Настройка быстрого доступа для глобального безопасного доступа

С помощью Global Secure Access вы можете определить конкретные полные доменные имена (FQDN) или IP-адреса частных ресурсов, которые должны быть включены в трафик для Microsoft Entra Private Access. Затем сотрудники вашей организации могут получить доступ к указанным приложениям и сайтам. В этой статье описывается, как настроить быстрый доступ для Microsoft Entra Private Access.

Примечание.

Используйте быстрый доступ в качестве промежуточного состояния в процессе внедрения архитектуры "Нулевое доверие". После того как быстрый доступ позволит вам заменить VPN, настройте доступ для каждого приложения, чтобы достичь сегментации на уровне приложения и обеспечить детализированные элементы управления для каждого приложения.

Предварительные условия

Чтобы настроить быстрый доступ, необходимо:

• Роли глобального администратора безопасного доступа и администратора приложений в идентификаторе Microsoft Entra.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Для управления группами соединителей частной сети Microsoft Entra, которые необходимы для быстрого доступа, необходимо:

• Роль администратора приложения в идентификаторе Microsoft Entra
• Лицензии Microsoft Entra ID P1 или P2

Известные ограничения

Подробные сведения об известных проблемах и ограничениях см. в разделе "Известные ограничения для глобального безопасного доступа".

Шаги высокого уровня

Настройка параметров быстрого доступа является ключевым компонентом в работе с Microsoft Entra Private Access. При первой настройке Быстрого доступа Private Access создает новое корпоративное приложение. Свойства этого нового приложения автоматически настраиваются для работы с частным доступом.

Чтобы настроить быстрый доступ, необходимо иметь группу соединителей с как минимум одним активным соединителем прокси-приложения Microsoft Entra. Группа соединителей обрабатывает трафик в это новое приложение. После настройки быстрого доступа и группы соединителей частной сети необходимо предоставить доступ к приложению.

Чтобы свести к сводные данные, общий процесс выглядит следующим образом:

1. Создайте группу соединителей по крайней мере с одним активным соединителем частной сети.
2. Настройка быстрого доступа.
3. Назначьте пользователей и группы приложению.
4. Настройка политик условного доступа.
5. Включите профиль пересылки трафика для приватного доступа.

Создание группы соединителей частной сети

Чтобы настроить быстрый доступ, у вас должна быть группа соединителей с по крайней мере одним активным соединителем частной сети.

Если у вас еще нет группы соединителей, см. статью "Настройка соединителей для быстрого доступа".

Примечание.

Если вы ранее установили соединитель, переустановите его, чтобы получить последнюю версию. При обновлении удалите существующий соединитель и удалите все связанные папки.

Минимальная версия соединителя, необходимая для частного доступа, — 1.5.3417.0.

Настройка быстрого доступа

На странице быстрого доступа укажите имя приложения быстрого доступа, выберите группу соединителей и добавьте сегменты приложений, включая полные доменные имена и IP-адреса. Все три шага можно выполнить одновременно или добавить сегменты приложений после завершения начальной настройки.

Имя и группа соединителей

1. Войдите в Центр администрирования Microsoft Entra с помощью соответствующих ролей.
2. Перейдите к Global Secure Access>Приложения>Быстрый доступ.
3. Введите имя. Мы рекомендуем использовать имя Quick Access.
4. Выберите группу соединителей в раскрывающемся меню.
5. Нажмите кнопку "Сохранить ", чтобы создать приложение "Быстрый доступ" без полных доменных имен, IP-адресов и частных суффиксов DNS.

Добавление сегмента приложения быстрого доступа

Вы определяете полные доменные имена (FQDN) и IP-адреса, которые будут включены при добавлении сегмента приложения быстрого доступа. Эти ресурсы добавляются при создании или обновлении приложения быстрого доступа.

Можно добавить полные доменные имена (FQDN), IP-адреса и диапазоны IP-адресов. В каждом сегменте приложения можно добавить несколько портов и диапазонов портов.

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите к Глобальному безопасному доступу>Приложениям>Быстрому доступу.

3. Выберите Добавить сегмент приложения быстрого доступа.

4. На открывающейся панели "Создание сегмента приложения" выберите тип назначения.

5. Введите соответствующие сведения для выбранного типа назначения. В зависимости от выбранного значения последующие поля изменяются соответствующим образом.

   • IP-адрес:
     • Адрес протокола Интернета версии 4 (IPv4), например 192.168.2.1, который определяет устройство в сети.
     • Укажите порты, которые требуется включить.
   • Полное доменное имя (включая подстановочные FQDN):
     • Доменное имя, указывающее точное расположение компьютера или узла в системе доменных имен (DNS).
     • Укажите порты для включения.
     • Полные доменные имена подстановочных символов должны быть указаны в формате *.contoso.com.
   • Диапазон IP-адресов (CIDR):
     • Бесклассовая маршрутизация между доменами (CIDR) представляет диапазон IP-адресов. За IP-адресом следует суффикс, указывающий количество сетевых битов в маске подсети.
     • Например, 192.168.2.0/24 указывает, что первые 24 бита IP-адреса представляют сетевой адрес, а остальные 8 бит представляют адрес узла.
     • Укажите начальный адрес, маску сети и порты.
   • Диапазон IP-адресов (IP-адрес — IP):
     • Диапазон IP-адресов от начального IP-адреса (например, 192.168.2.1) до конца IP-адреса (например, 192.168.2.10).
     • Укажите начальный, конечный и порты IP-адреса.

6. Введите порты и протокол и нажмите кнопку "Применить".

   • Разделите несколько портов запятой.
   • Укажите диапазоны портов с дефисом.
   • Пробелы между значениями удаляются при применении изменений.
   • Например, 400-500, 80, 443.

   

   В следующей таблице приведены наиболее часто используемые порты и связанные с ними сетевые протоколы:

   Порт	Протокол
   двадцать два	Secure Shell (SSH).
   80	Протокол HTTP
   443	Защита протокола передачи гипертекста (HTTPS)
   445	Общий доступ к файлам блока сообщений сервера (SMB)
   3389	Протокол удаленного рабочего стола (RDP)

7. Выберите Сохранить по завершении.

Примечание.

В приложение быстрого доступа можно добавить до 500 сегментов приложений.

Добавление частных суффиксов DNS

Поддержка частного DNS для Microsoft Entra Private Access позволяет запрашивать собственные внутренние DNS-серверы для разрешения IP-адресов внутренних доменных имен. Рассмотрим пример. Предположим, что у вас есть внутренний диапазон 10.8.0.010.8.255.255IP-адресов. Диапазон настраивается в настройках вашего приложения быстрого доступа. Вы хотите, чтобы пользователи получали доступ к веб-приложению, которое отвечает на IP-адрес 10.8.0.5, когда они вводят https://benefits в своем веб-браузере. Но вы не хотите настраивать полное доменное имя (FQDN) для приложения. Используя Частная зона DNS, необходимо настроить соответствующий DNS-суффикс, чтобы клиент Глобального безопасного доступа знал, как правильно направлять запрос.

Кроме того, вы можете предоставить единый вход в систему для ресурсов Kerberos, настроив проверку подлинности Kerberos для контроллеров домена с помощью частной DNS-зоны. Дополнительные сведения о создании опыта единого входа (SSO) см. в статье Использование Kerberos для единого входа (SSO) к вашим ресурсам с помощью Microsoft Entra Private Access.

Добавьте DNS-суффикс для использования для частного DNS.

1. Выберите вкладку Частная зона DNS.
2. Установите флажок, чтобы включить частный DNS.
3. Выберите " Добавить DNS суффикс".
4. Введите суффикс DNS и нажмите кнопку "Добавить".

Назначить пользователей и группы

При настройке быстрого доступа создается новое корпоративное приложение от вашего имени. Необходимо предоставить доступ пользователям и/или группам к созданному вами приложению быстрого доступа.

Вы можете просмотреть свойства из быстрого доступа или перейти к корпоративным приложениям и найти приложение быстрого доступа.

Совет

Чтобы найти приложение на странице корпоративных приложений , снимите все фильтры, чтобы не отфильтровать нужное приложение.

1. Выберите "Изменить параметры приложения" из быстрого доступа.

   

2. Выберите "Пользователи" и "Группы " в боковом меню.

3. При необходимости добавьте пользователей и группы.

   • Дополнительные сведения см. в разделе "Назначение пользователей и групп приложению".

Примечание.

Пользователи должны быть напрямую назначены приложению или группе, связанной с ним. Вложенные группы не поддерживаются.

Связывание политик условного доступа

Политики условного доступа можно применять к приложению быстрого доступа. Применение политик условного доступа предоставляет дополнительные возможности для управления доступом к приложениям, сайтам и службам.

Создание политики условного доступа подробно описано в статье "Создание политики условного доступа для приложений приватного доступа".

Включить частный доступ Microsoft Entra

После того как вы настроите приложение быстрого доступа, добавите ваши частные ресурсы и назначите пользователей приложению, вы можете включить профиль частного доступа в разделе Пересылка трафика системы Global Secure Access. Вы можете включить профиль перед настройкой быстрого доступа, но без настройки приложения и профиля, нет трафика для пересылки. Сведения о включении профиля пересылки трафика частного доступа см. в статье "Управление профилем пересылки трафика частного доступа".

Следующие шаги

• Сведения о профилях трафика
• Настройка доступа для каждого приложения