Freigeben über


Konfigurieren des Schnellzugriffs für Global Secure Access

Mit Global Secure Access können Sie bestimmte vollqualifizierte Domänennamen (FQDNs) oder IP-Adressen privater Ressourcen definieren, die in den Datenverkehr für Microsoft Entra-Privatzugriff einbezogen werden sollen. Die Mitarbeiter Ihrer Organisation können dann auf die von Ihnen angegebenen Apps und Websites zugreifen. In diesem Artikel wird beschrieben, wie Sie den Schnellzugriff für Microsoft Entra-Privatzugriff konfigurieren.

Voraussetzungen

Zum Konfigurieren des Schnellzugriffs benötigen Sie Folgendes:

Um Gruppen privater Microsoft Entra-Netzwerkconnectors zu verwalten, wie für den Schnellzugriff gefordert ist, ist Folgendes erforderlich:

  • Die Rolle Anwendungsadministrator in Microsoft Entra ID
  • Eine P1- oder P2-Lizenz für Microsoft Entra ID

Bekannte Einschränkungen

Vermeiden Sie Überschneidungen von App-Segmenten zwischen Schnellzugriff und Zugriff per App.

Das Tunneln von Datenverkehr zu Zielen des privaten Zugriffs nach IP-Adresse wird nur für IP-Bereiche außerhalb des lokalen Subnetzes des Endbenutzergeräts unterstützt.

Im Moment kann privater Zugriffsdatenverkehr nur mit dem Global Secure Access-Client abgerufen werden. Remotenetzwerke können nicht dem Profil für Datenverkehrsweiterleitung für privaten Zugriff zugewiesen werden.

Der GSA-Client erstellt NRPT-Richtlinien, um DNS-Abfragen für private DNS-Suffixe über den Tunnel weiterzuleiten. In einigen Fällen können die NRPT-Richtlinien nicht erstellt werden. Überprüfen Sie dies mit Get-DNSClientNRPTPolicy. Dies geschieht aufgrund eines falsch formatierten Gruppenrichtlinienobjekts, das NRPT-Einstellungen anwendet. Verwenden Sie dieses Skript, um die betreffenden Richtlinie zu identifizieren und nach dem Verschieben der relevanten Einstellungen in andere Richtlinien zu löschen. Bearbeiten Sie das Skript, und ändern Sie die Variablen gemäß Ihrer Umgebung. https://github.com/microsoft/GlobalSecureAccess/blob/main/website/content/FindDNSNRPTGPO.ps1

Schritte auf oberer Ebene

Das Konfigurieren Ihrer Schnellzugriffseinstellungen ist eine wichtige Komponente für die Verwendung von Microsoft Entra-Privatzugriff. Wenn Sie den Schnellzugriff zum ersten Mal konfigurieren, erstellt Private Access eine neue Unternehmensanwendung. Die Eigenschaften dieser neuen App werden automatisch für die Verwendung mit privatem Zugriff konfiguriert.

Zum Konfigurieren des Schnellzugriffs benötigen Sie eine Connectorgruppe mit mindestens einem aktiven Microsoft Entra Anwendungsproxy-Connector. Die Connectorgruppe verarbeitet den Datenverkehr zu dieser neuen Anwendung. Nachdem Sie den Schnellzugriff und eine Gruppe privater Netzwerkconnectors konfiguriert haben, müssen Sie den Zugriff auf die App gewähren.

Zusammenfassend sieht der Gesamtprozess wie folgt aus:

  1. Erstellen Sie eine Connectorgruppe mit mindestens einem aktiven privaten Netzwerkconnector.
  2. Konfigurieren des Schnellzugriffs.
  3. Zuweisen von Benutzern und Gruppen zur App.
  4. Konfigurieren von Richtlinien für bedingten Zugriff.
  5. Aktivieren des Profils für die Weiterleitung von Datenverkehr mit Privatzugriff.

Erstellen von Gruppen privater Netzwerkconnectors

Zum Konfigurieren des Schnellzugriffs müssen Sie über eine Connectorgruppe mit mindestens einem aktiven privaten Netzwerkconnector verfügen.

Wenn Sie noch keine Connectorgruppe eingerichtet haben, lesen Sie Konfiguration von Connectoren für den Schnellzugriff.

Hinweis

Wenn Sie bereits einen Connector installiert haben, installieren Sie ihn neu, um die neueste Version zu erhalten. Deinstallieren Sie beim Upgrade den vorhandenen Connector, und löschen Sie alle zugehörigen Ordner.

Die für Private Access erforderliche Mindestversion des Connectors ist 1.5.3417.0.

Konfigurieren des Schnellzugriffs

Geben Sie auf der Seite Schnellzugriff einen Namen für die Schnellzugriffs-App an, wählen Sie eine Connectorgruppe aus und fügen Sie Anwendungssegmente hinzu, die FQDNs und IP-Adressen enthalten. Sie können alle drei Schritte gleichzeitig ausführen oder die Anwendungssegmente hinzufügen, nachdem die Ersteinrichtung abgeschlossen ist.

Name und Connectorgruppe

  1. Melden Sie sich mit geeigneten Rollenberechtigungen beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Globaler sicherer Zugriff>Anwendungen>Schnellzugriff.
  3. Geben Sie einen Namen ein. Es wird empfohlen, den Namen Quick Access zu verwenden.
  4. Wählen Sie im Dropdownmenü eine Connectorgruppe aus.
  5. Wählen Sie Speichern aus, um Ihre „Schnellzugriff“-App ohne FQDNs, IP-Adressen und private DNS-Suffixe zu erstellen.

Hinzufügen eines Anwendungssegments für den Schnellzugriff

Sie definieren die FQDNs und IP-Adressen, die einbezogen werden sollen, wenn Sie ein Schnellzugriff-Anwendungssegment hinzufügen. Sie fügen diese Ressourcen hinzu, wenn Sie die Schnellzugriffs-App erstellen oder aktualisieren.

Sie können vollqualifizierte Domänennamen (FQDN), IP-Adressen und IP-Adressbereiche hinzufügen. Innerhalb jedes Anwendungssegments können Sie mehrere Ports und Portbereiche hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Globaler sicherer Zugriff>Anwendungen>Schnellzugriff.

  3. Wählen Sie Hinzufügen eines Anwendungssegments für den Schnellzugriff aus.

  4. Wählen Sie im daraufhin geöffneten Bereich Anwendungssegment erstellen einen Zieltyp aus.

  5. Geben Sie die entsprechenden Details für den ausgewählten Zieltyp ein. Je nachdem, was Sie auswählen, ändern sich die nachfolgenden Felder entsprechend.

    • IP-Adresse:
      • Internetprotokoll-Version 4 (IPv4)-Adresse, z. B. 192.168.2.1, die ein Gerät im Netzwerk identifiziert.
      • Geben Sie die Ports an, die Sie einschließen möchten.
    • Vollqualifizierter Domänenname (einschließlich Platzhalter-FQDNs):
      • Domänenname, der den genauen Speicherort eines Computers oder Hosts im DNS (Domain Name System) angibt.
      • Geben Sie die einzuschließenden Ports an.
      • NetBIOS wird nicht unterstützt. Verwenden Sie z. B. contoso.local/app1 statt contoso/app1.
    • IP-Adressbereich (CIDR):
      • Classless Inter-Domain Routing (CIDR) stellt einen Bereich von IP-Adressen dar. Auf eine IP-Adresse folgt ein Suffix, das die Anzahl der Netzwerkbits in der Subnetzmaske angibt.
      • Zum Beispiel: 192.168.2.0/24 gibt an, dass die ersten 24 Bit der IP-Adresse die Netzwerkadresse darstellen, während die restlichen 8 Bits die Hostadresse darstellen.
      • Geben Sie die Startadresse, die Netzwerkmaske und die Ports an.
    • IP-Adressbereich (IP zu IP):
      • Bereich der IP-Adressen von der Start-IP (z. B. 192.168.2.1) bis zur End-IP (z. B. 192.168.2.10).
      • Geben Sie den Anfang, das Ende und die Ports der IP-Adresse an.
  6. Geben Sie die Ports und das Protokoll ein, und wählen Sie Übernehmen aus.

    • Trennen Sie mehrere Bereiche durch ein Komma.
    • Geben Sie Portbereiche mit einem Bindestrich an.
    • Wenn Sie die Änderungen anwenden, werden Leerzeichen zwischen Werten entfernt.
    • Beispiel: 400-500, 80, 443.

    Screenshot des Bereichs zum Erstellen eines App-Segments mit mehreren hinzugefügten Ports.

    Die folgende Tabelle enthält die am häufigsten verwendeten Ports und die zugehörigen Netzwerkprotokolle:

    Port Protocol
    22 Secure Shell (SSH)
    80 Hypertext Transfer-Protokoll (HTTP)
    443 Hypertext Transfer-Protokoll Secure (HTTPS)
    445 Server Message Block (SMB)-Dateifreigabe
    3389 Remotedesktopprotokoll (RDP)
  7. Wählen Sie Speichern aus, wenn Sie fertig sind.

Hinweis

Sie können Ihrer Schnellzugriffs-App bis zu 500 Anwendungssegmente hinzufügen.

Überlappen Sie keine FQDNs, IP-Adressen und IP-Bereiche von Ihrer Schnellzugriffs-App und allen Private Access-Apps.

Hinzufügen privater DNS-Suffixe

Mit dem Privates DNS Support für Microsoft Entra Privater Zugriff können Sie Ihre eigenen internen DNS-Server abfragen, um IP-Adressen für interne Domainnamen aufzulösen. Sehen wir uns ein Beispiel an. Angenommen, Sie haben einen internen IP-Adressbereich von 10.8.0.0 bis 10.8.255.255. Sie konfigurieren diesen Bereich in Ihrer Schnellzugriffs-Anwendungsdefinition. Sie möchten, dass Benutzende auf eine Webanwendung zugreifen, die auf IP 10.8.0.5 reagiert, wenn sie in ihren Webbrowser eingeben https://benefits . Sie möchten jedoch keinen FQDN für die Anwendung konfigurieren. Mithilfe von Privates DNS konfigurieren Sie ein entsprechendes DNS-Suffix, damit der globale Secure Access-Client weiß, wie die Anforderung ordnungsgemäß weitergeleitet wird.

Darüber hinaus können Sie ein Single Sign-On (SSO) für Kerberos-Ressourcen bereitstellen, indem Sie die Kerberos-Authentifizierung für Domänencontroller mit Privates DNS konfigurieren. Weitere Informationen zum Erstellen einer SSO-Erfahrung finden Sie unter Kerberos für Single Sign-On (SSO) auf Ihre Ressourcen mit Microsoft Entra Privater Zugriff anwenden.

Fügen Sie ein DNS-Suffix hinzu, das für private DNS verwendet werden soll.

  1. Wählen Sie die Registerkarte Privates DNS aus.
  2. Aktivieren Sie das Kontrollkästchen, um privates DNS zu aktivieren.
  3. Wählen Sie DNS-Suffix hinzufügen aus.
  4. Geben Sie das DNS-Suffix ein, und wählen Sie dann Hinzufügen aus.

Zuweisen von Benutzern und Gruppen

Wenn Sie den Schnellzugriff konfigurieren, wird eine neue Unternehmens-App in Ihrem Namen erstellt. Sie müssen der von Ihnen erstellten Schnellzugriffs-App Zugriff gewähren, indem Sie der App Benutzer und/oder Gruppen zuweisen.

Sie können die Eigenschaften im Schnellzugriff anzeigen oder zu Unternehmensanwendungen navigieren und nach Ihrer Schnellzugriffs-App suchen.

Tipp

Um eine App auf der Seite Enterprise-Anwendungen zu finden, löschen Sie alle Filter, damit die gesuchte App nicht herausgefiltert wird.

  1. Wählen Sie Anwendungseinstellungen bearbeiten aus dem Schnellzugriff aus.

    Screenshot von „Anwendungseinstellungen bearbeiten“.

  2. Wählen Sie im Seitenmenü Benutzer und Gruppen aus.

  3. Fügen Sie nach Bedarf Benutzer und Gruppen hinzu.

Hinweis

Benutzer müssen der App oder der Gruppe, die der App zugewiesen ist, direkt zugewiesen sein. Geschachtelte Gruppen werden nicht unterstützt.

Richtlinien für bedingten Zugriff können auf Ihre Schnellzugriffs-App angewendet werden. Das Anwenden von Richtlinien für bedingten Zugriff bietet weitere Optionen zum Verwalten des Zugriffs auf Anwendungen, Websites und Dienste.

Das Erstellen einer Richtlinie für bedingten Zugriff wird ausführlich unter Erstellen einer Richtlinie für bedingten Zugriff für Private Access-Apps behandelt.

Microsoft Entra Private Access aktivieren

Sobald Sie Ihre Schnellzugriffs-App konfiguriert, Ihre privaten Ressourcen hinzugefügt haben und benutzerseitig der App zugewiesen sind, können Sie das Profil Privater Zugriff im Bereich Datenverkehrsweiterleitung von Global Secure Access aktivieren. Sie können das Profil vor dem Konfigurieren des Schnellzugriffs aktivieren, aber ohne dass die App und das Profil konfiguriert sind, gibt es keinen Datenverkehr, der weitergeleitet werden kann. Wie Sie das Weiterleitungsprofil für den privaten Zugang aktivieren, erfahren Sie unter Verwaltung des Weiterleitungsprofils für den privaten Zugang.

Nächste Schritte