Detección de aplicaciones (versión preliminar) para acceso seguro global

Importante

La detección de aplicaciones está actualmente en versión preliminar (PREVIEW). Esta información está relacionada con un producto de versión preliminar que puede modificarse sustancialmente antes de su lanzamiento. Microsoft no ofrece ninguna garantía, expresada o implícita, con respecto a la información proporcionada aquí.

La detección de aplicaciones permite a los administradores obtener visibilidad completa del uso de la aplicación dentro de su red corporativa. Mediante la identificación de las aplicaciones a las que se accede y quién, los administradores pueden crear aplicaciones privadas con segmentación precisa y acceso con privilegios mínimos, lo que minimiza el acceso innecesario.

Con el acceso rápido, puede incorporar rápidamente a Acceso privado mediante la publicación de intervalos IP anchos y FQDN de caracteres comodín, como lo haría con las soluciones de VPN tradicionales. A continuación, puede pasar de Acceso rápido a publicación por aplicación para un mejor control y granularidad sobre cada aplicación. Por ejemplo, puede crear una directiva de acceso condicional y establecer asignaciones de usuario por aplicación.

En este artículo se explica el proceso de uso de la detección de aplicaciones para detectar qué aplicaciones acceden los usuarios (a través del acceso rápido) y la creación de aplicaciones privadas independientes.

Prerrequisitos

• Un cliente de Microsoft Entra integrado a Acceso privado de Microsoft Entra.
• Un inquilino de Microsoft Entra configurado con acceso rápido.
• Un dispositivo configurado con el cliente de acceso seguro global (Windows, macOS, Android, ).

Detección de aplicaciones

Para ver una lista de todos los segmentos de aplicación en Acceso rápido a los que los usuarios accedieron a través del cliente de acceso seguro global en los últimos 30 días:

1. Inicie sesión en el centro de administración de Microsoft Entra como administrador de acceso seguro global.
2. Vaya a Acceso global seguro>Aplicaciones>Detección de aplicaciones.

De forma predeterminada, la vista detección de aplicaciones ordena los segmentos de la aplicación en orden descendente según el número de usuarios. Este criterio de ordenación predeterminado mueve los segmentos de aplicación más usados a la parte superior de la lista, lo que hace que sean más visibles para el administrador.

El administrador puede ajustar el intervalo de tiempo, agregar otros filtros y ordenar los segmentos de aplicación según cada una de las columnas. El administrador también puede filtrar por usuario para ver la lista de los segmentos de aplicación a los que accede un usuario específico. En el campo de búsqueda , el administrador puede filtrar por nombre de dominio totalmente cualificado (FQDN), dirección IP y dirección de puerto.

Las columnas siguientes están disponibles para cada segmento de aplicación:

• FQDN de destino: el FQDN del segmento de aplicación.
• dirección IP de destino: la dirección IP del segmento de aplicación.
• protocolo de transporte: el protocolo de transporte del segmento de aplicación. El acceso privado admite actualmente el Protocolo de control de transmisión (TCP) y el Protocolo de datagramas de usuario (UDP).
• puerto de destino: el puerto del segmento de aplicación.
• Usuarios: el número de usuarios que accedieron al segmento de la aplicación.
• Transacciones: el número de transacciones (conexiones) al segmento de aplicación.
• Dispositivos: el número de dispositivos que se usaron para acceder al segmento de la aplicación.
• Bytes enviados: la cantidad total de datos en bytes que el dispositivo de usuario envió al segmento de aplicación.
• Bytes recibidos: los bytes totales de datos que el dispositivo de usuario recibió del segmento de la aplicación.
• Último acceso: la última vez en el intervalo de tiempo al que se ha accedido el segmento de aplicación.
• Primer acceso: la primera vez que se accedió al segmento de la aplicación en el intervalo de tiempo.

Creación de una aplicación

Usa Application Discovery para crear nuevas aplicaciones Microsoft Entra ID basadas en los segmentos de aplicación detectados de la tabla principal. Para agregar un segmento de aplicación a una nueva aplicación:

1. En la lista Detección de aplicaciones, elija uno o varios segmentos de aplicación que correspondan a una aplicación que le gustaría crear.
   1. A menudo, una aplicación usa un segmento de aplicación. Por ejemplo:
      • Un servidor de archivos, como: filesrv.contoso.com, TCP, 445.
      • Un portal, como: internalportal.contoso.com, TCP, 443.
   2. Sin embargo, a veces una sola aplicación usa varios puertos, protocolos o abarca varios servidores (FQDN/IP). En este caso, puede elegir varios segmentos de aplicación e incluso agregar otros manualmente. Por ejemplo:
      • Publicación de servicios ADDS en un sitio de AD específico: dc1.contoso.com y dc2.contoso.com, TCP, 88, 135, 137, 138, 389, 445, 464, 636, 3268, 3269 y un puerto alto fijo para Netlogon dc1.contoso.com y dc2.contoso.com, UDP, 88, 123, 389, 464.
   3. Para obtener una lista completa de los puertos ADDS, consulte Configuración de un firewall para dominios y confianzas de Active Directory.
2. Seleccione Agregar a la nueva aplicación. Se abre la pantalla Crear aplicación de acceso seguro global, en la que se muestran los segmentos de aplicación seleccionados.
   1. Asigne un Nombre a la aplicación y seleccione el Grupo de conectorescorrespondiente.
   2. También puede agregar o eliminar segmentos de aplicaciones manualmente.
   3. Para aplicar los cambios, seleccione Guardar.
3. Habilite el acceso para los usuarios adecuados ajustando los usuarios y grupos asignados a la nueva aplicación.
   1. Debería ajustar las asignaciones después de crear la aplicación. De este modo, la lista contiene solo grupos de usuarios que requieren acceso a la nueva aplicación, según el principio de privilegios mínimos.
   2. Para aplicaciones empresariales:
      1. Vaya a Acceso global seguro>Aplicaciones>Aplicaciones empresariales>Usuarios y grupos.
      2. Seleccione la aplicación que creó.
      3. Modifique las asignaciones de usuarios y grupos según sea necesario.

Importante

El acceso seguro global prioriza el tráfico para las aplicaciones definidas individualmente por encima del acceso rápido. Esto significa que, una vez que mueva un segmento de aplicación de acceso rápido a una aplicación de acceso seguro global específica, todo el tráfico enrutado a ese segmento de aplicación se enrutará según la configuración de la aplicación. Ningún tráfico a la nueva aplicación se enrutará a través del acceso rápido, aunque el segmento de la aplicación pueda persistir dentro de los intervalos definidos por el acceso rápido. Como resultado, para evitar interrupciones del servicio, las nuevas aplicaciones que cree a través de la detección de aplicaciones heredan todos los usuarios y grupos asignados del acceso rápido (en el momento de la creación). Una vez validada la nueva aplicación, debe redefinir el alcance de los permisos de la aplicación a solo aquellos usuarios que necesitan conectarse a los segmentos de aplicación definidos en ella.

4. (Opcional) Para mayor seguridad, puede establecer directivas de acceso condicional según las directivas de seguridad de su empresa. Por ejemplo, es posible que quiera requerir la autenticación multifactor (MFA) y el cumplimiento de dispositivos cuando los usuarios acceden a una aplicación crítica.

Nota

Los segmentos de aplicación persisten en la tabla principal detección de aplicaciones incluso después de crear una aplicación, hasta que un usuario inicia sesión en la nueva aplicación y accede al recurso. En el futuro, la tabla principal detección de aplicaciones se actualizará independientemente de la interacción del usuario.

Agregar a una aplicación existente

Puede usar detección de aplicaciones para agregar segmentos de aplicación a una aplicación privada existente. Para agregar un segmento de aplicación a una aplicación existente:

1. En la lista Detección de aplicaciones, elija uno o varios segmentos de aplicación.
2. Seleccione Agregar a una aplicación existente.
3. Elija la aplicación privada existente a la que desea agregar los segmentos. Se abre la pantalla Editar aplicación de Acceso global seguro, que muestra las propiedades de la aplicación existente, los segmentos de aplicación seleccionados (con el estado Pendiente) y cualquier segmento de aplicación configurado previamente (con el estado Éxito).
4. Revise la configuración y los segmentos de la aplicación, Nombre, Grupo de conectores, y realice las revisiones necesarias.
5. Para aplicar los cambios, seleccione Guardar.

Visualización de los detalles de un segmento de aplicación

Antes de decidir crear una aplicación privada, es posible que quiera revisar otros detalles del segmento de la aplicación.

1. En la tabla de Detección de aplicaciones, seleccione el FQDN de destino o la dirección IP de destino para el segmento de aplicación que desee explorar.
2. La pestaña Uso muestra por defecto un gráfico de Usuarios a lo largo del tiempo. Puede configurar el gráfico para que muestre la distribución de Transacciones, Dispositivos, Bytes enviados y Bytes recibidos a lo largo del tiempo. También puede cambiar el intervalo de tiempo ajustando la opción Tiempo.
3. En la pestaña Usuarios se muestra la lista de usuarios que accedieron al segmento de aplicación seleccionado en los últimos 30 días.
   

Importante

Use la lista de usuarios para informar de las decisiones que tome con respecto a los usuarios y grupos que planea asignar a la aplicación Entra una vez que incorpore el segmento de aplicación seleccionado.

Contenido relacionado

• Configuración del acceso rápido para el acceso seguro global