Entra Suite 案例:使用 Entra Private Access 搭配權限管理
Microsoft Entra Suite 提供功能來部署健全的解決方案,以控管可在新式遠端工作案例中存取內部部署和舊版應用程式的人員。 Microsoft Entra Private Access 可讓組織將使用者安全地連線到現有 Web 應用程式、舊版應用程式和其他私人網路上資源的方式現代化,無論使用者是內部部署還是遠端訪問。 權利管理可讓組織大規模管理身分識別和存取生命週期,方法是將存取要求工作流程、存取指派、檢閱和到期自動化。
與雲端應用程式、支援布建或同盟或安全組的內部部署應用程式類似,透過 Microsoft Entra Private Access 設定連線的應用程式可以整合到權利管理中,讓組織能夠跨多種類型的資源維護一致的治理程式。
傳統上,Entra 應用程式 Proxy 可用來提供內部部署 Web 架構應用程式的安全遠端訪問,而不需要 VPN。 遠端工作的使用者可能仍然需要存取傳統上需要 MSSQL、SSH 或 RDP 等通訊協定的 VPN 的非 Web 型應用程式。 這提供兩個主要問題:
- 大部分 VPN 都提供整個網路的存取權
- 某些 VPN 過去會授與任何具有用戶端的存取權,且不會檢查使用者的授權存取需求。
常見案例
下列案例說明Microsoft Entra Suite 如何藉由控管誰可以存取專用網上的應用程式,協助將環境現代化。
場景 1:未整合至 Active Directory 的應用程式的 VPN 替代方案
Entra ID Governance 可以建立誰應該能夠存取內部部署應用程式,讓使用者在使用者不在內部部署時,透過 Entra Private Access 安全地存取應用程式。
許多組織在專用網上有應用程式,可讓指派的使用者在組織網路上存取這些應用程式。 透過Microsoft Entra 的布建連接器,Entra ID Governance 可以協調在大部分內部部署系統中建立用戶帳戶,例如LDAP目錄或 SQL 資料庫。
根據您的案例,Entra 中將會有兩或三個代表真實世界應用程式的物件:
- 將會有一個應用程式物件,代表該應用程式端點的 Entra Private Access 連線。
- 如果應用程式與身分識別提供者的 Microsoft Entra 目錄建立同盟,將會有一個用於代表向應用程式端點進行使用者驗證的應用程式物件,例如使用 SAML、OAuth 或 OpenID Connect。
- 如果應用程式使用內部部署布建代理程式連接器透過LDAP、SQL、PowerShell、SOAP或REST進行佈建,則會有代表該佈建整合的應用程式物件。
- 如果應用程式使用 Microsoft Entra 所建立的 Active Directory 群組(請參閱下面的案例 3),則將會有一個群組
將相關應用程式的資源包含在存取套件中,當使用者要求該套件並獲得核准時,他們將會在每個應用程式中收到應用程式角色的指派。 這將導致他們被配置到應用程式(如有需要),Microsoft Entra 在收到請求時會為使用者向應用程式簽發聯盟憑證,並允許使用者使用 Entra Private Access 連線到應用程式。 當使用者的存取套件指派結束時,其帳戶會從應用程式中移除,而且也會撤銷其連線到應用程式的能力。
情境 2:內部部署 Active Directory 整合應用程式的 VPN 取代方案
組織在為混合式使用者啟用AD整合式應用程式的安全存取方面經常面臨挑戰,這些應用程式身分識別同時存在於雲端和內部部署中。 藉由利用 Entra Private Access、權利管理和群組回寫,組織可以實作混合式使用者對 AD 整合內部部署應用程式的受控存取權。
Entra 中的群組被設定為群組回寫,這會將 Entra 的群組成員資格與內部部署的 AD 群組同步。 用戶藉由在 Entra 中提交包含 Entra 安全群組的存取套件請求來啟動過程。 一旦核准要求,使用者就會獲指派存取套件並新增至群組。
透過群組回寫,使用者的 Entra 群組成員資格會反映到對應的本地端 AD 群組中。 此同步確保內部部署 AD 群組的成員資格始終與 Entra 中的變更保持同步並更新至最新狀態。 內部部署AD群組接著會設定為提供目標內部部署應用程式的存取權。 群組成員資格已設定為私人存取範圍原則,其定義使用者可以安全地連線到內部部署資源的條件。
配置好的使用者存取權限後,他們現在可以透過 Entra Private Access 安全地連線到內部部署應用程式。
情境 3:VPN 取代方案,用於連接中斷的應用程式
組織可能會有不支援任何布建通訊協定或新式驗證通訊協定的舊版應用程式,例如 Kerberos 或 SAML。 在這些情境中,組織可以手動將使用者布建至應用程式,然後將應用程式連同其相依項目以及 Entra Private Access proxy 放入一個獨立的網路區段(VLAN)。 這會防止使用者,即使在內部環境中,也無法連線到應用程式。
然後,使用者可以要求存取受保護的應用程式。 核准之後,Entra ID Governance 會開啟服務票證(例如,在 ServiceNow 中),以便應用程式擁有者手動將系統 中的帳戶提供給員工。 Entra ID Governance 接著會將使用者指派給 Entra 中應用程式的代表。
現在,當員工從計算機連線到應用程式時,Entra Private Access 會自動將連線安全地從電腦傳送到受保護的應用程式。
當存取指派到期時,Entra ID Governance 同樣會開啟另一張票證,讓應用程式擁有者手動移除其帳戶,並移除用戶連線到該應用程式的能力。
