Condividi tramite

Come configurare l'accesso per app tramite applicazioni di accesso sicuro globale

  • Articolo

Accesso privato Microsoft Entra fornisce accesso sicuro alle risorse interne dell'organizzazione. Si crea un'applicazione di accesso sicuro globale e si specificano le risorse interne e private da proteggere. Configurando un'applicazione di accesso sicuro globale, si sta creando l'accesso per app alle risorse interne. L'applicazione Global Secure Access offre una possibilità più dettagliata di gestire l'accesso alle risorse in base alle app.

Questo articolo descrive come configurare l'accesso per app usando le applicazioni di accesso sicuro globale.

Prerequisiti

Per configurare un'app Di accesso sicuro globale, è necessario disporre di:

Per gestire i gruppi di connettori di rete privata Di Microsoft Entra, necessari per le app di accesso sicuro globale, è necessario disporre di:

  • Un ruolo Amministratore applicazione in Microsoft Entra ID
  • Licenze Microsoft Entra ID P1 o P2

Limitazioni note

  • Evitare la sovrapposizione dei segmenti di app tra l'accesso rapido e le app di accesso sicuro globale.
  • Il tunneling del traffico verso destinazioni di Accesso privato in base all'indirizzo IP è supportato solo per gli intervalli IP esterni alla subnet locale del dispositivo dell'utente finale.
  • Al momento, il traffico di accesso privato può essere acquisito solo con il client Di accesso sicuro globale. Non è possibile assegnare le reti remote al profilo di inoltro del traffico di accesso privato.

Passaggi di livello elevato

L'accesso per app viene configurato creando una nuova app Di accesso sicuro globale. Si crea l'app, si seleziona un gruppo di connettori e si aggiungono segmenti di accesso alla rete. Queste impostazioni costituiscono la singola app a cui è possibile assegnare utenti e gruppi.

Per configurare l'accesso per app, è necessario disporre di un gruppo di connettori con almeno un connettore proxy applicazione Microsoft Entra attivo. Questo gruppo di connettori gestisce il traffico verso questa nuova applicazione. Con i connettori è possibile isolare le app per rete e connettore.

Per riepilogare, il processo generale è il seguente:

  1. Creare un gruppo di connettori con almeno un connettore di rete privata attivo.

    • Se si dispone già di un gruppo di connettori, assicurarsi di essere nella versione più recente.

  2. Creare un'app Di accesso sicuro globale.

  3. Assegnare utenti e gruppi all'app.

  4. Configurare criteri di accesso condizionale.

  5. Abilitare Accesso privato Microsoft Entra.

Creare un gruppo di connettori di rete privata

Per configurare un'app Di accesso sicuro globale, è necessario disporre di un gruppo di connettori con almeno un connettore di rete privata attivo.

Se non è già stato configurato un connettore, vedere Configurare i connettori.

Nota

Se in precedenza è stato installato un connettore, reinstallarlo per ottenere la versione più recente. Durante l'aggiornamento, disinstallare il connettore esistente ed eliminare eventuali cartelle correlate.

La versione minima del connettore necessaria per l'accesso privato è 1.5.3417.0.

Creare un'applicazione di accesso sicuro globale

Per creare una nuova app, specificare un nome, selezionare un gruppo di connettori e quindi aggiungere segmenti di applicazione. I segmenti di app includono i nomi di dominio completi (FQDN) e gli indirizzi IP che si desidera eseguire il tunneling attraverso il servizio. È possibile completare tutti e tre i passaggi contemporaneamente oppure aggiungerli al termine dell'installazione iniziale.

Scegliere il nome e il gruppo di connettori

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra con i ruoli appropriati.

  2. Passare ad Accesso globale sicuro>Applicazioni>Applicazioni aziendali.

  3. Selezionare Nuova applicazione.

    Screenshot del pulsante App aziendali e Aggiungi nuova applicazione.

  4. Immetti il nome per l'app.

  5. Selezionare un gruppo di connettori dal menu a discesa.

    Importante

    Per creare un'applicazione, è necessario disporre di almeno un connettore attivo. Per altre informazioni sui connettori, vedere Informazioni sul connettore di rete privata Microsoft Entra.

  6. Selezionare il pulsante Salva nella parte inferiore della pagina per creare l'app senza aggiungere risorse private.

Aggiungere un segmento di applicazione

Il processo Aggiungi segmento di applicazione consente di definire i nomi di dominio completi e gli indirizzi IP da includere nel traffico per l'app Accesso sicuro globale. È possibile aggiungere siti quando si crea l'app e tornare ad aggiungerli o modificarli in un secondo momento.

È possibile aggiungere nomi di dominio completi (FQDN), indirizzi IP e intervalli di indirizzi IP. All'interno di ogni segmento di applicazione è possibile aggiungere più porte e intervalli di porte.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Passare ad Accesso globale sicuro>Applicazioni>Applicazioni aziendali.

  3. Selezionare Nuova applicazione.

  4. Selezionare Aggiungi segmento di applicazione.

  5. Nel pannello Crea segmento di applicazione che viene mostrato, selezionare un Tipo di destinazione.

  6. Immettere i dettagli appropriati per il tipo di destinazione selezionato. I successivi campi cambieranno in base alla selezione.

    • Indirizzo IP:
      • Indirizzo Internet Protocol versione 4 (IPv4), come ad esempio 192.168.2.1, che identifica un dispositivo in rete.
      • Specificare le porte da includere.
    • Nome di dominio completo (inclusi i nomi FQDN con caratteri jolly):
      • Nome di dominio che specifica la posizione esatta di un computer o di un host nel DNS (Domain Name System).
      • Specificare le porte da includere.
      • NetBIOS non è supportato. Ad esempio, usare contoso.local/app1 anziché contoso/app1.
    • Intervallo di indirizzi IP (CIDR):
      • CiDR (Classless Inter-Domain Routing) rappresenta un intervallo di indirizzi IP in cui un indirizzo IP è seguito da un suffisso che indica il numero di bit di rete nella subnet mask.
      • Ad esempio, 192.168.2.0/24 indica che i primi 24 bit dell'indirizzo IP rappresentano l'indirizzo di rete, mentre gli altri 8 bit rappresentano l'indirizzo host.
      • Specificare l'indirizzo iniziale, la maschera di rete e le porte.
    • Intervallo di indirizzi IP (da IP a IP):
      • Intervallo di indirizzi IP dall'IP iniziale (ad esempio 192.168.2.1) all'IP finale (ad esempio 192.168.2.10).
      • Specificare l'inizio, la fine e le porte dell'indirizzo IP.

  7. Immettere le porte e selezionare il pulsante Applica.

    • Separare le diverse porte con una virgola.
    • Specificare gli intervalli di porte con un trattino.
    • Gli spazi tra i valori vengono rimossi quando si applicano le modifiche.
    • Ad esempio: 400-500, 80, 443.

    Screenshot del pannello Crea segmento di app con più porte aggiunte.

    La tabella seguente indica le porte usate più di frequente e i protocolli di rete associati:

    Porta Protocollo
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)

  8. Seleziona Salva.

Nota

È possibile aggiungere fino a 500 segmenti di applicazioni all'app.

Non sovrapporre FQDN, indirizzi IP e intervalli IP tra l'app Accesso rapido e le app di Accesso privato.

Assegnare utenti e gruppi

È necessario concedere l'accesso all'app creata assegnando utenti e/o gruppi all'app. Per altre informazioni, vedere Assegnazione di utenti e gruppi a un'applicazione.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
  2. Passare ad Accesso globale sicuro>Applicazioni>Applicazioni aziendali.
  3. Cercare e selezionare l’applicazione.
  4. Selezionare Utenti e gruppi dal menu laterale.
  5. Aggiungere utenti e gruppi in base alle esigenze.

Nota

Gli utenti devono essere assegnati direttamente all'app o al gruppo assegnato all'app. I gruppi annidati non sono supportati.

Aggiornare i segmenti dell'applicazione

È possibile aggiungere o aggiornare gli FQDN e gli indirizzi IP inclusi nell'app in qualsiasi momento.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
  2. Passare ad Accesso globale sicuro>Applicazioni>Applicazioni aziendali.
  3. Cercare e selezionare l’applicazione.
  4. Selezionare Proprietà di accesso alla rete dal menu laterale.
    • Per aggiungere un nuovo FQDN o un nuovo indirizzo IP, selezionare Aggiungi segmento di applicazione.
    • Per modificare un'app esistente, selezionarla dalla colonna Tipo di destinazione.

Abilitare o disabilitare l'accesso con il client di accesso sicuro globale

È possibile abilitare o disabilitare l'accesso all'app Accesso sicuro globale usando il client di accesso sicuro globale. Questa opzione è selezionata per impostazione predefinita, ma può essere disabilitata, quindi i nomi di dominio completo e gli indirizzi IP inclusi nei segmenti dell'app non vengono sottoposti a tunneling attraverso il servizio.

Screenshot della casella di controllo Abilita accesso.

Assegnare criteri di accesso condizionale

I criteri di accesso condizionale per l'accesso per app vengono configurati a livello di applicazione per ogni app. I criteri di Accesso condizionale possono essere creati e applicati all'applicazione da due posizioni:

  • Passare a Accesso globale sicuro>Applicazioni>Applicazioni aziendali. Selezionare un'applicazione e quindi selezionare Accesso condizionale dal menu laterale.
  • Passare a Protezione>Accesso condizionale>Criteri. Selezionare +Crea nuovo criterio.

Per altre informazioni, vedere Applicare criteri di accesso condizionale alle app di Accesso privato.

Abilitare Accesso privato Microsoft Entra

Dopo aver configurato l'app, le risorse private aggiunte, gli utenti assegnati all'app, è possibile abilitare il profilo di inoltro del traffico di accesso privato. È possibile abilitare il profilo prima di configurare un'app Di accesso sicuro globale, ma senza l'app e il profilo configurati, non è previsto alcun traffico da inoltrare.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
  2. Passare a Accesso globale sicuro>Connessione>Inoltro del traffico.
  3. Selezionare l'interruttore per Profilo di accesso privato.

Questo diagramma illustra come funziona Accesso privato Microsoft Entra quando si tenta di usare Remote Desktop Protocol per connettersi a un server in una rete privata.

Diagramma di Accesso privato Microsoft Entra uso di Remote Desktop Protocol.

Procedi Description
1 L'utente avvia una sessione RDP a un FQDN che esegue il mapping al server di destinazione. Il client GSA intercetta il traffico e lo tunnela verso SSE Edge.
2 SSE Edge valuta i criteri archiviati in Microsoft Entra ID, ad esempio se l'utente viene assegnato all'applicazione e ai criteri di accesso condizionale.
3 Dopo che l'utente è stato autorizzato, Microsoft Entra ID rilascia un token per l'applicazione Accesso privato.
4 Il traffico viene rilasciato per continuare con il servizio Accesso privato insieme al token di accesso dell'applicazione.
5 Il servizio Accesso privato convalida il token di accesso e la connessione viene negoziata al servizio back-end accesso privato.
6 La connessione viene negoziata al connettore di rete privata.
7 Il connettore di rete privata esegue una query DNS per identificare l'indirizzo IP del server di destinazione.
8 Il servizio DNS nella rete privata invia la risposta.
9 Il connettore di rete privata inoltra il traffico al server di destinazione. La sessione RDP viene negoziata (inclusa l'autenticazione RDP) e viene quindi stabilita.

Passaggi successivi

Il passaggio successivo per iniziare a usare Accesso privato Microsoft Entra consiste nell’abilitare il profilo di inoltro del traffico di Accesso privato.

Per altre informazioni sull’Accesso privato, vedere gli articoli seguenti: