Share via

Toegang per app configureren met behulp van global Secure Access-toepassingen

  • Artikel

Microsoft Entra-privétoegang biedt veilige toegang tot de interne resources van uw organisatie. U maakt een globale Secure Access-toepassing en geeft de interne, persoonlijke resources op die u wilt beveiligen. Door een globale Secure Access-toepassing te configureren, maakt u per app toegang tot uw interne resources. Globale Secure Access-toepassing biedt een gedetailleerdere mogelijkheid om te beheren hoe de resources per app worden geopend.

In dit artikel wordt beschreven hoe u Toegang per app configureert met behulp van globale Secure Access-toepassingen.

Vereisten

Als u een global Secure Access-app wilt configureren, moet u het volgende hebben:

  • De rollen Global Secure Access Beheer istrator en Application Beheer istrator in Microsoft Entra ID
  • Voor de preview is een Licentie voor Microsoft Entra ID P1 vereist. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

Voor het beheren van Microsoft Entra-connectorgroepen voor privénetwerken, die vereist zijn voor global Secure Access-apps, hebt u het volgende nodig:

  • Een rol van toepassings-Beheer istrator in Microsoft Entra-id
  • Microsoft Entra ID P1- of P2-licenties

Bekende beperkingen

  • Vermijd overlappende app-segmenten tussen Quick Access- en Global Secure Access-apps.
  • Tunneling van verkeer naar privétoegangsbestemmingen per IP-adres wordt alleen ondersteund voor IP-bereiken buiten het lokale subnet van het apparaat van de eindgebruiker.
  • Op dit moment kan privétoegang alleen worden verkregen met de Global Secure Access-client. Externe netwerken kunnen niet worden toegewezen aan het profiel voor het doorsturen van privétoegangsverkeer.

Stappen op hoog niveau

Toegang per app wordt geconfigureerd door een nieuwe global Secure Access-app te maken. U maakt de app, selecteert een connectorgroep en voegt netwerktoegangssegmenten toe. Deze instellingen vormen de afzonderlijke app waaraan u gebruikers en groepen kunt toewijzen.

Als u Toegang per app wilt configureren, moet u een connectorgroep hebben met ten minste één actieve Microsoft Entra-toepassingsproxyconnector . Deze connectorgroep verwerkt het verkeer naar deze nieuwe toepassing. Met Verbinding maken ors kunt u apps per netwerk en connector isoleren.

Samenvattend is het algehele proces als volgt:

  1. Maak een connectorgroep met ten minste één actieve privénetwerkconnector.

    • Als u al een connectorgroep hebt, controleert u of u de nieuwste versie hebt.

  2. Een globale Secure Access-app maken.

  3. Gebruikers en groepen toewijzen aan de app.

  4. Beleid voor voorwaardelijke toegang configureren.

  5. Schakel Microsoft Entra-privétoegang in.

Een privénetwerkconnectorgroep maken

Als u een Global Secure Access-app wilt configureren, moet u een connectorgroep hebben met ten minste één actieve privénetwerkconnector.

Zie Connectors configureren als u nog geen connector hebt ingesteld.

Notitie

Als u eerder een connector hebt geïnstalleerd, installeert u deze opnieuw om de nieuwste versie op te halen. Wanneer u een upgrade uitvoert, verwijdert u de bestaande connector en verwijdert u alle gerelateerde mappen.

De minimale versie van de connector die is vereist voor Privétoegang is 1.5.3417.0.

Een globale Secure Access-toepassing maken

Als u een nieuwe app wilt maken, geeft u een naam op, selecteert u een connectorgroep en voegt u vervolgens toepassingssegmenten toe. App-segmenten bevatten de FQDN's (Fully Qualified Domain Names) en IP-adressen die u via de service wilt tunnelen. U kunt alle drie de stappen tegelijk uitvoeren of u kunt ze toevoegen nadat de eerste installatie is voltooid.

Naam en connectorgroep kiezen

  1. Meld u aan bij het Microsoft Entra-beheercentrum met de juiste rollen.

  2. Blader naar Algemene Secure Access -toepassingen (preview)>Bedrijfstoepassingen.>

  3. Selecteer Nieuwe toepassing.

    Schermopname van de knop Enterprise-apps en de knop Nieuwe toepassing toevoegen.

  4. Voer een naam voor de app in.

  5. Selecteer een Verbinding maken orgroep in de vervolgkeuzelijst.

    • Bestaande connectorgroepen worden weergegeven in de vervolgkeuzelijst.

  6. Selecteer de knop Opslaan onder aan de pagina om uw app te maken zonder persoonlijke resources toe te voegen.

Toepassingssegment toevoegen

In het proces Toepassingssegment toevoegen definieert u de FQDN's en IP-adressen die u wilt opnemen in het verkeer voor de global Secure Access-app. U kunt sites toevoegen wanneer u de app maakt en terugkeren om meer toe te voegen of later te bewerken.

U kunt volledig gekwalificeerde domeinnamen (FQDN), IP-adressen en IP-adresbereiken toevoegen. Binnen elk toepassingssegment kunt u meerdere poorten en poortbereiken toevoegen.

  1. Meld u aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar Algemene Secure Access -toepassingen (preview)>Bedrijfstoepassingen.>

  3. Selecteer Nieuwe toepassing.

  4. Selecteer Toepassingssegment toevoegen.

    Schermopname van de knop Toepassingssegment toevoegen.

  5. Selecteer een doeltype in het deelvenster Toepassingssegment maken dat wordt geopend.

    Schermopname van het deelvenster App-segment maken.

  6. Voer de juiste gegevens in voor het geselecteerde doeltype. Afhankelijk van wat u selecteert, worden de volgende velden dienovereenkomstig gewijzigd.

    • IP-adres:
      • IPv4-adres (Internet Protocol versie 4), zoals 192.0.2.1, waarmee een apparaat in het netwerk wordt geïdentificeerd.
      • Geef de poorten op die u wilt opnemen.
    • Fully Qualified Domain Name (inclusief FQDN's met jokertekens):
      • Domeinnaam die de exacte locatie van een computer of host opgeeft in het DNS (Domain Name System).
      • Geef de poorten op die u wilt opnemen.
      • NetBIOS wordt niet ondersteund. Gebruik bijvoorbeeld contoso.local/app1 in plaats van contoso/app1.
    • IP-adresbereik (CIDR):
      • Classless Inter-Domain Routing is een manier om een bereik van IP-adressen weer te geven waarin een IP-adres wordt gevolgd door een achtervoegsel dat het aantal netwerk bits in het subnetmasker aangeeft.
      • Bijvoorbeeld 192.0.2.0/24 geeft aan dat de eerste 24 bits van het IP-adres het netwerkadres vertegenwoordigen, terwijl de resterende 8 bits het hostadres vertegenwoordigen.
      • Geef het beginadres, het netwerkmasker en de poorten op.
    • IP-adresbereik (IP-naar-IP):
      • Bereik van IP-adressen vanaf begin-IP (zoals 192.0.2.1) tot eind-IP (zoals 192.0.2.10).
      • Geef het begin, einde en poorten van het IP-adres op.

  7. Voer de poorten in en selecteer de knop Toepassen .

    • Scheid meerdere poorten met een komma.
    • Geef poortbereiken op met een afbreekstreepje.
    • Spaties tussen waarden worden verwijderd wanneer u de wijzigingen toepast.
    • Bijvoorbeeld: 400-500, 80, 443.

    Schermopname van het deelvenster App-segment maken met meerdere poorten toegevoegd.

    De volgende tabel bevat de meest gebruikte poorten en de bijbehorende netwerkprotocollen:

    Poort Protocol
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 SMB-bestandsdeling (Server Message Block)
    3389 Remote Desktop Protocol (RDP)

  8. Selecteer de knop Opslaan wanneer u klaar bent.

Notitie

U kunt maximaal 500 toepassingssegmenten toevoegen aan uw app.

Overlap geen FQDN's, IP-adressen en IP-bereiken tussen uw Quick Access-app en eventuele Private Access-apps.

Gebruikers en groepen toewijzen

U moet toegang verlenen tot de app die u hebt gemaakt door gebruikers en/of groepen toe te wijzen aan de app. Zie Gebruikers en groepen toewijzen aan een toepassing voor meer informatie.

  1. Meld u aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Algemene Secure Access -toepassingen (preview)>Bedrijfstoepassingen.>
  3. Zoek en selecteer uw toepassing.
  4. Selecteer Gebruikers en groepen in het zijmenu.
  5. Voeg indien nodig gebruikers en groepen toe.

Notitie

Gebruikers moeten rechtstreeks zijn toegewezen aan de app of aan de groep die aan de app is toegewezen. Geneste groepen worden niet ondersteund.

Toepassingssegmenten bijwerken

U kunt de FQDN's en IP-adressen die in uw app zijn opgenomen, op elk gewenst moment toevoegen of bijwerken.

  1. Meld u aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Algemene Secure Access -toepassingen (preview)>Bedrijfstoepassingen.>
  3. Zoek en selecteer uw toepassing.
  4. Selecteer eigenschappen voor netwerktoegang in het zijmenu.
    • Als u een nieuwe FQDN- of IP-adres wilt toevoegen, selecteert u Toepassingssegment toevoegen.
    • Als u een bestaande app wilt bewerken, selecteert u deze in de kolom Doeltype .

Toegang met de global Secure Access-client in- of uitschakelen

U kunt de toegang tot de global Secure Access-app in- of uitschakelen met behulp van de global Secure Access-client. Deze optie is standaard geselecteerd, maar kan worden uitgeschakeld, zodat de FQDN's en IP-adressen in de app-segmenten niet worden getunneld via de service.

Schermopname van het selectievakje Toegang inschakelen.

Beleid voor voorwaardelijke toegang toewijzen

Beleid voor voorwaardelijke toegang voor toegang per app wordt geconfigureerd op toepassingsniveau voor elke app. Beleidsregels voor voorwaardelijke toegang kunnen worden gemaakt en toegepast op de toepassing vanaf twee locaties:

  • Ga naar Globale Beveiligde toegang (preview)>Bedrijfstoepassingen.> Selecteer een toepassing en selecteer vervolgens Voorwaardelijke toegang in het zijmenu.
  • Ga naar Het beleid voor voorwaardelijke toegang>voor beveiliging.> Selecteer + Nieuw beleid maken.

Zie Beleid voor voorwaardelijke toegang toepassen op privétoegang-apps voor meer informatie.

Microsoft Entra-privétoegang inschakelen

Zodra uw app is geconfigureerd, kunt u het profiel voor het doorsturen van privéverkeer inschakelen door uw persoonlijke resources, gebruikers die zijn toegewezen aan de app. U kunt het profiel inschakelen voordat u een Global Secure Access-app configureert, maar zonder de app en het profiel dat is geconfigureerd, is er geen verkeer om door te sturen.

  1. Meld u aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Global Secure Access (preview)>Verbinding maken> Traffic forwarding.
  3. Schakel het selectievakje in voor privétoegangsprofiel.

Schermopname van de pagina voor het doorsturen van verkeer met het profiel Voor privétoegang ingeschakeld.

Gebruiksvoorwaarden

Uw gebruik van de Microsoft Entra-privétoegang en Microsoft Entra-internettoegang preview-ervaringen en -functies is onderhevig aan de voorwaarden van de online online servicevoorwaarden van de overeenkomst(en) waaronder u de services hebt verkregen. Previews kunnen onderhevig zijn aan verminderde of andere verplichtingen op het gebied van beveiliging, naleving en privacy, zoals verder wordt uitgelegd in de universele licentievoorwaarden voor onlineservices en de Microsoft-gegevensbeschermingstoevoeging ('DPA') en eventuele andere kennisgevingen die bij de preview worden geleverd.

Volgende stappen

De volgende stap voor het aan de slag gaan met Microsoft Entra-privétoegang is het doorsturen van privétoegangsprofiel inschakelen.

Zie de volgende artikelen voor meer informatie over Privétoegang: