Sdílet prostřednictvím


Scénář nasazení Microsoft Entra – Modernizace vzdáleného přístupu k místním aplikacím s vícefaktorovým ověřováním na aplikaci

Scénáře nasazení Microsoft Entra poskytují podrobné pokyny ke kombinování a testování těchto produktů Microsoft Entra Suite:

V těchto příručkách popisujeme scénáře, které ukazují hodnotu sady Microsoft Entra Suite a jak její schopnosti spolupracují.

Scénář: Modernizace vzdáleného přístupu pomocí rychlého přístupu

V této části popisujeme, jak nakonfigurovat produkty Microsoft Entra Suite pro scénář, ve kterém fiktivní organizace Contoso upgraduje své stávající řešení VPN. Nové, škálovatelné cloudové řešení jim pomůže směřovat k architektuře Secure Access Service Edge (SASE). K dosažení tohoto cíle nasadí Microsoft Entra Přístup k Internetu, Microsoft Entra Soukromý přístup a Microsoft Entra ID Protection.

Microsoft Entra Soukromý přístup poskytuje uživatelům (ať už v kanceláři nebo na dálku) zabezpečený přístup k soukromým podnikovým prostředkům. Microsoft Entra Soukromý přístup je založen na proxy aplikaci Microsoft Entra pro rozšíření přístupu k jakémukoli soukromému prostředku, nezávisle na portu a protokolu TCP/IP.

Vzdálení uživatelé se můžou připojit k privátním aplikacím v hybridních a multicloudových prostředích, privátních sítích a datových centrech z libovolného zařízení a sítě bez nutnosti řešení VPN. Služba nabízí adaptivní přístup pro jednotlivé aplikace na základě zásad podmíněného přístupu pro podrobnější zabezpečení než tradiční řešení VPN.

Cloudová správa identit a přístupu microsoft Entra ID Protection (IAM) pomáhá chránit identity uživatelů a přihlašovací údaje před ohrožením zabezpečení.

Tyto základní kroky pro řešení Společnosti Contoso můžete replikovat, jak je popsáno v tomto scénáři.

  1. Zaregistrujte se k Microsoft Entra Suite. Povolte a nakonfigurujte Microsoft Entra Internet a privátní přístup k požadovaným nastavením sítě a zabezpečení.
  2. Nasaďte klienta Microsoft Global Secure Access na uživatelská zařízení a konektory Microsoft Entra Private Access v soukromých sítích. Pro přístup k aplikacím a prostředkům v sítích Contoso můžete zahrnout virtuální sítě založené na multicloudovém internetu jako služba (IaaS).
  3. Nastavte soukromé aplikace jako aplikace Globálního zabezpečeného přístupu. Přiřaďte příslušné uživatele a skupiny. Nastavte zásady podmíněného přístupu pro tyto aplikace a uživatele. Díky tomuto nastavení můžete dosáhnout minimálního přístupu tím, že povolíte přístup pouze uživatelům a skupinám, které vyžadují přístup.
  4. Povolte microsoft Entra ID Protection, aby správci mohli vyšetřovat a opravovat rizika, aby organizace zůstaly bezpečné a zabezpečené. Rizika mohou být předána do nástrojů, jako je podmíněný přístup, aby bylo možné rozhodovat o přístupu a vrátit je do nástroje pro správu událostí a informací o zabezpečení (SIEM) pro šetření.
  5. Pomocí rozšířených protokolů a analýz z Microsoft Entra Přístup k Internetu, Microsoft Entra Soukromý přístup a Microsoft Entra ID Protection můžete sledovat a vyhodnocovat stav sítě a zabezpečení. Tato konfigurace pomáhá týmu služby Security Operations Center (SOC) rychle zjišťovat a zkoumat hrozby, aby se zabránilo eskalaci.

Řešení Microsoft Entra Suite nabízejí tyto výhody oproti síti VPN:

  • Jednodušší a konsolidovaná správa
  • Nižší náklady na síť VPN
  • Lepší zabezpečení a viditelnost
  • Plynulejší uživatelské prostředí a efektivita
  • Připravenost pro SASE

Požadavky na vzdálený přístup s rychlým přístupem

Tato část definuje požadavky pro řešení scénáře.

Oprávnění pro vzdálený přístup s rychlým přístupem

Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu, vyžadují role globálního správce zabezpečeného přístupu a správce aplikací.

Konfigurace zásad podmíněného přístupu vyžaduje roli Správce podmíněného přístupu nebo Správce zabezpečení. Některé funkce můžou vyžadovat více rolí.

Předpoklady pro vzdálený přístup s rychlým přístupem

Pokud chcete tento scénář úspěšně nasadit a otestovat, nakonfigurujte tyto požadavky:

  1. Klient Microsoft Entra s licencí Microsoft Entra ID P1. Nakonfigurujte Microsoft Entra ID pro otestování služby Microsoft Entra ID Protection. Kupte si licence nebo získejte zkušební licence.
    • Jeden uživatel s alespoň rolemi globálního správce zabezpečeného přístupu a správce aplikací pro konfiguraci Microsoft Security Service Edge
    • Alespoň jeden testovací uživatel klienta ve vaší klientské organizaci
  2. Jedno klientské zařízení s Windows s touto konfigurací:
    • 64bitová verze Windows 10/11
    • Připojení k Microsoft Entra nebo hybridní připojení
    • Připojení k internetu a bez přístupu k podnikové síti ani k síti VPN
  3. Stáhněte a nainstalujte globálního klienta zabezpečeného přístupu na klientské zařízení. Článek globálního klienta zabezpečeného přístupu pro Windows popisuje požadavky a instalaci.
  4. Pokud chcete otestovat Microsoft Entra Soukromý přístup, nakonfigurujte server Windows tak, aby fungoval jako server prostředků:
    • Windows Server 2012 R2 nebo novější
    • Sdílení souborů
  5. Pokud chcete otestovat Microsoft Entra Soukromý přístup, nakonfigurujte server Windows tak, aby fungoval jako server konektoru:
  6. Navázat připojení mezi serverem konektoru a aplikačním serverem Potvrďte přístup k testovací aplikaci na aplikačním serveru (například úspěšný přístup ke sdílené složce).

Tento diagram znázorňuje minimální požadavky na architekturu pro nasazení a testování Microsoft Entra Soukromý přístup:

Diagram znázorňuje požadavky, které zahrnují tenanta Microsoft Entra ID s licencí P1.

Konfigurace globálního zabezpečeného přístupu pro vzdálený přístup pomocí rychlého přístupu

V této části aktivujeme globální zabezpečený přístup prostřednictvím Centra pro správu Microsoft Entra. Potom nastavíme počáteční konfigurace, které tento scénář vyžaduje.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
  2. Přejděte do Globálního zabezpečeného přístupu>Začít>aktivovat Globální zabezpečený přístup ve vašem tenantovi. Chcete-li povolit funkce SSE, vyberte Aktivovat .
  3. Přejděte na Globální zabezpečený přístup>Connect>předávání přenosů. Zapněte profil privátního přístupu. Předávání přenosů umožňuje nakonfigurovat typ síťového provozu pro tunelování přes služby Microsoft Security Service Edge Solution. Nastavte profily pro přeposílání provozu pro správu typů provozu.
    • Přístupový profil Microsoftu 365 je určený pro Microsoft Entra Přístup k Internetu pro Microsoft 365.

    • Profil privátního přístupu je určený pro Microsoft Entra Soukromý přístup.

    • Profil přístupu k internetu je určený pro Microsoft Entra Přístup k Internetu. Řešení Microsoft Security Service Edge zachytává provoz jenom na klientských zařízeních s instalací globálního klienta zabezpečeného přístupu.

      Snímek obrazovky směrování provozu zobrazující povolené ovládání profilu privátního přístupu

Instalace klienta globálního zabezpečeného přístupu pro vzdálený přístup s rychlým přístupem

Microsoft Entra Přístup k internetu pro Microsoft 365 a Microsoft Entra Soukromý přístup používají klient Global Secure Access na zařízeních s Windows. Tento klient získává a předává síťový provoz do řešení Microsoft Security Service Edge. Dokončete tyto kroky instalace a konfigurace:

  1. Ujistěte se, že je zařízení s Windows připojeno k Microsoft Entra, nebo je připojeno hybridně.

  2. Přihlaste se k zařízení s Windows pomocí role uživatele Microsoft Entra s oprávněními místního správce.

  3. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.

  4. Přejděte ke Global Secure Access>Připojit>Stažení klienta. Vyberte Stáhnout klienta. Dokončete instalaci.

    Snímek obrazovky stahování klienta zobrazující ovládací prvek klienta pro stažení systému Windows

  5. Na hlavním panelu okna se klient globálního zabezpečeného přístupu nejprve zobrazí jako odpojený. Po několika sekundách po zobrazení výzvy k zadání přihlašovacích údajů zadejte přihlašovací údaje testovacího uživatele.

  6. Na hlavním panelu okna najeďte myší na ikonu globálního klienta zabezpečeného přístupu a ověřte stav Připojeno .

Nastavte server konektoru pro vzdálený přístup s rychlým přístupem

Server konektoru komunikuje s řešením Microsoft Security Service Edge jako bránou s podnikovou sítí. Používá odchozí připojení prostřednictvím portů 80 a 443 a nevyžaduje příchozí porty. Zjistěte, jak nakonfigurovat konektory pro Microsoft Entra Soukromý přístup. Proveďte tyto kroky konfigurace:

  1. Na serveru konektoru se přihlaste do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.

  2. Přejděte na Global Secure Access>Connect>konektory. Vyberte Povolit konektory privátní sítě.

    Snímek obrazovky konektorů privátní sítě s červeným rámečkem, který zvýrazňuje ovládací prvek Povolit konektory privátní sítě

  3. Vyberte Stáhnout službu konektoru.

  4. Postupujte podle průvodce instalací a nainstalujte službu konektoru na serveru konektoru. Po zobrazení výzvy zadejte přihlašovací údaje tenanta k dokončení instalace.

  5. Server konektoru se nainstaluje, když se zobrazí v konektorech.

V tomto scénáři použijeme výchozí skupinu konektorů s jedním serverem konektoru. V produkčním prostředí vytvořte skupiny konektorů s několika servery pro konektory. Podrobné pokyny k publikování aplikací v samostatných sítích pomocí skupin konektorů

Vytvoření bezpečnostní skupiny pro vzdálený přístup s rychlým přístupem

V tomto scénáři používáme skupinu zabezpečení k přiřazování oprávnění k aplikaci privátního přístupu a k cílovým zásadám podmíněného přístupu.

  1. V Centru pro správu Microsoft Entra vytvořte novou skupinu zabezpečení jen pro cloud.
  2. Přidejte testovacího uživatele jako člena.

Určete privátní prostředek pro vzdálený přístup s rychlým přístupem

V tomto scénáři jako ukázkový prostředek používáme služby sdílených složek. Můžete použít jakoukoli soukromou aplikaci nebo prostředek. Potřebujete vědět, které porty a protokoly aplikace používá k jejímu publikování pomocí Microsoft Entra Soukromý přístup.

Identifikujte server se sdílenou složkou, kterou chcete publikovat, a poznamenejte si její IP adresu. Služby sdílených složek používají port 445/TCP.

Publikování aplikace pro vzdálený přístup pomocí rychlého přístupu

Microsoft Entra Soukromý přístup podporuje aplikace protokolu TCP (Transmission Control Protocol) pomocí libovolného portu. Pokud se chcete připojit k souborovém serveru (port TCP 445) přes internet, proveďte následující kroky:

  1. Ze serveru konektoru ověřte, že máte přístup ke sdílené složce na souborovém serveru.

  2. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.

  3. Přejděte k Global Secure Access>aplikacím>podnikovým aplikacím>+ Nová aplikace.

    Snímek obrazovky s podnikovými aplikacemi zobrazující ovládací prvek Nová aplikace

  4. Zadejte název (například FileServer1). Vyberte výchozí skupinu konektorů. Vyberte +Přidat segment aplikace. Zadejte IP adresu aplikačního serveru a portu 441.

    Snímek obrazovky aplikace Create Global Secure Access, segment Vytvoření aplikace.

  5. Vyberte Použít>uložit. Ověřte, že je aplikace v podnikových aplikacích.

  6. Přejděte do Identita>Aplikace>Podnikové aplikace. Vyberte novou aplikaci.

  7. Vyberte Uživatelé a skupiny. Přidejte skupinu zabezpečení, kterou jste vytvořili dříve s testovacími uživateli, kteří přistupí k této sdílené složce z internetu.

Zabezpečení publikované aplikace pro vzdálený přístup pomocí rychlého přístupu

V této části vytvoříme zásadu podmíněného přístupu, která blokuje přístup k nové aplikaci, když se zvýší riziko uživatele.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Procházejte k Ochrana>Podmíněný přístup>Zásady.
  3. Vyberte Novou politiku.
  4. Zadejte jméno a vyberte uživatele. Vyberte uživatele a skupiny. Vyberte skupinu zabezpečení, kterou jste vytvořili dříve.
  5. Vyberte Cílové prostředky>Aplikace a aplikaci , kterou jste vytvořili dříve (například FileServer1).
  6. Vyberte Podmínky>Riziko uživatele>Konfigurovat>Ano. Vyberte vysokou a střední úroveň rizika. Vyberte Hotovo.
  7. Vyberte Udělit>Blokovatpřístup>Vybrat.
  8. Zapněte možnost Povolit zásadu.
  9. Zkontrolujte nastavení.
  10. Vyberte Vytvořit.

Ověření přístupu pro vzdálený přístup pomocí rychlého přístupu

V této části ověříme, že uživatel má přístup k souborovém serveru, i když neexistuje žádné riziko. Ověřte, že při zjištění rizika je přístup zablokovaný.

  1. Přihlaste se k zařízení, na kterém jste dříve nainstalovali klienta globálního zabezpečeného přístupu.

  2. Zkuste získat přístup k souborovém serveru spuštěním \\\IP_address a ověřte, že můžete procházet sdílenou složku.

    Snímek obrazovky Průzkumníka Windows zobrazující připojení ke sdílené složce

  3. V případě potřeby simulujte riziko uživatelů podle pokynů v simulaci detekce rizik v Microsoft Entra ID Protection. Možná budete muset zkusit vícekrát zvýšit riziko uživatele na střední nebo vysokou.

  4. Zkuste získat přístup k souborovém serveru a ověřte, že je přístup zablokovaný. Možná budete muset počkat až hodinu, než se začne uplatňovat blokování.

  5. Ověřte, že zásady podmíněného přístupu (které jste vytvořili dříve pomocí protokolů přihlašování) blokují přístup. Otevřete neinteraktivní záznamy přihlášení z aplikace ZTNA Network Access Client – soukromé. Zobrazte protokoly z aplikace Privátní přístup, kterou jste dříve vytvořili jako název prostředku.

Scénář: Modernizace vzdáleného přístupu na aplikaci

V této části popisujeme, jak nakonfigurovat produkty Microsoft Entra Suite pro scénář, ve kterém fiktivní organizace Contoso transformuje svou praxi kybernetické bezpečnosti. Přijímají principy nulové důvěryhodnosti, které explicitně ověřují, používají nejnižší oprávnění a předpokládají porušení zabezpečení napříč všemi aplikacemi a prostředky. V procesu zjišťování identifikovali několik obchodních aplikací, které nepoužívají moderní ověřování, a spoléhají na připojení k podnikové síti (buď z poboček, nebo vzdáleně pomocí sítě VPN).

Tyto základní kroky pro řešení Společnosti Contoso můžete replikovat, jak je popsáno v tomto scénáři.

  1. Pokud chcete ověřit explicitně, nakonfigurujte privátní přístup Microsoft Entra ID pro přístup k podnikové síti pro jednotlivé aplikace. Pomocí sjednocené sady řízení přístupu poskytovaných podmíněným přístupem a ochranou Microsoft Entra ID Protection udělte přístup k podnikové síti na základě identity, koncového bodu a rizikového signálu, který používají s Microsoftem 365 a dalšími cloudovými aplikacemi.
  2. Pokud chcete vynutit nejnižší oprávnění, použijte zásady správného řízení ID Microsoft Entra k vytvoření přístupových balíčků, které zahrnují přístup k síti pro jednotlivé aplikace spolu s aplikacemi, které ho vyžadují. Tento přístup uděluje zaměstnancům přístup k podnikové síti v souladu s jejich pracovními povinnostmi během jejich životního cyklu u společnosti, tedy pro nové zaměstnance, přesuny nebo odchody.

V rámci této transformace týmy SecOps dosáhnou bohatších a soudržnějších analýz zabezpečení, aby lépe identifikovaly bezpečnostní hrozby. Toto jsou výhody společného používání řešení:

  • Lepší zabezpečení a viditelnost. Vynucujte podrobné a adaptivní zásady přístupu na základě identity a kontextu uživatelů a zařízení a také citlivosti a umístění aplikací a dat. Využijte rozšířené protokoly a analýzy k získání přehledu o stavu sítě a zabezpečení, abyste mohli detekovat hrozby a rychleji reagovat na ně.
  • Přístup s nejnižšími oprávněními k místním aplikacím Omezte přístup k podnikové síti jenom na to, co aplikace vyžadují. Přiřazování a řízení přístupu sladěného s pracovní funkcí se vyvíjí prostřednictvím cyklu spojování/přecházející/odcházející. Tento přístup snižuje riziko vektorů útoku laterálního pohybu.
  • Zvyšte produktivitu. Aby uživatelé byli hned první den připraveni začít, soustavně povolte přístup k aplikacím a sítím, když se připojí k organizaci. Uživatelé mají správný přístup k informacím, členstvím ve skupinách a aplikacím, které potřebují. Samoobslužné funkce pro přesuny v organizaci zajišťují odvolání přístupu, když uživatelé opustí organizaci.

Požadavky na vzdálený přístup na aplikaci

Tato část definuje požadavky pro řešení scénáře.

Oprávnění pro vzdálený přístup na aplikaci

Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu, vyžadují role globálního správce zabezpečeného přístupu a správce aplikací.

Konfigurace zásad správného řízení identit vyžaduje alespoň roli správce zásad správného řízení identit.

Licence pro vzdálený přístup na aplikaci

K implementaci všech kroků v tomto scénáři potřebujete globální licence pro zabezpečený přístup a zásady správného řízení Microsoft Entra ID. Můžete si koupit licence nebo získat zkušební licence. Další informace o licencování globálního zabezpečeného přístupu najdete v části Licencování co je globální zabezpečený přístup?.

Uživatelé pro vzdálený přístup na aplikaci

Pokud chcete nakonfigurovat a otestovat kroky v tomto scénáři, potřebujete tyto uživatele:

  • Správce Microsoft Entra s rolemi definovanými v oprávněních
  • Správce služby Active Directory umístěný na pracovišti pro konfiguraci Cloud Sync a přístup k ukázkovému prostředku (souborový server)
  • Synchronizovaný běžný uživatel, který provádí testování na klientském zařízení

Požadavky privátního přístupu

Pokud chcete tento scénář úspěšně nasadit a otestovat, nakonfigurujte tyto požadavky.

  1. Jedno klientské zařízení s Windows s touto konfigurací:
    • 64bitová verze Windows 10/11
    • Připojeno k Microsoft Entra nebo připojeno hybridně
    • Připojení k internetu a bez přístupu k podnikové síti ani k síti VPN
  2. Stáhněte a nainstalujte klienta globálního zabezpečeného přístupu do klientského zařízení. Článek globálního klienta zabezpečeného přístupu pro Windows popisuje požadavky a instalaci.
  3. Pokud chcete otestovat Microsoft Entra Soukromý přístup, nakonfigurujte server Windows tak, aby fungoval jako server prostředků:
    • Windows Server 2012 R2 nebo novější
    • Sdílený soubor
  4. Pokud chcete otestovat Microsoft Entra Soukromý přístup, nakonfigurujte server Windows tak, aby fungoval jako server konektoru:
  5. Navazujte připojení mezi serverem konektoru a aplikačním serverem. Ověřte, že máte přístup k testovací aplikaci na aplikačním serveru (například úspěšný přístup ke sdílené složce).

Tento diagram znázorňuje minimální požadavky na architekturu pro nasazení a testování Microsoft Entra Soukromý přístup:

Diagram znázorňuje požadavky, které zahrnují tenanta Microsoft Entra ID s licencí P1.

Určení privátního prostředku pro vzdálený přístup ke každé aplikaci

V tomto scénáři jako ukázkový prostředek používáme služby sdílení souborů. Můžete použít jakoukoli soukromou aplikaci nebo prostředek. Potřebujete vědět, které porty a protokoly aplikace používá k jejímu publikování pomocí Microsoft Entra Soukromý přístup.

Identifikujte server se sdílenou složkou, kterou chcete publikovat, a poznamenejte si její IP adresu. Služby sdílených složek používají port 445/TCP.

Konfigurace globálního zabezpečeného přístupu pro vzdálený přístup na aplikaci

Aktivujte globální zabezpečený přístup prostřednictvím Centra pro správu Microsoft Entra a proveďte požadované počáteční konfigurace pro tento scénář.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
  2. Přejděte do globálního zabezpečeného přístupu>Začít>Aktivujte globální zabezpečený přístup ve vašem tenantovi. Výběrem Aktivovat povolíte funkce SSE ve vašem nájemci.
  3. Přejděte na Globální zabezpečený přístup>Připojit>Přesměrování přenosů. Zapněte profil privátního přístupu. Předávání přenosů umožňuje nakonfigurovat typ síťového provozu pro tunelování přes služby Microsoft Security Service Edge Solution. Nastavte profily pro přeposílání provozu pro správu typů provozu.
    • Profil přístupu k Microsoft 365 je určen pro přístup k internetu Microsoft Entra pro Microsoft 365.

    • Profil privátního přístupu je určený pro Microsoft Entra Soukromý přístup.

    • Profil přístupu k internetu je určený pro Microsoft Entra Přístup k Internetu. Řešení Microsoft Security Service Edge zachytává provoz jenom na klientských zařízeních s instalací globálního klienta zabezpečeného přístupu.

      Snímek obrazovky s předáváním provozu zobrazující povolené řízení profilu privátního přístupu

Instalace klienta globálního zabezpečeného přístupu pro vzdálený přístup na aplikaci

Microsoft Entra Internetový přístup pro Microsoft 365 a Microsoft Entra Privátní přístup používají klienta Globálního zabezpečeného přístupu na zařízeních s Windows. Tento klient získává a předává síťový provoz do řešení Microsoft Security Service Edge. Dokončete tyto kroky instalace a konfigurace:

  1. Ujistěte se, že zařízení s Windows je připojené k Microsoft Entra ID nebo je hybridně připojené.

  2. Přihlaste se k zařízení s Windows pomocí role uživatele Microsoft Entra ID s oprávněními místního správce.

  3. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.

  4. Přejděte na Global Secure Access>Connect>stáhnout klienta. Vyberte Stáhnout klienta. Dokončete instalaci.

    Snímek obrazovky ke stažení klienta s ovládacím prvkem Klienta pro stahování systému Windows

  5. Na hlavním panelu okna se klient globálního zabezpečeného přístupu nejprve zobrazí jako odpojený. Po několika sekundách po zobrazení výzvy k zadání přihlašovacích údajů zadejte přihlašovací údaje testovacího uživatele.

  6. Na hlavním panelu okna najeďte myší na ikonu globálního klienta zabezpečeného přístupu a ověřte stav Připojeno .

Nastavení serveru konektoru pro vzdálený přístup pro každou aplikaci

Server konektoru komunikuje s řešením Microsoft Security Service Edge jako bránou s podnikovou sítí. Používá odchozí připojení skrze porty 80 a 443 a nevyžaduje porty pro příchozí připojení. Zjistěte, jak nakonfigurovat konektory pro Microsoft Entra Soukromý přístup. Proveďte tyto kroky konfigurace:

  1. Na serveru konektoru se přihlaste do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.

  2. Přejděte na Global Secure Access>Connect>Connectors. Vyberte Povolit konektory soukromé sítě.

    Snímek obrazovky konektorů privátní sítě s červeným rámečkem, který zvýrazňuje ovládací prvek Povolit konektory privátní sítě

  3. Vyberte Stáhnout službu konektoru.

  4. Postupujte podle průvodce instalací a nainstalujte službu konektoru na server konektoru. Po zobrazení výzvy zadejte přihlašovací údaje tenanta k dokončení instalace.

  5. Instalace serveru konektoru proběhne, když se zobrazí v Konektorech.

V tomto scénáři použijeme výchozí skupinu konektorů s jedním serverem konektoru. V produkčním prostředí vytvořte skupiny konektorů s více servery konektorů. Podívejte se na podrobné pokyny pro publikování aplikací v samostatných sítích pomocí skupin konektorů.

Vytvoření skupiny zabezpečení pro aplikaci privátního přístupu

V tomto scénáři používáme skupinu zabezpečení k přiřazování oprávnění k aplikaci privátního přístupu a k cílovým zásadám podmíněného přístupu.

  1. V Centru pro správu Microsoft Entra vytvořte novou skupinu zabezpečení jen pro cloud.
  2. Přidejte testovacího uživatele jako člena.

Publikování aplikace pro vzdálený přístup pro jednotlivé aplikace

Microsoft Entra Soukromý přístup podporuje aplikace protokolu TCP (Transmission Control Protocol) pomocí libovolného portu. Pokud se chcete připojit k souborovém serveru (port TCP 445) přes internet, proveďte následující kroky:

  1. Na serveru konektoru ověřte, že máte přístup ke sdílené složce na souborovém serveru.

  2. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce zabezpečeného přístupu.

  3. Přejděte na Globální zabezpečený přístup>Aplikace>Podnikové aplikace>+ Nová aplikace.

    Snímek obrazovky s podnikovými aplikacemi zobrazující ovládací prvek Nová aplikace

  4. Zadejte název (například FileServer1). Vyberte výchozí skupinu konektorů. Vyberte +Přidat segment aplikace. Zadejte IP adresu aplikačního serveru a portu 441.

    Snímek obrazovky aplikace Vytvořit globální zabezpečený přístup, Vytvořit segment aplikace.

  5. Vyberte Použít>uložit. Ověřte, že je aplikace v podnikových aplikacích.

  6. Přejděte do Identita>Aplikace>Podnikové aplikace. Vyberte novou aplikaci.

  7. Vyberte Uživatelé a skupiny. Přidejte skupinu zabezpečení, kterou jste vytvořili dříve s testovacími uživateli, kteří přistupí k této sdílené složce z internetu.

Konfigurace zásad správného řízení přístupu pro vzdálený přístup pro jednotlivé aplikace

V této části popisujeme kroky konfigurace pro toto řešení.

Vytvoření katalogu správy nároků

Pomocí následujícího postupu vytvořte katalog správy nároků:

  1. Přihlaste se do administrátorského centra Microsoft Entra jako alespoň Správce zásad správného řízení identit.

  2. Přejděte do Správa identit>Správa oprávnění>Katalogy.

  3. Vyberte +Nový katalog.

    Snímek obrazovky – nový přezkum přístupu, podnikové aplikace, všechny aplikace, správa identit, nový katalog.

  4. Zadejte jedinečný název katalogu a zadejte popis. Žadateli se tyto informace zobrazí v podrobnostech přístupového balíčku.

  5. Chcete-li vytvořit přístupové balíčky v tomto katalogu pro interní uživatele, vyberte Možnost Povoleno pro externí uživatele>Ne.

    Snímek obrazovky nového katalogu s vybranou možností Ne pro ovládání pro externí uživatele

  6. V katalogu otevřete katalog, do kterého chcete přidat prostředky. Vyberte Zdroje> a přidat prostředky.

    Snímek obrazovky katalogu aplikací, seznam prostředků, ve kterém se zobrazuje ovládací prvek Přidat prostředky

  7. Vyberte Typ, pak Skupiny a Týmy, Aplikace nebo SharePointové weby.

  8. Vyberte a přidejte aplikaci (například FileServer1) a skupinu zabezpečení (například Sdílení souborů týmu Finance), kterou jste vytvořili dříve. Vyberte Přidat.

Zřízení skupin do Active Directory

Doporučujeme poskytování skupin ve službě Active Directory pomocí Microsoft Entra Cloud Sync. Pokud používáte Connect Sync, přepněte konfiguraci na Cloud Sync. Podrobné pokyny naleznete v článcích Požadavky na Microsoft Entra Cloud Sync v Microsoft Entra ID a Jak nainstalovat agenta pro zřizování Microsoft Entra. Zpětný zápis skupiny v2 v Microsoft Entra Connect Sync nebude k dispozici po 30. červnu 2024.

Pokud chcete nakonfigurovat synchronizaci Microsoft Entra Cloud, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce hybridní identity.

  2. Přejděte do Identity>Hybrid management>Microsoft Entra Connect>Cloud sync.

  3. Vyberte Možnost Nová konfigurace.

  4. Vyberte Microsoft Entra ID to AD sync.

    Snímek obrazovky s novou konfigurací, Microsoft Entra ID to AD Sync

  5. Na Konfiguracích vyberte svoji doménu. Volitelně vyberte Povolit synchronizaci hashů hesel.

  6. Vyberte Vytvořit.

    Snímek obrazovky Microsoft Entra Connect, Synchronizace cloudu, Konfigurace, Nová konfigurace cloudové synchronizace

  7. Pro nastavení Úvodního nastavení vyberte Přidat filtry oborů (vedle ikony Přidat filtry oborů) nebo Filtry oborů (v části Spravovat).

  8. V možnosti Vybrat skupiny vyberte Vybrané skupiny zabezpečení. Vyberte Upravit objekty. Přidejte skupinu zabezpečení Microsoft Entra ID, kterou jste vytvořili dříve (například Finance Team File Share). Tuto skupinu používáme ke správě přístupu k místním aplikacím pomocí pracovních postupů životního cyklu a přístupových balíčků v pozdějších krocích.

    Snímek obrazovky s oborem Skupiny s financemi v textovém poli Hledat, nalezen jeden výsledek a skupina ve vybraném poli

Přiřazení přístupu k místnímu souborového serveru

  1. Na vybraném souborovém serveru vytvořte sdílenou složku.
  2. Přiřaďte oprávnění ke čtení skupině zabezpečení Microsoft Entra ID (například Finance Team File Share), kterou jste zřídili v Active Directory.

Vytvoření přístupového balíčku pro vzdálený přístup na aplikaci

Při vytváření přístupového balíčku ve správě nároků postupujte takto:

  1. Přihlaste se do administračního centra Microsoft Entra jako alespoň správce správy identit.

  2. Přejděte k zásadám pro správu identit>správě oprávnění>balíčku přístupu.

  3. Vyberte Nový přístupový balíček.

  4. V případě základů pojmenujte přístupový balíček (například Balíček pro přístup k Finance Apps). Zadejte katalog, který jste vytvořili dříve.

  5. V případě role prostředků vyberte prostředky, které jste přidali dříve (například FileServer1 app a Finanční tým File Share bezpečnostní skupinu).

  6. V Roli vyberte Člen pro Finance Team File Share a Uživatel pro FileServer1 app.

    Snímek obrazovky se seznamem prostředků. Červené pole zvýrazňuje sloupec Role.

  7. V případě žádostí vyberte Pro uživatele ve vašem adresáři. Případně povolte přístupový balíček pro uživatele typu host (probereme ho v samostatném scénáři).

  8. Pokud jste vybrali konkrétní uživatele a skupiny, vyberte Přidat uživatele a skupiny.

  9. Nevybírejte uživatele u možnosti Vybrat uživatele a skupiny. Později otestujeme uživatele, který požádá o přístup.

  10. Volitelné: Ve schválení určete, jestli je vyžadováno schválení, když uživatelé požadují tento přístupový balíček.

  11. Volitelné: V informacích žadatele vyberte Otázky. Zadejte otázku, kterou chcete žadateli položit. Tato otázka se označuje jako zobrazovaný řetězec. Pokud chcete přidat možnosti lokalizace, vyberte Přidat lokalizaci.

  12. V případě životního cyklu zadejte, kdy vyprší platnost přiřazení uživatele k přístupovém balíčku. Určete, zda mohou uživatelé rozšířit svá přiřazení. Pro vypršení platnosti nastavte vypršení platnosti přiřazení přístupového balíčku na Datum, Počet dní, Počet hodin nebo Nikdy.

  13. Vyberte Vytvořit.

    Snímek obrazovky nového přístupového balíčku, Přehled vytvoření, s červeným rámečkem, který zvýrazňuje ovládací prvek Vytvořit.

Vytváření pracovních postupů životního cyklu

V této části popisujeme, jak vytvářet pracovní postupy pro nové zaměstnance a odcházející zaměstnance a jak je spouštět na vyžádání.

Vytvoření pracovního postupu joineru

Chcete-li vytvořit spojovací pracovní postup, postupujte takto.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce pracovních postupů životního cyklu.

  2. Přejděte na Správa identit>Pracovní postupy životního cyklu>Vytvořit pracovní postup.

  3. V části Zvolit pracovní postup vyberte Začlenění nového zaměstnance.

    Snímek obrazovky zásad správného řízení identit, pracovních postupů životního cyklu, vytvoření pracovního postupu a výběru pracovního postupu

  4. V části Základy zadejte Začlenění nového zaměstnance -- Finance pro zobrazení názvu a popisu pracovního postupu. Vyberte Další.

  5. V části Konfigurovat obor>Pravidlo zadejte hodnoty pro vlastnost, operátor a hodnotu. Změňte výraz rozsahu pouze pro uživatele, kde oddělení má >hodnotuFinance. Ujistěte se, že testovací uživatel naplní Propertyřetězcem Finance, aby byl v rámci pracovního postupu.

    Snímek obrazovky s pohledem na pravidla s červeným rámečkem zvýrazňujícím ovládací prvek Hodnota.

  6. V části Zkontrolovat úkoly vyberte Přidat úkol a přidejte úkol do šablony. Pro tento scénář přidáme přiřazení balíčku přístupu pro uživatele.

  7. V případě základního nastavení vyberte Požádat o přiřazení balíčku pro přístup uživatele. Přiřaďte k tomuto úkolu název (například Přiřadit balíček přístupu k financím). Vyberte zásadu.

  8. V části Konfigurovat vyberte přístupový balíček, který jste vytvořili dříve.

  9. Volitelné: Následujícím způsobem přidejte další úkoly joineru. U některých z těchto úkolů se ujistěte, že důležité atributy, jako Správce a E-mail, jsou správně namapované na uživatele, jak je popsáno v automatizaci úkolů při onboardingu zaměstnanců před jejich prvním dnem práce s využitím rozhraní API pro workflow životního cyklu.

    • Povolení uživatelského účtu
    • Přidání uživatele do skupin nebo týmů
    • Odeslat uvítací e-mail
    • Vygenerování TAP a odeslání e-mailu
  10. Vyberte Povolit plán.

    Snímek obrazovky vytvoření recenze pro novou položku v kategorii Joiner, kde je červeným rámečkem zvýrazněna sekce úkolů pro kontrolu.

  11. Vyberte Zkontrolovat a vytvořit.

Vytvořte postup pro odcházejícího zaměstnance

Chcete-li vytvořit proces pro odcházející zaměstnance, postupujte podle těchto kroků.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce pracovních postupů životního cyklu.

  2. Přejděte k správě identit>pracovním postupům životního cyklu>vytvoření pracovního postupu.

  3. V části Zvolit pracovní postup vyberte Ukončení spolupráce zaměstnance.

    Snímek obrazovky obrazovky

  4. V Části Základy zadejte Offboardování zaměstnance – Finance jako název a popis pracovního postupu. Vyberte Další.

  5. V části Konfigurovat rozsah>Pravidlo zadejte hodnoty pro vlastnost, operátor a hodnotu. Změňte výraz oboru pouze na uživatele, kde odděleníhodnotufinance. Ujistěte se, že testovací uživatel naplní Property řetězcem Finance tak, aby se nacházel v rozsahu pracovního postupu.

    Snímek obrazovky zobrazení pravidla s červeným rámečkem zvýrazňujícím ovládací prvek Hodnota

  6. V části Zkontrolovat úkoly vyberte Přidat úkol a přidejte úkol do šablony. Pro tento scénář přidáme žádost o přiřazení balíčku pro přístup uživatele.

  7. Volitelné: Přidejte další úlohy odcházeče, například:

    • Zakázat uživatelský účet
    • Odebrání uživatele ze všech skupin
    • Odeberte uživatele ze všech Týmů
  8. Zapněte povolit plán.

    Snímek obrazovky s přehledem vytváření nové položky v kategorii Leaver s červeným rámečkem zvýrazňujícím oddíl úkolů pro přezkum.

  9. Vyberte Zkontrolovat a vytvořit.

Poznámka:

Pracovní postupy životního cyklu se spouští automaticky na základě definovaných aktivačních událostí, které kombinují atributy založené na čase a hodnotu posunu. Pokud je například atribut employeeHireDate a offsetInDays je -1, měl by se pracovní postup aktivovat jeden den před datem přijetí zaměstnance. Hodnota může být v rozsahu od -180 do 180 dnů. Hodnoty employeeHireDate a employeeLeaveDateTime musí být nastaveny v rámci Microsoft Entra ID pro uživatele. Postup synchronizace atributů pro pracovní postupy životního cyklu poskytuje další informace o atributech a procesech.

Spuštění pracovního postupu slučovače na vyžádání

Pokud chcete tento scénář otestovat bez čekání na automatizovaný plán, spusťte pracovní postupy životního cyklu na vyžádání.

  1. Zahajte dříve vytvořený pracovní postup joineru.

  2. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce pracovních postupů životního cyklu.

  3. Přejděte k správě identit>pracovním postupům životního cyklu>pracovním postupům.

  4. Na pracovním postupu vyberte zaměstnance pro Finance - Úvodní školení, které jste dříve vytvořili.

  5. Vyberte Spustit na vyžádání.

  6. V nabídce Vybrat uživatele vyberte Přidat uživatele.

  7. Při přidávání uživatelů vyberte uživatele, pro které chcete spustit pracovní postup na vyžádání.

  8. Vyberte Přidat.

  9. Potvrďte své volby. Vyberte Spustit pracovní postup.

  10. Vyberte historii pracovního postupu a ověřte stav úkolu.

    Snímek obrazovky s historií pracovního postupu a souhrnem uživatelů zobrazující stav úkolu

  11. Po dokončení všech úkolů ověřte, že má uživatel přístup k aplikacím, které jste vybrali v přístupovém balíčku. Tento krok dokončí scénář pro nové uživatele, aby získali přístup k potřebným aplikacím hned první den.

Ověření přístupu pro vzdálený přístup pro každou aplikaci

V této části simulujeme nového člena finančního týmu, který se připojuje k organizaci. Automaticky přiřadíme uživateli přístup ke sdílené složce týmu Finance a vzdálený přístup k souborovému serveru pomocí Microsoft Entra Private Access.

Tato část popisuje možnosti ověření přístupu k přiřazeným prostředkům.

Ověření přiřazení přístupového balíčku

Pokud chcete ověřit stav přiřazení přístupového balíčku, postupujte takto:

  1. Jako uživatel se přihlaste k myaccess.microsoft.com.

  2. Pokud chcete zobrazit přístupový balíček (například finanční přístupový balíček), který jste si předtím vyžádali, vyberte Přístupové balíčky, aktivní.

    Snímek obrazovky Moje přístupy, balíčky přístupu, aktivní

Ověření přístupu k aplikaci

Pokud chcete ověřit přístup k aplikaci, postupujte takto:

  1. Jako uživatel se přihlaste k myaccess.microsoft.com.

  2. V seznamu aplikací vyhledejte aplikaci, kterou jste předtím vytvořili (například Finance App), a získejte k němu přístup.

    Snímek obrazovky Moje aplikace, Finance Apps

Ověření členství ve skupině

Pokud chcete ověřit členství ve skupině, postupujte takto:

  1. Jako uživatel se přihlaste k myaccess.microsoft.com.

  2. Vyberte Skupiny, ve které jsem. Ověřte členství ve skupině, kterou jste vytvořili dříve (například Finance Accounting).

    Snímek obrazovky z mých skupin, skupin, ve kterých jsem členem, s finančními údaji zadanými do textového pole Filtry, zobrazující 2 ze 131.

Ověření členství v Teams

Pokud chcete ověřit členství v Teams, postupujte takto:

  1. Jako uživatel se přihlaste k Teams.

  2. Ověřte členství v týmu, který jste vytvořili dříve (například Finance Accounting).

    Snímek obrazovky Teams zobrazující finanční účetnictví ve Vašich týmech

Ověření vzdáleného přístupu

Pokud chcete ověřit uživatelský přístup k souborovém serveru, postupujte takto:

  1. Přihlaste se k zařízení, na kterém jste nainstalovali klienta globálního zabezpečeného přístupu.

  2. Spusťte \\\IP_address a ověřte přístup ke sdílené složce.

    Snímek obrazovky Průzkumníka Windows zobrazující připojení ke sdílené složce

Spuštění pracovního postupu leaveru na vyžádání

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce pracovních postupů životního cyklu.

  2. Přejděte k zásadám správy identit>, pracovním postupům životního cyklu> a pracovním postupům.

  3. V pracovních postupech vyberte pracovní postup Offboard an employee - Finance, který jste vytvořili ve krocích pro offboarding.

  4. Vyberte Spustit na vyžádání.

  5. V nabídce Vybrat uživatele vyberte Přidat uživatele.

  6. Při přidávání uživatelů vyberte uživatele, pro které chcete spustit pracovní postup na vyžádání.

  7. Vyberte Přidat.

  8. Potvrďte své volby a vyberte Spustit pracovní postup.

  9. Vyberte historii pracovního postupu a ověřte stav úkolu.

    Snímek obrazovky s vypnutým zaměstnancem, aktivitou a červeným rámečkem, který zvýrazňuje ovládací prvek Historie pracovního postupu, který zobrazuje souhrn Uživatelů

  10. Po dokončení všech úkolů ověřte, že je uživatel odebrán ze všech přístupů k aplikacím vybraným v přístupovém balíčku.

Potvrzení odebrání přístupu

Po provedení pracovního postupu pro odchod zaměstnance potvrďte odebrání přístupu uživatele k finančním aplikacím, finančnímu týmu, SharePointových webech a sdílených souborech opakováním kroků v Ověření přístupu k aplikaci a Ověření vzdáleného přístupu. Tento krok zajišťuje důkladné ověření uživatele, kterému brání přístup k těmto prostředkům.