Udostępnij za pośrednictwem

Zakotwiczenie źródłowego adresu IP za pomocą globalnego bezpiecznego dostępu

Organizacje z aplikacjami typu oprogramowanie jako usługa (SaaS) lub biznesowe (LOB) mogą wymuszać określone lokalizacje sieciowe przed zezwoleniem na dostęp. Jednym z podejść jest użycie Dostęp Prywatny Microsoft Entra do kierowania określonego ruchu aplikacji internetowej z prywatnie kontrolowaną siecią. Takie podejście umożliwia wymuszenie określonych adresów IP ruchu wychodzącego, które są używane tylko przez twoją organizację. W tym artykule opisano sposób konfigurowania Dostęp Prywatny Microsoft Entra w celu tunelowania określonego ruchu aplikacji przez sieć prywatną w celu spełnienia zasad kontroli dostępu opartej na sieci aplikacji.

Konfigurowanie zakotwiczenia źródłowego adresu IP w celu kierowania ruchu z dedykowanego adresu IP

Aby włączyć wymuszanie aplikacji dedykowanej sieci, skonfiguruj aplikację dla przedsiębiorstw przy użyciu Dostęp Prywatny Microsoft Entra. Przykładem, w którym ta konfiguracja może być konieczna, jest to, że aplikacja zezwala na dostęp przy użyciu poświadczeń lokalnych, które nie są powiązane z dostawcą tożsamości.

To rozwiązanie uzyskuje ruch aplikacji i kieruje go z urządzenia klienckiego. Następnie kieruje za pośrednictwem usługi Secure Service Edge firmy Microsoft do sieci prywatnej za pomocą łącznika sieci prywatnej. Z sieci prywatnej ruch może uzyskiwać dostęp do aplikacji za pomocą Internetu lub dowolnego innego dostępnego połączenia prywatnego. Aplikacja widzi ruch pochodzący z dozwolonego adresu IP ruchu wychodzącego wskazujący, że dostęp pochodzi z dedykowanej sieci, która spełnia swoje własne mechanizmy kontroli dostępu do sieci.

Na poniższym diagramie architektury przedstawiono przykładową konfigurację.

Diagram przykładowej konfiguracji architektury.

W przykładowej konfiguracji aplikacja zezwala tylko na połączenia pochodzące z wersji 15.4.23.54, czyli adresu IP ruchu wychodzącego sieci lokalnej klienta. Gdy użytkownik próbuje uzyskać dostęp do aplikacji, klient globalnego bezpiecznego dostępu uzyskuje i tuneluje ruch za pośrednictwem usługi Secure Service Edge firmy Microsoft, gdzie może wystąpić wymuszanie kontroli autoryzacji (np. dostęp warunkowy). Tunele ruchu do sieci lokalnej przy użyciu łącznika sieci prywatnej. Na koniec ruch używa Internetu do łączenia się z aplikacją internetową. Aplikacja widzi połączenie pochodzące z wersji 15.4.23.54 i zezwala na dostęp.

Uwaga

Skonfigurowanie źródłowego zakotwiczenia adresów IP jest konieczne, gdy aplikacja SaaS wymusza własne kontrolki oparte na sieci. Jeśli wymaganie ogranicza się do egzekwowania lokalizacji przez dostawcę tożsamości, wystarczające jest sprawdzanie zgodności sieci. Zgodne sprawdzanie sieci wymusza kontrolę dostępu opartą na sieci w warstwie uwierzytelniania i pozwala uniknąć konieczności odpinania ruchu przez sieć prywatną. Globalny bezpieczny dostęp wiąże ruch z identyfikatorem dzierżawy, aby upewnić się, że inne organizacje korzystające z globalnego bezpiecznego dostępu nie spełniają zasad dostępu warunkowego.

Wymagania wstępne

Przed rozpoczęciem konfigurowania źródłowego zakotwiczenia adresów IP upewnij się, że środowisko jest gotowe i zgodne.

  • Masz aplikację SaaS, która wymusza własne zasady kontroli dostępu opartej na sieci.
  • Twoja licencja obejmuje pakiet Microsoft Entra Suite lub Dostęp Prywatny Microsoft Entra.
  • Włączono profil przekazywania Dostęp Prywatny Microsoft Entra.
  • Masz najnowszą wersję klienta globalnego bezpiecznego dostępu.

Wdrażanie łączników sieci prywatnej

W przypadku spełnienia wymagań wstępnych wykonaj następujące kroki, aby wdrożyć łączniki sieci prywatnej:

  1. Zainstaluj łącznik sieci prywatnej w sieci prywatnej, która ma łączność wychodzącą z docelową aplikacją internetową. Dobrym rozwiązaniem jest hostowanie łącznika w usłudze Azure Virtual Network, w której kontrolujesz adres IP ruchu wychodzącego. Zalecamy zainstalowanie co najmniej dwóch łączników w celu zapewnienia odporności i wysokiej dostępności.
  2. Podaj publiczny adres IP łączników do aplikacji SaaS, aby użytkownicy mogli łączyć się z aplikacją.

Konfigurowanie zakotwiczenia źródłowego adresu IP

Po zainstalowaniu i skonfigurowaniu łączników sieci prywatnej wykonaj następujące kroki, aby utworzyć aplikację dla przedsiębiorstw:

  1. Przejdź do entra.microsoft.com.

  2. Wybierz pozycję Globalny Bezpieczny Dostęp>Aplikacje > dla przedsiębiorstw.

  3. Wybierz pozycję Nowa aplikacja.

  4. Wprowadź nazwę aplikacji.

  5. Wybierz grupę łączników , która uzyskuje i kieruje ruch.

  6. Wybierz pozycję Dodaj segment aplikacji.

  7. Uzupełnij poniższe pola:

    1. Typ docelowy — wybierz w pełni kwalifikowaną nazwę domeny.

    2. W pełni kwalifikowana nazwa domeny — wprowadź w pełni kwalifikowaną nazwę domeny aplikacji internetowej.

    3. Porty — jeśli aplikacja używa protokołu HTTP, wprowadź 80. Jeśli aplikacja używa protokołu HTTPS, wprowadź 443. Możesz również wprowadzić oba porty.

    4. Protokół — wybierz pozycję TCP.

      Zrzut ekranu przedstawiający okno dialogowe Tworzenie segmentu aplikacji.

  8. Wybierz Zastosuj.

  9. Wybierz pozycję Zapisz.

  10. Przejdź z powrotem do aplikacji dla przedsiębiorstw. Wybierz utworzoną aplikację.

  11. Wybierz pozycję Użytkownicy i grupy.

  12. Wybierz pozycję Dodaj użytkownika/grupę.

  13. Wybierz pozycję Użytkownicy i grupy>Brak elementów wybranych.

  14. Wyszukaj i wybierz użytkowników i grupy, które chcesz przypisać do tej aplikacji. Wybierz Wybierz.

  15. Wybierz pozycję Przypisz.

Weryfikacja konfiguracji

Po skonfigurowaniu aplikacji dla przedsiębiorstw dla aplikacji internetowej wykonaj następujące kroki, aby sprawdzić, czy działa prawidłowo.

  1. W kliencie globalnego bezpiecznego dostępu systemu Windows otwórz pozycję Zaawansowana diagnostyka.

  2. Wybierz pozycję Profil przekazywania.

  3. Rozwiń Reguły dostępu prywatnego. Sprawdź, czy na liście znajduje się w pełni kwalifikowana nazwa domeny aplikacji internetowej (FQDN).

    Zrzut ekranu przedstawiający globalny bezpieczny dostęp — zaawansowana diagnostyka — reguły.

  4. Wybierz Ruch.

  5. Wybierz pozycję Rozpocznij zbieranie.

  6. W przeglądarce przejdź do aplikacji internetowej.

  7. Wróć do zaawansowanej diagnostyki.

  8. Wybierz pozycję Zatrzymaj zbieranie.

  9. Zweryfikuj następujące ustawienia:

    1. Aplikacja internetowa jest widoczna pod docelową pełną nazwą domeny (FQDN).

    2. Pole Kanał jest Dostęp prywatny.

    3. Pole Akcja to Tunnel.

      Zrzut ekranu przedstawiający globalny bezpieczny dostęp — zaawansowana diagnostyka — ruch sieciowy.

  10. Sprawdź dzienniki aplikacji (nie w identyfikatorze Entra firmy Microsoft). Sprawdź, czy aplikacja widzi logowanie z adresu IP zgodnego z adresem IP ruchu wychodzącego sieci prywatnej.

Rozwiązywanie problemów

Upewnij się, że wyłączono funkcję QUIC, IPv6 i zaszyfrowaną usługę DNS. Szczegółowe informacje można znaleźć w naszym przewodniku rozwiązywania problemów dla klienta globalnego bezpiecznego dostępu.

Następne kroki