Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Entra Suite fornece recursos para implantar uma solução robusta para controlar quem pode acessar aplicativos locais e herdados em cenários de trabalho remoto modernos. O Microsoft Entra Private Access permite que as organizações modernizem como os usuários se conectam com segurança a aplicativos Web existentes, aplicativos herdados e outros recursos em redes privadas, independentemente de o usuário estar no local ou acessando remotamente. O gerenciamento de direitos permite que as organizações gerenciem o ciclo de vida de acesso e identidade em escala automatizando fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.
Semelhante a aplicativos de nuvem, aplicativos locais que dão suporte a provisionamento ou federação ou grupos de segurança, os aplicativos configurados para conexão por meio do Microsoft Entra Private Access podem ser integrados ao Gerenciamento de Direitos, permitindo que as organizações mantenham um processo de governança consistente entre recursos de muitos tipos.
Tradicionalmente, o Proxy de Aplicativo entra tem sido usado para fornecer acesso remoto seguro a aplicativos baseados na Web locais sem a necessidade de uma VPN. Os usuários que trabalham remotamente ainda podem precisar de acesso a aplicativos não baseados na Web que tradicionalmente exigem uma VPN para protocolos como MSSQL, SSH ou RDP. Isso apresenta dois problemas importantes:
- A maioria das VPNs dá acesso a toda a rede
- Algumas VPNs historicamente dão acesso a qualquer pessoa com um cliente e não verificam a necessidade autorizada de acesso do usuário.
Cenários comuns
Os cenários a seguir ilustram como o Microsoft Entra Suite pode ajudar a modernizar seu ambiente, governando quem pode acessar aplicativos em redes privadas.
Cenário 1: substituição de VPN para aplicativos não integrados do Active Directory
A Governança de ID do Entra pode estabelecer quem deve ter acesso a um aplicativo local, permitindo que os usuários acessem com segurança o aplicativo por meio do Entra Private Access quando o usuário não estiver localizado no local.
Muitas organizações têm aplicativos em redes privadas, permitindo que os usuários atribuídos acessem esses aplicativos enquanto os usuários estão na rede de sua organização. Por meio dos conectores de provisionamento do Microsoft Entra, a Governança de ID do Entra pode orquestrar a criação de contas de usuário na maioria dos sistemas locais, como diretórios LDAP ou bancos de dados SQL.
Dependendo do seu cenário, haverá dois ou três objetos no Entra representando seu aplicativo do mundo real:
- Haverá um objeto de aplicativo que representa a conexão do Entra Private Access com os endpoints desse aplicativo.
- Se o aplicativo for federado ao diretório do Microsoft Entra como um provedor de identidade, haverá um objeto de aplicativo que representa a autenticação do usuário no endpoint do aplicativo, como o uso de SAML, OAuth ou OpenID Connect.
- Se o aplicativo usar conectores do agente de provisionamento local para serem provisionados por meio de LDAP, SQL, PowerShell, SOAP ou REST, haverá um objeto de aplicativo que representa essa integração de provisionamento.
- Se o aplicativo usar um grupo do Active Directory criado pelo Microsoft Entra (consulte o Cenário 3 abaixo), haverá um grupo
Inclua os recursos do aplicativo relacionado em um pacote de acesso e, quando um usuário solicitar o pacote e for aprovado, ele receberá atribuições de função de aplicativo em cada aplicativo. Isso fará com que eles sejam provisionados para o aplicativo (se necessário), que o Microsoft Entra emita tokens de federação para o usuário para o aplicativo mediante solicitação e o usuário terá permissão para se conectar ao aplicativo com o Entra Private Access. Quando a atribuição do pacote de acesso do usuário termina, sua conta é removida do aplicativo e sua capacidade de se conectar ao aplicativo também é revogada.
Cenário 2: Substituição de VPN para aplicativos integrados ao Active Directory no local
As organizações geralmente enfrentam desafios para habilitar o acesso seguro a aplicativos integrados ao AD para usuários híbridos, aqueles cujas identidades existem tanto na nuvem quanto no local. Utilizando o Acesso Privado do Entra, o gerenciamento de direitos e a reescrita de grupos, as organizações podem implementar o acesso controlado para usuários híbridos em aplicativos on-premises integrados ao AD.
Um grupo no Entra é configurado para o write-back de grupo, que sincroniza as associações de grupo do Entra com um grupo do AD local. Um usuário inicia o processo enviando uma solicitação para um pacote de acesso no Entra que contém o grupo de segurança Entra. Depois que a solicitação é aprovada, o usuário recebe o pacote de acesso e é adicionado ao grupo.
Por meio do write-back de grupo, a associação de grupo do Entra do usuário é refletida no grupo correspondente do AD local. Essa sincronização garante que a associação do grupo do AD local esteja sempre atualizada com as alterações feitas no Entra. O grupo do AD local, por sua vez, está configurado para fornecer acesso ao aplicativo local de destino. A associação de grupo foi configurada com uma política de escopo de acesso privado, que define as condições sob as quais os usuários podem se conectar com segurança ao recurso local.
Com o acesso do usuário provisionado, ele agora pode se conectar com segurança ao aplicativo local por meio do Entra Private Access.
Cenário 3: Substituição de VPN para aplicativos desconectados
As organizações podem ter aplicativos herdados que não dão suporte a protocolos de provisionamento ou protocolos de autenticação modernos, como Kerberos ou SAML. Nesses cenários, as organizações podem provisionar manualmente os usuários no aplicativo e, em seguida, alocar o aplicativo em um segmento de rede separado (uma VLAN) junto com suas dependências e o proxy de Acesso Privado do Entra. Isso impede que os usuários, mesmo no local, se conectem ao aplicativo.
Os usuários podem solicitar acesso ao aplicativo protegido. Após a aprovação, o Entra ID Governance abre um tíquete de serviço (por exemplo, no ServiceNow) para que o proprietário do aplicativo forneça manualmente ao funcionário uma conta nesse sistema. O Entra ID Governance atribui o usuário à representação do aplicativo no Entra.
Agora, quando o funcionário se conecta ao aplicativo de seu PC, o Entra Private Access automaticamente redireciona a conexão com segurança do PC para o aplicativo protegido.
Quando a atribuição de acesso expirar, o Entra ID Governance abrirá outro tíquete para que o proprietário do aplicativo remova manualmente a conta do usuário, eliminando a capacidade do usuário de acessar o aplicativo.
