Sdílet prostřednictvím

Zjišťování aplikací (verze Preview) pro globální zabezpečený přístup

  • Článek

Důležitý

Zjišťování aplikací je aktuálně ve verzi PREVIEW. Tyto informace se týkají předběžné verze produktu, který může být podstatně změněn před vydáním. Společnost Microsoft neposkytuje žádné záruky, vyjádřené ani předpokládané, pokud jde o informace uvedené zde.

Zjišťování aplikací umožňuje správcům získat komplexní přehled o využití aplikací v rámci podnikové sítě. Určením, ke kterým aplikacím se přistupuje a kým, můžou správci vytvářet soukromé aplikace s přesným segmentací a přístupem s nejnižšími oprávněními, což minimalizuje nepotřebný přístup.

Pomocí funkce Quick Access se můžete rychle nastavit na používání Private Access publikováním rozsáhlých rozsahů IP adres a zástupných FQDN (plně kvalifikovaných názvů domén), podobně jako u tradičních řešení VPN. Potom můžete přejít z rychlého přístupu na publikování jednotlivých aplikací, abyste měli lepší kontrolu a členitost pro každou aplikaci. Můžete například vytvořit zásady podmíněného přístupu a nastavit přiřazení uživatelů pro každou aplikaci.

Tento článek vás provede procesem objevování aplikací ke zjištění, ke kterým aplikacím uživatelé přistupují (prostřednictvím Quick Access), a jak vytvořit samostatné soukromé aplikace.

Požadavky

Zjišťování aplikací

Zobrazení seznamu všech segmentů aplikace v rychlém přístupu, ke kterým uživatelé přistupovali prostřednictvím klienta globálního zabezpečeného přístupu za posledních 30 dnů:

  1. Přihlaste se do administračního centra Microsoft Entra jako Globální správce zabezpečeného přístupu.
  2. Přejděte na Global Secure Access>Aplikace>Objevování aplikací. snímek obrazovky zjišťování aplikací

Ve výchozím nastavení se ve zobrazení zjišťování aplikací segmenty aplikací řadí sestupně podle počtu uživatelů. Toto výchozí pořadí řazení přesune nejčastěji používané segmenty aplikací na začátek seznamu, aby byly pro správce viditelné.

Správce může upravit časový rozsah, přidat další filtry a seřadit segmenty aplikace podle jednotlivých sloupců. Správce může také filtrovat podle uživatele a zobrazit seznam segmentů aplikací, ke které přistupuje konkrétní uživatel. V poli Hledat může správce filtrovat podle plně kvalifikovaného názvu domény (FQDN), IP adresy a adresy portu.

Pro každý segment aplikace jsou k dispozici následující sloupce:

  • Cílový FQDN: FQDN segmentu aplikace.
  • cílová IP adresa: IP adresa segmentu aplikace.
  • transportní protokol: přenosový protokol segmentu aplikace. Privátní přístup v současné době podporuje protokol TCP (Transmission Control Protocol) a UDP (User Datagram Protocol).
  • cílový port: port segmentu aplikace.
  • Uživatelé: počet uživatelů, kteří přistupovali k segmentu aplikace.
  • Transakce: počet transakcí (připojení) k segmentu aplikace.
  • Zařízení – počet zařízení, která byla použita pro přístup k segmentu aplikace.
  • Odeslané bajty: celkový počet bajtů dat, která uživatelské zařízení odeslalo do segmentu aplikace.
  • Přijaté bajty: celkový počet bajtů dat přijatých ze segmentu aplikace uživatelským zařízením.
  • Poslední přístup: poslední čas v časovém rozsahu, kdy byl segment aplikace přístupněn.
  • První přístup: poprvé v časovém rozsahu, kdy byl segment aplikace přístupný.

Vytvoření nové aplikace

Pomocí zjišťování aplikací můžete vytvářet nové aplikace Microsoft Entra ID založené na zjištěných segmentech aplikace hlavní tabulky. Přidání segmentu aplikace do nové aplikace:

  1. V seznamu zjišťování aplikací zvolte jeden nebo více segmentů aplikace, které odpovídají aplikaci, kterou chcete vytvořit. Snímek obrazovky se seznamem segmentů aplikací se dvěma vybranými segmenty
    1. Jedna aplikace často používá jeden segment aplikace. Například:
      • Souborový server, například: filesrv.contoso.com, TCP, 445.
      • Portál, například: internalportal.contoso.com, TCP, 443.
    2. Někdy však jedna aplikace používá několik portů, protokolů nebo se rozprostírá přes více serverů (plně kvalifikované doménové názvy/IP adresy). V takovém případě můžete zvolit několik segmentů aplikace a dokonce přidat další ručně. Například:
      • Publikování služeb ADDS na konkrétním webu AD: dc1.contoso.com a dc2.contoso.com, TCP, 88, 135, 137, 138, 389, 445, 464, 636, 3268, 3269 a pevný vysoký port pro Netlogon dc1.contoso.com a dc2.contoso.com, UDP, 88, 123, 389, 464.
    3. Úplný seznam portů ADDS najdete viz Jak nakonfigurovat bránu firewall pro domény a důvěryhodnosti služby Active Directory.
  2. Vyberte Přidat do nové aplikace. Otevře se obrazovka Vytvořit aplikaci globálního zabezpečeného přístupu zobrazující vybrané segmenty aplikace.
    1. Dejte aplikaci název a vyberte odpovídající skupinu konektorů.
    2. Segmenty aplikací můžete přidávat nebo odstraňovat také ručně.
    3. Pokud chcete změny použít, vyberte Uložit. snímek obrazovky aplikace Vytvořit globální zabezpečený přístup se zvýrazněným polem Název, pole Skupina konektorů a tlačítkem Uložit
  3. Povolte přístup pro příslušné uživatele úpravou uživatelů a skupin přiřazených k nové aplikaci.
    1. Přiřazení byste měli doladit po vytvoření aplikace. Seznam tak obsahuje pouze skupiny uživatelů, kteří vyžadují přístup k nové aplikaci podle principu nejnižších oprávnění.
    2. Pro podnikové aplikace:
      1. Přejděte na Globální zabezpečený přístup>Aplikace>Podnikové aplikace>Uživatelé a skupiny.
      2. Vyberte aplikaci, kterou jste vytvořili.
      3. Podle potřeby upravte přiřazení uživatelů a skupin.

Důležitý

Globální zabezpečený přístup upřednostňuje provoz pro individuálně definované aplikace vyšší než Rychlý přístup. To znamená, že jakmile přesunete segment aplikace z rychlého přístupu do konkrétní globální aplikace pro zabezpečený přístup, veškerý provoz směrovaný do tohoto segmentu aplikace se bude směrovat podle konfigurace vaší aplikace. Žádný provoz do nové aplikace se nebude směrovat přes Rychlý přístup, i když segment aplikace může trvat v rozsahech definovaných rychlým přístupem. Aby nedocházelo k přerušení služeb, nové aplikace, které vytvoříte prostřednictvím zjišťování aplikací, dědí všechny přiřazené uživatele a skupiny z Rychlého přístupu (v době vytvoření). Po ověření nové aplikace byste měli změnit rozsah oprávnění aplikace pouze na uživatele, kteří se potřebují připojit k segmentům aplikace definovaným v ní.

  1. (Volitelné) Kvůli dodatečnému zabezpečení můžete nastavit zásady podmíněného přístupu podle zásad zabezpečení vaší společnosti. Například můžete chtít vyžadovat vícefaktorové ověřování (MFA) a soulad zařízení, když uživatelé přistupují ke kritické aplikaci.

Poznámka

Segmenty aplikací zůstávají v hlavní tabulce zjišťování aplikací i po vytvoření aplikace, dokud se uživatel nepřihlásí k nové aplikaci a nebude k prostředku přistupovat. V budoucnu se hlavní tabulka zjišťování aplikací aktualizuje bez ohledu na interakci uživatele.

Přidání do existující aplikace

Zjišťování aplikací můžete použít k přidání segmentů aplikace do existující privátní aplikace. Přidání segmentu aplikace do existující aplikace:

  1. V seznamu zjišťování aplikací zvolte jeden nebo více segmentů aplikace.
  2. Vyberte Přidat do existující aplikace.
  3. Zvolte existující privátní aplikaci, do které chcete přidat segmenty. Obrazovka aplikace Upravit Globální bezpečný přístup se otevře a zobrazuje vlastnosti existující aplikace, vybrané segmenty aplikace (se stavem Čekající) a všechny předem nakonfigurované segmenty aplikace (se stavem Úspěšný).
  4. Zkontrolujte konfiguraci a upravte název, skupinu konektorůa aplikační segmenty, a proveďte potřebné revize.
  5. Pokud chcete změny použít, vyberte Uložit. Snímek obrazovky aplikace Global Secure Access s upraveným sloupcem Stav a tlačítkem Uložit

Zobrazení podrobností o segmentu aplikace

Než se rozhodnete vytvořit soukromou aplikaci, možná budete chtít zkontrolovat další podrobnosti o segmentu aplikace.

  1. V tabulce zjišťování aplikací vyberte cílový plně kvalifikovaný název domény nebo cílová IP adresa segmentu aplikace, který chcete prozkoumat.
  2. Na kartě Využití se ve výchozím nastavení zobrazuje graf zobrazující uživatele v průběhu času. Graf můžete nastavit tak, aby zobrazoval distribucitransakcí , Zařízení, bajty odeslanéa bajty přijaté v průběhu času. Časový rozsah můžete také změnit nastavením časového intervalu. Snímek obrazovky karty Využití s vyznačenými možnostmi zobrazení osy Y
  3. Karta Uživatelé zobrazuje seznam uživatelů, kteří v posledních 30 dnech přistupovali k vybranému segmentu aplikace.
    Snímek obrazovky karty Uživatelé zobrazující seznam uživatelů.

Důležitý

Seznam uživatelů slouží k informování o rozhodnutích týkajících se uživatelů a skupin, které chcete přiřadit k aplikaci Entra, jakmile nasadíte vybraný segment aplikace.

Související obsah