Come configurare l'accesso rapido per l'Accesso globale sicuro

Con l'Accesso globale sicuro, è possibile definire specifici nomi di dominio completi (FQDN) o indirizzi IP delle risorse private da includere nel traffico per l’Accesso privato Microsoft Entra. I dipendenti dell'organizzazione possono quindi accedere alle app e ai siti specificati. Questo articolo descrive come configurare l'accesso rapido per l’Accesso privato Microsoft Entra.

Prerequisiti

Per configurare l'Accesso rapido, è necessario disporre di:

• I ruoli Amministratore Accesso globale sicuro e Amministratore applicazione in Microsoft Entra ID.
• Il prodotto richiede licenze. Per informazioni dettagliate, vedi la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.

Per gestire i gruppi di connettori di rete privata di Microsoft Entra, necessari per l'Accesso rapido, è necessario disporre di:

• Un ruolo Amministratore applicazione in Microsoft Entra ID
• Licenze Microsoft Entra ID P1 o P2

Limitazioni note

Questa funzionalità presenta una o più limitazioni note. Per informazioni più dettagliate sui problemi noti e sulle limitazioni di questa funzionalità, vedere Limitazioni note per l'accesso sicuro globale.

Passaggi di livello elevato

La configurazione delle impostazioni di accesso rapido è uno dei passaggi fondamentali per l'uso dell’Accesso privato Microsoft Entra. Quando si configura l'Accesso rapido per la prima volta, Accesso privato crea una nuova applicazione aziendale. Le proprietà di questa nuova app vengono configurate automaticamente per l'uso con Accesso privato.

Per configurare l'Accesso rapido, è necessario avere un gruppo di connettori con almeno un connettore attivo proxy di applicazione Microsoft Entra. Il gruppo di connettori gestisce il traffico verso questa nuova applicazione. Dopo aver configurato l'Accesso rapido e un gruppo di connettori di rete privata, è necessario concedere l'accesso all'app.

Per riepilogare, il processo generale è il seguente:

1. Creare un gruppo di connettori con almeno un connettore di rete privata attivo.
2. Configurare l'Accesso rapido.
3. Assegnare utenti e gruppi all'app.
4. Configurare criteri di accesso condizionale.
5. Abilitare il profilo di inoltro del traffico di Accesso privato.

Creare un gruppo di connettori di rete privata

Per configurare Accesso rapido, è necessario disporre di un gruppo di connettori con almeno un connettore di rete privata attivo.

Se non è già stato configurato un gruppo di connettori, vedere Configurare i connettori per l'accesso rapido.

Nota

Se in precedenza è stato installato un connettore, reinstallarlo per ottenere la versione più recente. Durante l'aggiornamento, disinstallare il connettore esistente ed eliminare eventuali cartelle correlate.

La versione minima del connettore necessaria per l'accesso privato è 1.5.3417.0.

Configurare l'Accesso rapido

Nella pagina Accesso rapido, specificare un nome per l'app Accesso rapido, selezionare un gruppo di connettori e aggiungere segmenti di applicazione, che includono FQDN e indirizzi IP. È possibile completare tutti e tre i passaggi contemporaneamente oppure aggiungere i segmenti dell'applicazione al termine dell'installazione iniziale.

Nome e gruppo di connettori

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra con i ruoli appropriati.
2. Passa ad Accesso globale sicuro>Applicazioni>Accesso rapido.
3. Immetti un nome. È consigliabile usare il nome Accesso rapido.
4. Selezionare un gruppo di connettori dal menu a discesa.
5. Seleziona Salva per creare l'app "Accesso rapido" senza FQDN, indirizzi IP e suffissi DNS privati.

Aggiungere un segmento di applicazione Accesso rapido

È possibile definire gli FQDN e gli indirizzi IP da includere quando si aggiunge il segmento di applicazione Accesso rapido. Queste risorse vengono aggiunte quando si crea o si aggiorna l'applicazione Accesso rapido.

È possibile aggiungere nomi di dominio completi (FQDN), indirizzi IP e intervalli di indirizzi IP. All'interno di ogni segmento di applicazione è possibile aggiungere più porte e intervalli di porte.

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

2. Passa ad Accesso globale sicuro>Applicazioni>Accesso rapido.

3. Selezionare Aggiungi segmento di applicazione Accesso rapido.

4. Nel pannello Crea segmento di applicazione che viene mostrato, selezionare un Tipo di destinazione.

5. Immettere i dettagli appropriati per il tipo di destinazione selezionato. I successivi campi cambieranno in base alla selezione.

   • Indirizzo IP:
     • Indirizzo Internet Protocol versione 4 (IPv4), come ad esempio 192.168.2.1, che identifica un dispositivo in rete.
     • Specificare le porte da includere.
   • Nome di dominio completo (inclusi i nomi FQDN con caratteri jolly):
     • Nome di dominio che specifica la posizione esatta di un computer o di un host nel DNS (Domain Name System).
     • Specificare le porte da includere.
     • NetBIOS non è supportato. Usare, ad esempio, contoso.local/app1 invece di contoso/app1.
   • Intervallo di indirizzi IP (CIDR):
     • CIDR (Classless Inter-Domain Routing) rappresenta un intervallo di indirizzi IP. Un indirizzo IP è seguito da un suffisso che indica il numero di bit di rete nella subnet mask.
     • Ad esempio, 192.168.2.0/24 indica che i primi 24 bit dell'indirizzo IP rappresentano l'indirizzo di rete, mentre gli altri 8 bit rappresentano l'indirizzo host.
     • Specificare l'indirizzo iniziale, la maschera di rete e le porte.
   • Intervallo di indirizzi IP (da IP a IP):
     • Intervallo di indirizzi IP dall'IP iniziale (ad esempio 192.168.2.1) all'IP finale (ad esempio 192.168.2.10).
     • Specificare l'inizio, la fine e le porte dell'indirizzo IP.

6. Immetti le porte e il protocollo e seleziona Applica.

   • Separare le diverse porte con una virgola.
   • Specificare gli intervalli di porte con un trattino.
   • Gli spazi tra i valori vengono rimossi quando si applicano le modifiche.
   • Ad esempio: 400-500, 80, 443.

   

   La tabella seguente indica le porte usate più di frequente e i protocolli di rete associati:

   Porta	Protocollo
   22	Secure Shell (SSH)
   80	Hypertext Transfer Protocol (HTTP)
   443	Hypertext Transfer Protocol Secure (HTTPS)
   445	Condivisione di file Server Message Block (SMB)
   3389	Remote Desktop Protocol (RDP)

7. Al termine della selezione, seleziona Salva.

Nota

È possibile aggiungere fino a 500 segmenti di applicazioni all'app Accesso rapido.

Non sovrapporre FQDN, indirizzi IP e intervalli IP tra l'app Accesso rapido e le app di Accesso privato.

Aggiungere suffissi DNS privati

Il supporto DNS privato per Accesso privato di Microsoft Entra consente di eseguire query sui server DNS interni per risolvere gli indirizzi IP per i nomi di dominio interni. Esaminiamo un esempio. Si supponga di avere un intervallo IP interno da 10.8.0.0 a 10.8.255.255. È possibile configurare questo intervallo nella definizione di applicazione Accesso rapido. Gli utenti devono accedere a un'applicazione Web che risponde all'IP 10.8.0.5 quando digitano https://benefits nel Web browser. Ma non si intende configurare un FQDN per l'applicazione. Usando il DNS privato, viene configurato un suffisso DNS corrispondente, in modo che il client Accesso globale si sappia come instradare correttamente la richiesta.

Inoltre, è possibile fornire un'esperienza di accesso Single Sign-On (SSO) per le risorse Kerberos configurando l'autenticazione Kerberos ai controller di dominio usando il DNS privato. Per ulteriori informazioni sulla creazione di un'esperienza SSO, consultare Usare Kerberos per l'accesso Single Sign-On (SSO) alle risorse con Accesso privato di Microsoft Entra.

Aggiungere un suffisso DNS da usare per il DNS privato.

1. Selezionare la scheda DNS privato.
2. Selezionare la casella di controllo per abilitare il DNS privato.
3. Selezionare Aggiungi suffisso DNS.
4. Immettere il suffisso DNS e quindi selezionare Aggiungi.

Assegnare utenti e gruppi

Quando si configura l'Accesso rapido, viene creata una nuova app aziendale per conto dell'utente. È necessario concedere l'accesso all'app di accesso rapido creata assegnando utenti e/o gruppi all'app.

È possibile visualizzare le proprietà da Accesso rapido oppure passare ad Applicazioni aziendali e cercare l'app Accesso rapido.

Suggerimento

Per trovare un'app nella pagina Applicazioni aziendali, cancellare tutti i filtri in modo da non filtrare l'app che si sta cercando.

1. Selezionare Modifica impostazioni applicazione da Accesso rapido.

   

2. Selezionare Utenti e gruppi dal menu laterale.

3. Aggiungere utenti e gruppi in base alle esigenze.

   • Per altre informazioni, vedere Assegnazione di utenti e gruppi a un'applicazione.

Nota

Gli utenti devono essere assegnati direttamente all'app o al gruppo assegnato all'app. I gruppi annidati non sono supportati.

Collegamento dei criteri di Accesso condizionale

I criteri di Accesso condizionale possono essere applicati all'app Accesso rapido. L'applicazione dei criteri di Accesso condizionale offre altre opzioni per la gestione dell'accesso ad applicazioni, siti e servizi.

La creazione di un criterio di Accesso condizionale è descritta in dettaglio in Come creare criteri di Accesso condizionale per le app di Accesso privato.

Abilitare Accesso privato Microsoft Entra

Dopo aver configurato l'app Accesso rapido, le risorse private aggiunte, gli utenti assegnati all'app, è possibile abilitare il profilo di accesso privato dall'area Inoltro del traffico dell'Accesso globale sicuro. È possibile abilitare il profilo prima di configurare Accesso rapido, ma se non si configurano l’app e il profilo, non ci sarà traffico da inoltrare. Per informazioni su come abilitare il profilo di inoltro del traffico di Accesso privato, consultare Come gestire il profilo di inoltro del traffico di Accesso privato.

Passaggi successivi

• Informazioni sui profili di traffico
• Configurare l'accesso per ogni app