruppi con profili di inoltro del traffico.

Passaggi successivi

Il passaggio successivo per iniziare a usare l’Accesso a Internet Microsoft Entra consiste nell’Installare e configurare il client di Accesso globale sicuro nei dispositivi degli utenti finali.

Per altre informazioni sull’Accesso privato, vedere gli articoli seguenti: