Så här konfigurerar du åtkomst per app med hjälp av globala program för säker åtkomst
Microsoft Entra privatåtkomst ger säker åtkomst till organisationens interna resurser. Du skapar ett globalt program för säker åtkomst och anger de interna, privata resurser som du vill skydda. Genom att konfigurera ett globalt program för säker åtkomst skapar du åtkomst per app till dina interna resurser. Det globala programmet för säker åtkomst ger en mer detaljerad möjlighet att hantera hur resurserna används per app.
Den här artikeln beskriver hur du konfigurerar åtkomst per app med hjälp av globala program för säker åtkomst.
Förutsättningar
Om du vill konfigurera en global säker åtkomstapp måste du ha:
- Rollen Global administratör för säker åtkomst och programadministratör i Microsoft Entra-ID
- Förhandsgranskningen kräver en Microsoft Entra ID P1-licens. Om det behövs kan du köpa licenser eller få utvärderingslicenser.
Om du vill hantera grupper för privata Nätverksanslutningar i Microsoft Entra, som krävs för globala appar för säker åtkomst, måste du ha:
- En programadministratörsroll i Microsoft Entra-ID
- Microsoft Entra ID P1- eller P2-licenser
Kända begränsningar
- Undvik överlappande appsegment mellan snabbåtkomst och globala appar för säker åtkomst.
- Tunneltrafik till mål för privat åtkomst efter IP-adress stöds endast för IP-intervall utanför det lokala undernätet för slutanvändarens enhet.
- För närvarande kan privat åtkomst endast hämtas med den globala klienten för säker åtkomst. Fjärrnätverk kan inte tilldelas till profilen vidarebefordran av privat åtkomsttrafik.
Generella steg
Åtkomst per app konfigureras genom att skapa en ny global säker åtkomstapp. Du skapar appen, väljer en anslutningsgrupp och lägger till nätverksåtkomstsegment. De här inställningarna utgör den enskilda app som du kan tilldela användare och grupper till.
För att konfigurera per appåtkomst måste du ha en anslutningsgrupp med minst en aktiv Microsoft Entra-programproxyanslutning . Den här anslutningsgruppen hanterar trafiken till det nya programmet. Med Anslut orer kan du isolera appar per nätverk och anslutningsapp.
För att sammanfatta är den övergripande processen följande:
Skapa en anslutningsgrupp med minst en aktiv privat nätverksanslutning.
- Om du redan har en anslutningsgrupp kontrollerar du att du har den senaste versionen.
Skapa en global app för säker åtkomst.
Konfigurera principer för villkorsstyrd åtkomst.
Skapa en privat nätverksanslutningsgrupp
Om du vill konfigurera en global säker åtkomstapp måste du ha en anslutningsgrupp med minst en aktiv privat nätverksanslutning.
Om du inte redan har konfigurerat en anslutningsapp kan du läsa Konfigurera anslutningsappar.
Kommentar
Om du tidigare har installerat en anslutningsapp installerar du om den för att hämta den senaste versionen. När du uppgraderar avinstallerar du den befintliga anslutningsappen och tar bort eventuella relaterade mappar.
Den lägsta versionen av anslutningsappen som krävs för privat åtkomst är 1.5.3417.0.
Skapa ett globalt program för säker åtkomst
Om du vill skapa en ny app anger du ett namn, väljer en anslutningsgrupp och lägger sedan till programsegment. Appsegmenten omfattar de fullständigt kvalificerade domännamnen (FQDN) och IP-adresser som du vill tunneltrafikera genom tjänsten. Du kan slutföra alla tre stegen samtidigt, eller så kan du lägga till dem när den första installationen är klar.
Välj namn och anslutningsgrupp
Logga in på administrationscentret för Microsoft Entra med lämpliga roller.
Bläddra till Global säker åtkomst (förhandsversion)>Program>Företagsprogram.
Välj Nytt program.
Ange ett namn för appen.
Välj en Anslut eller-grupp på den nedrullningsbara menyn.
- Befintliga anslutningsgrupper visas i den nedrullningsbara menyn.
Välj knappen Spara längst ned på sidan för att skapa din app utan att lägga till privata resurser.
Lägg till programsegment
Processen Lägg till programsegment är den plats där du definierar de FQDN och IP-adresser som du vill inkludera i trafiken för den globala säkra åtkomstappen. Du kan lägga till webbplatser när du skapar appen och återgå för att lägga till fler eller redigera dem senare.
Du kan lägga till fullständigt kvalificerade domännamn (FQDN), IP-adresser och IP-adressintervall. Inom varje programsegment kan du lägga till flera portar och portintervall.
Logga in på administrationscentret för Microsoft Entra.
Bläddra till Global säker åtkomst (förhandsversion)>Program>Företagsprogram.
Välj Nytt program.
Välj Lägg till programsegment.
I panelen Skapa programsegment som öppnas väljer du en måltyp.
Ange lämplig information för den valda måltypen. Beroende på vad du väljer ändras de efterföljande fälten i enlighet med detta.
- IP-adress:
- IPv4-adress (Internet Protocol version 4), till exempel 192.0.2.1, som identifierar en enhet i nätverket.
- Ange de portar som du vill inkludera.
- Fullständigt domännamn (inklusive domännamn med jokertecken):
- Domännamn som anger den exakta platsen för en dator eller en värd i DNS (Domain Name System).
- Ange de portar som du vill inkludera.
- NetBIOS stöds inte. Använd till exempel
contoso.local/app1i stället förcontoso/app1.
- IP-adressintervall (CIDR):
- Klasslös routning mellan domäner är ett sätt att representera ett intervall med IP-adresser där en IP-adress följs av ett suffix som anger antalet nätverksbitar i nätmasken.
- Till exempel 192.0.2.0/24 anger att de första 24 bitarna av IP-adressen representerar nätverksadressen, medan de återstående 8 bitarna representerar värdadressen.
- Ange startadress, nätverksmask och portar.
- IP-adressintervall (IP till IP):
- Intervall med IP-adresser från start-IP (till exempel 192.0.2.1) till slut-IP (till exempel 192.0.2.10).
- Ange IP-adressens start-, slut- och portar.
- IP-adress:
Ange portarna och välj knappen Använd .
- Avgränsa flera portar med kommatecken.
- Ange portintervall med bindestreck.
- Blanksteg mellan värden tas bort när du tillämpar ändringarna.
- Exempel:
400-500, 80, 443
Följande tabell innehåller de vanligaste portarna och deras associerade nätverksprotokoll:
Port Protokoll 22 Secure Shell (SSH) 80 Hypertext Transfer Protocol (HTTP) 443 Hypertext Transfer Protocol Secure (HTTPS) 445 Fildelning för servermeddelandeblock (SMB) 3389 Remote Desktop Protocol (RDP) Välj knappen Spara när du är klar.
Kommentar
Du kan lägga till upp till 500 programsegment i din app.
Överlappa inte FQDN, IP-adresser och IP-intervall mellan din Snabbåtkomst-app och privata åtkomstappar.
Tilldela användare och grupper
Du måste bevilja åtkomst till den app som du skapade genom att tilldela användare och/eller grupper till appen. Mer information finns i Tilldela användare och grupper till ett program.
- Logga in på administrationscentret för Microsoft Entra.
- Bläddra till Global säker åtkomst (förhandsversion)>Program>Företagsprogram.
- Sök efter och välj ditt program.
- Välj Användare och grupper på sidomenyn.
- Lägg till användare och grupper efter behov.
Kommentar
Användare måste tilldelas direkt till appen eller till den grupp som tilldelats till appen. Kapslade grupper stöds inte.
Uppdatera programsegment
Du kan lägga till eller uppdatera de FQDN:er och IP-adresser som ingår i din app när som helst.
- Logga in på administrationscentret för Microsoft Entra.
- Bläddra till Global säker åtkomst (förhandsversion)>Program>Företagsprogram.
- Sök efter och välj ditt program.
- Välj Egenskaper för nätverksåtkomst på sidomenyn.
- Om du vill lägga till ett nytt FQDN eller EN IP-adress väljer du Lägg till programsegment.
- Om du vill redigera en befintlig app väljer du den i kolumnen Måltyp .
Aktivera eller inaktivera åtkomst med den globala klienten för säker åtkomst
Du kan aktivera eller inaktivera åtkomst till den globala säker åtkomstappen med hjälp av global säker åtkomstklient. Det här alternativet är valt som standard, men kan inaktiveras, så de FQDN:er och IP-adresser som ingår i appsegmenten dirigeras inte via tjänsten.
Tilldela principer för villkorlig åtkomst
Principer för villkorlig åtkomst för åtkomst per app konfigureras på programnivå för varje app. Principer för villkorlig åtkomst kan skapas och tillämpas på programmet från två platser:
- Gå till Global säker åtkomst (förhandsversion)>Program>Företagsprogram. Välj ett program och välj sedan Villkorlig åtkomst på sidomenyn.
- Gå till Skyddsprinciper> för villkorsstyrd åtkomst.> Välj + Skapa ny princip.
Mer information finns i Tillämpa principer för villkorsstyrd åtkomst på privata åtkomstappar.
Aktivera Microsoft Entra privatåtkomst
När du har konfigurerat din app, dina privata resurser har lagts till, användare som tilldelats till appen, kan du aktivera profilen vidarebefordran av privat åtkomsttrafik. Du kan aktivera profilen innan du konfigurerar en global säker åtkomstapp, men utan att appen och profilen har konfigurerats finns det ingen trafik att vidarebefordra.
- Logga in på administrationscentret för Microsoft Entra.
- Bläddra till Global säker åtkomst (förhandsversion)>Anslut> Traffic-vidarebefordran.
- Markera kryssrutan för Profil för privat åtkomst.
Användningsvillkor
Din användning av Microsoft Entra privatåtkomst och Microsoft Entra internetåtkomst förhandsversionsupplevelser och funktioner styrs av förhandsversionen av onlinetjänstens villkor för de avtal där du fick tjänsterna. Förhandsversioner kan omfattas av begränsade eller olika säkerhets-, efterlevnads- och sekretessåtaganden, vilket beskrivs ytterligare i de universella licensvillkoren för onlinetjänster och Microsoft Products and Services Data Protection Addendum ("DPA") och eventuella andra meddelanden som tillhandahålls med förhandsversionen.
Nästa steg
Nästa steg för att komma igång med Microsoft Entra privatåtkomst är att aktivera profilen för vidarebefordran av privat åtkomsttrafik.
Mer information om privat åtkomst finns i följande artiklar: