Microsoft全局安全访问概念证明指南：配置 Microsoft Entra Private Access

本系列文章中的概念证明（PoC）指南可帮助你通过 Microsoft Entra Internet Access、Microsoft Entra Private Access 和 Microsoft 流量配置文件来了解、部署和测试 Microsoft Global Secure Access。

详细指导从 Microsoft全局安全访问概念验证指南 开始，本文之后继续 配置 Microsoft Entra Internet Access。

本文可帮助你测试 Microsoft Entra Private Access 并配置至少一个专用网络连接器。 有关详细指导，请参阅 如何为 Microsoft Entra Private Access配置连接器。

安装 Microsoft Entra 专用网络连接器

从 Microsoft Entra 管理中心中，安装和 配置 Microsoft Entra 的 专用网络连接器的最新版本。

配置用例

配置并测试Microsoft Entra Private Access 用例。 以下各节提供了具体指导的实例用例。

替换 VPN

可以使用 VPN 替代方案来启用 Microsoft Entra Private Access，以便为所有用户处理流向所有专用网络位置的流量。 按照以下步骤从完全网络访问无缝过渡到零信任网络访问：

1. 配置全局安全访问的快速访问。
2. 添加专用域名系统（DNS）后缀。
3. 管理应用程序的用户和组分配。
4. 将条件访问策略应用于Microsoft Entra Private Access 应用。

提供对特定应用的访问权限

如果你的目标是转变为零信任策略，请配置每个应用的访问权限。 这种情况可能是一项艰巨的任务，因为许多公司没有用户访问专用网络上的所有 IP 地址和完全限定的域名（FQDN）的完整清单。

若要转移到按应用访问，请通过应用段配置全局安全访问应用程序，以限制对特定 IP 地址、IP 范围、FQDN、协议和端口的访问。 可以手动创建这些配置，也可以使用 PowerShell 和应用发现等工具创建这些配置。 确保全局安全访问应用程序在其应用段中包括应用程序使用的所有 IP、端口和协议。

注意

具有与快速访问重叠的应用段的任何全局安全访问应用程序都优先。 换句话说，全局安全访问不会通过快速访问将任何流量路由到这些目标。 为了避免服务中断，请将用户正确分配给全局安全访问应用程序。 如果需要速度较慢地载入零信任状态，请考虑一次性移动 IP 范围和端口的子集，而不是整个企业应用程序。

这些文章提供了详细的指导：

• 使用全局安全访问应用程序配置每个应用的访问权限
• 全局安全访问 应用程序发现（预览版）

使用 Kerberos SSO 访问 Active Directory 资源

Microsoft Entra Private Access 使用 Kerberos 为本地资源提供单一登录（SSO）。 可以使用 Windows Hello 企业版中的云 Kerberos 信任来允许用户使用 SSO。 若要启用此方案，必须在 Microsoft Entra Private Access 中发布域控制器和 DNS 后缀。 有关详细指导，请参阅 使用 Kerberos 进行单一登录(SSO)与 Microsoft Entra Private Access。

使用 PIM 保护特权访问

可以使用 Microsoft Entra Privileged Identity Management （PIM） 来控制对特定关键资源的访问。 此功能增加了额外的安全性层，用于在专用访问的基础上强制实施实时（JIT）特权访问。

若要配置 Microsoft Entra Private Access 来使用特权身份管理 (PIM)，您需要配置并分配组，进行特权访问激活，并遵循合规性指南。 有关详细信息，请参阅 确保专用应用程序访问的安全，使用特权身份管理（PIM）和全局安全访问。

使用 PowerShell 管理 Microsoft Entra Private Access

Microsoft Entra PowerShell 模块中提供了多个全局安全访问命令。 有关详细指导，请参阅 安装 Microsoft Entra PowerShell 模块。

保护本地资源

若要通过启用多重身份验证（MFA）来帮助保护本地资源（如域控制器），请参阅 Microsoft本地用户的 Entra Private Access。

与合作伙伴共存

当客户部署 3P 解决方案时，他们可能需要使用环境保护局（EPA），同时使用其他解决方案进行 Internet 访问。 有关指南，请参阅 合作伙伴生态系统概述。

故障排除

如果 PoC 出现问题，这些文章可帮助你进行故障排除、日志记录和监视：

• 全局安全访问常见问题解答
• 排查安装 Microsoft Entra 专用网络连接器 的问题
• 全局安全访问客户端疑难解答：诊断
• 全局安全访问客户端疑难解答：运行状况检查选项卡
• 解决与全局安全访问相关的分布式文件系统问题
• 全局安全访问日志和监控
• 如何将工作簿与全局安全访问 配合使用

相关内容

• Microsoft 全局安全访问概念证明指南简介
• 配置 Microsoft Entra Internet Access
• Microsoft 全局安全访问部署指南 简介
• Microsoft Global Secure Access 部署指南 Microsoft Entra Private Access
• Microsoft Entra Internet Access 全局安全访问部署指南
• Microsoft 流量的全球安全访问部署指南