如何針對全球安全存取設定快速存取

使用全球安全存取，您可以定義私人資源特定的完整網域名稱 (FQDN) 或 IP 位址，以包含於 Microsoft Entra 私人存取的流量中。 貴組織的員工接著就可存取您指定的應用程式和網站。 本文描述如何針對 Microsoft Entra 私人存取設定快速存取。

必要條件

若要設定快速存取，您必須具備：

• Microsoft Entra ID 中的全球安全存取管理員和應用程式管理員角色。
• 產品需要授權。 如需詳細資訊，請參閱什麼是全球安全存取的授權一節。 如有需要，您可以購買授權或取得試用版授權。

若要管理快速存取所需的 Microsoft Entra 私人網路連接器群組，您必須具備：

• Microsoft Entra ID 中的應用程式管理員角色
• Microsoft Entra ID P1 或 P2 授權

已知的限制

避免在快速存取與個別應用程式存取之間重疊應用程式區段。

只有終端使用者裝置本機子網路外部的 IP 範圍，才支援依 IP 位址將流量進行通道傳送到私人存取目的地。

此時，只能使用全球安全存取用戶端來取得私人存取流量。 無法將遠端網路指派給私人存取流量轉送設定檔。

GSA 用戶端會建立 NRPT 原則，以透過信道路由傳送 DNS 查詢，以取得 私用 DNS 後綴。 在某些情況下，無法建立 NRPT 原則。 使用 Get-DNSClientNRPTPolicy 進行檢查。 這是因為套用NRPT設定的格式不正確 GPO。 使用此腳本來識別違規原則，並在將相關設定移至其他原則之後加以刪除。 請編輯文本，並根據您的環境修改變量。 https://github.com/microsoft/GlobalSecureAccess/blob/main/website/content/FindDNSNRPTGPO.ps1

高階步驟

設定快速存取設定，是利用 Microsoft Entra 私人存取的主要元件。 當您首次設定快速存取時，私人存取會建立新的企業應用程式。 這個新應用程式的屬性會自動設定為使用私人存取。

若要設定快速存取，您必須擁有至少有一個使用中 Microsoft Entra 應用程式 Proxy 連接器的連接器群組。 該連接器群組會處理流向這個新應用程式的流量。 設定快速存取和私人網路連接器群組之後，就必須授與對應用程式的存取權。

總結來說，整體流程如下：

1. 使用至少一個作用中的私人網路連接器來建立連接器群組。
2. 設定快速存取。
3. 將使用者和群組指派給應用程式。
4. 設定條件式存取原則。
5. 啟用私人存取流量轉送設定檔。

建立私人網路連接器群組

若要設定快速存取，您必須擁有至少有一個作用中私人網路連接器的連接器群組。

如果您尚未設定連接器群組，請參閱針對快速存取設定連接器。

注意

如果您先前已安裝連接器，請重新安裝以取得最新版本。 升級時，解除安裝現有的連接器並刪除任何相關資料夾。

私人存取所需的連接器最低版本是 1.5.3417.0。

設定快速存取

在 [快速存取] 頁面上，您要提供快速存取應用程式的名稱、選取連接器群組，以及新增應用程式區段，其中包括 FQDN 和 IP 位址。 您可以同時完成這三個步驟，或在初始設定完成之後新增應用程式區段。

名稱和連接器群組

1. 以適當的角色登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [全球安全存取]>[應用程式]>[快速存取]。
3. 輸入名稱。 建議使用「快速存取」的名稱。
4. 從下拉式功能表中選取連接器群組。
5. 選取 儲存 ，以建立不含 FQDN、 IP 位址和私用 DNS 尾碼的「快速存取」應用程式。

新增快速存取應用程式區段

您可以在 [新增快速存取應用程式區段] 時定義要包含的 FQDN 和 IP 位址。 當您建立或更新快速存取應用程式時，您可以新增這些資源。

您可以新增完整網域名稱 (FQDN)、IP 位址和 IP 位址範圍。 在每個應用程式區段中，您可以新增多個連接埠和連接埠範圍。

1. 登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [全球安全存取]>[應用程式]>[快速存取]。

3. 選取 [新增快速存取應用程式區段]。

4. 在開啟的 [建立應用程式區段] 面板中，選取 [目的地類型]。

5. 輸入所選目的地類型的適當詳細資料。 視您選取的內容而定，後續欄位會隨之變更。

   • IP 位址：
     • 網際網路通訊協定第 4 版 (IPv4) 位址 (例如 192.168.2.1)，可識別網路上的裝置。
     • 提供您想要包含的連接埠。
   • 完整網域名稱 (包括萬用字元 FQDN)：
     • 網域名稱，指定網域名稱系統 (DNS) 中電腦或主機的確切位置。
     • 提供要包含的連接埠。
     • 不支援 NetBIOS。 例如，使用 contoso.local/app1 而不是 contoso/app1。
   • IP 位址範圍 (CIDR)：
     • 無類別域間路由 (CIDR) 代表一個範圍的 IP 位址。 IP 位址後面接著的字尾指出子網路遮罩中的網路位元數目。
     • 例如，192.168.2.0/24 指出 IP 位址的前 24 個位元代表網路位址，而其餘 8 個位元則代表主機位址。
     • 提供開始位址、網路遮罩和連接埠。
   • IP 位址範圍 (IP 到 IP)：
     • 從起始 IP (例如 192.168.2.1) 到結束 IP (例如 192.168.2.10) 的 IP 位址範圍。
     • 提供 IP 位址開始、結束和連接埠。

6. 輸入連接埠和通訊協定，然後選取 套用。

   • 以逗號分隔多個連接埠。
   • 使用連字號指定連接埠範圍。
   • 套用變更時，會移除值之間的空格。
   • 例如： 400-500, 80, 443 。

   

   下表提供最常用的連接埠及其相關聯的網路通訊協定：

   連接埠	通訊協定
   22	安全殼層 (SSH)
   80	超文字傳輸通訊協定 (HTTP)
   443	超文字傳輸安全通訊協定 (HTTPS)
   445	伺服器訊息區 (SMB) 檔案共用
   3389	遠端桌面通訊協定 (RDP)

7. 完成之後，選取儲存。

注意

您最多可將 500 個應用程式區段新增至快速存取應用程式。

請勿將快速存取應用程式與任何私人存取應用程式之間的 FQDN、IP 位址和 IP 範圍重疊。

新增私人 DNS 尾碼

私用 DNS 支援 Microsoft Entra 私人存取可讓您查詢自己的內部 DNS 伺服器，以解析內部網域名稱的 IP 位址。 我們來看一個範例。 假設您的內部 IP 範圍為 10.8.0.0 到 10.8.255.255。 您可以在快速存取應用程式定義中設定此範圍。 您希望使用者在網頁瀏覽器中輸入 https://benefits 時，存取在 IP 10.8.0.5 上回應的 Web 應用程式。 但您不想為應用程式設定 FQDN。 使用私用 DNS，您可以設定對應的 DNS 尾碼，讓全域安全存取用戶端知道如何正確路由要求。

此外，您可以使用私用 DNS，將 Kerberos 驗證設定為域控制器，為 Kerberos 資源提供單一登錄 (SSO) 體驗。 如需了解建立 SSO 體驗的詳細資訊，請參閱 使用 Kerberos 搭配 Microsoft Entra 私人存取進行單一登入 (SSO)

新增 DNS 尾碼以用於私人 DNS。

1. 選取 [私人 DNS 索引標籤]。
2. 選取核取方塊以啟用私人 DNS。
3. 選取 [新增 DNS 尾碼]。
4. 輸入 DNS 尾碼，然後選取 [新增]。

指派使用者與群組

當您設定快速存取時，系統會代表您建立新的企業應用程式。 您必須將使用者和/或群組指派給應用程式，藉以授與對您所建立快速存取應用程式的存取權。

您可以從 [快速存取] 檢視屬性，或瀏覽至 [企業應用程式] 並搜尋您的快速存取應用程式。

提示

若要在 企業應用程式 頁面尋找應用程式，請清除所有篩選條件，以免篩選掉您要尋找的應用程式。

1. 從 [快速存取] 選取 [編輯應用程式設定]。

   

2. 從側邊功能表中選取 [使用者和群組]。

3. 視需要新增使用者和群組。

   • 如需詳細資訊，請參閱將使用者和群組指派給應用程式。

注意

使用者必須直接指派給應用程式或已指派給該應用程式的群組。 「不支援」巢狀群組。

連結條件式存取原則

條件式存取原則可以套用至您的快速存取應用程式。 套用條件式存取原則提供更多選項來管理對應用程式、網站和服務的存取權。

如何針對私人存取應用程式建立條件式存取原則中會詳細說明如何建立條件式存取原則。

啟用 Microsoft Entra 私人存取

當您設定快速存取應用程式、新增私人資源、並將使用者指派給應用程式之後，即可從全球安全存取的 [流量轉送] 區域啟用私人存取設定檔。 您可以先啟用設定檔，然後再設定快速存取，但若未設定應用程式和設定檔，則不會有要轉送的流量。 如需了解如何啟用私人存取流量轉送設定檔，請參閱 如何管理私人存取流量轉送設定檔。

下一步

• 了解流量設定檔
• 設定個別應用程式存取