Come gestire il profilo di inoltro del traffico di accesso privato

Il profilo di inoltro del traffico di accesso privato instrada il traffico alla rete privata tramite il client di accesso sicuro globale. L'abilitazione di questo profilo di inoltro del traffico consente ai lavoratori remoti di connettersi alle risorse interne senza una VPN. Con le funzionalità di Accesso privato Microsoft Entra, è possibile controllare quali risorse private eseguire il tunneling attraverso il servizio e applicare i criteri di accesso condizionale per proteggere l'accesso a tali servizi. Dopo aver creato le configurazioni, è possibile visualizzare e gestire tutte queste configurazioni da un'unica posizione.

Prerequisiti

Per abilitare il profilo di inoltro del traffico di Microsoft 365 per il tenant, è necessario disporre di:

  • Un ruolo di accesso sicuro globale Amministrazione istrator in Microsoft Entra ID
  • L'anteprima richiede una licenza microsoft Entra ID P1. Se necessario, è possibile acquistare licenze o ottenere licenze di valutazione.

Limitazioni note

  • Al momento, il traffico di accesso privato può essere acquisito solo con il client di accesso sicuro globale. Il traffico di accesso privato non può essere acquisito da reti remote.
  • Il tunneling del traffico verso destinazioni di accesso privato in base all'indirizzo IP è supportato solo per gli intervalli IP esterni alla subnet locale del dispositivo dell'utente finale.
  • È necessario disabilitare DNS su HTTPS (Secure DNS) per eseguire il tunneling del traffico di rete in base alle regole dei nomi di dominio completi (FQDN) nel profilo di inoltro del traffico.

Abilitare il profilo di inoltro del traffico di accesso privato

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
  2. Passare a Accesso sicuro globale (anteprima)>Connessione> Forwardingtraffic.
  3. Selezionare la casella di controllo profilo accesso privato.

Screenshot of the traffic forwarding page with the Private access profile enabled.

Criteri di accesso privato

Per abilitare il profilo di inoltro del traffico di accesso privato, è consigliabile configurare prima l'accesso rapido. Accesso rapido include gli indirizzi IP, gli intervalli IP e i nomi di dominio completi (FQDN) per le risorse private da includere nei criteri. Per altre informazioni, vedere Configurare l'accesso rapido.

È anche possibile configurare l'accesso per app alle risorse private creando un'app di accesso privato. Analogamente all'accesso rapido, si crea una nuova app Aziendale, che può quindi essere assegnata al profilo di inoltro del traffico di accesso privato. Accesso rapido contiene il gruppo principale di risorse private che si vuole sempre instradare attraverso il servizio. Le app di accesso privato possono essere abilitate e disabilitate in base alle esigenze senza influire sugli FQDN e sugli indirizzi IP inclusi in Accesso rapido.

Per gestire i dettagli inclusi nei criteri di inoltro del traffico di accesso privato, selezionare il collegamento Visualizza per Criteri di accesso privato.

Screenshot of the Private access profile, with the view applications link highlighted.

Vengono visualizzati i dettagli dell'accesso rapido e delle app aziendali per l'accesso privato. Selezionare il collegamento per l'applicazione per visualizzare i dettagli nell'area Applicazioni aziendali di Microsoft Entra ID.

Screenshot of the private access application details.

Criteri di accesso condizionale collegati

I criteri di accesso condizionale per l'accesso privato vengono configurati a livello di applicazione per ogni app. I criteri di accesso condizionale possono essere creati e applicati all'applicazione da due posizioni:

  • Passare a Global Secure Access (anteprima)>Applicazioni>aziendali. Selezionare un'applicazione e quindi selezionare Accesso condizionale dal menu laterale.
  • Passare a Protezione>dei criteri di accesso> condizionale. Selezionare +Crea nuovo criterio.

Per altre informazioni, vedere Applicare criteri di accesso condizionale alle app di accesso privato.

Modificare un criterio di accesso condizionale esistente

  1. Selezionare il collegamento Visualizza per i criteri di accesso condizionale collegato.
  2. Selezionare un criterio dall'elenco. Dettagli dei criteri aperti in Accesso condizionale.

Condizioni per l'utilizzo

L'uso delle Accesso privato Microsoft Entra e delle Accesso a Internet Microsoft Entra esperienze e funzionalità di anteprima è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali sono stati ottenuti i servizi. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy ridotti o diversi, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nel componente aggiuntivo per la protezione dei dati dei prodotti e servizi Microsoft ("DPA") e qualsiasi altro avviso fornito con l'anteprima.

Passaggi successivi

Il passaggio successivo per iniziare a usare Accesso a Internet Microsoft Entra consiste nell'installare e configurare il client di accesso sicuro globale nei dispositivi degli utenti finali.

Per altre informazioni sull'accesso privato, vedere gli articoli seguenti: