Käll-IP-förankring med global säker åtkomst
Organisationer med SaaS-program (Software-as-a-Service) eller verksamhetsspecifika program (LOB) kan framtvinga specifika nätverksplatser innan åtkomst tillåts. En metod är att använda Microsoft Entra privatåtkomst för att dirigera specifik webbprogramtrafik med ett privat kontrollerat nätverk. Med den här metoden kan du framtvinga specifika utgående IP-adresser som endast din organisation använder. Den här artikeln beskriver hur du konfigurerar Microsoft Entra privatåtkomst för att tunneltrafik för program via ett privat nätverk för att uppfylla ett programs nätverksbaserade åtkomstkontrollprincip.
Konfigurera käll-IP-förankring för att dirigera trafik från en dedikerad IP-adress
Om du vill aktivera tillämpning av ett dedikerat nätverk konfigurerar du ett företagsprogram med Microsoft Entra privatåtkomst. Ett exempel där den här konfigurationen kan vara nödvändig är när programmet tillåter åtkomst med lokala autentiseringsuppgifter som inte är knutna till din identitetsprovider.
Den här lösningen hämtar programtrafik och dirigerar den från klientenheten. Den dirigerar sedan via Microsofts Secure Service Edge till ett privat nätverk med en privat nätverksanslutning. Från det privata nätverket kan trafiken komma åt programmet med Internet eller någon annan tillgänglig privat anslutning. Programmet ser att trafiken kommer från den tillåtna utgående IP-adressen som anger att åtkomsten kommer från det dedikerade nätverk som uppfyller sina egna nätverksåtkomstkontroller.
Följande arkitekturdiagram illustrerar en exempelkonfiguration.
I exempelkonfigurationen tillåter programmet endast anslutningar som kommer från 15.4.23.54, vilket är den utgående IP-adressen för kundens lokala nätverk. När en användare försöker komma åt programmet hämtar och tunnlar den globala säkra åtkomstklienten trafiken via Microsofts Secure Service Edge där auktoriseringskontroll kan tillämpas (till exempel villkorsstyrd åtkomst). Trafiken tunnlar till det lokala nätverket med hjälp av den privata nätverksanslutningen. Slutligen använder trafiken Internet för att ansluta till webbprogrammet. Programmet ser anslutningen från 15.4.23.54 och tillåter åtkomst.
Kommentar
Det är nödvändigt att konfigurera käll-IP-förankring när en SaaS-app tillämpar sina egna nätverksbaserade kontroller. Om ditt krav är begränsat till platstillämpning från identitetsprovidern räcker det med en kompatibel nätverkskontroll . Kompatibel nätverkskontroll framtvingar nätverksbaserade åtkomstkontroller på autentiseringsskiktet och undviker behovet av hårnålstrafik via ditt privata nätverk. Global säker åtkomst binder trafik till ditt klient-ID för att säkerställa att andra organisationer som använder global säker åtkomst inte kan uppfylla dina principer för villkorsstyrd åtkomst.
Förutsättningar
Innan du börjar med att konfigurera käll-IP-förankring kontrollerar du att din miljö är redo och kompatibel.
- Du har ett SaaS-program som tillämpar en egen nätverksbaserad åtkomstkontrollprincip.
- Din licens inkluderar Microsoft Entra Suite eller Microsoft Entra privatåtkomst.
- Du har aktiverat Microsoft Entra privatåtkomst vidarebefordringsprofilen.
- Du har den senaste versionen av Global Secure Access-klienten.
Distribuera privata nätverksanslutningar
När du uppfyller kraven utför du följande steg för att distribuera privata nätverksanslutningar:
- Installera en privat nätverksanslutning i ett privat nätverk som har utgående anslutning till målwebbappen. Ett bra alternativ är att vara värd för anslutningsappen i ett virtuellt Azure-nätverk där du styr utgående utgående IP-adress. Vi rekommenderar att du installerar två eller flera anslutningsappar för återhämtning och hög tillgänglighet.
- Ange den offentliga IP-adressen för anslutningsprogrammen till SaaS-appen så att användarna kan ansluta till appen.
Placering och användning av en vidarebefordranproxy mellan den privata nätverksanslutningen och målwebbappen stöds inte.
Konfigurera käll-IP-förankring
När du har installerat och konfigurerat de privata nätverksanslutningarna utför du följande steg för att skapa ett företagsprogram:
Navigera till
entra.microsoft.com.Välj Globala program för > säker åtkomst>Företagsprogram.
Välj Nytt program.
Ange ett namn på programmet.
Välj den anslutningsgrupp som hämtar och dirigerar trafiken.
Välj Lägg till programsegment.
Fyll i följande fält:
Måltyp – Välj Fullständigt kvalificerat domännamn.
Fullständigt domännamn – Ange webbprogrammets fullständigt kvalificerade domännamn.
Portar – Om programmet använder HTTP anger du 80. Om programmet använder HTTPS anger du 443. Du kan också ange båda portarna.
Protokoll – Välj TCP.
Välj Använd.
Välj Spara.
Gå tillbaka till Företagsprogram. Välj det program som du skapade.
Välj Användare och grupper.
Välj Lägg till användare/grupp.
Välj Användare och grupper>Ingen har valts.
Sök efter och välj de användare och grupper som du vill tilldela till det här programmet. Välj Välj.
Välj Tilldela.
Verifiera konfigurationen
När du har konfigurerat ett företagsprogram för webbprogrammet utför du följande steg för att verifiera att det fungerar korrekt.
Öppna Avancerad diagnostik i Windows Global Secure Access-klienten.
Välj Vidarebefordra profil.
Expandera Regler för privat åtkomst. Kontrollera att webbprogrammets fullständigt kvalificerade domännamn (FQDN) finns i listan.
Välj Trafik.
Välj Börja samla in.
I en webbläsare navigerar du till webbprogrammet.
Återgå till Avancerad diagnostik.
Välj Sluta samla in.
Verifiera de här inställningarna:
Webbprogrammet visas under Mål-FQDN.
Fältet Kanal är Privat åtkomst.
Fältet Åtgärd är Tunnel.
Kontrollera programmets loggar (inte i Microsoft Entra-ID). Kontrollera att programmet ser inloggningen från en IP-adress som matchar en utgående IP-adress för ditt privata nätverk.
Felsökning
Kontrollera att du har inaktiverat QUIC, IPv6 och krypterad DNS. Du hittar information i vår felsökningsguide för Global Secure Access-klienten.