Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Entra Private Access fornece uma maneira rápida e fácil de substituir VPNs herdadas. Ele fornece acesso granular e seguro a recursos internos sem expor sua rede completa. O DNS desempenha um papel vital ao habilitar a resolução de nomes para recursos internos críticos e os usuários remotos não precisam saber a configuração de sistemas DNS internos. O DNS Privado do Microsoft Entra com Acesso Rápido oferece uma configuração simples que usa resolvedores locais do Conector para responder a consultas DNS para recursos internos.
O serviço DNS privado permite que você adicione sufixos de domínio para a organização à configuração de Acesso Rápido. Isso atualiza automaticamente o perfil de encaminhamento de tráfego para clientes. Uma vez configurado, todas as consultas de DNS para um nome de domínio totalmente qualificado (FQDN) que termina com os sufixos correspondentes nos dispositivos clientes são enviadas para o proxy DNS na borda GSA para resolução. Se um resultado armazenado em cache estiver disponível, as respostas DNS serão retornadas aos clientes. Caso contrário, o proxy DNS encaminha a solicitação para o Conector, que envia a consulta DNS ao servidor DNS para resolução. Em seguida, o Conector passa as respostas de volta para a edge, que devolve a resposta da consulta ao cliente. O cliente GSA atribui um endereço IP sintético e o retorna ao aplicativo. O IP sintético é usado para direcionar o tráfego do aplicativo para os pontos de borda GSA.
Um fluxo DNS privado de alto nível para clientes Windows é mostrado no diagrama a seguir.
Configuração
Um administrador habilita o DNS privado e adiciona um sufixo DNS do Acesso Rápido.
No cliente, uma entrada na NRPT (Tabela de Política de Resolução de Nomes) é gerada para que o sufixo seja resolvido por meio do cliente GSA.
O perfil de encaminhamento de tráfego do cliente é atualizado para enviar consultas DNS privadas para a periferia da GSA.
Caminho de dados
- O usuário solicita uma consulta DNS para
app.contoso.com. Se não for armazenada em cache localmente, a consulta DNS será enviada para o proxy DNS na borda GSA. - O proxy DNS responde de seu cache ou encaminha a consulta para o Grupo de Conectores definido no Acesso Rápido.
1.O servidor conector envia a consulta DNS para os servidores DNS configurados no nível do sistema operacional. - O proxy DNS responde ao cliente com o IP interno. O cliente armazena o endereço IP interno e retorna um IP sintético para o aplicativo.
Quando um sufixo DNS é configurado no Acesso Rápido, todas as consultas DNS para um FQDN (nome de domínio totalmente qualificado) que termina com os sufixos correspondentes são resolvidas pelo DNS privado, incluindo aquelas usadas para definir Aplicativos Empresariais.
Resolução SLD (domínio de rótulo único)
O DNS privado fornece resolução de nomes para SLD sem um sufixo de domínio. Uma entrada NRPT é criada para enviar o sufixo globalsecureaccess.local. GSA para o proxy DNS quando o DNS privado está configurado. O computador cliente acrescenta o <appid>.globalsecureaccess.local. sufixo ao SLD e envia a solicitação DNS para o proxy DNS. O proxy DNS remove o sufixo de pesquisa antes de enviar a consulta DNS ao conector. Em seguida, o conector usa seus sufixos de pesquisa locais para resolver a consulta SLD. O endereço IP resolvido para o recurso é retornado para o proxy DNS e passado para o cliente.
Observação
Para alguns aplicativos, como a autenticação Kerberos, é importante ter o SPN correto. O sufixo sintético GSA pode quebrar o fluxo Kerberos, portanto, é recomendável usar o FQDN para aplicativos que exigem autenticação Kerberos.
Conteúdo relacionado
Para saber como habilitar o DNS Privado com Acesso Rápido, confira Como configurar o Acesso Rápido.
Para saber como o DNS privado funciona com o SSO, consulte Usar Kerberos para SSO (logon único) em seus recursos com o Microsoft Entra Private Access.
Para saber mais sobre a solução de problemas de DNS, confira Solucionar problemas de acesso ao aplicativo – Acesso Seguro Global.
Para saber mais sobre diagnósticos avançados de aquisição de nome de host, consulte Solucionar problemas do cliente de Acesso Seguro Global: diagnóstico – Acesso Seguro Global.