Aracılığıyla paylaş

Genel Güvenli Erişim uygulamalarını kullanarak Uygulama Başına Erişimi yapılandırma

  • Makale

Microsoft Entra Özel Erişim, kuruluşunuzun iç kaynaklarına güvenli erişim sağlar. Bir Genel Güvenli Erişim uygulaması oluşturur ve güvenliğini sağlamak istediğiniz iç, özel kaynakları belirtirsiniz. Genel Güvenli Erişim uygulamasını yapılandırarak, iç kaynaklarınıza uygulama başına erişim oluşturacaksınız. Genel Güvenli Erişim uygulaması, kaynaklara uygulama başına nasıl erişileceğini yönetmek için daha ayrıntılı bir özellik sağlar.

Bu makalede, Genel Güvenli Erişim uygulamalarını kullanarak Uygulama Başına Erişim'in nasıl yapılandırıldığı açıklanır.

Önkoşullar

Genel Güvenli Erişim uygulamasını yapılandırmak için aşağıdakilere sahip olmanız gerekir:

  • Microsoft Entra Id'de Genel Güvenli Erişim Yönetici istrator ve Uygulama Yönetici istrator rolleri
  • Önizleme için Bir Microsoft Entra Id P1 lisansı gerekir. Gerekirse lisans satın alabilir veya deneme lisansları alabilirsiniz.

Genel Güvenli Erişim uygulamaları için gerekli olan Microsoft Entra özel ağ bağlayıcı gruplarını yönetmek için aşağıdakilere sahip olmanız gerekir:

  • Microsoft Entra Id'de Uygulama Yönetici istrator rolü
  • Microsoft Entra Id P1 veya P2 lisansları

Bilinen sınırlamalar

  • Hızlı Erişim ile Genel Güvenli Erişim uygulamaları arasında çakışan uygulama kesimlerinden kaçının.
  • Trafiğin IP adresine göre Özel Erişim hedeflerine tünellenmesi yalnızca son kullanıcı cihazı yerel alt ağı dışındaki IP aralıkları için desteklenir.
  • Şu anda Özel Erişim trafiği yalnızca Genel Güvenli Erişim İstemcisi ile alınabiliyor. Uzak ağlar Özel erişim trafiği iletme profiline atanamaz.

Üst düzey adımlar

Uygulama Başına Erişim, yeni bir Genel Güvenli Erişim uygulaması oluşturularak yapılandırılır. Uygulamayı oluşturur, bir bağlayıcı grubu seçer ve ağ erişim kesimleri eklersiniz. Bu ayarlar, kullanıcıları ve grupları atayabileceğiniz tek tek uygulamaları oluşturur.

Uygulama Başına Erişim'i yapılandırmak için en az bir etkin Microsoft Entra uygulama ara sunucusu bağlayıcısına sahip bir bağlayıcı grubuna sahip olmanız gerekir. Bu bağlayıcı grubu, bu yeni uygulamaya yönelik trafiği işler. Bağlan ors ile uygulamaları ağ ve bağlayıcı başına yalıtabilirsiniz.

Özetlemek gerekirse, genel süreç aşağıdaki gibidir:

  1. En az bir etkin özel ağ bağlayıcısı olan bir bağlayıcı grubu oluşturun.

    • Zaten bir bağlayıcı grubunuz varsa en son sürümde olduğunuzdan emin olun.

  2. Genel Güvenli Erişim uygulaması oluşturun.

  3. Uygulamaya kullanıcı ve grup atama.

  4. Koşullu Erişim ilkelerini yapılandırın.

  5. Microsoft Entra Özel Erişim etkinleştirin.

Özel ağ bağlayıcı grubu oluşturma

Genel Güvenli Erişim uygulamasını yapılandırmak için en az bir etkin özel ağ bağlayıcısı olan bir bağlayıcı grubunuz olmalıdır.

Henüz ayarlanmış bir bağlayıcınız yoksa bkz . Bağlayıcıları yapılandırma.

Not

Daha önce bir bağlayıcı yüklediyseniz, en son sürümü edinmek için bağlayıcıyı yeniden yükleyin. Yükseltme sırasında mevcut bağlayıcıyı kaldırın ve ilgili klasörleri silin.

Özel Erişim için gereken en düşük bağlayıcı sürümü 1.5.3417.0'dır.

Genel Güvenli Erişim uygulaması oluşturma

Yeni bir uygulama oluşturmak için bir ad sağlar, bir bağlayıcı grubu seçer ve ardından uygulama kesimleri eklersiniz. Uygulama kesimleri, hizmette tünel açmak istediğiniz tam etki alanı adlarını (FQDN) ve IP adreslerini içerir. Üç adımı da aynı anda tamamlayabilir veya ilk kurulum tamamlandıktan sonra ekleyebilirsiniz.

Ad ve bağlayıcı grubu seçme

  1. Uygun rollerle Microsoft Entra yönetim merkezinde oturum açın.

  2. Genel Güvenli Erişim (önizleme)>Uygulamalar>Kurumsal uygulamaları'na göz atın.

  3. Yeni uygulama’yı seçin.

    Kurumsal uygulamalar ve Yeni uygulama ekle düğmesinin ekran görüntüsü.

  4. Uygulama için bir ad girin.

  5. Açılan menüden bir Bağlan veya grubu seçin.

    • Açılan menüde mevcut bağlayıcı grupları görüntülenir.

  6. Uygulamanızı özel kaynaklar eklemeden oluşturmak için sayfanın alt kısmındaki Kaydet düğmesini seçin.

Uygulama kesimi ekleme

Uygulama segmenti ekleme işlemi, Genel Güvenli Erişim uygulamasının trafiğine eklemek istediğiniz FQDN'leri ve IP adreslerini tanımladığınız yerdir. Uygulamayı oluştururken site ekleyebilir ve daha fazla eklemek veya daha sonra düzenlemek için geri dönebilirsiniz.

Tam etki alanı adları (FQDN), IP adresleri ve IP adresi aralıkları ekleyebilirsiniz. Her uygulama segmentinde birden çok bağlantı noktası ve bağlantı noktası aralığı ekleyebilirsiniz.

  1. Microsoft Entra yönetim merkezinde oturum açın.

  2. Genel Güvenli Erişim (önizleme)>Uygulamalar>Kurumsal uygulamaları'na göz atın.

  3. Yeni uygulama’yı seçin.

  4. Uygulama kesimi ekle'yi seçin.

    Uygulama segmenti ekle düğmesinin ekran görüntüsü.

  5. Açılan Uygulama segmenti oluştur panelinde bir Hedef türü seçin.

    Uygulama segmenti oluşturma panelinin ekran görüntüsü.

  6. Seçili hedef türü için uygun ayrıntıları girin. Ne seçtiğinize bağlı olarak, sonraki alanlar buna göre değişir.

    • IP adresi:
      • Ağdaki bir cihazı tanımlayan 192.0.2.1 gibi İnternet Protokolü sürüm 4 (IPv4) adresi.
      • Eklemek istediğiniz bağlantı noktalarını belirtin.
    • Tam etki alanı adı (joker karakter FQDN'leri dahil):
      • Etki Alanı Adı Sistemi'nde (DNS) bir bilgisayarın veya konağın tam konumunu belirten etki alanı adı.
      • Eklemek istediğiniz bağlantı noktalarını belirtin.
      • NetBIOS desteklenmez. Örneğin, şunun yerine kullanın:contoso.local/app1contoso/app1.
    • IP adresi aralığı (CIDR):
      • Sınıfsız Etki Alanları Arası Yönlendirme, bir IP adresinin ardından alt ağ maskesindeki ağ bitlerinin sayısını belirten bir sonekin takip ettiği bir IP adresi aralığını temsil etmenin bir yoludur.
      • Örneğin 192.0.2.0/24, IP adresinin ilk 24 bitinin ağ adresini, kalan 8 bitin ise ana bilgisayar adresini temsil ettiğini gösterir.
      • Başlangıç adresini, ağ maskesini ve bağlantı noktalarını belirtin.
    • IP adresi aralığı (IP-IP):
      • Başlangıç IP'sinden (192.0.2.1 gibi) bitiş IP'sine (192.0.2.10 gibi) kadar IP adresleri aralığı.
      • IP adresi başlangıç, bitiş ve bağlantı noktalarını belirtin.

  7. Bağlantı noktalarını girin ve Uygula düğmesini seçin.

    • Birden çok bağlantı noktasını virgülle ayırın.
    • Bağlantı noktası aralıklarını kısa çizgiyle belirtin.
    • Değişiklikleri uyguladığınızda değerler arasındaki boşluklar kaldırılır.
    • Örneğin, 400-500, 80, 443.

    Birden çok bağlantı noktası eklenmiş uygulama segmenti oluşturma panelinin ekran görüntüsü.

    Aşağıdaki tabloda en yaygın kullanılan bağlantı noktaları ve bunların ilişkili ağ protokolleri sağlanır:

    Bağlantı noktası Protokol
    22 Secure Shell (SSH)
    80 Köprü Metni Aktarım Protokolü (HTTP)
    443 Köprü Metni Aktarım Protokolü Güvenli (HTTPS)
    445 Sunucu İleti Bloğu (SMB) dosya paylaşımı
    3389 Uzak Masaüstü Protokolü (RDP)

  8. İşiniz bittiğinde Kaydet düğmesini seçin.

Not

Uygulamanıza en fazla 500 uygulama kesimi ekleyebilirsiniz.

Hızlı Erişim uygulamanızla Özel Erişim uygulamaları arasında FQDN'ler, IP adresleri ve IP aralıklarıyla çakışmayın.

Kullanıcı ve grup atama

Uygulamaya kullanıcı ve/veya grup atayarak oluşturduğunuz uygulamaya erişim vermeniz gerekir. Daha fazla bilgi için bkz . Uygulamaya kullanıcı ve grup atama.

  1. Microsoft Entra yönetim merkezinde oturum açın.
  2. Genel Güvenli Erişim (önizleme)>Uygulamalar>Kurumsal uygulamaları'na göz atın.
  3. Uygulamanızı arayın ve seçin.
  4. Yan menüden Kullanıcılar ve gruplar'ı seçin.
  5. Gerektiğinde kullanıcıları ve grupları ekleyin.

Not

Kullanıcıların doğrudan uygulamaya veya uygulamaya atanan gruba atanması gerekir. İç içe gruplar desteklenmez.

Uygulama kesimlerini güncelleştirme

İstediğiniz zaman uygulamanıza dahil edilen FQDN'leri ve IP adreslerini ekleyebilir veya güncelleştirebilirsiniz.

  1. Microsoft Entra yönetim merkezinde oturum açın.
  2. Genel Güvenli Erişim (önizleme)>Uygulamalar>Kurumsal uygulamaları'na göz atın.
  3. Uygulamanızı arayın ve seçin.
  4. Yan menüden Ağ erişim özellikleri'ni seçin.
    • Yeni bir FQDN veya IP adresi eklemek için Uygulama kesimi ekle'yi seçin.
    • Mevcut bir uygulamayı düzenlemek için Hedef türü sütunundan uygulamayı seçin.

Genel Güvenli Erişim İstemcisi ile erişimi etkinleştirme veya devre dışı bırakma

Genel Güvenli Erişim İstemcisi'ni kullanarak Genel Güvenli Erişim uygulamasına erişimi etkinleştirebilir veya devre dışı bırakabilirsiniz. Bu seçenek varsayılan olarak seçilidir, ancak devre dışı bırakılabilir, bu nedenle uygulama kesimlerine dahil edilen FQDN'ler ve IP adresleri hizmet üzerinden tünellenmez.

Erişimi etkinleştir onay kutusunun ekran görüntüsü.

Koşullu Erişim ilkeleri atama

Uygulama Başına Erişim için Koşullu Erişim ilkeleri, her uygulama için uygulama düzeyinde yapılandırılır. Koşullu Erişim ilkeleri oluşturulabilir ve uygulamaya iki yerden uygulanabilir:

  • Genel Güvenli Erişim (önizleme)>Uygulamalar>Kurumsal uygulamaları'na gidin. Bir uygulama seçin ve ardından yan menüden Koşullu Erişim'i seçin.
  • Koruma>Koşullu Erişim>İlkeleri'ne gidin. + Yeni ilke oluştur'u seçin.

Daha fazla bilgi için bkz . Özel Erişim uygulamalarına Koşullu Erişim ilkeleri uygulama.

Microsoft Entra Özel Erişim etkinleştirme

Uygulamanızı yapılandırdıktan, özel kaynaklarınız eklendikten ve kullanıcılar uygulamaya atandıktan sonra Özel erişim trafik iletme profilini etkinleştirebilirsiniz. Genel Güvenli Erişim uygulamasını yapılandırmadan önce profili etkinleştirebilirsiniz, ancak uygulama ve profil yapılandırılmadan iletilmesi gereken trafik yoktur.

  1. Microsoft Entra yönetim merkezinde oturum açın.
  2. Genel Güvenli Erişim (önizleme)> Bağlan> Traffic forwarding'e göz atın.
  3. Özel erişim profili onay kutusunu seçin.

Özel erişim profilinin etkinleştirildiği trafik iletme sayfasının ekran görüntüsü.

Kullanım Koşulları

Microsoft Entra Özel Erişim ve Microsoft Entra İnternet Erişimi önizleme deneyimlerini ve özelliklerini kullanımınız, hizmetleri edindiğiniz sözleşmelerin önizleme çevrimiçi hizmet hüküm ve koşullarına tabidir. Önizlemeler, Çevrimiçi Hizmetler için Evrensel Lisans Koşulları ve Microsoft Ürün ve Hizmetleri Veri Koruma Eki ("DPA") ve Önizleme ile sağlanan diğer bildirimlerde açıklandığı gibi azaltılmış veya farklı güvenlik, uyumluluk ve gizlilik taahhütlerine tabi olabilir.

Sonraki adımlar

Microsoft Entra Özel Erişim kullanmaya başlamak için bir sonraki adım, Özel Erişim trafik iletme profilini etkinleştirmektir.

Özel Erişim hakkında daha fazla bilgi için aşağıdaki makalelere bakın: