Compartilhar via

Ancoragem do IP de origem com o Global Secure Access

Organizações com aplicativos SaaS (Software como Serviço) ou LOB (Linha de Negócios) podem impor locais de rede específicos antes de permitir o acesso. Uma abordagem é usar o Microsoft Entra Private Access para rotear o tráfego de aplicativo Web específico com uma rede controlada de forma privada. Essa abordagem permite que você imponha IPs de saída específicos que somente sua organização usa. Este artigo descreve como configurar o Microsoft Entra Private Access para direcionar o tráfego de aplicativos específicos por meio de uma rede privada, a fim de satisfazer a política de controle de acesso à rede baseada no aplicativo.

Dica

A ancoragem de IP de origem e a restauração de IP de origem são recursos diferentes. A ancoragem de IP de origem, conforme discutido neste artigo, roteia o tráfego de aplicativos através do seu conector de rede privada, de modo que um aplicativo SaaS reconheça seu endereço IP de saída conhecido. A restauração do IP de origem preserva o endereço IP público original do usuário nos logs de autenticação do Microsoft Entra quando o tráfego flui pelo Acesso Seguro Global. Escolha o recurso que corresponde ao seu cenário.

Configurar ancoragem de IP de origem para rotear o tráfego de um endereço IP dedicado

Para habilitar a aplicação de políticas de aplicativos em uma rede dedicada, configure um aplicativo empresarial com o Microsoft Entra Private Access. Um exemplo em que essa configuração pode ser necessária é quando o aplicativo permite o acesso com credenciais locais que não estão vinculadas ao seu provedor de identidade.

Essa solução adquire o tráfego do aplicativo e o roteia do dispositivo cliente. Ela roteia pelo Secure Service Edge da Microsoft e, em seguida, para uma rede privada com um conector de rede privado. Na rede privada, o tráfego pode acessar o aplicativo com a Internet ou qualquer outra conexão privada disponível. O aplicativo vê o tráfego como proveniente do endereço IP de saída permitido indicando que o acesso vem da rede dedicada que satisfaz seus próprios controles de acesso à rede.

O diagrama de arquitetura a seguir ilustra uma configuração de exemplo.

Diagrama de uma configuração de arquitetura de exemplo.

Na configuração de exemplo, o aplicativo só permite conexões originadas de 15.4.23.54, que é o endereço IP de saída da rede local do cliente. Quando um usuário tenta acessar o aplicativo, o cliente de Acesso Global Seguro adquire e túnela o tráfego através do Serviço de Borda Segura da Microsoft, onde a imposição de controle de autorização (como o Acesso Condicional) pode ocorrer. O tráfego é direcionado para a rede no local usando o Conector de Rede Privada. Por fim, o tráfego usa a Internet para se conectar ao aplicativo Web. O aplicativo vê a conexão proveniente da versão 15.4.23.54 e permite o acesso.

Observação

A configuração da ancoragem de IP de origem é necessária quando um aplicativo SaaS impõe seus próprios controles baseados em rede. Se o requisito for limitado à imposição de localização do provedor de identidade, uma checagem de conformidade da rede será suficiente. A verificação da conformidade da rede impõe controles de acesso baseados em rede na camada de autenticação e evita a necessidade de encaminhar o tráfego por meio da rede privada. O Acesso Global Seguro associa o tráfego à sua ID de locatário para garantir que outras organizações que usam o Acesso Global Seguro não possam atender às suas políticas de Acesso Condicional.

Pré-requisitos

Antes de começar a configurar o alinhamento de IP de origem, verifique se o ambiente está pronto e em conformidade.

  • Você tem um aplicativo SaaS que impõe sua própria política de controle de acesso baseada em rede.
  • Sua licença inclui o Suíte do Microsoft Entra ou o Acesso privado do Microsoft Entra.
  • Você habilitou o perfil de encaminhamento do Acesso Privado do Microsoft Entra.
  • Você tem a versão mais recente do cliente de Acesso Seguro Global.

Implantar conectores de rede privada

Ao atender aos pré-requisitos, execute as seguintes etapas para implantar conectores de rede privados:

  1. Instale um conector de rede privada em uma rede privada que tenha conectividade de saída com o aplicativo Web de destino. Uma boa opção é hospedar o conector em uma Rede Virtual do Azure em que você controla o IP de saída. Recomendamos que você instale dois ou mais conectores para resiliência e alta disponibilidade.
  2. Forneça o endereço IP público dos conectores para o aplicativo SaaS para que os usuários possam se conectar ao aplicativo.

Configurar ancoragem do IP de origem

Depois de instalar e configurar os conectores de rede privada, execute as seguintes etapas para criar um aplicativo empresarial:

  1. Navegue até entra.microsoft.com.

  2. Selecione Acesso Seguro Global>Aplicativos > aplicativos empresariais.

  3. Selecione Novo aplicativo.

  4. Insira um nome para o aplicativo.

  5. Selecione o Grupo de Conectores que adquire e roteia o tráfego.

  6. Selecione Adicionar segmento de aplicativo.

  7. Preencha os seguintes campos:

    1. Tipo de destino – Selecione o nome de domínio totalmente qualificado.

    2. Nome de domínio totalmente qualificado – insira o nome de domínio totalmente qualificado do aplicativo Web.

    3. Portas – se o aplicativo usa HTTP, insira 80. Se o aplicativo usar HTTPS, insira 443. Você também pode inserir ambas as portas.

    4. Protocolo – Selecione TCP.

      Captura de tela da caixa de diálogo Criar segmento de aplicativo.

  8. Selecione Aplicar.

  9. Selecione Salvar.

  10. Navegue de volta para aplicativos Empresariais. Selecione o aplicativo que você criou.

  11. Selecione Usuários e grupos.

  12. Selecione Adicionar usuário/grupo.

  13. Selecione Usuários e grupos>Nenhum Selecionado.

  14. Procure e selecione os usuários e grupos que você deseja atribuir a este aplicativo. Selecione Selecionar.

  15. Selecione Atribuir.

Validar a configuração

Depois de configurar um aplicativo empresarial para o aplicativo Web, execute as etapas a seguir para validar se ele está funcionando corretamente.

  1. No cliente de Acesso Seguro Global do Windows, abra o Diagnóstico Avançado.

  2. Selecione perfil de encaminhamento.

  3. Expanda regras de acesso privado. Valide se o FQDN (nome de domínio totalmente qualificado) do aplicativo Web está na lista.

    Captura de tela do Acesso Seguro Global – Diagnóstico Avançado – Regras.

  4. Selecione Tráfego.

  5. Selecione Iniciar coleta.

  6. Em um navegador, navegue até o aplicativo Web.

  7. Retorne ao Diagnóstico Avançado.

  8. Selecione Parar coleta.

  9. Valide estas configurações:

    1. O aplicativo Web é exibido no FQDN de Destino.

    2. O campo Canal é Acesso Privado.

    3. O campo Ação é Tunnel.

      Captura de tela do Acesso Seguro Global – Diagnóstico Avançado – Tráfego de rede.

  10. Verifique os logs do aplicativo (não no Microsoft Entra ID). Valide se o aplicativo detecta um login de um endereço IP que corresponde ao IP de saída de sua rede privada.

Solução de problemas

Verifique se você desabilitou o QUIC, o IPv6 e o DNS criptografado. Você pode encontrar detalhes em nosso guia de solução de problemas para o cliente de Acesso Seguro Global.

Próximas etapas

  • O painel acesso seguro global fornece visualizações do tráfego de rede adquirido pelos serviços Microsoft Entra Private e Microsoft Entra Internet Access.
  • Last updated on