Udostępnij za pośrednictwem

Jak skonfigurować dostęp dla aplikacji przy użyciu aplikacji globalnego bezpiecznego dostępu

  • Artykuł

Dostęp Prywatny Microsoft Entra zapewnia bezpieczny dostęp do zasobów wewnętrznych organizacji. Tworzysz aplikację globalnego bezpiecznego dostępu i określasz wewnętrzne, prywatne zasoby, które chcesz zabezpieczyć. Konfigurując globalną aplikację bezpiecznego dostępu, tworzysz dostęp dla aplikacji do zasobów wewnętrznych. Globalna aplikacja bezpiecznego dostępu zapewnia bardziej szczegółową możliwość zarządzania sposobem uzyskiwania dostępu do zasobów dla poszczególnych aplikacji.

W tym artykule opisano sposób konfigurowania dostępu dla aplikacji przy użyciu globalnych aplikacji bezpiecznego dostępu.

Wymagania wstępne

Aby skonfigurować globalną aplikację bezpiecznego dostępu, musisz mieć następujące elementy:

Aby zarządzać grupami łączników sieci prywatnej firmy Microsoft Entra, która jest wymagana dla aplikacji Global Secure Access, musisz mieć następujące elementy:

  • Rola administratora aplikacji w identyfikatorze Entra firmy Microsoft
  • Licencje microsoft Entra ID P1 lub P2

Znane ograniczenia

  • Unikaj nakładających się segmentów aplikacji między aplikacjami Szybki dostęp i Global Secure Access.
  • Tunelowanie ruchu do miejsc docelowych dostępu prywatnego według adresu IP jest obsługiwane tylko w przypadku zakresów adresów IP spoza podsieci lokalnej urządzenia użytkownika końcowego.
  • W tej chwili ruch dostępu prywatnego można uzyskać tylko za pomocą klienta globalnego bezpiecznego dostępu. Nie można przypisać sieci zdalnych do profilu przekazywania ruchu prywatnego.

Kroki ogólne

Dostęp do aplikacji jest konfigurowany przez utworzenie nowej globalnej aplikacji bezpiecznego dostępu. Utworzysz aplikację, wybierz grupę łączników i dodasz segmenty dostępu do sieci. Te ustawienia tworzą pojedynczą aplikację, do której można przypisać użytkowników i grupy.

Aby skonfigurować dostęp do aplikacji, musisz mieć grupę łączników z co najmniej jednym aktywnym łącznikiem serwera proxy aplikacji Firmy Microsoft Entra. Ta grupa łączników obsługuje ruch do tej nowej aplikacji. Za pomocą łączników można izolować aplikacje dla sieci i łącznika.

Podsumowując, ogólny proces wygląda następująco:

  1. Utwórz grupę łączników z co najmniej jednym aktywnym łącznikiem sieci prywatnej.

    • Jeśli masz już grupę łączników, upewnij się, że korzystasz z najnowszej wersji.

  2. Utwórz globalną aplikację bezpiecznego dostępu.

  3. Przypisz użytkowników i grupy do aplikacji.

  4. Konfigurowanie zasad dostępu warunkowego.

  5. Włącz Dostęp Prywatny Microsoft Entra.

Tworzenie grupy łączników sieci prywatnej

Aby skonfigurować aplikację Global Secure Access, musisz mieć grupę łączników z co najmniej jednym aktywnym łącznikiem sieci prywatnej.

Jeśli nie masz jeszcze skonfigurowanego łącznika, zobacz Konfigurowanie łączników.

Uwaga

Jeśli wcześniej zainstalowano łącznik, zainstaluj go ponownie, aby uzyskać najnowszą wersję. Podczas uaktualniania odinstaluj istniejący łącznik i usuń wszystkie powiązane foldery.

Minimalna wersja łącznika wymagana dla dostępu prywatnego to 1.5.3417.0.

Tworzenie globalnej aplikacji bezpiecznego dostępu

Aby utworzyć nową aplikację, podaj nazwę, wybierz grupę łączników, a następnie dodaj segmenty aplikacji. Segmenty aplikacji obejmują w pełni kwalifikowane nazwy domen (FQDN) i adresy IP, które chcesz tunelować za pośrednictwem usługi. Możesz wykonać wszystkie trzy kroki w tym samym czasie lub dodać je po zakończeniu początkowej konfiguracji.

Wybieranie nazwy i grupy łączników

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra przy użyciu odpowiednich ról.

  2. Przejdź do aplikacji globalnych bezpiecznego dostępu>dla>przedsiębiorstw.

  3. Wybierz pozycję Nowa aplikacja.

    Zrzut ekranu przedstawiający przycisk Aplikacje dla przedsiębiorstw i Dodaj nową aplikację.

  4. Wprowadź nazwę aplikacji.

  5. Wybierz grupę łączników z menu rozwijanego.

    • Istniejące grupy łączników są wyświetlane w menu rozwijanym.

  6. Wybierz przycisk Zapisz w dolnej części strony, aby utworzyć aplikację bez dodawania zasobów prywatnych.

Dodawanie segmentu aplikacji

Proces Dodawania segmentu aplikacji polega na zdefiniowaniu nazw FQDN i adresów IP, które mają zostać uwzględnione w ruchu dla aplikacji Global Secure Access. Witryny można dodawać podczas tworzenia aplikacji i wracać, aby dodać więcej lub edytować je później.

Można dodawać w pełni kwalifikowane nazwy domen (FQDN), adresy IP i zakresy adresów IP. W każdym segmencie aplikacji można dodać wiele portów i zakresów portów.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

  2. Przejdź do aplikacji globalnych bezpiecznego dostępu>dla>przedsiębiorstw.

  3. Wybierz pozycję Nowa aplikacja.

  4. Wybierz pozycję Dodaj segment aplikacji.

    Zrzut ekranu przedstawiający przycisk Dodaj segment aplikacji.

  5. W wyświetlonym panelu Tworzenie segmentu aplikacji wybierz typ docelowy.

    Zrzut ekranu przedstawiający panel tworzenie segmentu aplikacji.

  6. Wprowadź odpowiednie szczegóły dla wybranego typu docelowego. W zależności od wybranego pola kolejne pola zmieniają się odpowiednio.

    • Adres IP:
      • Adres protokołu internetowego w wersji 4 (IPv4), taki jak 192.0.2.1, który identyfikuje urządzenie w sieci.
      • Podaj porty, które chcesz uwzględnić.
    • W pełni kwalifikowana nazwa domeny (w tym nazwy FQDN z symbolami wieloznacznymi):
      • Nazwa domeny określająca dokładną lokalizację komputera lub hosta w systemie nazw domen (DNS).
      • Podaj porty, które chcesz uwzględnić.
      • NetBIOS nie jest obsługiwany. Na przykład użyj polecenia contoso.local/app1 zamiast contoso/app1.
    • Zakres adresów IP (CIDR):
      • Routing międzydomenowy bezklasowy to sposób reprezentowania zakresu adresów IP, po którym następuje sufiks wskazujący liczbę bitów sieciowych w masce podsieci.
      • Na przykład 192.0.2.0/24 wskazuje, że pierwsze 24 bity adresu IP reprezentują adres sieciowy, podczas gdy pozostałe 8 bitów reprezentuje adres hosta.
      • Podaj adres początkowy, maskę sieci i porty.
    • Zakres adresów IP (IP do IP):
      • Zakres adresów IP od początkowego adresu IP (na przykład 192.0.2.1) do końcowego adresu IP (na przykład 192.0.2.10).
      • Podaj adres IP początkowy, końcowy i porty.

  7. Wprowadź porty i wybierz przycisk Zastosuj .

    • Rozdziel wiele portów przecinkami.
    • Określ zakresy portów za pomocą łącznika.
    • Spacje między wartościami są usuwane po zastosowaniu zmian.
    • Na przykład 400-500, 80, 443.

    Zrzut ekranu przedstawiający panel tworzenie segmentu aplikacji z dodanymi wieloma portami.

    Poniższa tabela zawiera najczęściej używane porty i skojarzone z nimi protokoły sieciowe:

    Port Protokół
    22 Bezpieczna powłoka (SSH)
    80 Protokół HTTP
    443 Protokół Secure protokołu transferu hipertekstowego (HTTPS)
    445 Udostępnianie plików bloku komunikatów serwera (SMB)
    3389 Protokół Remote Desktop Protocol (RDP)

  8. Po zakończeniu wybierz przycisk Zapisz .

Uwaga

Do aplikacji można dodać maksymalnie 500 segmentów aplikacji.

Nie nakładaj się na nazwy FQDN, adresy IP i zakresy adresów IP między aplikacją Szybki dostęp i żadnymi aplikacjami dostępu prywatnego.

Przypisywanie użytkowników i grup

Musisz udzielić dostępu do utworzonej aplikacji, przypisując użytkowników i/lub grupy do aplikacji. Aby uzyskać więcej informacji, zobacz Przypisywanie użytkowników i grup do aplikacji.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
  2. Przejdź do aplikacji globalnych bezpiecznego dostępu>dla>przedsiębiorstw.
  3. Wyszukaj i wybierz aplikację.
  4. Wybierz pozycję Użytkownicy i grupy z menu bocznego.
  5. Dodaj użytkowników i grupy zgodnie z potrzebami.

Uwaga

Użytkownicy muszą być bezpośrednio przypisani do aplikacji lub do grupy przypisanej do aplikacji. Zagnieżdżone grupy nie są obsługiwane.

Aktualizowanie segmentów aplikacji

W dowolnym momencie można dodawać lub aktualizować nazwy FQDN i adresy IP zawarte w aplikacji.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
  2. Przejdź do aplikacji globalnych bezpiecznego dostępu>dla>przedsiębiorstw.
  3. Wyszukaj i wybierz aplikację.
  4. Wybierz pozycję Właściwości dostępu do sieci z menu bocznego.
    • Aby dodać nową nazwę FQDN lub adres IP, wybierz pozycję Dodaj segment aplikacji.
    • Aby edytować istniejącą aplikację, wybierz ją z kolumny Typ docelowy.

Włączanie lub wyłączanie dostępu za pomocą klienta globalnego bezpiecznego dostępu

Możesz włączyć lub wyłączyć dostęp do aplikacji Global Secure Access przy użyciu globalnego klienta bezpiecznego dostępu. Ta opcja jest domyślnie zaznaczona, ale może być wyłączona, więc nazwy FQDN i adresy IP zawarte w segmentach aplikacji nie są tunelowane za pośrednictwem usługi.

Zrzut ekranu przedstawiający pole wyboru Włącz dostęp.

Przypisywanie zasad dostępu warunkowego

Zasady dostępu warunkowego dla dostępu dla aplikacji są konfigurowane na poziomie aplikacji dla każdej aplikacji. Zasady dostępu warunkowego można utworzyć i zastosować do aplikacji z dwóch miejsc:

  • Przejdź do pozycji Globalne aplikacje bezpiecznego dostępu>dla>przedsiębiorstw. Wybierz aplikację, a następnie wybierz pozycję Dostęp warunkowy z menu bocznego.
  • Przejdź do pozycji Ochrona>zasad dostępu>warunkowego. Wybierz pozycję + Utwórz nowe zasady.

Aby uzyskać więcej informacji, zobacz Stosowanie zasad dostępu warunkowego do aplikacji dostępu prywatnego.

Włączanie Dostęp Prywatny Microsoft Entra

Po skonfigurowaniu aplikacji dodane zasoby prywatne, użytkownicy przypisani do aplikacji mogą włączyć profil przekazywania ruchu prywatnego. Profil można włączyć przed skonfigurowaniem aplikacji Global Secure Access, ale bez skonfigurowanej aplikacji i profilu nie ma ruchu do przesyłania dalej.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
  2. Przejdź do przesyłania dalej ruchu Global Secure Access>Connect>.
  3. Zaznacz pole wyboru profilu dostępu prywatnego.

Zrzut ekranu przedstawiający stronę przesyłania dalej ruchu z włączonym profilem dostępu prywatnego.

Warunki używania

Korzystanie z Dostęp Prywatny Microsoft Entra i Dostęp do Internetu Microsoft Entra wersji zapoznawczej oraz funkcji podlega warunkom i warunkom korzystania z usług online w wersji zapoznawczej umów, na podstawie których zostały uzyskane usługi. Wersje zapoznawcze mogą podlegać ograniczeniom lub różnym zobowiązaniom w zakresie zabezpieczeń, zgodności i prywatności, jak wyjaśniono w postanowieniach dotyczących uniwersalnych postanowień licencyjnych dotyczących usług online oraz dodatku ochrony danych produktów i usług firmy Microsoft ("DPA") oraz wszelkich innych powiadomień udostępnianych w wersji zapoznawczej.

Następne kroki

Następnym krokiem do rozpoczęcia pracy z Dostęp Prywatny Microsoft Entra jest włączenie profilu przekazywania ruchu prywatnego.

Aby uzyskać więcej informacji na temat dostępu prywatnego, zobacz następujące artykuły: