Настройка быстрого доступа для глобального безопасного доступа

С помощью глобального безопасного доступа можно определить конкретные полные доменные имена (FQDN) или IP-адреса частных ресурсов, которые будут включены в трафик для Частный доступ Microsoft Entra. Затем сотрудники вашей организации могут получить доступ к указанным приложениям и сайтам. В этой статье описывается настройка быстрого доступа для Частный доступ Microsoft Entra.

Необходимые компоненты

Чтобы настроить быстрый доступ, необходимо:

• Роли глобального безопасного доступа Администратор istrator и application Администратор istrator в идентификаторе Microsoft Entra.
• Для предварительной версии требуется лицензия Microsoft Entra ID P1. При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Для управления группами соединителей частной сети Microsoft Entra, которые необходимы для быстрого доступа, необходимо:

• Роль приложения Администратор istrator в идентификаторе Microsoft Entra
• Лицензии Microsoft Entra ID P1 или P2

Известные ограничения

Избегайте перекрывающихся сегментов приложений между быстрым доступом и доступом к каждому приложению.

Туннельный трафик к назначениям частного доступа по IP-адресу поддерживается только для диапазонов IP-адресов за пределами локальной подсети устройства конечного пользователя.

В настоящее время трафик частного доступа можно получить только с помощью клиента глобального безопасного доступа. Удаленные сети не могут быть назначены профилю пересылки трафика частного доступа.

Шаги высокого уровня

Настройка параметров быстрого доступа является основным компонентом для использования Частный доступ Microsoft Entra. При первом настройке быстрого доступа приватный доступ создает новое корпоративное приложение. Свойства этого нового приложения автоматически настраиваются для работы с частным доступом.

Чтобы настроить быстрый доступ, необходимо иметь группу соединителей по крайней мере с одним активным соединителем прокси приложения Microsoft Entra. Группа соединителей обрабатывает трафик в это новое приложение. После настройки быстрого доступа и группы соединителей частной сети необходимо предоставить доступ к приложению.

Чтобы свести к сводные данные, общий процесс выглядит следующим образом:

1. Создайте группу соединителей по крайней мере с одним активным соединителем частной сети.

   • Если у вас уже есть группа соединителей, убедитесь, что вы используете последнюю версию.

2. Настройка быстрого доступа.

3. Назначьте пользователей и группы приложению.

4. Настройка политик условного доступа.

5. Включите профиль пересылки трафика частного доступа.

Создание группы соединителей частной сети

Чтобы настроить быстрый доступ, у вас должна быть группа соединителей с по крайней мере одним активным соединителем частной сети.

Если у вас еще нет группы соединителей, см. статью "Настройка соединителей для быстрого доступа".

Примечание.

Если вы ранее установили соединитель, переустановите его, чтобы получить последнюю версию. При обновлении удалите существующий соединитель и удалите все связанные папки.

Минимальная версия соединителя, необходимая для частного доступа, — 1.5.3417.0.

Настройка быстрого доступа

На странице быстрого доступа укажите имя приложения быстрого доступа, выберите группу соединителей и добавьте сегменты приложений, включая полные доменные имена и IP-адреса. Все три шага можно выполнить одновременно или добавить сегменты приложений после завершения начальной настройки.

Имя и группа соединителей

1. Войдите в Центр администрирования Microsoft Entra с помощью соответствующих ролей.

2. Перейдите к быстрому доступу к приложениям глобального безопасного доступа (предварительная версия)>>.

3. Введите имя. Мы рекомендуем использовать имя Quick Access.

4. Выберите группу Подключение or в раскрывающемся меню. Существующие группы соединителей отображаются в раскрывающемся меню.

   

5. Нажмите кнопку "Сохранить" в нижней части страницы, чтобы создать приложение "Быстрый доступ" без полных доменных имен и IP-адресов.

Добавление сегмента приложения быстрого доступа

Часть сегмента приложения "Добавить быстрый доступ" этого процесса заключается в определении полных доменных имен и IP-адресов, которые необходимо включить в трафик для Частный доступ Microsoft Entra. Эти ресурсы можно добавить при создании приложения быстрого доступа или вернуться, чтобы добавить дополнительные или изменить их позже.

Можно добавить полные доменные имена (FQDN), IP-адреса и диапазоны IP-адресов. В каждом сегменте приложения можно добавить несколько портов и диапазонов портов.

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите к быстрому доступу к приложениям глобального безопасного доступа (предварительная версия)>>.

3. Выберите " Добавить сегмент приложения быстрого доступа".

   

4. На открывающейся панели "Создание сегмента приложения" выберите тип назначения.

   

5. Введите соответствующие сведения для выбранного типа назначения. В зависимости от выбранного значения последующие поля изменяются соответствующим образом.

   • IP-адрес:
     • Адрес протокола Интернета версии 4 (IPv4), например 192.0.2.1, который определяет устройство в сети.
     • Укажите порты, которые требуется включить.
   • Полное доменное имя (включая wild карта полное доменное имя):
     • Доменное имя, указывающее точное расположение компьютера или узла в системе доменных имен (DNS).
     • Укажите порты для включения.
     • NetBIOS не поддерживается. Например, используйте функцию contoso.local/app1 вместо contoso/app1.
   • Диапазон IP-адресов (CIDR):
     • Маршрутизация между доменами (CIDR) представляет диапазон IP-адресов. За IP-адресом следует суффикс, указывающий количество сетевых битов в маске подсети.
     • Например, 192.0.2.0/24 указывает, что первые 24 бита IP-адреса представляют сетевой адрес, а остальные 8 бит представляют адрес узла.
     • Укажите начальный адрес, маску сети и порты.
   • Диапазон IP-адресов (IP-адрес — IP):
     • Диапазон IP-адресов от начального IP-адреса (например, 192.0.2.1) до конечного IP-адреса (например, 192.0.2.10).
     • Укажите начальный, конечный и порты IP-адреса.

6. Введите порты и нажмите кнопку "Применить ".

   • Разделите несколько портов с запятыми.
   • Укажите диапазоны портов с дефисом.
   • Пробелы между значениями удаляются при применении изменений.
   • Например, 400-500, 80, 443.

   

   В следующей таблице приведены наиболее часто используемые порты и связанные с ними сетевые протоколы:

   Порт	Протокол
   22	Secure Shell (SSH).
   80	Протокол HTTP
   443	Защита протокола передачи гипертекста (HTTPS)
   445	Общий доступ к файлам блока сообщений сервера (S МБ)
   3389	Протокол удаленного рабочего стола (RDP)

7. Нажмите кнопку "Сохранить ", когда закончите работу.

Примечание.

В приложение быстрого доступа можно добавить до 500 сегментов приложений.

Не перекрывайте полные доменные имена, IP-адреса и диапазоны IP-адресов между приложением быстрого доступа и любыми приложениями приватного доступа.

Обновление сегментов приложений быстрого доступа

После завершения начальной установки можно добавить или изменить сегменты приложений.

Из глобального безопасного доступа (предварительная версия)>Быстрый доступ к приложениям:>

• Выберите " Добавить сегмент приложения быстрого доступа", чтобы добавить полное доменное имя или IP-адрес.
• Выберите сегмент приложения, который нужно изменить в столбце типа назначения.

Назначить пользователей и группы

При настройке быстрого доступа создается новое корпоративное приложение от вашего имени. Необходимо предоставить доступ к приложению быстрого доступа, созданному путем назначения пользователям и (или) группам приложения.

Вы можете просмотреть свойства из быстрого доступа или перейти к корпоративным приложениям и найти приложение быстрого доступа.

1. Нажмите кнопку "Изменить параметры приложения" из быстрого доступа.

   

2. Выберите "Пользователи" и "Группы " в боковом меню.

3. При необходимости добавьте пользователей и группы.

   • Дополнительные сведения см. в разделе "Назначение пользователей и групп приложению".

Примечание.

Пользователи должны быть напрямую назначены приложению или группе, назначенной приложению. Вложенные группы не поддерживаются.

Связывание политик условного доступа

Политики условного доступа можно применять к приложению быстрого доступа. Применение политик условного доступа предоставляет дополнительные возможности для управления доступом к приложениям, сайтам и службам.

Создание политики условного доступа подробно описано в статье "Создание политики условного доступа для приложений приватного доступа".

Включение Частный доступ Microsoft Entra

После настройки приложения быстрого доступа ваши частные ресурсы, назначенные приложению, можно включить профиль частного доступа из области пересылки трафика глобального безопасного доступа. Вы можете включить профиль перед настройкой быстрого доступа, но без настройки приложения и профиля, нет трафика для пересылки.

1. Войдите в центр администрирования Microsoft Entra.
2. Перейдите к глобальному безопасному доступу (предварительная версия)>Подключение> Traffic переадресации.
3. Выберите поле проверка box для профиля закрытого доступа.

Условия использования

Использование Частный доступ Microsoft Entra и Интернет-доступ Microsoft Entra предварительных версий и функций регулируется условиями предварительной версии веб-службы соглашений, в соответствии с которыми вы получили услуги. Предварительные версии могут быть подвержены снижению или другим обязательствам по обеспечению безопасности, соответствия требованиям и конфиденциальности, как описано далее в условиях универсального лицензионного соглашения для веб-служб и надстройки защиты данных Майкрософт (DPA) и других уведомлениях, предоставляемых предварительной версией.

Следующие шаги

Следующим шагом для начала работы с Частный доступ Microsoft Entra является включение профиля пересылки трафика приватного доступа.

Дополнительные сведения о частном доступе см. в следующих статьях:

• Сведения о профилях трафика
• Настройка доступа для каждого приложения