Snelle toegang configureren voor Wereldwijde Beveiligde Toegang

Met Global Secure Access kunt u specifieke FQDN's (Fully Qualified Domain Names) of IP-adressen van privébronnen definiëren die moeten worden opgenomen in het verkeer voor Microsoft Entra-privétoegang. De werknemers van uw organisatie hebben vervolgens toegang tot de apps en sites die u opgeeft. In dit artikel wordt beschreven hoe u Snelle toegang configureert voor Microsoft Entra-privétoegang.

Vereisten

Als u Snelle toegang wilt configureren, hebt u het volgende nodig:

• De rollen Globale Secure Access Administrator en Toepassingsbeheerder in Microsoft Entra ID.
• Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

Voor het beheren van Microsoft Entra-connectorgroepen voor privénetwerken, die vereist zijn voor Snelle toegang, moet u beschikken over:

• Een rol van toepassingsbeheerder in Microsoft Entra-id
• Microsoft Entra ID P1- of P2-licenties

Bekende beperkingen

Vermijd overlappende app-segmenten tussen Snelle toegang en toegang per app.

Tunneling van verkeer naar privétoegangsbestemmingen per IP-adres wordt alleen ondersteund voor IP-bereiken buiten het lokale subnet van het apparaat van de eindgebruiker.

Op dit moment kan privétoegangsverkeer alleen worden verkregen met de Global Secure Access-client. Externe netwerken kunnen niet worden toegewezen aan het privétoegangsprofiel voor het doorsturen van verkeer.

De GSA-client maakt NRPT-beleid voor het routeren van DNS-query's voor Privé-DNS achtervoegsels via de tunnel. In sommige gevallen kan het NRPT-beleid niet worden gemaakt. Controleer het gebruik van Get-DNSClientNRPTPolicy. Dit gebeurt vanwege een onjuist ingedeeld groepsbeleidsobject dat NRPT-instellingen toepast. Gebruik dit script om het offendingsbeleid te identificeren en te verwijderen nadat u de relevante instellingen naar andere beleidsregels hebt verplaatst. Bewerk het script en wijzig de variabelen volgens uw omgeving. https://github.com/microsoft/GlobalSecureAccess/blob/main/website/content/FindDNSNRPTGPO.ps1

Stappen op hoog niveau

Het configureren van uw instellingen voor Snelle toegang is een belangrijk onderdeel voor het gebruik van Microsoft Entra-privétoegang. Wanneer u Snelle toegang voor de eerste keer configureert, maakt Private Access een nieuwe bedrijfstoepassing. De eigenschappen van deze nieuwe app worden automatisch geconfigureerd voor gebruik met privétoegang.

Als u Snelle toegang wilt configureren, moet u een connectorgroep hebben met ten minste één actieve Microsoft Entra-toepassingsproxyconnector . De connectorgroep verwerkt het verkeer naar deze nieuwe toepassing. Zodra snelle toegang en een connectorgroep voor privénetwerken zijn geconfigureerd, moet u toegang verlenen tot de app.

Samenvattend is het algehele proces als volgt:

1. Maak een connectorgroep met ten minste één actieve privénetwerkconnector.
2. Snelle toegang configureren.
3. Gebruikers en groepen toewijzen aan de app.
4. Beleid voor voorwaardelijke toegang configureren.
5. Schakel het profiel voor het doorsturen van privétoegangsverkeer in.

Een privénetwerkconnectorgroep maken

Als u Snelle toegang wilt configureren, moet u een connectorgroep hebben met ten minste één actieve privénetwerkconnector.

Zie Connectors configureren voor Snelle toegang als u nog geen connectorgroep hebt ingesteld.

Notitie

Als u eerder een connector hebt geïnstalleerd, installeert u deze opnieuw om de nieuwste versie op te halen. Wanneer u een upgrade uitvoert, verwijdert u de bestaande connector en verwijdert u alle gerelateerde mappen.

De minimale versie van de connector die is vereist voor Privétoegang is 1.5.3417.0.

Snelle toegang configureren

Op de pagina Snelle toegang geeft u een naam op voor de app Snelle toegang, selecteert u een connectorgroep en voegt u toepassingssegmenten toe, waaronder FQDN's en IP-adressen. U kunt alle drie de stappen tegelijk uitvoeren of u kunt de toepassingssegmenten toevoegen nadat de eerste installatie is voltooid.

Naam en connectorgroep

1. Meld u aan bij het Microsoft Entra-beheercentrum met de juiste rollen.
2. Blader naar globale beveiligde toegangstoepassingen>>voor snelle toegang.
3. Voer een naam in. U wordt aangeraden de naam Snelle toegang te gebruiken.
4. Selecteer een connectorgroep in de vervolgkeuzelijst.
5. Selecteer Opslaan om uw app Snelle toegang te maken zonder FQDN's, IP-adressen en privé-DNS-achtervoegsels.

Toepassingssegment Snelle toegang toevoegen

U definieert de FQDN's en IP-adressen die moeten worden opgenomen wanneer u een toepassingssegment snelle toegang toevoegt. U voegt deze resources toe wanneer u de App Snelle toegang maakt of bijwerkt.

U kunt volledig gekwalificeerde domeinnamen (FQDN), IP-adressen en IP-adresbereiken toevoegen. Binnen elk toepassingssegment kunt u meerdere poorten en poortbereiken toevoegen.

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Globale Secure Access-toepassingen>>voor snelle toegang.

3. Selecteer Het toepassingssegment Snelle toegang toevoegen.

4. Selecteer een doeltype in het deelvenster Toepassingssegment maken dat wordt geopend.

5. Voer de juiste gegevens in voor het geselecteerde doeltype. Afhankelijk van wat u selecteert, worden de volgende velden dienovereenkomstig gewijzigd.

   • IP-adres:
     • IPv4-adres (Internet Protocol versie 4), zoals 192.168.2.1, waarmee een apparaat in het netwerk wordt geïdentificeerd.
     • Geef de poorten op die u wilt opnemen.
   • Fully Qualified Domain Name (inclusief FQDN's met jokertekens):
     • Domeinnaam die de exacte locatie van een computer of host opgeeft in het DNS (Domain Name System).
     • Geef de poorten op die moeten worden opgenomen.
     • NetBIOS wordt niet ondersteund. Gebruik bijvoorbeeld contoso.local/app1 in plaats van contoso/app1.
   • IP-adresbereik (CIDR):
     • Classless Inter-Domain Routing (CIDR) vertegenwoordigt een bereik van IP-adressen. Een IP-adres wordt gevolgd door een achtervoegsel dat het aantal netwerk-bits in het subnetmasker aangeeft.
     • 192.168.2.0/24 geeft bijvoorbeeld aan dat de eerste 24 bits van het IP-adres het netwerkadres vertegenwoordigen, terwijl de resterende 8 bits het hostadres vertegenwoordigen.
     • Geef het beginadres, het netwerkmasker en de poorten op.
   • IP-adresbereik (IP-naar-IP):
     • Bereik van IP-adressen vanaf begin-IP (zoals 192.168.2.1) tot eind-IP (zoals 192.168.2.10).
     • Geef het begin, einde en poorten van het IP-adres op.

6. Voer de poorten en het protocol in en selecteer Toepassen.

   • Scheid meerdere poorten met een komma.
   • Geef poortbereiken op met een afbreekstreepje.
   • Spaties tussen waarden worden verwijderd wanneer u de wijzigingen toepast.
   • Bijvoorbeeld: 400-500, 80, 443.

   

   De volgende tabel bevat de meest gebruikte poorten en de bijbehorende netwerkprotocollen:

   Poort	Protocol
   22	Secure Shell (SSH)
   80	Hypertext Transfer Protocol (HTTP)
   443	Hypertext Transfer Protocol Secure (HTTPS)
   445	SMB-bestandsdeling (Server Message Block)
   3389	Remote Desktop Protocol (RDP)

7. Selecteer Opslaan als u gereed bent.

Notitie

U kunt maximaal 500 toepassingssegmenten toevoegen aan uw Quick Access-app.

Overlap geen FQDN's, IP-adressen en IP-bereiken tussen uw Quick Access-app en eventuele Private Access-apps.

Privé-DNS-achtervoegsels toevoegen

Privé-DNS ondersteuning voor Microsoft Entra-privétoegang kunt u query's uitvoeren op uw eigen interne DNS-servers om IP-adressen voor interne domeinnamen op te lossen. Laten we een voorbeeld bekijken. Stel dat u een intern IP-bereik hebt van 10.8.0.0 tot 10.8.255.255. U configureert dit bereik in de definitie van de toepassing Snelle toegang. U wilt dat gebruikers toegang krijgen tot een webtoepassing die reageert op IP 10.8.0.5 wanneer ze hun webbrowser typen https://benefits . Maar u wilt geen FQDN configureren voor de toepassing. Met Privé-DNS configureert u een bijbehorend DNS-achtervoegsel zodat de global Secure Access-client weet hoe de aanvraag correct moet worden gerouteerd.

Daarnaast kunt u eenmalige aanmelding (SSO) bieden voor Kerberos-resources door Kerberos-verificatie te configureren voor domeincontrollers met behulp van Privé-DNS. Zie Kerberos gebruiken voor eenmalige aanmelding (SSO) voor meer informatie over het maken van een SSO-ervaring voor uw resources met Microsoft Entra-privétoegang.

Voeg een DNS-achtervoegsel toe dat moet worden gebruikt voor privé-DNS.

1. Selecteer Privé-DNS tabblad.
2. Schakel het selectievakje in om privé-DNS in te schakelen.
3. Selecteer DNS-achtervoegsel toevoegen.
4. Voer het DNS-achtervoegsel in en selecteer Vervolgens Toevoegen.

Gebruikers en groepen toewijzen

Wanneer u Snelle toegang configureert, wordt namens u een nieuwe bedrijfs-app gemaakt. U moet toegang verlenen tot de app Snelle toegang die u hebt gemaakt door gebruikers en/of groepen toe te wijzen aan de app.

U kunt de eigenschappen bekijken vanuit Snelle toegang of naar Bedrijfstoepassingen navigeren en zoeken naar uw App Snelle toegang.

Tip

Als u een app wilt zoeken op de pagina Bedrijfstoepassingen , wist u alle filters zodat u de app die u zoekt niet filtert.

1. Selecteer Toepassingsinstellingen bewerken in Snelle toegang.

   

2. Selecteer Gebruikers en groepen in het zijmenu.

3. Voeg indien nodig gebruikers en groepen toe.

   • Zie Gebruikers en groepen toewijzen aan een toepassing voor meer informatie.

Notitie

Gebruikers moeten rechtstreeks zijn toegewezen aan de app of aan de groep die aan de app is toegewezen. Geneste groepen worden niet ondersteund.

Beleid voor voorwaardelijke toegang koppelen

Beleid voor voorwaardelijke toegang kan worden toegepast op uw app Snelle toegang. Het toepassen van beleid voor voorwaardelijke toegang biedt meer opties voor het beheren van toegang tot toepassingen, sites en services.

Het maken van beleid voor voorwaardelijke toegang wordt uitgebreid besproken in Het maken van een beleid voor voorwaardelijke toegang voor privétoegang-apps.

Microsoft Entra-privétoegang inschakelen

Zodra uw Quick Access-app is geconfigureerd, kunt u het profiel voor privétoegang inschakelen vanuit het gebied Verkeer doorsturen van Global Secure Access. U kunt het profiel inschakelen voordat u Snelle toegang configureert, maar zonder dat de app en het profiel zijn geconfigureerd, is er geen verkeer om door te sturen. Zie Het profiel voor het doorsturen van privétoegangsverkeer beheren voor meer informatie over het inschakelen van het profiel voor het doorsturen van privétoegangsverkeer.

Volgende stappen

• Meer informatie over verkeersprofielen
• Toegang per app configureren