Scénář nasazení Microsoft Entra – Modernizace vzdáleného přístupu k místním aplikacím s vícefaktorovým ověřováním na aplikaci
Scénáře nasazení Microsoft Entra poskytují podrobné pokyny ke kombinování a testování těchto produktů Microsoft Entra Suite:
- Microsoft Entra ID Protection
- Zásady správného řízení MICROSOFT Entra ID
- Ověřené ID Microsoft Entra (prémiové funkce)
- Microsoft Entra Přístup k Internetu
- Microsoft Entra Soukromý přístup
V těchto příručkách popisujeme scénáře, které ukazují hodnotu sady Microsoft Entra Suite a jak její schopnosti spolupracují.
- Úvod do scénářů nasazení Microsoft Entra
- Scénář nasazení Microsoft Entra – Nasazení pracovních sil a hostů, identita a zásady správného řízení životního cyklu přístupu napříč všemi vašimi aplikacemi
- Scénář nasazení Microsoft Entra – Zabezpečení internetového přístupu na základě obchodních potřeb
Scénář: Modernizace vzdáleného přístupu pomocí rychlého přístupu
V této části popisujeme, jak nakonfigurovat produkty Microsoft Entra Suite pro scénář, ve kterém fiktivní organizace Contoso upgraduje své stávající řešení VPN. Nové, škálovatelné cloudové řešení jim pomůže směřovat k architektuře Secure Access Service Edge (SASE). K dosažení tohoto cíle nasadí Microsoft Entra Přístup k Internetu, Microsoft Entra Soukromý přístup a Microsoft Entra ID Protection.
Microsoft Entra Soukromý přístup poskytuje uživatelům (ať už v kanceláři nebo na dálku) zabezpečený přístup k soukromým podnikovým prostředkům. Microsoft Entra Soukromý přístup je založen na proxy aplikaci Microsoft Entra pro rozšíření přístupu k jakémukoli soukromému prostředku, nezávisle na portu a protokolu TCP/IP.
Vzdálení uživatelé se můžou připojit k privátním aplikacím v hybridních a multicloudových prostředích, privátních sítích a datových centrech z libovolného zařízení a sítě bez nutnosti řešení VPN. Služba nabízí adaptivní přístup pro jednotlivé aplikace na základě zásad podmíněného přístupu pro podrobnější zabezpečení než tradiční řešení VPN.
Cloudová správa identit a přístupu microsoft Entra ID Protection (IAM) pomáhá chránit identity uživatelů a přihlašovací údaje před ohrožením zabezpečení.
Tyto základní kroky pro řešení Společnosti Contoso můžete replikovat, jak je popsáno v tomto scénáři.
- Zaregistrujte se k Microsoft Entra Suite. Povolte a nakonfigurujte Microsoft Entra Internet a privátní přístup k požadovaným nastavením sítě a zabezpečení.
- Nasaďte klienta Microsoft Global Secure Access na uživatelská zařízení a konektory Microsoft Entra Private Access v soukromých sítích. Pro přístup k aplikacím a prostředkům v sítích Contoso můžete zahrnout virtuální sítě založené na multicloudovém internetu jako služba (IaaS).
- Nastavte soukromé aplikace jako aplikace Globálního zabezpečeného přístupu. Přiřaďte příslušné uživatele a skupiny. Nastavte zásady podmíněného přístupu pro tyto aplikace a uživatele. Díky tomuto nastavení můžete dosáhnout minimálního přístupu tím, že povolíte přístup pouze uživatelům a skupinám, které vyžadují přístup.
- Povolte microsoft Entra ID Protection, aby správci mohli vyšetřovat a opravovat rizika, aby organizace zůstaly bezpečné a zabezpečené. Rizika mohou být předána do nástrojů, jako je podmíněný přístup, aby bylo možné rozhodovat o přístupu a vrátit je do nástroje pro správu událostí a informací o zabezpečení (SIEM) pro šetření.
- Pomocí rozšířených protokolů a analýz z Microsoft Entra Přístup k Internetu, Microsoft Entra Soukromý přístup a Microsoft Entra ID Protection můžete sledovat a vyhodnocovat stav sítě a zabezpečení. Tato konfigurace pomáhá týmu služby Security Operations Center (SOC) rychle zjišťovat a zkoumat hrozby, aby se zabránilo eskalaci.
Řešení Microsoft Entra Suite nabízejí tyto výhody oproti síti VPN:
- Jednodušší a konsolidovaná správa
- Nižší náklady na síť VPN
- Lepší zabezpečení a viditelnost
- Plynulejší uživatelské prostředí a efektivita
- Připravenost pro SASE
Požadavky na vzdálený přístup s rychlým přístupem
Tato část definuje požadavky pro řešení scénáře.
Oprávnění pro vzdálený přístup s rychlým přístupem
Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu, vyžadují role globálního správce zabezpečeného přístupu a správce aplikací.
Konfigurace zásad podmíněného přístupu vyžaduje roli Správce podmíněného přístupu nebo Správce zabezpečení. Některé funkce můžou vyžadovat více rolí.
Předpoklady pro vzdálený přístup s rychlým přístupem
Pokud chcete tento scénář úspěšně nasadit a otestovat, nakonfigurujte tyto požadavky:
- Klient Microsoft Entra s licencí Microsoft Entra ID P1. Nakonfigurujte Microsoft Entra ID pro otestování služby Microsoft Entra ID Protection.
Kupte si licence nebo získejte zkušební licence.
- Jeden uživatel s alespoň rolemi globálního správce zabezpečeného přístupu a správce aplikací pro konfiguraci Microsoft Security Service Edge
- Alespoň jeden testovací uživatel klienta ve vaší klientské organizaci
- Jedno klientské zařízení s Windows s touto konfigurací:
- 64bitová verze Windows 10/11
- Připojení k Microsoft Entra nebo hybridní připojení
- Připojení k internetu a bez přístupu k podnikové síti ani k síti VPN
- Stáhněte a nainstalujte globálního klienta zabezpečeného přístupu na klientské zařízení. Článek globálního klienta zabezpečeného přístupu pro Windows popisuje požadavky a instalaci.
- Pokud chcete otestovat Microsoft Entra Soukromý přístup, nakonfigurujte server Windows tak, aby fungoval jako server prostředků:
- Windows Server 2012 R2 nebo novější
- Sdílení souborů
- Pokud chcete otestovat Microsoft Entra Soukromý přístup, nakonfigurujte server Windows tak, aby fungoval jako server konektoru:
- Windows Server 2012 R2 nebo novější
- Síťové připojení ke službě Microsoft Entra
- Porty 80 a 443 se otevírají pro odchozí provoz
- Povolit přístup k požadovaným adresám URL
- Navázat připojení mezi serverem konektoru a aplikačním serverem Potvrďte přístup k testovací aplikaci na aplikačním serveru (například úspěšný přístup ke sdílené složce).
Tento diagram znázorňuje minimální požadavky na architekturu pro nasazení a testování Microsoft Entra Soukromý přístup:
Konfigurace globálního zabezpečeného přístupu pro vzdálený přístup pomocí rychlého přístupu
V této části aktivujeme globální zabezpečený přístup prostřednictvím Centra pro správu Microsoft Entra. Potom nastavíme počáteční konfigurace, které tento scénář vyžaduje.
- Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
- Přejděte do Globálního zabezpečeného přístupu>Začít>aktivovat Globální zabezpečený přístup ve vašem tenantovi. Chcete-li povolit funkce SSE, vyberte Aktivovat .
- Přejděte na Globální zabezpečený přístup>Connect>předávání přenosů. Zapněte profil privátního přístupu. Předávání přenosů umožňuje nakonfigurovat typ síťového provozu pro tunelování přes služby Microsoft Security Service Edge Solution. Nastavte profily pro přeposílání provozu pro správu typů provozu.
Přístupový profil Microsoftu 365 je určený pro Microsoft Entra Přístup k Internetu pro Microsoft 365.
Profil privátního přístupu je určený pro Microsoft Entra Soukromý přístup.
Profil přístupu k internetu je určený pro Microsoft Entra Přístup k Internetu. Řešení Microsoft Security Service Edge zachytává provoz jenom na klientských zařízeních s instalací globálního klienta zabezpečeného přístupu.
Instalace klienta globálního zabezpečeného přístupu pro vzdálený přístup s rychlým přístupem
Microsoft Entra Přístup k internetu pro Microsoft 365 a Microsoft Entra Soukromý přístup používají klient Global Secure Access na zařízeních s Windows. Tento klient získává a předává síťový provoz do řešení Microsoft Security Service Edge. Dokončete tyto kroky instalace a konfigurace:
Ujistěte se, že je zařízení s Windows připojeno k Microsoft Entra, nebo je připojeno hybridně.
Přihlaste se k zařízení s Windows pomocí role uživatele Microsoft Entra s oprávněními místního správce.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.
Přejděte ke Global Secure Access>Připojit>Stažení klienta. Vyberte Stáhnout klienta. Dokončete instalaci.
Na hlavním panelu okna se klient globálního zabezpečeného přístupu nejprve zobrazí jako odpojený. Po několika sekundách po zobrazení výzvy k zadání přihlašovacích údajů zadejte přihlašovací údaje testovacího uživatele.
Na hlavním panelu okna najeďte myší na ikonu globálního klienta zabezpečeného přístupu a ověřte stav Připojeno .
Nastavte server konektoru pro vzdálený přístup s rychlým přístupem
Server konektoru komunikuje s řešením Microsoft Security Service Edge jako bránou s podnikovou sítí. Používá odchozí připojení prostřednictvím portů 80 a 443 a nevyžaduje příchozí porty. Zjistěte, jak nakonfigurovat konektory pro Microsoft Entra Soukromý přístup. Proveďte tyto kroky konfigurace:
Na serveru konektoru se přihlaste do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.
Přejděte na Global Secure Access>Connect>konektory. Vyberte Povolit konektory privátní sítě.
Vyberte Stáhnout službu konektoru.
Postupujte podle průvodce instalací a nainstalujte službu konektoru na serveru konektoru. Po zobrazení výzvy zadejte přihlašovací údaje tenanta k dokončení instalace.
Server konektoru se nainstaluje, když se zobrazí v konektorech.
V tomto scénáři použijeme výchozí skupinu konektorů s jedním serverem konektoru. V produkčním prostředí vytvořte skupiny konektorů s několika servery pro konektory. Podrobné pokyny k publikování aplikací v samostatných sítích pomocí skupin konektorů
Vytvoření bezpečnostní skupiny pro vzdálený přístup s rychlým přístupem
V tomto scénáři používáme skupinu zabezpečení k přiřazování oprávnění k aplikaci privátního přístupu a k cílovým zásadám podmíněného přístupu.
- V Centru pro správu Microsoft Entra vytvořte novou skupinu zabezpečení jen pro cloud.
- Přidejte testovacího uživatele jako člena.
Určete privátní prostředek pro vzdálený přístup s rychlým přístupem
V tomto scénáři jako ukázkový prostředek používáme služby sdílených složek. Můžete použít jakoukoli soukromou aplikaci nebo prostředek. Potřebujete vědět, které porty a protokoly aplikace používá k jejímu publikování pomocí Microsoft Entra Soukromý přístup.
Identifikujte server se sdílenou složkou, kterou chcete publikovat, a poznamenejte si její IP adresu. Služby sdílených složek používají port 445/TCP.
Publikování aplikace pro vzdálený přístup pomocí rychlého přístupu
Microsoft Entra Soukromý přístup podporuje aplikace protokolu TCP (Transmission Control Protocol) pomocí libovolného portu. Pokud se chcete připojit k souborovém serveru (port TCP 445) přes internet, proveďte následující kroky:
Ze serveru konektoru ověřte, že máte přístup ke sdílené složce na souborovém serveru.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.
Přejděte k Global Secure Access>aplikacím>podnikovým aplikacím>+ Nová aplikace.
Zadejte název (například FileServer1). Vyberte výchozí skupinu konektorů. Vyberte +Přidat segment aplikace. Zadejte IP adresu aplikačního serveru a portu 441.
Vyberte Použít>uložit. Ověřte, že je aplikace v podnikových aplikacích.
Přejděte do Identita>Aplikace>Podnikové aplikace. Vyberte novou aplikaci.
Vyberte Uživatelé a skupiny. Přidejte skupinu zabezpečení, kterou jste vytvořili dříve s testovacími uživateli, kteří přistupí k této sdílené složce z internetu.
Zabezpečení publikované aplikace pro vzdálený přístup pomocí rychlého přístupu
V této části vytvoříme zásadu podmíněného přístupu, která blokuje přístup k nové aplikaci, když se zvýší riziko uživatele.
- Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
- Procházejte k Ochrana>Podmíněný přístup>Zásady.
- Vyberte Novou politiku.
- Zadejte jméno a vyberte uživatele. Vyberte uživatele a skupiny. Vyberte skupinu zabezpečení, kterou jste vytvořili dříve.
- Vyberte Cílové prostředky>Aplikace a aplikaci , kterou jste vytvořili dříve (například FileServer1).
- Vyberte Podmínky>Riziko uživatele>Konfigurovat>Ano. Vyberte vysokou a střední úroveň rizika. Vyberte Hotovo.
- Vyberte Udělit>Blokovatpřístup>Vybrat.
- Zapněte možnost Povolit zásadu.
- Zkontrolujte nastavení.
- Vyberte Vytvořit.
Ověření přístupu pro vzdálený přístup pomocí rychlého přístupu
V této části ověříme, že uživatel má přístup k souborovém serveru, i když neexistuje žádné riziko. Ověřte, že při zjištění rizika je přístup zablokovaný.
Přihlaste se k zařízení, na kterém jste dříve nainstalovali klienta globálního zabezpečeného přístupu.
Zkuste získat přístup k souborovém serveru spuštěním \
\\IP_address
a ověřte, že můžete procházet sdílenou složku.V případě potřeby simulujte riziko uživatelů podle pokynů v simulaci detekce rizik v Microsoft Entra ID Protection. Možná budete muset zkusit vícekrát zvýšit riziko uživatele na střední nebo vysokou.
Zkuste získat přístup k souborovém serveru a ověřte, že je přístup zablokovaný. Možná budete muset počkat až hodinu, než se začne uplatňovat blokování.
Ověřte, že zásady podmíněného přístupu (které jste vytvořili dříve pomocí protokolů přihlašování) blokují přístup. Otevřete neinteraktivní záznamy přihlášení z aplikace ZTNA Network Access Client – soukromé. Zobrazte protokoly z aplikace Privátní přístup, kterou jste dříve vytvořili jako název prostředku.
Scénář: Modernizace vzdáleného přístupu na aplikaci
V této části popisujeme, jak nakonfigurovat produkty Microsoft Entra Suite pro scénář, ve kterém fiktivní organizace Contoso transformuje svou praxi kybernetické bezpečnosti. Přijímají principy nulové důvěryhodnosti, které explicitně ověřují, používají nejnižší oprávnění a předpokládají porušení zabezpečení napříč všemi aplikacemi a prostředky. V procesu zjišťování identifikovali několik obchodních aplikací, které nepoužívají moderní ověřování, a spoléhají na připojení k podnikové síti (buď z poboček, nebo vzdáleně pomocí sítě VPN).
Tyto základní kroky pro řešení Společnosti Contoso můžete replikovat, jak je popsáno v tomto scénáři.
- Pokud chcete ověřit explicitně, nakonfigurujte privátní přístup Microsoft Entra ID pro přístup k podnikové síti pro jednotlivé aplikace. Pomocí sjednocené sady řízení přístupu poskytovaných podmíněným přístupem a ochranou Microsoft Entra ID Protection udělte přístup k podnikové síti na základě identity, koncového bodu a rizikového signálu, který používají s Microsoftem 365 a dalšími cloudovými aplikacemi.
- Pokud chcete vynutit nejnižší oprávnění, použijte zásady správného řízení ID Microsoft Entra k vytvoření přístupových balíčků, které zahrnují přístup k síti pro jednotlivé aplikace spolu s aplikacemi, které ho vyžadují. Tento přístup uděluje zaměstnancům přístup k podnikové síti v souladu s jejich pracovními povinnostmi během jejich životního cyklu u společnosti, tedy pro nové zaměstnance, přesuny nebo odchody.
V rámci této transformace týmy SecOps dosáhnou bohatších a soudržnějších analýz zabezpečení, aby lépe identifikovaly bezpečnostní hrozby. Toto jsou výhody společného používání řešení:
- Lepší zabezpečení a viditelnost. Vynucujte podrobné a adaptivní zásady přístupu na základě identity a kontextu uživatelů a zařízení a také citlivosti a umístění aplikací a dat. Využijte rozšířené protokoly a analýzy k získání přehledu o stavu sítě a zabezpečení, abyste mohli detekovat hrozby a rychleji reagovat na ně.
- Přístup s nejnižšími oprávněními k místním aplikacím Omezte přístup k podnikové síti jenom na to, co aplikace vyžadují. Přiřazování a řízení přístupu sladěného s pracovní funkcí se vyvíjí prostřednictvím cyklu spojování/přecházející/odcházející. Tento přístup snižuje riziko vektorů útoku laterálního pohybu.
- Zvyšte produktivitu. Aby uživatelé byli hned první den připraveni začít, soustavně povolte přístup k aplikacím a sítím, když se připojí k organizaci. Uživatelé mají správný přístup k informacím, členstvím ve skupinách a aplikacím, které potřebují. Samoobslužné funkce pro přesuny v organizaci zajišťují odvolání přístupu, když uživatelé opustí organizaci.
Požadavky na vzdálený přístup na aplikaci
Tato část definuje požadavky pro řešení scénáře.
Oprávnění pro vzdálený přístup na aplikaci
Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu, vyžadují role globálního správce zabezpečeného přístupu a správce aplikací.
Konfigurace zásad správného řízení identit vyžaduje alespoň roli správce zásad správného řízení identit.
Licence pro vzdálený přístup na aplikaci
K implementaci všech kroků v tomto scénáři potřebujete globální licence pro zabezpečený přístup a zásady správného řízení Microsoft Entra ID. Můžete si koupit licence nebo získat zkušební licence. Další informace o licencování globálního zabezpečeného přístupu najdete v části Licencování co je globální zabezpečený přístup?.
Uživatelé pro vzdálený přístup na aplikaci
Pokud chcete nakonfigurovat a otestovat kroky v tomto scénáři, potřebujete tyto uživatele:
- Správce Microsoft Entra s rolemi definovanými v oprávněních
- Správce služby Active Directory umístěný na pracovišti pro konfiguraci Cloud Sync a přístup k ukázkovému prostředku (souborový server)
- Synchronizovaný běžný uživatel, který provádí testování na klientském zařízení
Požadavky privátního přístupu
Pokud chcete tento scénář úspěšně nasadit a otestovat, nakonfigurujte tyto požadavky.
- Jedno klientské zařízení s Windows s touto konfigurací:
- 64bitová verze Windows 10/11
- Připojeno k Microsoft Entra nebo připojeno hybridně
- Připojení k internetu a bez přístupu k podnikové síti ani k síti VPN
- Stáhněte a nainstalujte klienta globálního zabezpečeného přístupu do klientského zařízení. Článek globálního klienta zabezpečeného přístupu pro Windows popisuje požadavky a instalaci.
- Pokud chcete otestovat Microsoft Entra Soukromý přístup, nakonfigurujte server Windows tak, aby fungoval jako server prostředků:
- Windows Server 2012 R2 nebo novější
- Sdílený soubor
- Pokud chcete otestovat Microsoft Entra Soukromý přístup, nakonfigurujte server Windows tak, aby fungoval jako server konektoru:
- Windows Server 2012 R2 nebo novější
- Síťové připojení ke službě Microsoft Entra
- Porty 80 a 443 se otevírají pro odchozí provoz
- Povolit přístup k požadovaným adresám URL
- Navazujte připojení mezi serverem konektoru a aplikačním serverem. Ověřte, že máte přístup k testovací aplikaci na aplikačním serveru (například úspěšný přístup ke sdílené složce).
Tento diagram znázorňuje minimální požadavky na architekturu pro nasazení a testování Microsoft Entra Soukromý přístup:
Určení privátního prostředku pro vzdálený přístup ke každé aplikaci
V tomto scénáři jako ukázkový prostředek používáme služby sdílení souborů. Můžete použít jakoukoli soukromou aplikaci nebo prostředek. Potřebujete vědět, které porty a protokoly aplikace používá k jejímu publikování pomocí Microsoft Entra Soukromý přístup.
Identifikujte server se sdílenou složkou, kterou chcete publikovat, a poznamenejte si její IP adresu. Služby sdílených složek používají port 445/TCP.
Konfigurace globálního zabezpečeného přístupu pro vzdálený přístup na aplikaci
Aktivujte globální zabezpečený přístup prostřednictvím Centra pro správu Microsoft Entra a proveďte požadované počáteční konfigurace pro tento scénář.
- Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
- Přejděte do globálního zabezpečeného přístupu>Začít>Aktivujte globální zabezpečený přístup ve vašem tenantovi. Výběrem Aktivovat povolíte funkce SSE ve vašem nájemci.
- Přejděte na Globální zabezpečený přístup>Připojit>Přesměrování přenosů. Zapněte profil privátního přístupu. Předávání přenosů umožňuje nakonfigurovat typ síťového provozu pro tunelování přes služby Microsoft Security Service Edge Solution. Nastavte profily pro přeposílání provozu pro správu typů provozu.
Profil přístupu k Microsoft 365 je určen pro přístup k internetu Microsoft Entra pro Microsoft 365.
Profil privátního přístupu je určený pro Microsoft Entra Soukromý přístup.
Profil přístupu k internetu je určený pro Microsoft Entra Přístup k Internetu. Řešení Microsoft Security Service Edge zachytává provoz jenom na klientských zařízeních s instalací globálního klienta zabezpečeného přístupu.
Instalace klienta globálního zabezpečeného přístupu pro vzdálený přístup na aplikaci
Microsoft Entra Internetový přístup pro Microsoft 365 a Microsoft Entra Privátní přístup používají klienta Globálního zabezpečeného přístupu na zařízeních s Windows. Tento klient získává a předává síťový provoz do řešení Microsoft Security Service Edge. Dokončete tyto kroky instalace a konfigurace:
Ujistěte se, že zařízení s Windows je připojené k Microsoft Entra ID nebo je hybridně připojené.
Přihlaste se k zařízení s Windows pomocí role uživatele Microsoft Entra ID s oprávněními místního správce.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.
Přejděte na Global Secure Access>Connect>stáhnout klienta. Vyberte Stáhnout klienta. Dokončete instalaci.
Na hlavním panelu okna se klient globálního zabezpečeného přístupu nejprve zobrazí jako odpojený. Po několika sekundách po zobrazení výzvy k zadání přihlašovacích údajů zadejte přihlašovací údaje testovacího uživatele.
Na hlavním panelu okna najeďte myší na ikonu globálního klienta zabezpečeného přístupu a ověřte stav Připojeno .
Nastavení serveru konektoru pro vzdálený přístup pro každou aplikaci
Server konektoru komunikuje s řešením Microsoft Security Service Edge jako bránou s podnikovou sítí. Používá odchozí připojení skrze porty 80 a 443 a nevyžaduje porty pro příchozí připojení. Zjistěte, jak nakonfigurovat konektory pro Microsoft Entra Soukromý přístup. Proveďte tyto kroky konfigurace:
Na serveru konektoru se přihlaste do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.
Přejděte na Global Secure Access>Connect>Connectors. Vyberte Povolit konektory soukromé sítě.
Vyberte Stáhnout službu konektoru.
Postupujte podle průvodce instalací a nainstalujte službu konektoru na server konektoru. Po zobrazení výzvy zadejte přihlašovací údaje tenanta k dokončení instalace.
Instalace serveru konektoru proběhne, když se zobrazí v Konektorech.
V tomto scénáři použijeme výchozí skupinu konektorů s jedním serverem konektoru. V produkčním prostředí vytvořte skupiny konektorů s více servery konektorů. Podívejte se na podrobné pokyny pro publikování aplikací v samostatných sítích pomocí skupin konektorů.
Vytvoření skupiny zabezpečení pro aplikaci privátního přístupu
V tomto scénáři používáme skupinu zabezpečení k přiřazování oprávnění k aplikaci privátního přístupu a k cílovým zásadám podmíněného přístupu.
- V Centru pro správu Microsoft Entra vytvořte novou skupinu zabezpečení jen pro cloud.
- Přidejte testovacího uživatele jako člena.
Publikování aplikace pro vzdálený přístup pro jednotlivé aplikace
Microsoft Entra Soukromý přístup podporuje aplikace protokolu TCP (Transmission Control Protocol) pomocí libovolného portu. Pokud se chcete připojit k souborovém serveru (port TCP 445) přes internet, proveďte následující kroky:
Na serveru konektoru ověřte, že máte přístup ke sdílené složce na souborovém serveru.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.
Přejděte na Globální zabezpečený přístup>Aplikace>Podnikové aplikace>+ Nová aplikace.
Zadejte název (například FileServer1). Vyberte výchozí skupinu konektorů. Vyberte +Přidat segment aplikace. Zadejte IP adresu aplikačního serveru a portu 441.
Vyberte Použít>uložit. Ověřte, že je aplikace v podnikových aplikacích.
Přejděte do Identita>Aplikace>Podnikové aplikace. Vyberte novou aplikaci.
Vyberte Uživatelé a skupiny. Přidejte skupinu zabezpečení, kterou jste vytvořili dříve s testovacími uživateli, kteří přistupí k této sdílené složce z internetu.
Konfigurace zásad správného řízení přístupu pro vzdálený přístup pro jednotlivé aplikace
V této části popisujeme kroky konfigurace pro toto řešení.
Vytvoření katalogu správy nároků
Pomocí následujícího postupu vytvořte katalog správy nároků:
Přihlaste se do administrátorského centra Microsoft Entra jako alespoň Správce zásad správného řízení identit.
Přejděte do Správa identit>Správa oprávnění>Katalogy.
Vyberte +Nový katalog.
Zadejte jedinečný název katalogu a zadejte popis. Žadateli se tyto informace zobrazí v podrobnostech přístupového balíčku.
Chcete-li vytvořit přístupové balíčky v tomto katalogu pro interní uživatele, vyberte Možnost Povoleno pro externí uživatele>Ne.
V katalogu otevřete katalog, do kterého chcete přidat prostředky. Vyberte Zdroje> a přidat prostředky.
Vyberte Typ, pak Skupiny a Týmy, Aplikace nebo SharePointové weby.
Vyberte a přidejte aplikaci (například FileServer1) a skupinu zabezpečení (například Sdílení souborů týmu Finance), kterou jste vytvořili dříve. Vyberte Přidat.
Zřízení skupin do Active Directory
Doporučujeme poskytování skupin ve službě Active Directory pomocí Microsoft Entra Cloud Sync. Pokud používáte Connect Sync, přepněte konfiguraci na Cloud Sync. Podrobné pokyny naleznete v článcích Požadavky na Microsoft Entra Cloud Sync v Microsoft Entra ID a Jak nainstalovat agenta pro zřizování Microsoft Entra. Zpětný zápis skupiny v2 v Microsoft Entra Connect Sync nebude k dispozici po 30. červnu 2024.
Pokud chcete nakonfigurovat synchronizaci Microsoft Entra Cloud, postupujte takto:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce hybridní identity.
Přejděte do Identity>Hybrid management>Microsoft Entra Connect>Cloud sync.
Vyberte Možnost Nová konfigurace.
Vyberte Microsoft Entra ID to AD sync.
Na Konfiguracích vyberte svoji doménu. Volitelně vyberte Povolit synchronizaci hashů hesel.
Vyberte Vytvořit.
Pro nastavení Úvodního nastavení vyberte Přidat filtry oborů (vedle ikony Přidat filtry oborů) nebo Filtry oborů (v části Spravovat).
V možnosti Vybrat skupiny vyberte Vybrané skupiny zabezpečení. Vyberte Upravit objekty. Přidejte skupinu zabezpečení Microsoft Entra ID, kterou jste vytvořili dříve (například Finance Team File Share). Tuto skupinu používáme ke správě přístupu k místním aplikacím pomocí pracovních postupů životního cyklu a přístupových balíčků v pozdějších krocích.
Přiřazení přístupu k místnímu souborového serveru
- Na vybraném souborovém serveru vytvořte sdílenou složku.
- Přiřaďte oprávnění ke čtení skupině zabezpečení Microsoft Entra ID (například Finance Team File Share), kterou jste zřídili v Active Directory.
Vytvoření přístupového balíčku pro vzdálený přístup na aplikaci
Při vytváření přístupového balíčku ve správě nároků postupujte takto:
Přihlaste se do administračního centra Microsoft Entra jako alespoň správce správy identit.
Přejděte k zásadám pro správu identit>správě oprávnění>balíčku přístupu.
Vyberte Nový přístupový balíček.
V případě základů pojmenujte přístupový balíček (například Balíček pro přístup k Finance Apps). Zadejte katalog, který jste vytvořili dříve.
V případě role prostředků vyberte prostředky, které jste přidali dříve (například FileServer1 app a Finanční tým File Share bezpečnostní skupinu).
V Roli vyberte Člen pro Finance Team File Share a Uživatel pro FileServer1 app.
V případě žádostí vyberte Pro uživatele ve vašem adresáři. Případně povolte přístupový balíček pro uživatele typu host (probereme ho v samostatném scénáři).
Pokud jste vybrali konkrétní uživatele a skupiny, vyberte Přidat uživatele a skupiny.
Nevybírejte uživatele u možnosti Vybrat uživatele a skupiny. Později otestujeme uživatele, který požádá o přístup.
Volitelné: Ve schválení určete, jestli je vyžadováno schválení, když uživatelé požadují tento přístupový balíček.
Volitelné: V informacích žadatele vyberte Otázky. Zadejte otázku, kterou chcete žadateli položit. Tato otázka se označuje jako zobrazovaný řetězec. Pokud chcete přidat možnosti lokalizace, vyberte Přidat lokalizaci.
V případě životního cyklu zadejte, kdy vyprší platnost přiřazení uživatele k přístupovém balíčku. Určete, zda mohou uživatelé rozšířit svá přiřazení. Pro vypršení platnosti nastavte vypršení platnosti přiřazení přístupového balíčku na Datum, Počet dní, Počet hodin nebo Nikdy.
Vyberte Vytvořit.
Vytváření pracovních postupů životního cyklu
V této části popisujeme, jak vytvářet pracovní postupy pro nové zaměstnance a odcházející zaměstnance a jak je spouštět na vyžádání.
Vytvoření pracovního postupu joineru
Chcete-li vytvořit spojovací pracovní postup, postupujte takto.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce pracovních postupů životního cyklu.
Přejděte na Správa identit>Pracovní postupy životního cyklu>Vytvořit pracovní postup.
V části Zvolit pracovní postup vyberte Začlenění nového zaměstnance.
V části Základy zadejte Začlenění nového zaměstnance -- Finance pro zobrazení názvu a popisu pracovního postupu. Vyberte Další.
V části Konfigurovat obor>Pravidlo zadejte hodnoty pro vlastnost, operátor a hodnotu. Změňte výraz rozsahu pouze pro uživatele, kde oddělení má >hodnotuFinance. Ujistěte se, že testovací uživatel naplní Propertyřetězcem Finance, aby byl v rámci pracovního postupu.
V části Zkontrolovat úkoly vyberte Přidat úkol a přidejte úkol do šablony. Pro tento scénář přidáme přiřazení balíčku přístupu pro uživatele.
V případě základního nastavení vyberte Požádat o přiřazení balíčku pro přístup uživatele. Přiřaďte k tomuto úkolu název (například Přiřadit balíček přístupu k financím). Vyberte zásadu.
V části Konfigurovat vyberte přístupový balíček, který jste vytvořili dříve.
Volitelné: Následujícím způsobem přidejte další úkoly joineru. U některých z těchto úkolů se ujistěte, že důležité atributy, jako Správce a E-mail, jsou správně namapované na uživatele, jak je popsáno v automatizaci úkolů při onboardingu zaměstnanců před jejich prvním dnem práce s využitím rozhraní API pro workflow životního cyklu.
- Povolení uživatelského účtu
- Přidání uživatele do skupin nebo týmů
- Odeslat uvítací e-mail
- Vygenerování TAP a odeslání e-mailu
Vyberte Povolit plán.
Vyberte Zkontrolovat a vytvořit.
Vytvořte postup pro odcházejícího zaměstnance
Chcete-li vytvořit proces pro odcházející zaměstnance, postupujte podle těchto kroků.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce pracovních postupů životního cyklu.
Přejděte k správě identit>pracovním postupům životního cyklu>vytvoření pracovního postupu.
V části Zvolit pracovní postup vyberte Ukončení spolupráce zaměstnance.
V Části Základy zadejte Offboardování zaměstnance – Finance jako název a popis pracovního postupu. Vyberte Další.
V části Konfigurovat rozsah>Pravidlo zadejte hodnoty pro vlastnost, operátor a hodnotu. Změňte výraz oboru pouze na uživatele, kde oddělení má hodnotufinance. Ujistěte se, že testovací uživatel naplní Property řetězcem Finance tak, aby se nacházel v rozsahu pracovního postupu.
V části Zkontrolovat úkoly vyberte Přidat úkol a přidejte úkol do šablony. Pro tento scénář přidáme žádost o přiřazení balíčku pro přístup uživatele.
Volitelné: Přidejte další úlohy odcházeče, například:
- Zakázat uživatelský účet
- Odebrání uživatele ze všech skupin
- Odeberte uživatele ze všech Týmů
Zapněte povolit plán.
Vyberte Zkontrolovat a vytvořit.
Poznámka:
Pracovní postupy životního cyklu se spouští automaticky na základě definovaných aktivačních událostí, které kombinují atributy založené na čase a hodnotu posunu. Pokud je například atribut employeeHireDate
a offsetInDays
je -1, měl by se pracovní postup aktivovat jeden den před datem přijetí zaměstnance. Hodnota může být v rozsahu od -180 do 180 dnů. Hodnoty employeeHireDate
a employeeLeaveDateTime
musí být nastaveny v rámci Microsoft Entra ID pro uživatele.
Postup synchronizace atributů pro pracovní postupy životního cyklu poskytuje další informace o atributech a procesech.
Spuštění pracovního postupu slučovače na vyžádání
Pokud chcete tento scénář otestovat bez čekání na automatizovaný plán, spusťte pracovní postupy životního cyklu na vyžádání.
Zahajte dříve vytvořený pracovní postup joineru.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce pracovních postupů životního cyklu.
Přejděte k správě identit>pracovním postupům životního cyklu>pracovním postupům.
Na pracovním postupu vyberte zaměstnance pro Finance - Úvodní školení, které jste dříve vytvořili.
Vyberte Spustit na vyžádání.
V nabídce Vybrat uživatele vyberte Přidat uživatele.
Při přidávání uživatelů vyberte uživatele, pro které chcete spustit pracovní postup na vyžádání.
Vyberte Přidat.
Potvrďte své volby. Vyberte Spustit pracovní postup.
Vyberte historii pracovního postupu a ověřte stav úkolu.
Po dokončení všech úkolů ověřte, že má uživatel přístup k aplikacím, které jste vybrali v přístupovém balíčku. Tento krok dokončí scénář pro nové uživatele, aby získali přístup k potřebným aplikacím hned první den.
Ověření přístupu pro vzdálený přístup pro každou aplikaci
V této části simulujeme nového člena finančního týmu, který se připojuje k organizaci. Automaticky přiřadíme uživateli přístup ke sdílené složce týmu Finance a vzdálený přístup k souborovému serveru pomocí Microsoft Entra Private Access.
Tato část popisuje možnosti ověření přístupu k přiřazeným prostředkům.
Ověření přiřazení přístupového balíčku
Pokud chcete ověřit stav přiřazení přístupového balíčku, postupujte takto:
Jako uživatel se přihlaste k
myaccess.microsoft.com
.Pokud chcete zobrazit přístupový balíček (například finanční přístupový balíček), který jste si předtím vyžádali, vyberte Přístupové balíčky, aktivní.
Ověření přístupu k aplikaci
Pokud chcete ověřit přístup k aplikaci, postupujte takto:
Jako uživatel se přihlaste k
myaccess.microsoft.com
.V seznamu aplikací vyhledejte aplikaci, kterou jste předtím vytvořili (například Finance App), a získejte k němu přístup.
Ověření členství ve skupině
Pokud chcete ověřit členství ve skupině, postupujte takto:
Jako uživatel se přihlaste k
myaccess.microsoft.com
.Vyberte Skupiny, ve které jsem. Ověřte členství ve skupině, kterou jste vytvořili dříve (například Finance Accounting).
Ověření členství v Teams
Pokud chcete ověřit členství v Teams, postupujte takto:
Jako uživatel se přihlaste k Teams.
Ověřte členství v týmu, který jste vytvořili dříve (například Finance Accounting).
Ověření vzdáleného přístupu
Pokud chcete ověřit uživatelský přístup k souborovém serveru, postupujte takto:
Přihlaste se k zařízení, na kterém jste nainstalovali klienta globálního zabezpečeného přístupu.
Spusťte \
\\IP_address
a ověřte přístup ke sdílené složce.
Spuštění pracovního postupu leaveru na vyžádání
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce pracovních postupů životního cyklu.
Přejděte k zásadám správy identit>, pracovním postupům životního cyklu> a pracovním postupům.
V pracovních postupech vyberte pracovní postup Offboard an employee - Finance, který jste vytvořili ve krocích pro offboarding.
Vyberte Spustit na vyžádání.
V nabídce Vybrat uživatele vyberte Přidat uživatele.
Při přidávání uživatelů vyberte uživatele, pro které chcete spustit pracovní postup na vyžádání.
Vyberte Přidat.
Potvrďte své volby a vyberte Spustit pracovní postup.
Vyberte historii pracovního postupu a ověřte stav úkolu.
Po dokončení všech úkolů ověřte, že je uživatel odebrán ze všech přístupů k aplikacím vybraným v přístupovém balíčku.
Potvrzení odebrání přístupu
Po provedení pracovního postupu pro odchod zaměstnance potvrďte odebrání přístupu uživatele k finančním aplikacím, finančnímu týmu, SharePointových webech a sdílených souborech opakováním kroků v Ověření přístupu k aplikaci a Ověření vzdáleného přístupu. Tento krok zajišťuje důkladné ověření uživatele, kterému brání přístup k těmto prostředkům.
Související obsah
- Další informace o zásadách správného řízení id Microsoft Entra
- Co je Microsoft Entra ID Protection
- Plánování nasazení služby Microsoft Entra ID Protection
- Začínáme s globálním zabezpečeným přístupem
- Informace o klientech globálního zabezpečeného přístupu pro Microsoft Entra Soukromý přístup a Microsoft Entra Přístup k Internetu
- Další informace o Microsoft Entra Soukromý přístup
- Další informace o Microsoft Entra Přístup k Internetu