Поделиться через

Настройка доступа для каждого приложения с помощью приложений глобального безопасного доступа

  • Статья

Частный доступ Microsoft Entra обеспечивает безопасный доступ к внутренним ресурсам вашей организации. Вы создаете приложение глобального безопасного доступа и указываете внутренние частные ресурсы, которые требуется защитить. Настроив приложение Глобального безопасного доступа, вы создаете доступ к внутренним ресурсам для каждого приложения. Приложение Global Secure Access предоставляет более подробную возможность управлять доступом к ресурсам на основе каждого приложения.

В этой статье описывается настройка доступа для каждого приложения с помощью приложений Глобального безопасного доступа.

Необходимые компоненты

Чтобы настроить приложение глобального безопасного доступа, необходимо:

  • Роли глобального безопасного доступа Администратор istrator и приложения Администратор istrator в идентификаторе Microsoft Entra
  • Для предварительной версии требуется лицензия Microsoft Entra ID P1. При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Для управления группами соединителей частной сети Microsoft Entra, которые необходимы для приложений глобального безопасного доступа, необходимо:

  • Роль приложения Администратор istrator в идентификаторе Microsoft Entra
  • Лицензии Microsoft Entra ID P1 или P2

Известные ограничения

  • Избегайте перекрывающихся сегментов приложений между быстрым доступом и приложениями глобального безопасного доступа.
  • Туннельный трафик к назначениям частного доступа по IP-адресу поддерживается только для диапазонов IP-адресов за пределами локальной подсети устройства конечного пользователя.
  • В настоящее время трафик частного доступа можно получить только с помощью глобального клиента безопасного доступа. Удаленные сети не могут быть назначены профилю пересылки трафика частного доступа.

Шаги высокого уровня

Доступ к приложениям настраивается путем создания нового приложения глобального безопасного доступа. Вы создаете приложение, выбираете группу соединителей и добавляете сегменты сетевого доступа. Эти параметры составляют отдельное приложение, которому можно назначить пользователей и группы.

Чтобы настроить per-App Access, необходимо иметь группу соединителей по крайней мере с одним активным соединителем прокси приложения Microsoft Entra. Эта группа соединителей обрабатывает трафик в это новое приложение. С помощью Подключение оров можно изолировать приложения для каждой сети и соединителя.

Чтобы свести к сводные данные, общий процесс выглядит следующим образом:

  1. Создайте группу соединителей по крайней мере с одним активным соединителем частной сети.

    • Если у вас уже есть группа соединителей, убедитесь, что вы используете последнюю версию.

  2. Создайте приложение глобального безопасного доступа.

  3. Назначьте пользователей и группы приложению.

  4. Настройка политик условного доступа.

  5. Включите Частный доступ Microsoft Entra.

Создание группы соединителей частной сети

Чтобы настроить приложение Global Secure Access, необходимо иметь группу соединителей с по крайней мере одним активным соединителем частной сети.

Если у вас еще нет соединителя, см. статью "Настройка соединителей".

Примечание.

Если вы ранее установили соединитель, переустановите его, чтобы получить последнюю версию. При обновлении удалите существующий соединитель и удалите все связанные папки.

Минимальная версия соединителя, необходимая для частного доступа, — 1.5.3417.0.

Создание приложения глобального безопасного доступа

Чтобы создать приложение, укажите имя, выберите группу соединителей и добавьте сегменты приложений. Сегменты приложений включают полные доменные имена (FQDN) и IP-адреса, которые вы хотите туннелировать через службу. Вы можете выполнить все три шага одновременно или добавить их после завершения начальной настройки.

Выбор имени и группы соединителей

  1. Войдите в Центр администрирования Microsoft Entra с помощью соответствующих ролей.

  2. Перейдите к приложениям Global Secure Access (предварительная версия)>Application>Enterprise.

  3. Выберите Новое приложение.

    Снимок экрана: корпоративные приложения и кнопка

  4. Введите название приложения.

  5. Выберите группу Подключение or в раскрывающемся меню.

    • Существующие группы соединителей отображаются в раскрывающемся меню.

  6. Нажмите кнопку "Сохранить" в нижней части страницы, чтобы создать приложение без добавления частных ресурсов.

Добавление сегмента приложения

Процесс добавления сегмента приложения — это место, в котором определяются полные доменные имена и IP-адреса, которые необходимо включить в трафик для приложения Глобального безопасного доступа. Вы можете добавить сайты при создании приложения и вернуться, чтобы добавить дополнительные или изменить их позже.

Можно добавить полные доменные имена (FQDN), IP-адреса и диапазоны IP-адресов. В каждом сегменте приложения можно добавить несколько портов и диапазонов портов.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к приложениям Global Secure Access (предварительная версия)>Application>Enterprise.

  3. Выберите Новое приложение.

  4. Выберите " Добавить сегмент приложения".

    Снимок экрана: кнопка

  5. На открывающейся панели "Создание сегмента приложения" выберите тип назначения.

    Снимок экрана: панель создания сегмента приложения.

  6. Введите соответствующие сведения для выбранного типа назначения. В зависимости от выбранного значения последующие поля изменяются соответствующим образом.

    • IP-адрес:
      • Адрес протокола Интернета версии 4 (IPv4), например 192.0.2.1, который определяет устройство в сети.
      • Укажите порты, которые требуется включить.
    • Полное доменное имя (включая wild карта полное доменное имя):
      • Доменное имя, указывающее точное расположение компьютера или узла в системе доменных имен (DNS).
      • Укажите порты, которые требуется включить.
      • NetBIOS не поддерживается. Например, используйте contoso.local/app1 вместо contoso/app1.
    • Диапазон IP-адресов (CIDR):
      • Маршрутизация между доменами без класса — это способ представления диапазона IP-адресов, за которым следует IP-адрес, указывающий количество сетевых битов в маске подсети.
      • Например, 192.0.2.0/24 указывает, что первые 24 бита IP-адреса представляют сетевой адрес, а остальные 8 бит представляют адрес узла.
      • Укажите начальный адрес, маску сети и порты.
    • Диапазон IP-адресов (IP-адрес — IP):
      • Диапазон IP-адресов от начального IP-адреса (например, 192.0.2.1) до конечного IP-адреса (например, 192.0.2.10).
      • Укажите начальный, конечный и порты IP-адреса.

  7. Введите порты и нажмите кнопку "Применить ".

    • Разделите несколько портов с запятыми.
    • Укажите диапазоны портов с дефисом.
    • Пробелы между значениями удаляются при применении изменений.
    • Например, 400-500, 80, 443.

    Снимок экрана: панель создания сегмента приложения с несколькими портами.

    В следующей таблице приведены наиболее часто используемые порты и связанные с ними сетевые протоколы:

    Порт Протокол
    22 Secure Shell (SSH).
    80 Протокол HTTP
    443 Защита протокола передачи гипертекста (HTTPS)
    445 Общий доступ к файлам блока сообщений сервера (S МБ)
    3389 Протокол удаленного рабочего стола (RDP)

  8. Нажмите кнопку "Сохранить ", когда закончите работу.

Примечание.

В приложение можно добавить до 500 сегментов приложений.

Не перекрывайте полные доменные имена, IP-адреса и диапазоны IP-адресов между приложением быстрого доступа и любыми приложениями приватного доступа.

Назначить пользователей и группы

Необходимо предоставить доступ к приложению, созданному путем назначения пользователям и (или) группам приложения. Дополнительные сведения см. в разделе "Назначение пользователей и групп приложению".

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите к приложениям Global Secure Access (предварительная версия)>Application>Enterprise.
  3. Найдите и выберите свое приложение.
  4. Выберите "Пользователи" и "Группы " в боковом меню.
  5. При необходимости добавьте пользователей и группы.

Примечание.

Пользователи должны быть напрямую назначены приложению или группе, назначенной приложению. Вложенные группы не поддерживаются.

Обновление сегментов приложений

Полное доменное имя и IP-адреса, включенные в приложение, можно добавлять или обновлять в любое время.

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите к приложениям Global Secure Access (предварительная версия)>Application>Enterprise.
  3. Найдите и выберите свое приложение.
  4. Выберите свойства доступа к сети в боковом меню.
    • Чтобы добавить новое полное доменное имя или IP-адрес, выберите " Добавить сегмент приложения".
    • Чтобы изменить существующее приложение, выберите его в столбце типа назначения.

Включение или отключение доступа с помощью клиента глобального безопасного доступа

Вы можете включить или отключить доступ к приложению Глобального безопасного доступа с помощью клиента глобального безопасного доступа. Этот параметр выбран по умолчанию, но может быть отключен, поэтому полные доменные имена и IP-адреса, включенные в сегменты приложений, не туннелируются через службу.

Снимок экрана: поле включения доступа проверка box.

Назначение политик условного доступа

Политики условного доступа для каждого приложения настраиваются на уровне приложения для каждого приложения. Политики условного доступа можно создавать и применять к приложению из двух мест:

  • Перейдите к приложениям Global Secure Access (предварительная версия)>Enterprise>. Выберите приложение и выберите условный доступ в боковом меню.
  • Перейдите к политикам условного доступа>защиты>. Выберите и создайте новую политику.

Дополнительные сведения см. в статье "Применение политик условного доступа к приложениям приватного доступа".

Включение Частный доступ Microsoft Entra

После настройки приложения ваши частные ресурсы добавлены, пользователи, назначенные приложению, можно включить профиль пересылки трафика частного доступа. Вы можете включить профиль перед настройкой приложения Глобального безопасного доступа, но без приложения и профиля, нет трафика для пересылки.

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите к глобальному безопасному доступу (предварительная версия)>Подключение> Traffic переадресации.
  3. Выберите поле проверка box для профиля закрытого доступа.

Снимок экрана: страница пересылки трафика с включенным профилем частного доступа.

Условия использования

Использование Частный доступ Microsoft Entra и Интернет-доступ Microsoft Entra предварительных версий и функций регулируется условиями предварительной версии веб-службы соглашений, в соответствии с которыми вы получили услуги. Предварительные версии могут быть подвержены снижению или другим обязательствам по обеспечению безопасности, соответствия требованиям и конфиденциальности, как описано далее в условиях универсального лицензионного соглашения для веб-служб и надстройки защиты данных Майкрософт (DPA) и других уведомлениях, предоставляемых предварительной версией.

Следующие шаги

Следующим шагом для начала работы с Частный доступ Microsoft Entra является включение профиля пересылки трафика приватного доступа.

Дополнительные сведения о частном доступе см. в следующих статьях: