Jak skonfigurować szybki dostęp do globalnego bezpiecznego dostępu

Dzięki Global Secure Access można zdefiniować określone w pełni kwalifikowane nazwy domen (FQDN) lub adresy IP zasobów prywatnych, które mają być uwzględnione w ruchu dla usługi Microsoft Entra Private Access. Pracownicy organizacji mogą następnie uzyskiwać dostęp do aplikacji i witryn, które określisz. W tym artykule opisano, jak skonfigurować Szybki dostęp dla Microsoft Entra Private Access.

Uwaga

Użyj Szybkiego Dostępu jako etapu przejściowego w swojej podróży w modelu Zero Trust. Po włączeniu Szybkiego Dostępu możesz zastąpić swoją sieć VPN, skonfiguruj dostęp dla aplikacji, aby uzyskać segmentację aplikacji i szczegółowe sterowanie dla aplikacji.

Wymagania wstępne

Aby skonfigurować szybki dostęp, musisz mieć następujące elementy:

• Role administratora globalnego bezpiecznego dostępu i administratora aplikacji w usłudze Microsoft Entra ID.
• Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.

Aby zarządzać grupami łączników sieci prywatnej firmy Microsoft Entra, które są wymagane w przypadku szybkiego dostępu, musisz mieć następujące elementy:

• Rola administratora aplikacji w identyfikatorze Entra firmy Microsoft
• Licencje microsoft Entra ID P1 lub P2

Znane ograniczenia

Aby uzyskać szczegółowe informacje o znanych problemach i ograniczeniach, zobacz Znane ograniczenia dotyczące globalnego bezpiecznego dostępu.

Kroki na wysokim poziomie

Konfigurowanie ustawień szybkiego dostępu jest kluczowym elementem korzystania z Microsoft Entra Private Access. Podczas konfigurowania szybkiego dostępu po raz pierwszy usługa Private Access tworzy nową aplikację dla przedsiębiorstw. Właściwości tej nowej aplikacji są automatycznie konfigurowane do pracy z dostępem prywatnym.

Aby skonfigurować Szybki dostęp, musisz mieć grupę łączników z co najmniej jednym aktywnym łącznikiem aplikacji proxy Microsoft Entra. Grupa łączników obsługuje ruch do tej nowej aplikacji. Po skonfigurowaniu szybkiego dostępu i grupy łączników sieci prywatnej należy udzielić dostępu do aplikacji.

Podsumowując, ogólny proces wygląda następująco:

1. Utwórz grupę łączników z co najmniej jednym aktywnym łącznikiem sieci prywatnej.
2. Konfigurowanie szybkiego dostępu.
3. Przypisz użytkowników i grupy do aplikacji.
4. Konfigurowanie zasad dostępu warunkowego.
5. Włącz profil przekazywania ruchu dla prywatnego dostępu.

Tworzenie grupy łączników sieci prywatnej

Aby skonfigurować szybki dostęp, musisz mieć grupę łączników z co najmniej jednym aktywnym łącznikiem sieci prywatnej.

Jeśli nie masz jeszcze skonfigurowanej grupy łączników, zobacz Konfigurowanie łączników na potrzeby szybkiego dostępu.

Uwaga

Jeśli wcześniej zainstalowano łącznik, zainstaluj go ponownie, aby uzyskać najnowszą wersję. Podczas uaktualniania odinstaluj istniejący łącznik i usuń wszystkie powiązane foldery.

Minimalna wersja łącznika wymagana dla dostępu prywatnego to 1.5.3417.0.

Konfigurowanie szybkiego dostępu

Na stronie Szybki dostęp podaj nazwę aplikacji Szybki dostęp, wybierz grupę łączników i dodaj segmenty aplikacji, które obejmują nazwy FQDN i adresy IP. Możesz wykonać wszystkie trzy kroki w tym samym czasie lub dodać segmenty aplikacji po zakończeniu początkowej konfiguracji.

Nazwa i grupa łączników

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra przy użyciu odpowiednich ról.
2. Przejdź do Global Secure Access>Aplikacje>Szybki dostęp.
3. Wprowadź nazwę. Zalecamy używanie nazwy Szybki dostęp.
4. Wybierz grupę łączników z menu rozwijanego.
5. Wybierz pozycję Zapisz , aby utworzyć aplikację "Szybki dostęp" bez nazw FQDN, adresów IP i prywatnych sufiksów DNS.

Dodaj segment aplikacji Szybki dostęp

Musisz zdefiniować nazwy FQDN i adresy IP, które chcesz uwzględnić podczas dodawania segmentu aplikacji Szybki dostęp. Te zasoby są dodawane podczas tworzenia lub aktualizowania aplikacji Szybki dostęp.

Można dodawać w pełni kwalifikowane nazwy domen (FQDN), adresy IP i zakresy adresów IP. W każdym segmencie aplikacji można dodać wiele portów i zakresów portów.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

2. Przejdź do Global Secure Access>Aplikacje>Szybki Dostęp.

3. Wybierz Dodaj segment aplikacji Szybki Dostęp.

4. W panelu Tworzenie segmentu aplikacji, który się otwiera, wybierz typ docelowy.

5. Wprowadź odpowiednie szczegóły dla wybranego typu docelowego. W zależności od wybranego pola kolejne pola zmieniają się odpowiednio.

   • IP adres:
     • Adres protokołu internetowego w wersji 4 (IPv4), taki jak 192.168.2.1, który identyfikuje urządzenie w sieci.
     • Podaj porty, które chcesz uwzględnić.
   • W pełni kwalifikowana nazwa domeny (w tym nazwy domen FQDN z symbolami wieloznacznymi):
     • Nazwa domeny określająca dokładną lokalizację komputera lub hosta w systemie nazw domen (DNS).
     • Wprowadź porty do uwzględnienia.
     • Nazwy FQDN z symbolami wieloznacznymi muszą być określone w formacie *.contoso.com.
   • Zakres adresów IP (CIDR):
     • Bezklasowy routing międzydomenowy (CIDR) reprezentuje zakres adresów IP. Po adresie IP następuje sufiks wskazujący liczbę bitów sieciowych w masce podsieci.
     • Na przykład 192.168.2.0/24 wskazuje, że pierwsze 24 bity adresu IP reprezentują adres sieciowy, podczas gdy pozostałe 8 bitów reprezentuje adres hosta.
     • Podaj adres początkowy, maskę sieci i porty.
   • Zakres adresów IP (IP do IP):
     • Zakres adresów IP od początkowego adresu IP (na przykład 192.168.2.1) do końcowego adresu IP (na przykład 192.168.2.10).
     • Podaj adres IP początkowy, końcowy i porty.

6. Wprowadź porty i protokół, a następnie wybierz pozycję Zastosuj.

   • Rozdziel wiele portów przecinkami.
   • Określ zakresy portów za pomocą łącznika.
   • Spacje między wartościami są usuwane po zastosowaniu zmian.
   • Na przykład 400-500, 80, 443.

   

   Poniższa tabela zawiera najczęściej używane porty i skojarzone z nimi protokoły sieciowe:

   Port	Protokół
   22	Bezpieczna powłoka (SSH)
   80	Protokół HTTP
   443	Bezpieczny protokół przesyłania hipertekstu (HTTPS)
   445	Udostępnianie plików za pomocą protokołu SMB (Server Message Block)
   3389	Protokół Remote Desktop Protocol (RDP)

7. Po zakończeniu wybierz Zapisz.

Uwaga

Do aplikacji Szybki dostęp można dodać maksymalnie 500 segmentów aplikacji.

Dodawanie prywatnych sufiksów DNS

Obsługa prywatnego DNS dla Microsoft Entra Private Access umożliwia odpytanie własnych wewnętrznych serwerów DNS w celu uzyskania adresów IP dla wewnętrznych nazw domen. Spójrzmy na przykład. Załóżmy, że masz wewnętrzny zakres adresów IP do 10.8.0.010.8.255.255. Ten zakres można skonfigurować w definicji aplikacji Szybki dostęp. Chcesz, aby użytkownicy mieli dostęp do aplikacji internetowej odpowiadającej na adres IP 10.8.0.5 podczas wpisywania https://benefits w przeglądarce internetowej. Nie chcesz konfigurować pełnej nazwy domeny (FQDN) dla aplikacji. Korzystając z Prywatnego DNS, skonfiguruj odpowiedni sufiks DNS, aby globalny klient bezpiecznego dostępu wiedział, jak prawidłowo kierować żądanie.

Ponadto możesz zapewnić doświadczenie logowania jednokrotnego (SSO) dla zasobów protokołu Kerberos, konfigurując uwierzytelnianie Kerberos na kontrolerach domeny przy użyciu prywatnego DNS. Aby dowiedzieć się więcej na temat tworzenia środowiska logowania jednokrotnego, zobacz Korzystanie z protokołu Kerberos dla logowania jednokrotnego (SSO) do zasobów z funkcją Dostępu Prywatnego Microsoft Entra.

Dodaj sufiks DNS do użycia dla prywatnej usługi DNS.

1. Wybierz kartę Prywatny DNS.
2. Zaznacz pole wyboru, aby włączyć prywatną usługę DNS.
3. Wybierz Dodaj sufiks DNS.
4. Wprowadź sufiks DNS, a następnie wybierz pozycję Dodaj.

Przypisywanie użytkowników i grup

Podczas konfigurowania szybkiego dostępu zostanie utworzona nowa aplikacja dla przedsiębiorstw w Twoim imieniu. Musisz udzielić dostępu do utworzonej aplikacji Szybki dostęp przez przypisanie użytkowników i/lub grup do aplikacji.

Właściwości można wyświetlić z poziomu Szybki dostęp lub przejść do aplikacji dla przedsiębiorstw i wyszukać swoją aplikację Szybki dostęp.

Napiwek

Aby znaleźć aplikację na stronie Aplikacje dla przedsiębiorstw, wyczyść wszystkie filtry, aby nie filtrować aplikacji, której szukasz.

1. Wybierz pozycję Edytuj ustawienia aplikacji w obszarze Szybki dostęp.

   

2. Wybierz pozycję Użytkownicy i grupy z menu bocznego.

3. Dodaj użytkowników i grupy zgodnie z potrzebami.

   • Aby uzyskać więcej informacji, zobacz Przypisywanie użytkowników i grup do aplikacji.

Uwaga

Użytkownicy muszą być bezpośrednio przypisani do aplikacji lub do grupy przypisanej do aplikacji. Zagnieżdżone grupy nie są obsługiwane.

Łączenie zasad dostępu warunkowego

Zasady dostępu warunkowego można zastosować do aplikacji Szybki dostęp. Stosowanie zasad dostępu warunkowego zapewnia więcej opcji zarządzania dostępem do aplikacji, witryn i usług.

Tworzenie zasad dostępu warunkowego zostało szczegółowo omówione w temacie Jak utworzyć zasady dostępu warunkowego dla aplikacji dostępu prywatnego.

Włącz prywatny dostęp Microsoft Entra

Gdy masz już skonfigurowaną aplikację Szybki dostęp, dodane zasoby prywatne i przypisanych użytkowników do aplikacji, możesz włączyć profil dostępu prywatnego z obszaru Przekazywania ruchu w Globalnym Bezpiecznym Dostępie. Profil można włączyć przed skonfigurowaniem szybkiego dostępu, ale bez skonfigurowanej aplikacji i profilu nie ma ruchu do przesyłania dalej. Aby dowiedzieć się, jak włączyć profil przekazywania ruchu dla prywatnego dostępu, zobacz Jak zarządzać profilem przekazywania ruchu dla prywatnego dostępu.

Następne kroki

• Dowiedz się więcej o profilach ruchu
• Konfigurowanie dostępu dla aplikacji