Como configurar o acesso por aplicativo usando os aplicativos de Acesso Global Seguro

O Microsoft Entra Private Access fornece acesso seguro aos recursos internos da sua organização. Crie um aplicativo de Acesso Seguro Global e especifique os recursos internos e privados que deseja proteger. Ao configurar um aplicativo de Acesso Seguro Global, você está criando acesso por aplicativo aos seus recursos internos. O aplicativo Global Secure Access fornece uma capacidade mais detalhada de gerenciar como os recursos são acessados por aplicativo.

Este artigo descreve como configurar o acesso por aplicativo usando aplicativos de Acesso Global Seguro.

Pré-requisitos

Para configurar um aplicativo de Acesso Seguro Global, você deve ter:

• As funções Administrador de Acesso Seguro Global e Administrador de Aplicativos no Microsoft Entra ID
• O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é Acesso Global Seguro. Se necessário, você pode adquirir licenças ou obter licenças de avaliação.

Para gerenciar grupos de conectores de rede privada do Microsoft Entra, que são necessários para os aplicativos de Acesso Seguro Global, você precisa ter:

• Uma função Administrador de Aplicativos no Microsoft Entra ID
• Licença P1 ou P2 do Microsoft Entra ID

Limitações conhecidas

• Evite sobrepor segmentos de aplicativos entre o Acesso Rápido e aplicativos de Acesso Seguro Global.
• O tráfego de túnel para destinos de Acesso Privado por endereço IP tem suporte apenas para intervalos de IP fora da sub-rede local do dispositivo do usuário final.
• No momento, o tráfego de acesso privado só pode ser adquirido com o cliente Acesso Global Seguro. Redes remotas não podem ser atribuídas ao perfil de encaminhamento de tráfego de acesso privado.

Etapas de alto nível

O Acesso por Aplicativo é configurado criando um novo aplicativo de Acesso Seguro Global. Você cria o aplicativo, seleciona um grupo de conectores e adiciona segmentos de acesso à rede. Essas configurações compõem o aplicativo individual ao qual você pode atribuir usuários e grupos.

Para configurar o acesso por aplicativo, você precisa ter um grupo de conectores com pelo menos um conector de proxy de aplicativo do Microsoft Entra ativo. Esse grupo de conectores manipula o tráfego para este novo aplicativo. Com conectores, você pode isolar aplicativos por rede e conector.

Para resumir, o processo geral é o seguinte:

1. Crie um grupo de conectores com pelo menos um conector de rede privada ativo.

   • Se você já tiver um grupo de conectores, verifique se está na versão mais recente.

2. Crie um aplicativo de Acesso Seguro Global.

3. Atribua usuários e grupos ao aplicativo.

4. Configurar políticas de Acesso Condicional.

5. Habilite o Acesso Privado do Microsoft Entra.

Criar um grupo de conectores de rede privada

Para configurar um aplicativo de Acesso Seguro Global, você precisa ter um grupo de conectores com pelo menos um conector de rede privada ativo.

Se você ainda não tiver um conector configurado, confira Configurar conectores.

Observação

Se você já instalou um conector, reinstale-o para obter a versão mais recente. Ao atualizar, desinstale o conector existente e exclua as pastas relacionadas.

A versão mínima do conector necessária para o Acesso Privado é 1.5.3417.0.

Criar um aplicativo de Acesso Seguro Global

Para criar um novo aplicativo, você fornece um nome, seleciona um grupo de conectores e, em seguida, adiciona segmentos de aplicativo. Os segmentos de aplicativo incluem os FQDNs (nomes de domínio totalmente qualificados) e os endereços IP que você deseja fazer por túnel por meio do serviço. Você pode concluir todas as três etapas ao mesmo tempo ou adicioná-las após a conclusão da configuração inicial.

Escolher nome e grupo de conectores

1. Entre no Centro de administração do Microsoft Entra com as funções apropriadas.

2. Navegue até Acesso Global Seguro>Aplicativos>Aplicativos empresariais.

3. Selecione Novo aplicativo.

   

4. Insira um nome para o aplicativo.

5. Selecione um grupo conector no menu suspenso.

   Importante

   Você deve ter pelo menos um conector ativo para criar um aplicativo. Para saber mais sobre conectores, veja Compreender o conector de rede privada Microsoft Entra.

6. Selecione o botão Salvar na parte inferior da página para criar seu aplicativo sem adicionar recursos privados.

Adicionar segmento de aplicativo

O processo Adicionar segmento de aplicativo é onde você define os FQDNs e endereços IP que deseja incluir no tráfego para o aplicativo do Acesso Seguro Global. Você pode adicionar sites ao criar o aplicativo e retornar para adicioná-los mais ou editá-los mais tarde.

Você pode adicionar FQDN (nomes de domínio totalmente qualificados), endereços IP e intervalos de endereços IP. Em cada segmento de aplicativo, você pode adicionar várias portas e intervalos de portas.

1. Entre no Centro de administração do Microsoft Entra.

2. Navegue até Acesso Global Seguro>Aplicativos>Aplicativos empresariais.

3. Selecione Novo aplicativo.

4. Selecione Adicionar segmento de aplicativo.

5. No painel Criar segmento de aplicativo que é aberto, selecione um Tipo de destino.

6. Insira os detalhes apropriados para o tipo de destino selecionado. Dependendo do que você selecionar, os campos subsequentes serão alterados adequadamente.

   • Endereço IP:
     • Endereço do protocolo da Internet versão 4 (IPv4), como 192.168.2.1, que identifica um dispositivo na rede.
     • Forneça as portas que você deseja incluir.
   • Nome de domínio totalmente qualificado (incluindo FQDNs curinga):
     • Nome de domínio que especifica o local exato de um computador ou host no DNS (Sistema de Nomes de Domínio).
     • Forneça as portas que você deseja incluir.
     • NetBIOS não é suportado. Por exemplo, use contoso.local/app1 ao invés de contoso/app1.
   • Intervalo de endereços IP (CIDR):
     • O Roteamento entre Domínios sem Classificação(CIDR) representa um intervalo de endereços IP em que um endereço IP é seguido por um sufixo que indica o número de bits de rede na máscara de sub-rede.
     • Por exemplo, 192.168.2.0/24 indica que os primeiros 24 bits do endereço IP representam o endereço de rede, enquanto os 8 bits restantes representam o endereço do host.
     • Forneça o endereço inicial, a máscara de rede e as portas.
   • Intervalo de endereços IP (IP para IP):
     • Intervalo de endereços IP desde o IP inicial (como 192.168.2.1) até o IP final (como 192.168.2.10).
     • Forneça o início, o término e as portas do endereço IP.

7. Insira as portas e selecione o botão Aplicar.

   • Separe várias portas com uma vírgula.
   • Especifique intervalos de porta com um hífen.
   • Espaços entre valores são removidos quando você aplica as alterações.
   • Por exemplo, 400-500, 80, 443.

   

   A tabela a seguir fornece as portas mais usadas e seus protocolos de rede associados:

   Porta	Protocolo
   22	Secure Shell (SSH)
   80	Hypertext Transfer Protocol (HTTP)
   443	Hypertext Transfer Protocol Secure (HTTPS)
   445	Server Message Block (SMB) file sharing
   3389	Remote Desktop Protocol (RDP)

8. Selecione Salvar.

Observação

Você pode adicionar até 500 segmentos de aplicativo ao seu aplicativo.

Não sobreponha FQDNs, endereços IP e intervalos de IP entre seu aplicativo de Acesso Rápido e quaisquer aplicativos de Acesso Privado.

Atribuir usuários e grupos

Você precisa conceder acesso ao aplicativo criado atribuindo usuários e/ou grupos ao aplicativo. Para obter mais informações, confira Atribuir usuários e grupos a um aplicativo.

1. Entre no Centro de administração do Microsoft Entra.
2. Navegue até Acesso Global Seguro>Aplicativos>Aplicativos empresariais.
3. Pesquise o seu aplicativo e selecione-o.
4. Selecione Usuários e grupos no menu lateral.
5. Adicione usuários e grupos conforme necessário.

Observação

Os usuários devem ser atribuídos diretamente ao aplicativo ou ao grupo atribuído ao aplicativo. Não há suporte para grupos aninhados.

Atualizar segmentos de aplicativos

Você pode adicionar ou atualizar os FQDNs e endereços IP incluídos em seu aplicativo a qualquer momento.

1. Entre no Centro de administração do Microsoft Entra.
2. Navegue até Acesso Global Seguro>Aplicativos>Aplicativos empresariais.
3. Pesquise o seu aplicativo e selecione-o.
4. Selecione Propriedades de acesso à rede no menu lateral.
   • Para adicionar um novo FQDN ou endereço IP, selecione Adicionar segmento de aplicativo.
   • Para editar um aplicativo existente, selecione-o na coluna Tipo de destino.

Habilitar ou desabilitar o acesso com o Cliente de Acesso Seguro Global

Você pode habilitar ou desabilitar o acesso ao aplicativo Acesso Seguro Global usando o Cliente de Acesso Seguro Global. Essa opção é selecionada por padrão, mas pode ser desabilitada, portanto, os FQDNs e os endereços IP incluídos nos segmentos de aplicativo não são túnel pelo serviço.

Atribuir políticas de acesso condicional

As políticas de Acesso Condicional para acesso por aplicativo são configuradas no nível do aplicativo para cada aplicativo. As políticas de Acesso Condicional podem ser criadas e aplicadas ao aplicativo de dois locais:

• Vá para Acesso Seguro Global>Aplicativos>Aplicativos empresariais. Selecione um aplicativo e, em seguida, selecione Acesso Condicional no menu lateral.
• Vá para Proteção>Acesso Condicional>Políticas. Selecione + Criar nova política.

Para obter mais informações, confira Aplicar políticas de Acesso Condicional a aplicativos de Acesso Privado.

Habilitar o Acesso Privado do Microsoft Entra

Depois que seu aplicativo estiver configurado, seus recursos privados serão adicionados, os usuários atribuídos ao aplicativo, você poderá habilitar o perfil de encaminhamento de tráfego de acesso privado. Você pode habilitar o perfil antes de configurar um aplicativo de Acesso Seguro Global, mas sem o aplicativo e o perfil configurados, não há tráfego a ser encaminhado.

1. Entre no Centro de administração do Microsoft Entra.
2. Navegue até Acesso Seguro Global>Conectar>Encaminhamento de tráfego.
3. Selecione a alternância para obter o Perfil de acesso privado.

Esse diagrama demonstra como o Microsoft Entra Private Access funciona ao tentar usar o Protocolo de Área de Trabalho Remota para se conectar a um servidor em uma rede privada.

Etapa	Descrição
1	O usuário inicia uma sessão RDP em um FQDN que mapeia para o servidor de destino. O cliente GSA intercepta o tráfego e o encapsula para o SSE Edge.
2	O SSE Edge avalia políticas armazenadas no Microsoft Entra ID, como se o usuário está atribuído ao aplicativo e políticas de acesso condicional.
3	Depois que o usuário é autorizado, o Microsoft Entra ID emite um token para o aplicativo Private Access.
4	O tráfego é liberado para continuar no serviço de acesso privado junto com o token de acesso do aplicativo.
5	O serviço de acesso privado valida o token de acesso e a conexão é intermediada para o serviço de backend de acesso privado.
6	A conexão é intermediada para o Conector de Rede Privada.
7	O Conector de Rede Privada executa uma consulta DNS para identificar o endereço IP do servidor de destino.
8	O serviço DNS na rede privada envia a resposta.
9	O Conector de Rede Privada encaminha o tráfego para o servidor de destino. A sessão RDP é negociada (incluindo autenticação RDP) e então estabelecida.

Próximas etapas

A próxima etapa para começar a usar o Acesso Privado do Microsoft Entra é habilitar o perfil de encaminhamento de tráfego de Acesso Privado.

Para obter mais informações sobre Acesso Privado, confira os seguintes artigos:

• Saiba mais sobre perfis de gerenciamento de tráfego
• Gerenciar o perfil de tráfego do Acesso Privado
• Aplicar políticas de acesso condicional ao aplicativo acesso seguro global