Konfigurace rychlého přístupu pro globální zabezpečený přístup
Pomocí globálního zabezpečeného přístupu můžete definovat konkrétní plně kvalifikované názvy domén (FQDN) nebo IP adresy privátních prostředků, které se mají zahrnout do provozu pro Microsoft Entra Soukromý přístup. Zaměstnanci vaší organizace pak budou mít přístup k aplikacím a webům, které zadáte. Tento článek popisuje, jak nakonfigurovat Rychlý přístup pro Microsoft Entra Soukromý přístup.
Požadavky
Pokud chcete nakonfigurovat Rychlý přístup, musíte mít:
- Role globálního správce zabezpečeného přístupu a správce aplikací v MICROSOFT Entra ID.
- Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
Pokud chcete spravovat skupiny privátních síťových konektorů Microsoft Entra, které jsou potřeba pro Rychlý přístup, musíte mít:
- Role správce aplikace v Microsoft Entra ID
- Licence Microsoft Entra ID P1 nebo P2
Známá omezení
Tato funkce má jedno nebo více známých omezení. Podrobnější informace o známých problémech a omezeních této funkce najdete v tématu Známá omezení globálního zabezpečení přístupu.
Kroky na vysoké úrovni
Konfigurace nastavení Rychlého přístupu je hlavní komponentou pro využití Microsoft Entra Soukromý přístup. Když rychlý přístup nakonfigurujete poprvé, privátní přístup vytvoří novou podnikovou aplikaci. Vlastnosti této nové aplikace jsou automaticky nakonfigurované tak, aby fungovaly s privátním přístupem.
Pokud chcete nakonfigurovat Rychlý přístup, musíte mít skupinu konektorů s alespoň jedním aktivním konektorem proxy aplikací Microsoft Entra. Skupina konektorů zpracovává provoz směrem k této nové aplikaci. Jakmile máte nakonfigurovanou skupinu pro rychlý přístup a skupinu konektorů pro privátní sítě, musíte aplikaci prokazatelně přístup udělit.
Celkový proces je shrnutý takto:
- Vytvořte skupinu konektorů s alespoň jedním aktivním privátním síťovým konektorem.
- Konfigurace rychlého přístupu
- Přiřaďte k aplikaci uživatele a skupiny.
- Nakonfigurujte zásady podmíněného přístupu.
- Povolte profil předávání provozu pro privátní přístup.
Vytvoření skupiny privátních síťových konektorů
Pokud chcete nakonfigurovat Rychlý přístup, musíte mít skupinu konektorů s alespoň jedním aktivním privátním síťovým konektorem.
Pokud ještě nemáte nastavenou skupinu konektorů, přečtěte si téma Konfigurace konektorů pro Rychlý přístup.
Poznámka:
Pokud jste dříve nainstalovali konektor, nainstalujte ho znovu, abyste získali nejnovější verzi. Při upgradu odinstalujte existující konektor a odstraňte všechny související složky.
Minimální verze konektoru vyžadovaná pro privátní přístup je 1.5.3417.0.
Konfigurace rychlého přístupu
Na stránce Rychlý přístup zadáte název aplikace Rychlý přístup, vyberete skupinu konektorů a přidáte segmenty aplikací, které zahrnují plně kvalifikované názvy domén a IP adresy. Všechny tři kroky můžete dokončit současně nebo můžete po dokončení počátečního nastavení přidat segmenty aplikace.
Název a skupina konektorů
- Přihlaste se do Centra pro správu Microsoft Entra s příslušnými rolemi.
- Přejděte do Global Secure Access>aplikace>Rychlý přístup.
- Zadejte název. Doporučujeme použít název Rychlý přístup.
- V rozevírací nabídce vyberte skupinu konektorů.
- Výběrem možnosti Uložit vytvoříte aplikaci "Quick Access" bez plně kvalifikovaných názvů domén, IP adres a privátních přípon DNS.
Přidání segmentu aplikace Rychlý přístup
Definujete plně kvalifikované názvy domén a IP adresy, které chcete zahrnout při přidání aplikačního segmentu Quick Access. Tyto prostředky přidáte při vytváření nebo aktualizaci aplikace Rychlý přístup.
Můžete přidat plně kvalifikované názvy domén( FQDN), IP adresy a rozsahy IP adres. V každém segmentu aplikace můžete přidat více portů a rozsahů portů.
Přihlaste se do Centra pro správu Microsoft Entra.
Přejděte do Globálního zabezpečeného přístupu>Aplikace>Rychlý přístup.
Vyberte Přidat segment aplikace Rychlý přístup.
Na panelu Vytvořit segment aplikace, který se otevře, vyberte typ cíle.
Zadejte příslušné podrobnosti pro vybraný typ cíle. V závislosti na tom, co vyberete, se následná pole odpovídajícím způsobem změní.
-
IP adresa:
- Adresa protokolu IPv4 (Internet Protocol verze 4), například 192.168.2.1, která identifikuje zařízení v síti.
- Zadejte porty, které chcete zahrnout.
-
Plně kvalifikovaný název domény (FQDN) (včetně domén se zástupnými znaky FQDN):
- Název domény, který určuje přesné umístění počítače nebo hostitele v SYSTÉMU DNS (Domain Name System).
- Zadejte porty, které chcete zahrnout.
- Plně kvalifikované názvy domén (FQDN) se zástupnými znaky musí být zadány ve formátu
*.contoso.com
.
-
Rozsah IP adres (CIDR):
- CiDR (Classless Inter-Domain Routing) představuje rozsah IP adres. Za IP adresou následuje přípona označující počet síťových bitů v masce podsítě.
- Například 192.168.2.0/24 označuje, že prvních 24 bitů IP adresy představuje síťovou adresu, zatímco zbývajících 8 bitů představuje adresu hostitele.
- Zadejte počáteční adresu, masku sítě a porty.
-
Rozsah IP adres (IP na IP adresu):
- Rozsah IP adres od počáteční IP adresy (například 192.168.2.1) až po koncovou IP adresu (například 192.168.2.10).
- Zadejte počáteční a koncovou IP adresu a porty.
-
IP adresa:
Zadejte porty a protokol a vyberte Použít.
- Oddělte několik portů čárkou.
- Zadejte rozsahy portů pomocí spojovníku.
- Mezery mezi hodnotami se odeberou při použití změn.
- Například
400-500, 80, 443
.
Následující tabulka obsahuje nejčastěji používané porty a jejich přidružené síťové protokoly:
Port Protokol 22 Secure Shell (SSH) 80 Protokol HTTP (Hypertext Transfer Protocol) 443 Protokol HTTPS (Hypertext Transfer Protocol Secure) 445 Sdílení souborů SMB (Server Message Block) 3389 Protokol RDP (Remote Desktop Protocol) Jakmile budete hotovi, vyberte Uložit.
Poznámka:
Do aplikace Rychlý přístup můžete přidat až 500 segmentů aplikace.
Přidání privátních přípon DNS
Podpora privátního DNS pro Microsoft Entra Soukromý přístup umožňuje dotazování na vaše vlastní interní servery DNS za účelem překládání IP adres pro interní názvy domén. Podívejme se na příklad. Řekněme, že máte interní rozsah IP adres 10.8.0.0
10.8.255.255
. Tento rozsah nakonfigurujete v definici aplikace Rychlý přístup. Chcete, aby uživatelé při psaní 10.8.0.5
ve webovém prohlížeči měli přístup k webové aplikaci, která odpovídá na IP https://benefits
adrese. Ale nechcete pro aplikaci konfigurovat FQDN. Pomocí Privátní DNS nakonfigurujete odpovídající příponu DNS tak, aby klient globálního zabezpečeného přístupu věděl, jak správně směrovat požadavek.
Kromě toho můžete poskytnout prostředí jednotného přihlašování (SSO) pro prostředky Kerberos nakonfigurováním Kerberos Authentication pro řadiče domény s využitím privátní DNS. Další informace o vytváření prostředí jednotného přihlašování najdete v tématu Použití protokolu Kerberos pro jednotné přihlašování (SSO) k prostředkům s Microsoft Entra Private Access.
Přidejte příponu DNS, která se má použít pro privátní DNS.
- Vyberte kartu Privátní DNS.
- Zaškrtnutím políčka povolíte privátní DNS.
- Vyberte Přidat příponu DNS.
- Zadejte příponu DNS a pak vyberte Přidat.
Přiřazení uživatelů a skupin
Když nakonfigurujete Rychlý přístup, vytvoří se za vás nová podniková aplikace. Musíte udělit přístup k aplikaci Rychlý přístup, kterou jste vytvořili přiřazením uživatelů nebo skupin k aplikaci.
Vlastnosti můžete zobrazit z Rychlého přístupu nebo přejít do podnikových aplikací a vyhledat aplikaci Rychlý přístup.
Tip
Pokud chcete najít aplikaci na stránce Podnikové aplikace , vymažte všechny filtry, abyste aplikaci, kterou hledáte, neodfiltrujte.
V části Rychlý přístup vyberte Upravit nastavení aplikace.
V boční nabídce vyberte Uživatelé a skupiny .
Podle potřeby přidejte uživatele a skupiny.
- Další informace najdete v tématu Přiřazení uživatelů a skupin k aplikaci.
Poznámka:
Uživatelé musí být přímo přiřazeni k aplikaci nebo ke skupině přiřazené k aplikaci. Vnořené skupiny nejsou podporovány.
Propojení zásad podmíněného přístupu
Zásady podmíněného přístupu se dají použít pro aplikaci Rychlý přístup. Použití zásad podmíněného přístupu poskytuje další možnosti pro správu přístupu k aplikacím, webům a službám.
Vytvoření zásad podmíněného přístupu je podrobně popsáno v části Vytvoření zásad podmíněného přístupu pro aplikace privátního přístupu.
Povolte Microsoft Entra Soukromý přístup
Jakmile nakonfigurujete aplikaci Rychlý přístup, přidáte vaše soukromé prostředky a přiřadíte uživatele k aplikaci, můžete povolit profil soukromého přístupu z předávání provozu globálního zabezpečeného přístupu. Profil můžete povolit před konfigurací Rychlého přístupu, ale bez nakonfigurované aplikace a profilu není žádný provoz k přesměrování. Informace o tom, jak povolit profil předávání přenosů privátního přístupu, najdete v tématu Jak spravovat profil předávání přenosů privátního přístupu.