教程:使用快速访问替换 VPN

Microsoft Entra Private Access 提供了传统 VPN 解决方案的新式替代方法。 快速访问允许配置专用访问,以提供对 VPN 通常提供的等效访问权限。 如果当前使用的是 VPN,并且想要无缝地从 VPN 转换,快速访问是一个很好的起点。 快速访问还会将流量遥测数据馈送到应用程序发现报告中,从而深入了解谁正在访问哪些资源。 如果您没有最新的本地资源清单,这将非常有用。

本教程中,您将学习如何:

  • 为类似 VPN 的连接配置快速访问
  • 添加专用 DNS 后缀
  • 将用户和组分配到快速访问应用
  • 通过全局安全访问客户端验证远程访问

重要概念

小窍门

快速访问 是载入专用访问的最快方法,因为它旨在发布广泛的网络段(IP 范围/FQDN 模式),而不是单独建模的应用。 然后,可以在应用程序发现报告中填充捕获的流量,并可以轻松地传输到单个企业应用。 下一教程 “按应用访问分段”中将详细介绍这一点。

为什么团队从这里开始:

  • 从较旧的 VPN 更快迁移,因为访问方式保持不变。
  • 迁移到每个应用分段的最小权限之前的有用临时步骤。

高层级流量的流动方式:

专用 DNS 后缀可确保仅重定向相关的专用名称解析,避免了公共 DNS 流量的不必要隧道传输。

Objective

在本教程中,通过添加网络子网、配置专用 DNS 以及分配用户和组,配置快速访问来提供对本地资源的广泛网络访问。

注释

如果不想发布整个网络段(例如,不替换 VPN),则可以跳到 教程中的步骤 3:使用按应用分配细分访问

先决条件

  • 本地资源所在的网络子网(例如, 10.0.0.0/1610.1.2.0/24,10.1.3.0/24
  • 有权访问这些 IP 范围的专用网络连接器

任务步骤

  1. 配置快速访问
  2. 添加专用 DNS 后缀
  3. 分配用户和组
  4. 验证远程访问

步骤 1:配置快速访问

  1. 登录到 Microsoft Entra 管理中心

  2. 浏览到“全球安全访问”“应用程序”>“快速访问”。>

  3. 输入快速访问应用 的名称 ,例如 Quick Access

  4. 从下拉菜单中选择连接器设置教程中创建的 连接器组

  5. 选择 “保存” 以创建快速访问应用,但尚未配置任何网段。

  6. 导航到 快速访问>网络访问属性

  7. 选择“ 创建应用程序段 ”并输入以下内容:

    • 目标类型: 选择 IP 地址范围(CIDR)
    • 起始地址: 输入网络起始地址(例如 10.0.0.0
    • 网络掩码: 输入网络的 CIDR(例如 /24
    • 港口:0-52,54-65535
    • 协议:选中 TCPUDP 的复选框

    注释

    除端口 53(用于 DNS)外,所有端口都用于隧道。 稍后将专用 DNS 配置为仅对所需的 DNS 流量进行隧道传输。

  8. 选择应用

    显示包含网络段和端口设置的快速访问 VPN 替换配置的屏幕截图。

  9. 选择“保存”

步骤 2:添加专用 DNS 后缀

添加 DNS 后缀以用于专用 DNS。 这应包括本地访问所需的所有 DNS 后缀,尤其是 Active Directory 林名称。

  1. “网络访问属性”下的“快速访问”应用中,选择 “专用 DNS ”选项卡。

  2. 选中“ 启用专用 DNS ”复选框。

  3. 选择“添加 DNS 后缀”

  4. 输入一个或多个 DNS 后缀,然后选择“ 添加”。

    显示专用 DNS 后缀配置面板的屏幕截图。

    小窍门

    一旦配置了私有 DNS,客户端设备发出的任何以匹配后缀结尾的完全限定域名(FQDN)的 DNS 查询都将被发送到 GSA 边缘的 DNS 代理进行解析。 如果缓存的结果可用,则 DNS 响应将返回到客户端。 否则,DNS 代理会将请求转发到连接器,该连接器将 DNS 查询发送到其 DNS 服务器进行解析。 连接器随后将响应传递回到边缘设备,边缘设备再将查询反馈到客户端。 然后,GSA 客户端分配合成 IP 地址,并将其返回给应用程序。 合成 IP 用于将应用程序流量引导到 GSA 边缘。

    若要更深入地了解专用 DNS 的工作原理,请参阅 了解用于快速访问和应用程序单独访问的专用 DNS

  5. 选择“保存”

步骤 3:分配用户和组

配置快速访问时,系统将代表你创建新的企业应用。 通过向应用分配用户和/或组来授予对快速访问应用的访问权限。

  1. 在“快速访问”应用中,选择“ 用户和组”。
  2. 选择“添加用户/组”。
  3. 将一个或多个用户或组分配到应用,然后选择“ 分配”。

注释

必须将用户直接分配到应用或已分配给应用的组。 不支持嵌套组。

小窍门

条件访问策略可以应用于快速访问应用。 请记住,如果配置了专用 DNS,则这包括 DNS 查询。 通常情况下这是安全的,但应避免在快速访问功能中设置要求 MFA 的登录频率,以免因 DNS 查询触发意外的 MFA 提示。

步骤 4:验证远程访问

配置好您的快速访问应用后,并添加您的私有资源并将用户分配给该应用,就可以尝试访问某个私有资源。 示例包括内部网站、SMB 文件共享或对内部服务器的 RDP 访问。 若要验证该流量是否通过隧道传输,请执行以下操作:

  1. 右键单击系统托盘中的 “全局安全访问 ”图标。

  2. 选择 “高级诊断”,然后选择“ ”或使用本地管理员凭据登录。

  3. 选择“ 流量 ”选项卡。

  4. 选择 “开始收集”。

    注释

    这会开始网络流量捕获,以便查看哪些流量通过隧道传输,哪些流量被绕过。

  5. 尝试访问内部应用程序。

  6. 验证是否可以成功访问应用。

  7. 高级诊断中,选择“ 停止收集”。

  8. 查看网络流量捕获,确认流量是通过 全局安全访问隧道传输的。

    高级诊断中的流量捕获屏幕截图,展示了隧道流量的捕获。

小窍门

可以在 “网络流量 ”选项卡中修改筛选器。还需要考虑几个默认筛选器。 例如,如果想要查看所有流量来标识 GSA 客户端是否绕过(而不是隧道)特定流量,请清除默认筛选器 Action == Tunnel

故障排除提示

如果访问应用失败,请检查以下内容:

  1. 验证流量转发配置文件分配:确保将用户分配到专用访问流量转发配置文件。
  2. 验证快速访问应用分配:确保将用户分配到快速访问应用。
  3. 确认接收到网络段:在高级诊断中,选择转发配置文件选项卡。展开专用访问规则并验证是否填充了网络段。 客户端每隔 5 分钟自动拉取最新规则集。
  4. 检查连接器服务器访问权限:验证连接器计算机是否有权访问要发布的服务,以及它是否可以解析 DNS 名称。

有关故障排除的详细信息,请参阅 解决全局安全访问的应用访问问题

已了解的内容

在本练习中,你完成了以下任务:

  • 为快速访问配置了广泛的网络连接 - 你在快速访问应用中发布了专用网段,并配置了 IP 范围段。
  • 设置专用 DNS 行为 - 配置了特定的 DNS 后缀,以便专用名称解析适用于内部资源。
  • 将用户分配到生成的企业应用 - 你控制了谁可以使用快速访问配置。
  • 客户端上已验证的隧道行为 - 你已使用高级诊断确认了流量流。

快速访问帮助用户迅速退出使用 VPN,同时保持业务连续性。 将快速访问视为迁移桥梁。 将高价值应用移动到每个应用分段,以便进行更强的最小特权控制和特定于应用的条件访问。

后续步骤

配置每应用访问分段

  • Last updated on