Freigeben über

Anwendungserkennung (Vorschau) für den globalen sicheren Zugriff

  • Artikel

Wichtig

Die Anwendungserkennung befindet sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf ein Vorabversionsprodukt, das vor der Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.

Die Anwendungsermittlung ermöglicht Administratoren umfassende Einblicke in die Anwendungsnutzung innerhalb ihres Unternehmensnetzwerks. Indem Sie ermitteln, auf welche Anwendungen zugegriffen wird und von wem, können Administratoren private Anwendungen mit präziser Segmentierung und geringstem Berechtigungszugriff erstellen, was unnötigen Zugriff minimiert.

Mit dem Schnellzugriff können Sie den privaten Zugriff schnell integrieren, indem Sie große IP-Bereiche und Platzhalter-FQDN veröffentlichen, ähnlich wie bei herkömmlichen VPN-Lösungen. Sie können dann vom Schnellzugriff zum Veröffentlichen pro Anwendung wechseln, um die Kontrolle und Detailliertheit über jede Anwendung zu verbessern. Sie können beispielsweise eine Richtlinie für bedingten Zugriff erstellen und Benutzerzuweisungen pro Anwendung festlegen.

Dieser Artikel führt durch den Prozess der Verwendung der Anwendungsermittlung, um zu erkennen, auf welche Anwendungen Benutzer zugreifen (über den Schnellzugriff) und separate private Anwendungen zu erstellen.

Voraussetzungen

Entdecken von Anwendungen

So zeigen Sie eine Liste aller Anwendungssegmente im Schnellzugriff an, auf die Benutzende in den letzten 30 Tagen über den Global Secure Access-Client zugegriffen haben:

  1. Melden Sie sich beim Microsoft Entra Admin Center als Global Secure Access-Administration an.
  2. Navigieren Sie zu Global Secure Access>Anwendungen>Anwendungserkennung. Screenshot: Bildschirm „App-Erkennung“.

Standardmäßig sortiert die Ansicht Anwendungserkennung die Anwendungssegmente in absteigender Reihenfolge nach der Anzahl der Benutzenden. Diese Standardsortierreihenfolge verschiebt die am häufigsten verwendeten Anwendungssegmente an den Anfang der Liste und macht sie für den Administrator sichtbarer.

Der Administrator kann den Zeitraum anpassen, weitere Filter hinzufügen und die Anwendungssegmente nach den einzelnen Spalten sortieren. Die Administration kann auch nach Benutzenden filtern, um die Liste der Anwendungssegmente anzuzeigen, auf die bestimmte Benutzende zugegriffen haben. Im Feld Suche kann die Administration nach dem vollqualifizierten Domänennamen (FQDN), der IP-Adresse und der Portadresse filtern.

Die folgenden Spalten sind für jedes Anwendungssegment verfügbar:

  • Ziel-FQDN: der FQDN des Anwendungssegments.
  • Ziel-IP: die IP des Anwendungssegments.
  • Transportprotokoll: das Transportprotokoll des Anwendungssegments. Der private Zugriff unterstützt das Transmission Control-Protokoll (TCP) und das User Datagram-Protokoll (UDP)?
  • Zielport: der Port des Anwendungssegments.
  • Benutzende: die Anzahl der Benutzenden, die auf das Anwendungssegment zugegriffen haben.
  • Transaktionen: die Anzahl der Transaktionen (Verbindungen) zum Anwendungssegment.
  • Geräte: die Anzahl der Geräte, die verwendet wurden, um auf das Anwendungssegment zuzugreifen.
  • Gesendete Bytes: die Gesamtanzahl an Bytes, die das Benutzergerät an das Anwendungssegment gesendet hat.
  • Empfangene Bytes: die Gesamtanzahl der Daten, die das Benutzergerät aus dem Anwendungssegment erhalten hat.
  • Letzter Zugriff: der letzte Zeitpunkt im angegebenen Zeitraum, an dem auf das Anwendungssegment zugegriffen wurde.
  • Erster Zugriff: das erste Mal im angegebenen Zeitraum, dass auf das Anwendungssegment zugegriffen wurde.

Erstellen einer neuen Anwendung

Verwenden Sie application discovery, um neue Microsoft Entra ID-Anwendungen basierend auf den ermittelten Anwendungssegmenten der Haupttabelle zu erstellen. So fügen Sie einer neuen Anwendung ein Anwendungssegment hinzu:

  1. Wählen Sie in der Anwendungsermittlungsliste ein oder mehrere Anwendungssegmente aus, die einer Anwendung entsprechen, die Sie erstellen möchten. Screenshot: Liste der Anwendungssegmente mit zwei ausgewählten Segmenten.
    1. Häufig verwendet eine Anwendung ein Anwendungssegment. Beispiel:
      • Ein Dateiserver, z. B. filesrv.contoso.com, TCP, 445.
      • Ein Portal, z. B. internalportal.contoso.com, TCP, 443.
    2. Manchmal verwendet eine einzelne Anwendung jedoch mehrere Ports, Protokolle oder erstreckt sich über mehrere Server (FQDNs/IPs). In diesem Fall können Sie mehrere Anwendungssegmente auswählen und sogar andere manuell hinzufügen. Beispiel:
      • Veröffentlichen von ADDS-Diensten auf einem bestimmten AD-Standort: dc1.contoso.com und dc2.contoso.com, TCP, 88, 135, 137, 138, 389, 445, 464, 636, 3268, 3269 und ein fester hoher Port für Netlogon dc1.contoso.com und dc2.contoso.com, UDP, 88, 123, 389, 464.
    3. Eine umfassende Liste der ADDS-Ports finden Sie unter Konfigurieren einer Firewall für Active Directory-Domänen und -Vertrauensstellungen.
  2. Wählen Sie Zu einer neuen Anwendung hinzufügen aus. Der Bildschirm Anwendung für globalen sicheren Zugriff erstellen wird geöffnet und zeigt die ausgewählten Anwendungssegmente an.
    1. Weisen Sie der Anwendung einen Namen zu, und wählen Sie die entsprechende Connectorgruppe aus.
    2. Sie können Anwendungssegmente auch manuell hinzufügen oder löschen.
    3. Um Ihre Änderungen anzuwenden, wählen Sie Speichern aus. Screenshot: Bildschirm „Anwendung für globalen sicheren Zugriff erstellen“ mit hervorgehobenen Feldern „Name“, „Connectorgruppe“ und der Schaltfläche „Speichern“.
  3. Aktivieren Sie den Zugriff für die entsprechenden Benutzer, indem Sie die Benutzer und Gruppen anpassen, die der neuen Anwendung zugewiesen sind.
    1. Sie sollten die Aufgaben nach dem Erstellen der Anwendung optimieren. Auf diese Weise enthält die Liste nur Gruppen von Benutzern, die Zugriff auf die neue Anwendung benötigen, gemäß dem Prinzip der geringsten Berechtigungen.
    2. Für Unternehmensanwendungen:
      1. Navigieren Sie zu Global Secure Access>Anwendungen>Unternehmensanwendungen>Benutzer und Gruppen.
      2. Wählen Sie die von Ihnen erstellte Anwendung aus.
      3. Ändern Sie die Benutzer- und Gruppenzuweisungen nach Bedarf.

Wichtig

Global Secure Access priorisiert den Datenverkehr für individuell definierte Anwendungen vor dem Schnellzugriff. Dies bedeutet, dass nach dem Verschieben eines Anwendungssegments von Schnellzugriff zu einer bestimmten globalen Secure Access-App der gesamte Datenverkehr, der an dieses Anwendungssegment weitergeleitet wird, gemäß Ihrer Anwendungskonfiguration weitergeleitet wird. Es wird kein Datenverkehr über den Schnellzugriff an die neue Anwendung weitergeleitet, auch wenn das Anwendungssegment möglicherweise innerhalb der durch den Schnellzugriff definierten Bereiche beibehalten wird. Um Dienstunterbrechungen zu vermeiden, erben neue Anwendungen, die Sie über die Anwendungsermittlung erstellen, alle zugewiesenen Benutzer und Gruppen vom Schnellzugriff (zum Zeitpunkt der Erstellung). Nachdem die neue Anwendung überprüft wurde, sollten Sie die Berechtigungen der Anwendung auf die Benutzer beschränken, die eine Verbindung mit den darin definierten Anwendungssegmenten herstellen müssen.

  1. (Optional) Für zusätzliche Sicherheit können Sie Richtlinien für den bedingten Zugriff gemäß den Sicherheitsrichtlinien Ihres Unternehmens festlegen. Sie können z. B. die mehrstufige Authentifizierung (Multifactor Authentication, MFA) und die Gerätekompatibilität erfordern, wenn Benutzer auf eine kritische Anwendung zugreifen.

Anmerkung

Anwendungssegmente bleiben auch nach dem Erstellen einer Anwendung in der Haupttabelle "Application Discovery" erhalten, bis sich ein Benutzer bei der neuen Anwendung anmeldet und auf die Ressource zugreift. In Zukunft wird die Haupttabelle für die Anwendungsentdeckung unabhängig von der Benutzerinteraktion aktualisiert.

Zu einer vorhandenen Anwendung hinzufügen

Sie können die Anwendungsentdeckung nutzen, um Anwendungssegmente zu einer bestehenden privaten Anwendung hinzuzufügen. So fügen Sie einer vorhandenen Anwendung ein Anwendungssegment hinzu:

  1. Wählen Sie in der Anwendungserkennungsliste ein oder mehrere Anwendungssegmente aus.
  2. Wählen Sie Zu einer vorhandenen Anwendung hinzufügen aus.
  3. Wählen Sie die vorhandene private Anwendung aus, der Sie die Segmente hinzufügen möchten. Der Bildschirm Anwendung für globalen sicheren Zugriff bearbeiten wird geöffnet und zeigt die Eigenschaften der vorhandenen Anwendung, die ausgewählten Anwendungssegmente (mit Status Ausstehend) und alle zuvor konfigurierten Anwendungssegmente (mit Status Success).
  4. Überprüfen Sie die Konfiguration, überarbeiten Sie Name, Connectorgruppe und die Anwendungssegmente, und nehmen Sie erforderliche Anpassungen vor.
  5. Um Ihre Änderungen anzuwenden, wählen Sie Speichern aus. Screenshot: Bildschirm „Anwendung für globalen sicheren Zugriff bearbeiten“ mit hervorgehobener Spalte „Status“ und Schaltfläche „Speichern“.

Anzeigen der Details eines Anwendungssegments

Bevor Sie sich für die Erstellung einer privaten Anwendung entscheiden, sollten Sie weitere Details des Anwendungssegments überprüfen.

  1. Wählen Sie in der Tabelle „Anwendungserkennung“ den Ziel-FQDN oder die Ziel-IP des Anwendungssegments aus, das Sie untersuchen möchten.
  2. Die Registerkarte Verbrauch zeigt standardmäßig das Diagramm der Benutzenden im Laufe der Zeit. Sie können den Graph so einstellen, dass die Verteilung von Transaktionen, Geräten, gesendeten Bytes und empfangenen Bytes im Laufe der Zeit angezeigt wird. Sie können den Zeitraum auch ändern, indem Sie die Einstellung Timespan anpassen. Screenshot der Registerkarte
  3. Auf der Registerkarte Benutzende wird die Liste der Benutzenden angezeigt, die in den letzten 30 Tagen auf das ausgewählte Anwendungssegment zugegriffen haben.
    Screenshot der Registerkarte

Wichtig

Verwenden Sie die Liste der Benutzer, um die Entscheidungen zu informieren, die Sie hinsichtlich der Benutzer und Gruppen treffen, die Sie der Entra-Anwendung zuweisen möchten, sobald Sie das ausgewählte Anwendungssegment integriert haben.

Verwandte Inhalte