Så här konfigurerar du Snabbåtkomst för Global säker åtkomst

Med global säker åtkomst kan du definiera specifika fullständigt kvalificerade domännamn (FQDN) eller IP-adresser för privata resurser som ska ingå i trafiken för Microsoft Entra privatåtkomst. Organisationens anställda kan sedan komma åt de appar och webbplatser som du anger. I den här artikeln beskrivs hur du konfigurerar snabbåtkomst för Microsoft Entra privatåtkomst.

Förutsättningar

För att konfigurera snabbåtkomst måste du ha:

• Rollerna Global administratör för säker åtkomst och programadministratör i Microsoft Entra-ID.
• Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Om du vill hantera privata Anslutningsgrupper för privata Microsoft Entra-nätverk, som krävs för snabb åtkomst, måste du ha:

• En programadministratörsroll i Microsoft Entra-ID
• Microsoft Entra ID P1- eller P2-licenser

Kända begränsningar

Undvik överlappande appsegment mellan snabbåtkomst och åtkomst per app.

Tunneltrafik till mål för privat åtkomst efter IP-adress stöds endast för IP-intervall utanför det lokala undernätet för slutanvändarens enhet.

För närvarande kan privat åtkomsttrafik endast hämtas med Global Secure Access-klienten. Fjärrnätverk kan inte tilldelas till profilen för vidarebefordran av privat åtkomsttrafik.

GSA-klienten skapar NRPT-principer för att dirigera DNS-frågor för Privat DNS suffix genom tunneln. I vissa fall kan NRPT-principerna inte skapas. Kontrollera att du använder Get-DNSClientNRPTPolicy. Detta inträffar på grund av ett felaktigt GPO som tillämpar NRPT-inställningar. Använd det här skriptet för att identifiera den felaktiga principen och ta bort den när du har flyttat relevanta inställningar till andra principer. Redigera skriptet och ändra variablerna enligt din miljö. https://github.com/microsoft/GlobalSecureAccess/blob/main/website/content/FindDNSNRPTGPO.ps1

Generella steg

Att konfigurera dina snabbåtkomstinställningar är en viktig komponent för att använda Microsoft Entra privatåtkomst. När du konfigurerar snabbåtkomst för första gången skapar Private Access ett nytt företagsprogram. Egenskaperna för den här nya appen konfigureras automatiskt för att fungera med privat åtkomst.

För att konfigurera snabbåtkomst måste du ha en anslutningsgrupp med minst en aktiv Microsoft Entra-programproxyanslutning . Anslutningsgruppen hanterar trafiken till det nya programmet. När du har konfigurerat Snabbåtkomst och en privat nätverksanslutningsgrupp måste du bevilja åtkomst till appen.

För att sammanfatta är den övergripande processen följande:

1. Skapa en anslutningsgrupp med minst en aktiv privat nätverksanslutning.
2. Konfigurera snabbåtkomst.
3. Tilldela användare och grupper till appen.
4. Konfigurera principer för villkorsstyrd åtkomst.
5. Aktivera profilen vidarebefordran av privat åtkomsttrafik.

Skapa en privat nätverksanslutningsgrupp

Om du vill konfigurera snabbåtkomst måste du ha en anslutningsgrupp med minst en aktiv privat nätverksanslutning.

Om du inte redan har konfigurerat en anslutningsgrupp kan du läsa Konfigurera anslutningsappar för snabb åtkomst.

Kommentar

Om du tidigare har installerat en anslutningsapp installerar du om den för att hämta den senaste versionen. När du uppgraderar avinstallerar du den befintliga anslutningsappen och tar bort eventuella relaterade mappar.

Den lägsta versionen av anslutningsappen som krävs för privat åtkomst är 1.5.3417.0.

Konfigurera snabbåtkomst

På sidan Snabbåtkomst anger du ett namn för snabbåtkomstappen, väljer en anslutningsgrupp och lägger till programsegment, som innehåller FQDN och IP-adresser. Du kan slutföra alla tre stegen samtidigt, eller så kan du lägga till programsegmenten när den inledande installationen är klar.

Namn och anslutningsgrupp

1. Logga in på administrationscentret för Microsoft Entra med lämpliga roller.
2. Bläddra till Snabbåtkomst för globala program>för säker åtkomst.>
3. Ange ett namn. Vi rekommenderar att du använder namnet Snabbåtkomst.
4. Välj en anslutningsgrupp på den nedrullningsbara menyn.
5. Välj Spara för att skapa appen "Snabbåtkomst" utan FQDN, IP-adresser och privata DNS-suffix.

Lägg till snabbåtkomstprogramsegment

Du definierar de FQDN:er och IP-adresser som ska inkluderas när du lägger till programsegmentet Snabbåtkomst. Du lägger till dessa resurser när du skapar eller uppdaterar snabbåtkomstappen.

Du kan lägga till fullständigt kvalificerade domännamn (FQDN), IP-adresser och IP-adressintervall. Inom varje programsegment kan du lägga till flera portar och portintervall.

1. Logga in på administrationscentret för Microsoft Entra.

2. Bläddra till Snabbåtkomst för globala program för säker åtkomst>>.

3. Välj Lägg till snabbåtkomstprogramsegment.

4. I panelen Skapa programsegment som öppnas väljer du en måltyp.

5. Ange lämplig information för den valda måltypen. Beroende på vad du väljer ändras de efterföljande fälten i enlighet med detta.

   • IP-adress:
     • IPv4-adress (Internet Protocol version 4), till exempel 192.168.2.1, som identifierar en enhet i nätverket.
     • Ange de portar som du vill inkludera.
   • Fullständigt domännamn (inklusive domännamn med jokertecken):
     • Domännamn som anger den exakta platsen för en dator eller en värd i DNS (Domain Name System).
     • Ange de portar som ska inkluderas.
     • NetBIOS stöds inte. Använd till exempel contoso.local/app1 i stället för contoso/app1.
   • IP-adressintervall (CIDR):
     • Klasslös routning mellan domäner (CIDR) representerar ett intervall med IP-adresser. En IP-adress följs av ett suffix som anger antalet nätverksbitar i nätmasken.
     • Till exempel anger 192.168.2.0/24 att de första 24 bitarna av IP-adressen representerar nätverksadressen, medan de återstående 8 bitarna representerar värdadressen.
     • Ange startadress, nätverksmask och portar.
   • IP-adressintervall (IP till IP):
     • Intervall med IP-adresser från start-IP (till exempel 192.168.2.1) till slut-IP (till exempel 192.168.2.10).
     • Ange IP-adressens start-, slut- och portar.

6. Ange portarna och protokollet och välj Tillämpa.

   • Avgränsa flera portar med kommatecken.
   • Ange portintervall med bindestreck.
   • Blanksteg mellan värden tas bort när du tillämpar ändringarna.
   • Exempel: 400-500, 80, 443

   

   Följande tabell innehåller de vanligaste portarna och deras associerade nätverksprotokoll:

   Port	Protokoll
   22	Secure Shell (SSH)
   80	Hypertext Transfer Protocol (HTTP)
   443	Hypertext Transfer Protocol Secure (HTTPS)
   445	Fildelning för servermeddelandeblock (SMB)
   3389	Remote Desktop Protocol (RDP)

7. Välj Spara när du är klar.

Kommentar

Du kan lägga till upp till 500 programsegment i snabbåtkomstappen.

Överlappa inte FQDN, IP-adresser och IP-intervall mellan din Snabbåtkomst-app och privata åtkomstappar.

Lägga till privata DNS-suffix

Privat DNS stöd för Microsoft Entra privatåtkomst kan du fråga dina egna interna DNS-servrar för att matcha IP-adresser för interna domännamn. Låt oss titta på ett exempel. Anta att du har ett internt IP-intervall på 10.8.0.0 till 10.8.255.255. Du konfigurerar det här intervallet i din definition för quick access-programmet. Du vill att användarna ska få åtkomst till ett webbprogram som svarar på IP 10.8.0.5 när de skriver https://benefits i sin webbläsare. Men du vill inte konfigurera ett FQDN för programmet. Med hjälp av Privat DNS konfigurerar du ett motsvarande DNS-suffix så att den globala klienten för säker åtkomst vet hur begäran dirigeras korrekt.

Dessutom kan du tillhandahålla en enkel inloggning (SSO) för Kerberos-resurser genom att konfigurera Kerberos-autentisering till domänkontrollanter med hjälp av Privat DNS. Mer information om hur du skapar en enkel inloggning finns i Använda Kerberos för enkel inloggning (SSO) till dina resurser med Microsoft Entra privatåtkomst.

Lägg till ett DNS-suffix som ska användas för privat DNS.

1. Välj fliken Privat DNS.
2. Markera kryssrutan för att aktivera privat DNS.
3. Välj Lägg till DNS-suffix.
4. Ange DNS-suffixet och välj sedan Lägg till.

Tilldela användare och grupper

När du konfigurerar Snabbåtkomst skapas en ny företagsapp åt dig. Du måste bevilja åtkomst till snabbåtkomstappen som du skapade genom att tilldela användare och/eller grupper till appen.

Du kan visa egenskaperna från Snabbåtkomst eller navigera till Företagsprogram och söka efter snabbåtkomstappen.

Dricks

Om du vill hitta en app på sidan Företagsprogram rensar du alla filter så att du inte filtrerar bort den app som du letar efter.

1. Välj Redigera programinställningar från Snabbåtkomst.

   

2. Välj Användare och grupper på sidomenyn.

3. Lägg till användare och grupper efter behov.

   • Mer information finns i Tilldela användare och grupper till ett program.

Kommentar

Användare måste tilldelas direkt till appen eller till den grupp som tilldelats till appen. Kapslade grupper stöds inte.

Länka principer för villkorsstyrd åtkomst

Principer för villkorlig åtkomst kan tillämpas på snabbåtkomstappen. Om du tillämpar principer för villkorsstyrd åtkomst finns fler alternativ för att hantera åtkomst till program, webbplatser och tjänster.

När du skapar en princip för villkorlig åtkomst beskrivs i detalj hur du skapar en princip för villkorlig åtkomst för privata åtkomstappar.

Aktivera Microsoft Entra privatåtkomst

När du har konfigurerat snabbåtkomstappen , dina privata resurser har lagts till, användare som tilldelats appen, kan du aktivera profilen Privat åtkomst från området Trafikvidarebefordring för global säker åtkomst. Du kan aktivera profilen innan du konfigurerar Snabbåtkomst, men utan att appen och profilen har konfigurerats finns det ingen trafik att vidarebefordra. Mer information om hur du aktiverar profilen för vidarebefordran av privat åtkomsttrafik finns i Hantera vidarebefordranprofilen för trafikvidarebefordring för privat åtkomst.

Nästa steg

• Läs mer om trafikprofiler
• Konfigurera åtkomst per app