Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Частный доступ Microsoft Entra позволяет расширить функции безопасности Azure Private Link для удаленных и локальных пользователей. Расширение возможностей безопасности обеспечивает современные функции проверки подлинности, такие как условный доступ, перед ресурсами платформы Azure as a Service (PaaS).
Приватный канал Azure позволяет получить доступ к службам Azure PaaS, таким как служба хранилища Azure и База данных SQL Azure. Приватный канал Azure также позволяет получить доступ к размещенным службам Azure и службам партнеров через частную конечную точку в виртуальной сети. Результатом является то, что такие ресурсы, как виртуальные машины, могут приватно и безопасно взаимодействовать с ресурсами Приватного канала.
Дополнительные сведения о приватном канале Azure см. в статье Что такое приватный канал Azure?.
В этой статье показано, как использовать Microsoft Entra Private Access для доступа к учетной записи хранения Azure, подключенной через Azure Private Link.
Необходимые условия
- Администраторы, взаимодействующие с функциями Global Secure Access, должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
- Роль администратора глобального безопасного доступа для управления функциями глобального безопасного доступа.
- Администратор условного доступа для создания политик условного доступа и взаимодействия с ними.
- Настройте учетную запись хранения, используя Azure Private Link. Чтобы узнать, как настроить учетную запись хранения в Azure Private Link, см. Учебник: Подключение к учетной записи хранения с помощью частной конечной точки Azure. Дополнительные сведения о частных конечных точках в Приватном канале Azure см. в статье Что такое частная конечная точка?.
- Разверните соединитель частной сети Microsoft Entra в частной виртуальной сети. Сведения о том, как развернуть соединитель, см. в разделе Настройка соединителей частной сети для Microsoft Entra Private Access и прокси-сервера приложений Microsoft Entra. Дополнительные сведения о соединителях см. в статье Общие сведения о соединителе частной сети Microsoft Entra. Дополнительные сведения о группах соединителей см. в статье Общие сведения о группах соединителей частной сети Microsoft Entra. Дополнительные сведения о виртуальной сети Azure см. в статье Что такое виртуальная сеть Azure?.
Создание приложения глобального безопасного доступа для учетной записи хранения Azure
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
- Перейдите к приложениям глобального безопасного доступа, >, корпоративным приложениям>.
- Выберите Создать приложение.
- Выберите нужную группу соединителей с учетом, что соединитель развернут в частной виртуальной сети.
- Выберите Добавить сегмент приложения:
- Тип назначения:
FQDN - Полное доменное имя (FQDN):
<fqdn of the storage account>. Например,storage1.blob.core.windows.net. - Порты:
443 - Протокол:
TCP
- Тип назначения:
- Выберите Применить, чтобы добавить сегмент приложения.
- Выберите Сохранить, чтобы сохранить изменения в приложении.
- Назначьте пользователей приложению.
Проверка конфигурации
Убедитесь, что подключение к учетной записи хранения работает с машины коннектора. Соединитель развертывается в той же частной виртуальной сети.
Проверьте подключения к учетной записи хранения за пределами частной виртуальной сети. Компьютеры, у которых не установлен клиент глобального безопасного доступа, должны не работать. Компьютеры с установленным клиентом глобального безопасного доступа должны успешно функционировать.
Дальнейшие действия
- Узнайте об приватном доступе Microsoft Entra