如何管理专用访问流量转发配置文件

专用访问流量转发配置文件通过全局安全访问客户端将流量路由到专用网络。 启用此流量转发配置文件，远程工作人员无需 VPN 就可以连接到内部资源。 借助 Microsoft Entra 专用访问的功能，你可以对哪些专用资源通过服务进行隧道传输进行控制，并应用条件访问策略来保护对这些服务的访问。 配置到位后，你可以从一个位置查看和管理所有这些配置。

先决条件

若要为租户启用专用访问转发配置文件，你必须具备：

• Microsoft Entra ID 中的全局安全访问管理员角色。
  • 条件访问管理员角色，用于创建条件访问策略并与之交互。
• 产品需要经过许可。 有关详细信息，请参阅什么是全球安全访问的许可部分。 如果需要，可以购买许可证或获取试用许可证。

已知限制

• 目前，专用访问流量只能通过全局安全访问客户端获取。 无法从远程网络获取专用访问流量。
• 仅最终用户设备本地子网之外的 IP 范围支持通过 IP 地址将流量经隧道传输到专用访问目标。
• 必须禁用基于 HTTPS 的 DNS（安全 DNS），以根据流量转发配置文件中的完全限定的域名 (FQDN) 规则对网络流量进行隧道传输。

启用专用访问流量转发配置文件

1. 以全球安全访问管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“全球安全访问”>“连接”>“流量转发”。
3. 选中“专用访问配置文件”复选框。

专用访问策略

若要启用专用访问流量转发配置文件，建议首先配置快速访问。 快速访问包括要包含在策略中的专用资源的 IP 地址、IP 范围和完全限定的域名 (FQDN)。 有关详细信息，请参阅配置快速访问。

还可以通过创建专用访问应用来配置每个应用对专用资源的访问权限。 与快速访问类似，你可以先创建一个新的企业应用，然后将其分配给专用访问流量转发配置文件。 快速访问包含你始终希望通过服务路由的主要专用资源组。 可以根据需要启用和禁用专用访问应用，不会影响快速访问中包含的 FQDN 和 IP 地址。

若要管理专用访问流量转发策略中包含的详细信息，请选择“专用访问策略”的“查看”链接。

将显示快速访问和专用访问的企业应用的详细信息。 选择应用程序的链接即可从 Microsoft Entra ID 的企业应用程序区域查看详细信息。

链接的条件访问策略

专用访问的条件访问策略在每个应用的应用程序级别配置。 可以从两个位置创建条件访问策略并将其应用到应用程序：

• 转到“全球安全访问(预览版)”>“应用程序”>“企业应用程序”。 选择一个应用程序，然后从侧边菜单中选择“条件访问”。
• 转到“保护”>“条件访问”>“策略”。 选择“+ 创建新策略”。

有关详细信息，请参阅将条件访问策略应用于专用访问应用。

用户和组分配

可以将专用访问配置文件的范围限定为特定用户和组。 必须将用户和组分配给专用访问应用和流量转发配置文件。

若要详细了解用户和组分配，请参阅如何使用流量转发配置文件分配和管理用户和组。

后续步骤

Microsoft Entra Internet 访问入门的下一步是在最终用户设备上安装和配置全局安全访问客户端。

有关专用访问的详细信息，请参阅以下文章：

• 了解流量转发
• 配置快速访问