通过

使用全球安全访问实现源 IP 绑定

在允许访问之前,具有服务型软件 (SaaS) 或业务线 (LOB) 应用程序的组织可能会强制实施特定的网络位置。 一种方法是使用 Microsoft Entra 专用访问通过私下控制的网络路由特定的 Web 应用程序流量。 此方法允许你强制实施仅组织使用的特定出口IP。 本文介绍如何配置 Microsoft Entra 专用访问,以通过专用网络隧道传输特定应用程序流量,从而满足应用程序基于网络的访问控制策略。

小窍门

源 IP 定位源 IP 还原 是不同的功能。 源 IP 定位(本文)通过专用网络连接器路由应用程序流量,以便 SaaS 应用看到已知的出口 IP 地址。 当流量流经全局安全访问时,源 IP 还原会在 Microsoft Entra 登录日志中保留用户的原始公共 IP 地址。 选择与方案匹配的功能。

配置源 IP 锚定以路由来自专用 IP 地址的流量

若要启用专用网络的应用程序强制实施,请为企业应用程序配置 Microsoft Entra 专用访问。 例如,当应用程序允许使用与你的标识提供者无关的本地凭据进行访问时,可能需要进行此配置。

此解决方案获取应用程序流量并从客户端设备进行路由。 它通过 Microsoft 的 Secure Service Edge 路由,然后连接到一个具有专用网络连接器的专用网络。 从专用网络中,流量可以通过互联网或任何其他可用的专用连接来访问应用程序。 应用程序将流量视为源自允许的出站 IP 地址,这表明访问来自满足其自身网络访问控制的专用网络。

以下体系结构图演示了一个示例配置。

示例体系结构配置示意图。

在示例配置中,应用程序仅允许来自 15.4.23.54 的连接,该地址是客户本地网络的出口 IP 地址。 当用户尝试访问应用程序时,Global Secure Access 客户端会获取流量,并通过 Microsoft 的 Secure Service Edge 隧道传输,这里可能会强制执行授权控制(如条件访问)。 使用专用网络连接器将流量引导到本地网络。 最后,流量使用 Internet 连接到 Web 应用程序。 应用程序看到源自 15.4.23.54 的连接并允许访问。

注意

当 SaaS 应用强制实施自己的基于网络的控制时,必须配置源 IP 定位。 如果您的要求仅限于身份提供商的位置限制,那么合规的网络检查就足够了。 合规的网络检查在身份验证层强制实施基于网络的访问控制,并避免需要通过专用网络来固定流量。 全球安全访问将流量绑定到租户 ID,以确保使用全球安全访问的其他组织无法满足条件访问策略。

先决条件

在开始配置源 IP 定位之前,请确保环境已准备就绪且符合要求。

  • 有一个 SaaS 应用程序,它强制实施自己的基于网络的访问控制策略。
  • 许可证包括 Microsoft Entra 套件或 Microsoft Entra 专用访问。
  • 你已启用 Microsoft Entra 专用访问转发配置文件。
  • 你拥有最新版本的 全局安全访问客户端

部署专用网络连接器

满足先决条件时,请执行以下步骤来部署专用网络连接器:

  1. 在与目标 Web 应用程序建立出站连接的专用网络中安装专用网络连接器。 在您能够控制出站 IP 地址的 Azure 虚拟网络中托管连接器,是一个合适的选择。 建议安装两个或多个连接器以实现复原和高可用性。
  2. 向 SaaS 应用程序提供连接器的公共 IP 地址,以便用户可以连接到该应用。

配置源 IP 定位

安装和配置专用网络连接器后,请执行以下步骤来创建企业应用程序:

  1. 导航到 entra.microsoft.com

  2. 选择 全局安全访问>应用程序 > 企业应用程序。

  3. 选择“新建应用程序”

  4. 输入应用程序的名称。

  5. 选择获取和路由流量的 连接器组

  6. 选择“添加应用程序段”。

  7. 完成以下字段:

    1. 目标类型 -- 选择 完全限定的域名

    2. 完全限定的域名 -- 输入 Web 应用程序的完全限定域名。

    3. 端口 -- 如果应用程序使用 HTTP,请输入 80。 如果应用程序使用 HTTPS,请输入 443。 还可以输入这两个端口。

    4. 协议 -- 选择 TCP

      “创建应用程序段”对话框的屏幕截图。

  8. 选择应用

  9. 选择“保存”。

  10. 导航回 企业应用程序。 选择创建的应用程序。

  11. 选择“用户和组” 。

  12. 选择“添加用户/组”。

  13. 选择“ 用户和组>未选中”。

  14. 搜索并选择要分配给此应用程序的用户和组。 选择“Select”选项。

  15. 选择“分配”。

验证配置

为 Web 应用程序配置企业应用程序后,请执行以下步骤来验证它是否正常工作。

  1. 在 Windows 全局安全访问客户端中,打开 高级诊断

  2. 选择 转发配置文件

  3. 展开 专用访问规则。 验证 Web 应用程序的完全限定的域名 (FQDN) 是否在列表中。

    全局安全访问 - 高级诊断 - 规则的屏幕截图。

  4. 选择 “流量”。

  5. 选择 “开始收集”。

  6. 在浏览器中,导航到 Web 应用程序。

  7. 返回到 高级诊断

  8. 选择 “停止收集”。

  9. 验证以下设置:

    1. Web 应用程序显示在 目标 FQDN 下。

    2. “通道”字段为“专用访问”。

    3. 操作字段为Tunnel

      全局安全访问 - 高级诊断 - 网络流量的屏幕截图。

  10. 检查应用程序的日志(不在 Microsoft Entra ID 中)。 验证应用程序是否监测到来自与您专用网络出口 IP 相匹配的 IP 地址的登录。

故障排除

确保禁用了 QUIC、IPv6 和加密的 DNS。 可以在 全局安全访问客户端的故障排除指南中找到详细信息。

后续步骤

  • 全局安全访问仪表板提供Microsoft Entra Private 和 Microsoft Entra Internet Access 服务获取的网络流量的可视化效果。
  • Last updated on