Individuazione delle applicazioni (anteprima) per l'accesso sicuro globale

Importante

L'individuazione delle applicazioni è attualmente in versione di anteprima. Queste informazioni si riferiscono a un prodotto in versione preliminare che può essere modificato in modo sostanziale prima del rilascio. Microsoft non fornisce alcuna garanzia, espressa o implicita, in relazione alle informazioni fornite qui.

L'individuazione delle applicazioni consente agli amministratori di ottenere visibilità completa sull'utilizzo delle applicazioni all'interno della rete aziendale. Identificando le applicazioni a cui si accede e da chi, gli amministratori possono creare applicazioni private con segmentazione precisa e accesso con privilegi minimi, riducendo al minimo l'accesso non necessario.

Con Accesso Rapido, puoi configurarti rapidamente su Accesso Privato configurando un'ampia gamma di intervalli IP e FQDN con caratteri jolly, come faresti con le soluzioni VPN tradizionali. È quindi possibile passare dalla pubblicazione rapida alla pubblicazione per applicazione per migliorare il controllo e la granularità su ogni applicazione. Ad esempio, è possibile creare un criterio di accesso condizionale e impostare le assegnazioni utente per ogni applicazione.

Questo articolo illustra il processo di uso dell'individuazione delle applicazioni per rilevare a quali applicazioni gli utenti accedono tramite Accesso rapido e creare applicazioni private separate.

Prerequisiti

• Un tenant di Microsoft Entra ha completato l'onboarding su Microsoft Entra Private Access.
• Un tenant di Microsoft Entra configurato con Accesso rapido.
• Un dispositivo configurato con il client Di accesso sicuro globale (Windows, macOS, Android, iOS).

Individuare le applicazioni

Per visualizzare un elenco di tutti i segmenti di applicazione in Accesso rapido a cui gli utenti hanno eseguito l'accesso tramite il client Accesso sicuro globale negli ultimi 30 giorni:

1. Accedi al centro di amministrazione Microsoft Entra come Amministratore di Accesso Sicuro Globale .
2. Passare a >applicazioni di accesso sicuro globale>individuazione applicazioni.

Per impostazione predefinita, la visualizzazione individuazione applicazioni ordina i segmenti dell'applicazione in ordine decrescente in base al numero di utenti. Questo ordinamento predefinito sposta i segmenti dell'applicazione più usati all'inizio dell'elenco, rendendoli più visibili all'amministratore.

L'amministratore può modificare l'intervallo di tempo, aggiungere altri filtri e ordinare i segmenti dell'applicazione in base a ognuna delle colonne. L'amministratore può anche filtrare per utente per visualizzare l'elenco dei segmenti di applicazione a cui ha avuto accesso un utente specifico. Dal campo di ricerca , l'amministratore può filtrare per nome di dominio completo (FQDN), indirizzo IP e indirizzo della porta.

Per ogni segmento di applicazione sono disponibili le colonne seguenti:

• FQDN di destinazione: FQDN del segmento dell'applicazione.
• ip di destinazione: indirizzo IP del segmento dell'applicazione.
• Protocollo di trasporto: il protocollo di trasporto del segmento dell'applicazione. L'accesso privato supporta attualmente TCP (Transmission Control Protocol) e UDP (User Datagram Protocol).
• porta di destinazione: porta del segmento dell'applicazione.
• Users: numero di utenti che hanno utilizzato la sezione dell'applicazione.
• Transazioni: numero di transazioni (connessioni) al segmento dell'applicazione.
• Dispositivi: numero di dispositivi usati per accedere al segmento dell'applicazione.
• Byte inviati: i byte totali di dati che il dispositivo utente ha inviato al segmento dell'applicazione.
• Byte ricevuti: il totale dei byte di dati che il dispositivo dell'utente ha ricevuto dal segmento dell'applicazione.
• Ultimo accesso: l'ultima volta nell'intervallo di tempo a cui è stato eseguito l'accesso al segmento dell'applicazione.
• Primo accesso: la prima volta nell'intervallo di tempo a cui si accede al segmento dell'applicazione.

Creare una nuova applicazione

Usare l'individuazione delle applicazioni per creare nuove applicazioni Microsoft Entra ID in base ai segmenti di applicazione individuati della tabella principale. Per aggiungere un segmento di applicazione a una nuova applicazione:

1. Nell'elenco di individuazione delle applicazioni, scegliere uno o più segmenti di applicazione che corrispondono a un'applicazione che si desidera creare.
   1. Spesso, un'applicazione usa un segmento di applicazione. Per esempio:
      • Un file server, ad esempio: filesrv.contoso.com, TCP, 445.
      • Un portale, ad esempio: internalportal.contoso.com, TCP, 443.
   2. Tuttavia, a volte una singola applicazione usa diverse porte, protocolli o si estende su più server (FQDN/IP). In questo caso, è possibile scegliere diversi segmenti di applicazione e anche aggiungere altri manualmente. Per esempio:
      • Pubblicazione di servizi ADDS in un sito Active Directory specifico: dc1.contoso.com e dc2.contoso.com, TCP, 88, 135, 137, 138, 389, 445, 464, 636, 3268, 3269 e una porta alta fissa per Netlogon dc1.contoso.com e dc2.contoso.com, UDP, 88, 123, 389, 464.
   3. Per un elenco completo delle porte ADDS, vedere Come configurare un firewall per i domini e i trust di Active Directory.
2. Seleziona Aggiungi alla nuova applicazione. Viene visualizzata schermata Crea applicazione di accesso sicuro globale che mostra i segmenti di applicazione selezionati.
   1. Assegnare all'applicazione un Nome e selezionare il gruppo di connettori corrispondente.
   2. È anche possibile aggiungere o eliminare manualmente segmenti di applicazioni.
   3. Per applicare le modifiche, selezionare Salva.
3. Abilitare l'accesso per gli utenti appropriati modificando gli utenti e i gruppi assegnati alla nuova applicazione.
   1. È consigliabile ottimizzare le assegnazioni dopo la creazione dell'applicazione. In questo modo, l'elenco contiene solo gruppi di utenti che richiedono l'accesso alla nuova applicazione, in base al principio dei privilegi minimi.
   2. Per le applicazioni aziendali:
      1. Vai a Accesso sicuro globale>Applicazioni>Applicazioni aziendali>Utenti e gruppi.
      2. Selezionare l'applicazione creata.
      3. Modificare le assegnazioni di utenti e gruppi in base alle esigenze.

Importante

L'accesso sicuro globale assegna priorità al traffico per le applicazioni definite singolarmente in modo più alto rispetto all'accesso rapido. Ciò significa che una volta spostato un segmento di applicazione da Accesso rapido a un'app di accesso sicuro globale specifico, tutto il traffico indirizzato a tale segmento di applicazione verrà instradato in base alla configurazione dell'applicazione. Nessun traffico verso la nuova applicazione verrà instradato attraverso Accesso rapido anche se il segmento dell'applicazione può persistere entro gli intervalli definiti da Accesso rapido. Di conseguenza, per evitare interruzioni del servizio, le nuove applicazioni create tramite l'individuazione delle applicazioni ereditano tutti gli utenti e i gruppi assegnati da Accesso rapido (al momento della creazione). Dopo la convalida della nuova applicazione, è necessario ridefinire le autorizzazioni dell'applicazione solo per gli utenti che necessitano di connettersi ai segmenti dell'applicazione definiti.

4. (Facoltativo) Per una maggiore sicurezza, è possibile impostare i criteri di accesso condizionale in base ai criteri di sicurezza dell'azienda. Ad esempio, potrebbe essere necessario richiedere l'autenticazione a più fattori (MFA) e la conformità dei dispositivi quando gli utenti accedono a un'applicazione critica.

Nota

I segmenti dell'applicazione vengono mantenuti nella tabella principale di individuazione delle applicazioni anche dopo aver creato un'applicazione, fino a quando un utente non accede alla nuova applicazione e accede alla risorsa. In futuro, la tabella principale di individuazione delle applicazioni verrà aggiornata indipendentemente dall'interazione dell'utente.

Aggiungere a un'applicazione esistente

È possibile usare l'individuazione delle applicazioni per aggiungere segmenti di applicazione a un'applicazione privata esistente. Per aggiungere un segmento di applicazione a un'applicazione esistente:

1. Nell'elenco della scoperta delle applicazioni, scegliere uno o più segmenti applicativi.
2. Seleziona Aggiungi a un'applicazione esistente.
3. Scegliere l'applicazione privata esistente a cui si desidera aggiungere i segmenti. Viene visualizzata schermata di modifica applicazione di accesso sicuro globale che mostra le proprietà dell'applicazione esistente, i segmenti di applicazione selezionati (con stato In sospeso) e tutti i segmenti di applicazioni configurati in precedenza (con stato Operazione riuscita).
4. Esaminare la configurazione e rivedere i Name, Connector Groupe i segmenti dell'applicazione, apportando eventuali revisioni.
5. Per applicare le modifiche, selezionare Salva.

Visualizzare i dettagli di un segmento di applicazioni

Prima di decidere di creare un'applicazione privata, è consigliabile esaminare altri dettagli del segmento dell'applicazione.

1. Nella tabella di individuazione delle applicazioni, selezionare il FQDN di destinazione o l'IP di destinazione per il segmento di applicazione che si desidera esplorare.
2. Per impostazione predefinita, la scheda Utilizzo mostra un grafico degli Utenti nel tempo. È possibile impostare il grafico per visualizzare la distribuzione di transazioni , dispositivi , byte inviatie byte ricevuti nel tempo. È anche possibile modificare l'intervallo di tempo modificando l'impostazione Timespan.
3. La scheda Utenti mostra l'elenco degli utenti che hanno eseguito l'accesso al segmento di applicazione selezionato negli ultimi 30 giorni.
   

Importante

Usare l'elenco degli utenti per informare le decisioni prese relative a utenti e gruppi che si prevede di assegnare all'applicazione Entra dopo l'onboarding del segmento di applicazione selezionato.

Contenuto correlato

• Come configurare l'accesso rapido per l'accesso sicuro globale