Compartilhar via

Como configurar o Acesso por aplicativo usando aplicativos de Acesso Seguro Global

  • Artigo

O Microsoft Entra Private Access fornece acesso seguro aos recursos internos da sua organização. Crie um aplicativo de Acesso Seguro Global e especifique os recursos internos e privados que deseja proteger. Ao configurar um aplicativo de Acesso Seguro Global, você está criando acesso por aplicativo aos seus recursos internos. O aplicativo Global Secure Access fornece uma capacidade mais detalhada de gerenciar como os recursos são acessados por aplicativo.

Este artigo descreve como configurar o Acesso por aplicativo usando aplicativos de Acesso Seguro Global.

Pré-requisitos

Para configurar um aplicativo de Acesso Seguro Global, você deve ter:

Para gerenciar grupos de conectores de rede privada do Microsoft Entra, que são necessários para os aplicativos de Acesso Seguro Global, você precisa ter:

  • Uma função Administrador de Aplicativos no Microsoft Entra ID
  • Licença P1 ou P2 do Microsoft Entra ID

Limitações conhecidas

  • Evite sobrepor segmentos de aplicativos entre o Acesso Rápido e aplicativos de Acesso Seguro Global.
  • O tráfego de túnel para destinos de Acesso Privado por endereço IP tem suporte apenas para intervalos de IP fora da sub-rede local do dispositivo do usuário final.
  • No momento, o tráfego de Acesso Privado só pode ser adquirido com o Cliente de Acesso Seguro Global. Redes remotas não podem ser atribuídas ao perfil de encaminhamento de tráfego de acesso privado.

Etapas de alto nível

O Acesso por Aplicativo é configurado criando um novo aplicativo de Acesso Seguro Global. Você cria o aplicativo, seleciona um grupo de conectores e adiciona segmentos de acesso à rede. Essas configurações compõem o aplicativo individual ao qual você pode atribuir usuários e grupos.

Para configurar o acesso por aplicativo, você precisa ter um grupo de conectores com pelo menos um conector de proxy de aplicativo do Microsoft Entra ativo. Esse grupo de conectores manipula o tráfego para este novo aplicativo. Com conectores, você pode isolar aplicativos por rede e conector.

Para resumir, o processo geral é o seguinte:

  1. Crie um grupo de conectores com pelo menos um conector de rede privada ativo.

    • Se você já tiver um grupo de conectores, verifique se está na versão mais recente.

  2. Crie um aplicativo de Acesso Seguro Global.

  3. Atribua usuários e grupos ao aplicativo.

  4. Configurar políticas de Acesso Condicional.

  5. Habilite o Acesso Privado do Microsoft Entra.

Criar um grupo de conectores de rede privada

Para configurar um aplicativo de Acesso Seguro Global, você precisa ter um grupo de conectores com pelo menos um conector de rede privada ativo.

Se você ainda não tiver um conector configurado, confira Configurar conectores.

Observação

Se você já instalou um conector, reinstale-o para obter a versão mais recente. Ao atualizar, desinstale o conector existente e exclua as pastas relacionadas.

A versão mínima do conector necessária para o Acesso Privado é 1.5.3417.0.

Criar um aplicativo de Acesso Seguro Global

Para criar um novo aplicativo, você fornece um nome, seleciona um grupo de conectores e, em seguida, adiciona segmentos de aplicativo. Os segmentos de aplicativo incluem os FQDNs (nomes de domínio totalmente qualificados) e os endereços IP que você deseja fazer por túnel por meio do serviço. Você pode concluir todas as três etapas ao mesmo tempo ou adicioná-las após a conclusão da configuração inicial.

Escolher nome e grupo de conectores

  1. Entre no Centro de administração do Microsoft Entra com as funções apropriadas.

  2. Navegue até Acesso Seguro Global (versão prévia)>Aplicativos>Aplicativos empresariais.

  3. Selecione Novo aplicativo.

    Captura de tela dos aplicativos Enterprise e do botão

  4. Insira um nome para o aplicativo.

  5. Selecione um grupo conector no menu suspenso.

    • Os grupos de conectores existentes aparecem no menu suspenso.

  6. Selecione o botão Salvar na parte inferior da página para criar seu aplicativo sem adicionar recursos privados.

Adicionar segmento de aplicativo

O processo Adicionar segmento de aplicativo é onde você define os FQDNs e endereços IP que deseja incluir no tráfego para o aplicativo do Acesso Seguro Global. Você pode adicionar sites ao criar o aplicativo e retornar para adicioná-los mais ou editá-los mais tarde.

Você pode adicionar FQDN (nomes de domínio totalmente qualificados), endereços IP e intervalos de endereços IP. Em cada segmento de aplicativo, você pode adicionar várias portas e intervalos de portas.

  1. Entre no Centro de administração do Microsoft Entra.

  2. Navegue até Acesso Seguro Global (versão prévia)>Aplicativos>Aplicativos empresariais.

  3. Selecione Novo aplicativo.

  4. Selecione Adicionar segmento de aplicativo.

    Captura de tela do botão

  5. No painel Criar segmento de aplicativo que é aberto, selecione um Tipo de destino.

    Captura de tela do painel

  6. Insira os detalhes apropriados para o tipo de destino selecionado. Dependendo do que você selecionar, os campos subsequentes serão alterados adequadamente.

    • Endereço IP:
      • Endereço IPv4 (Protocolo de Internet versão 4), como 192.0.2.1, que identifica um dispositivo na rede.
      • Forneça as portas que você deseja incluir.
    • Nome de domínio totalmente qualificado (incluindo FQDNs curinga):
      • Nome de domínio que especifica o local exato de um computador ou host no DNS (Sistema de Nomes de Domínio).
      • Forneça as portas que você deseja incluir.
      • Não há suporte para NetBIOS. Por exemplo, use contoso.local/app1 ao invés de contoso/app1.
    • Intervalo de endereços IP (CIDR):
      • O roteamento entre domínios sem classe é uma maneira de representar um intervalo de endereços IP nos quais um endereço IP é seguido por um sufixo que indica o número de bits de rede na máscara de sub-rede.
      • Por exemplo, 192.0.2.0/24 indica que os primeiros 24 bits do endereço IP representam o endereço de rede, enquanto os 8 bits restantes representam o endereço do host.
      • Forneça o endereço inicial, a máscara de rede e as portas.
    • Intervalo de endereços IP (IP para IP):
      • Intervalo de endereços IP desde o IP inicial (como 192.0.2.1) até o IP final (como 192.0.2.10).
      • Forneça o início, o término e as portas do endereço IP.

  7. Insira as portas e selecione o botão Aplicar.

    • Separe várias portas com uma vírgula.
    • Especifique intervalos de porta com um hífen.
    • Espaços entre valores são removidos quando você aplica as alterações.
    • Por exemplo, 400-500, 80, 443.

    Captura de tela do painel

    A tabela a seguir fornece as portas mais usadas e seus protocolos de rede associados:

    Porta Protocolo
    22 Secure Shell (SSH)
    80 Protocolo HTTP
    443 HTTPS (Protocolo de Transferência de Hipertexto Seguro)
    445 Compartilhamento de arquivos SMB (Bloco de Mensagens do Servidor)
    3389 Protocolo RDP

  8. Selecione o botão Salvar ao terminar.

Observação

Você pode adicionar até 500 segmentos de aplicativo ao seu aplicativo.

Não sobreponha FQDNs, endereços IP e intervalos de IP entre seu aplicativo de Acesso Rápido e quaisquer aplicativos de Acesso Privado.

Atribuir usuários e grupos

Você precisa conceder acesso ao aplicativo criado atribuindo usuários e/ou grupos ao aplicativo. Para obter mais informações, confira Atribuir usuários e grupos a um aplicativo.

  1. Entre no Centro de administração do Microsoft Entra.
  2. Navegue até Acesso Seguro Global (versão prévia)>Aplicativos>Aplicativos empresariais.
  3. Pesquise o seu aplicativo e selecione-o.
  4. Selecione Usuários e grupos no menu lateral.
  5. Adicione usuários e grupos conforme necessário.

Observação

Os usuários devem ser atribuídos diretamente ao aplicativo ou ao grupo atribuído ao aplicativo. Não há suporte para grupos aninhados.

Atualizar segmentos de aplicativos

Você pode adicionar ou atualizar os FQDNs e endereços IP incluídos em seu aplicativo a qualquer momento.

  1. Entre no Centro de administração do Microsoft Entra.
  2. Navegue até Acesso Seguro Global (versão prévia)>Aplicativos>Aplicativos empresariais.
  3. Pesquise o seu aplicativo e selecione-o.
  4. Selecione Propriedades de acesso à rede no menu lateral.
    • Para adicionar um novo FQDN ou endereço IP, selecione Adicionar segmento de aplicativo.
    • Para editar um aplicativo existente, selecione-o na coluna Tipo de destino.

Habilitar ou desabilitar o acesso com o Cliente de Acesso Seguro Global

Você pode habilitar ou desabilitar o acesso ao aplicativo Acesso Seguro Global usando o Cliente de Acesso Seguro Global. Essa opção é selecionada por padrão, mas pode ser desabilitada, portanto, os FQDNs e os endereços IP incluídos nos segmentos de aplicativo não são túnel pelo serviço.

Captura de tela da caixa de seleção

Atribuir políticas de acesso condicional

As políticas de Acesso Condicional para Acesso por aplicativo são configuradas no nível do aplicativo para cada aplicativo. As políticas de Acesso Condicional podem ser criadas e aplicadas ao aplicativo de dois locais:

  • Vá para Acesso Seguro Global (versão prévia)>Aplicativos>Aplicativos empresariais. Selecione um aplicativo e, em seguida, selecione Acesso Condicional no menu lateral.
  • Vá para Proteção>Acesso Condicional>Políticas. Selecione + Criar nova política.

Para obter mais informações, confira Aplicar políticas de Acesso Condicional a aplicativos de Acesso Privado.

Habilitar o Acesso Privado do Microsoft Entra

Depois que seu aplicativo estiver configurado, seus recursos privados serão adicionados, os usuários atribuídos ao aplicativo, você poderá habilitar o perfil de encaminhamento de tráfego de acesso privado. Você pode habilitar o perfil antes de configurar um aplicativo de Acesso Seguro Global, mas sem o aplicativo e o perfil configurados, não há tráfego a ser encaminhado.

  1. Entre no Centro de administração do Microsoft Entra.
  2. Navegue até Acesso Seguro Global (versão prévia)>Conectar>Encaminhamento de tráfego.
  3. Marque a caixa de seleção para Perfil de Acesso Privado.

Captura de tela da página de encaminhamento de tráfego com o perfil de Acesso Privado habilitado.

Termos de Uso

Seu uso do Acesso Privado do Microsoft Entra e Acesso à Internet do Microsoft Entra experiências e recursos de preview é regido pelos termos e condições de serviço online de preview dos contratos sob os quais você obteve os serviços. As prévias podem estar sujeitas a compromissos de segurança, conformidade e privacidade reduzidos ou diferentes, conforme explicado nos Termos de Licença Universais para Serviços Online e no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft (“DPA”) e quaisquer outros avisos fornecidos com a preview.

Próximas etapas

A próxima etapa para começar a usar o Acesso Privado do Microsoft Entra é habilitar o perfil de encaminhamento de tráfego de Acesso Privado.

Para obter mais informações sobre Acesso Privado, confira os seguintes artigos: