Delen via

Toepassingsdetectie (preview) voor globale beveiligde toegang

  • Artikel

Belangrijk

Toepassingsdetectie is momenteel beschikbaar in PREVIEW. Deze informatie heeft betrekking op een prereleaseproduct dat aanzienlijk kan worden gewijzigd voordat het wordt vrijgegeven. Microsoft geeft geen garanties, uitgedrukt of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Met toepassingsdetectie kunnen beheerders uitgebreide inzicht krijgen in het toepassingsgebruik binnen hun bedrijfsnetwerk. Door te identificeren welke toepassingen worden geopend en door wie, kunnen beheerders privétoepassingen maken met nauwkeurige segmentatie en minimale toegangsrechten, waardoor onnodige toegang wordt geminimaliseerd.

Met Snelle toegang kunt u snel onboarden naar Privétoegang door brede IP-bereiken en FQDN's met jokertekens te publiceren, net als bij traditionele VPN-oplossingen. U kunt vervolgens overstappen van Snelle toegang tot publicatie per toepassing voor betere controle en granulariteit voor elke toepassing. U kunt bijvoorbeeld een beleid voor voorwaardelijke toegang maken en gebruikerstoewijzingen per toepassing instellen.

In dit artikel wordt uitgelegd hoe u toepassingsdetectie gebruikt om te detecteren welke toepassingen gebruikers openen (via Snelle toegang) en afzonderlijke privétoepassingen maken.

Voorwaarden

Toepassingen detecteren

Een lijst weergeven van alle toepassingssegmenten in Snelle toegang waartoe gebruikers toegang hebben via de Global Secure Access-client in de afgelopen 30 dagen:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.
  2. Blader naar globale beveiligde toegang>toepassingen>toepassingsdetectie. Schermopname van het scherm Voor toepassingsdetectie.

De toepassingsdetectie weergave sorteert standaard de toepassingssegmenten in aflopende volgorde op basis van het aantal gebruikers. Met deze standaardsorteerdvolgorde worden de meest gebruikte toepassingssegmenten naar het begin van de lijst verplaatst, zodat ze beter zichtbaar zijn voor de beheerder.

De beheerder kan het tijdsbereik aanpassen, andere filters toevoegen en de toepassingssegmenten sorteren op basis van elk van de kolommen. De beheerder kan ook filteren op gebruiker om de lijst met toepassingssegmenten weer te geven die door een specifieke gebruiker worden geopend. In het veld Search kan de beheerder filteren op FQDN (Fully Qualified Domain Name), IP-adres en poortadres.

De volgende kolommen zijn beschikbaar voor elk toepassingssegment:

  • doel-FQDN-: de FQDN van het toepassingssegment.
  • doel-IP-: het IP-adres van het toepassingssegment.
  • Transportprotocol: het transportprotocol van het toepassingssegment. Private Access ondersteunt momenteel Transmission Control Protocol (TCP) en User Datagram Protocol (UDP).
  • doelpoort: de poort van het toepassingssegment.
  • gebruikers: het aantal gebruikers dat toegang heeft tot het toepassingssegment.
  • Transacties: het aantal transacties (verbindingen) met het toepassingssegment.
  • Apparaten: het aantal apparaten dat is gebruikt voor toegang tot het toepassingssegment.
  • verzonden bytes: het totale aantal bytes aan gegevens dat het gebruikersapparaat naar het toepassingssegment heeft verzonden.
  • Ontvangen bytes: het totale aantal bytes dat het apparaat van de gebruiker heeft ontvangen van het toepassingssegment aan gegevens.
  • laatste toegang: de laatste keer in het tijdsbereik dat het toepassingssegment is geopend.
  • Eerste toegang: de eerste keer in het tijdsbereik waartoe het toepassingssegment toegang heeft.

Een nieuwe toepassing maken

Gebruik toepassingsdetectie om nieuwe Microsoft Entra ID-toepassingen te maken op basis van de gedetecteerde toepassingssegmenten van de hoofdtabel. Een toepassingssegment toevoegen aan een nieuwe toepassing:

  1. Kies in de lijst met toepassingsdetectie een of meer toepassingssegmenten die overeenkomen met een toepassing die u wilt maken. Schermopname van de lijst met toepassingssegmenten met twee segmenten geselecteerd.
    1. Vaak maakt één toepassing gebruik van één toepassingssegment. Bijvoorbeeld:
      • Een bestandsserver, zoals: filesrv.contoso.com, TCP, 445.
      • Een portal, zoals: internalportal.contoso.com, TCP, 443.
    2. Soms gebruikt één toepassing echter meerdere poorten, protocollen of meerdere servers (FQDN's/IP's). In dit geval kunt u verschillende toepassingssegmenten kiezen en zelfs handmatig anderen toevoegen. Bijvoorbeeld:
      • ADDS-services publiceren op een specifieke AD-site: dc1.contoso.com en dc2.contoso.com, TCP, 88, 135, 137, 138, 389, 445, 464, 636, 3268, 3269 en een vaste hoge poort voor Netlogon dc1.contoso.com en dc2.contoso.com, UDP, 88, 123, 389, 464.
    3. Zie Een firewall configureren voor Active Directory-domeinen en vertrouwensrelatiesvoor een uitgebreide lijst met ADDS-poorten.
  2. Selecteer Toevoegen aan nieuwe toepassing. Het scherm Global Secure Access-toepassing maken wordt geopend, met daarin de geselecteerde toepassingssegmenten.
    1. Geef de toepassing een naam en selecteer de bijbehorende connectorgroep.
    2. U kunt ook toepassingssegmenten handmatig toevoegen of verwijderen.
    3. Als u uw wijzigingen wilt toepassen, selecteert u Opslaan. Schermopname van het scherm Globale beveiligde toegang maken met het veld Naam, het veld Connectorgroep en de knop Opslaan gemarkeerd.
  3. Schakel toegang in voor de juiste gebruikers door de gebruikers en groepen die zijn toegewezen aan de nieuwe toepassing aan te passen.
    1. U moet de toewijzingen afstemmen nadat de toepassing is gemaakt. Op deze manier bevat de lijst alleen groepen gebruikers die toegang nodig hebben tot de nieuwe toepassing, volgens het principe van minimale bevoegdheden.
    2. Voor bedrijfstoepassingen:
      1. Blader naar globale beveiligde toegang>toepassingen>Bedrijfstoepassingen>gebruikers en groepen.
      2. Selecteer de toepassing die u hebt gemaakt.
      3. Wijzig indien nodig de gebruikers- en groepstoewijzingen.

Belangrijk

Global Secure Access geeft prioriteit aan verkeer voor individueel gedefinieerde toepassingen die hoger zijn dan Snelle toegang. Dit betekent dat wanneer u een toepassingssegment van Snelle toegang naar een specifieke global Secure Access-app verplaatst, al het verkeer dat naar dat toepassingssegment wordt gerouteerd volgens uw toepassingsconfiguratie. Er wordt geen verkeer naar de nieuwe toepassing gerouteerd via Snelle toegang, ook al kan het toepassingssegment zich blijven voordoen binnen de bereiken die zijn gedefinieerd door Snelle toegang. Als u serviceonderbreking wilt voorkomen, nemen nieuwe toepassingen die u maakt via toepassingsdetectie alle toegewezen gebruikers en groepen over van Snelle toegang (op het moment van het maken). Nadat de nieuwe toepassing is gevalideerd, moet u de machtigingen van de toepassing aanpassen aan alleen gebruikers die verbinding moeten maken met de toepassingssegmenten die erin zijn gedefinieerd.

  1. (Optioneel) Voor extra beveiliging kunt u beleid voor voorwaardelijke toegang instellen op basis van het beveiligingsbeleid van uw bedrijf. U wilt bijvoorbeeld meervoudige verificatie (MFA) en apparaatcompatibiliteit vereisen wanneer gebruikers toegang hebben tot een kritieke toepassing.

Notitie

Toepassingssegmenten blijven behouden in de hoofdtabel voor toepassingsdetectie, zelfs nadat u een toepassing hebt gemaakt, totdat een gebruiker zich aanmeldt bij de nieuwe toepassing en toegang heeft tot de resource. In de toekomst wordt de hoofdtabel voor toepassingsdetectie bijgewerkt, ongeacht de interactie van de gebruiker.

Toevoegen aan een bestaande toepassing

U kunt toepassingsdetectie gebruiken om toepassingssegmenten toe te voegen aan een bestaande privétoepassing. Een toepassingssegment toevoegen aan een bestaande toepassing:

  1. Kies in de lijst met toepassingsdetectie een of meer toepassingssegmenten.
  2. Selecteer Toevoegen aan een bestaande toepassing.
  3. Kies de bestaande privétoepassing waaraan u de segmenten wilt toevoegen. Het scherm Global Secure Access-toepassing bewerken wordt geopend, met de eigenschappen van de bestaande toepassing, de geselecteerde toepassingssegmenten (met status In behandeling) en eventuele eerder geconfigureerde toepassingssegmenten (met status Geslaagd).
  4. Controleer de configuratie en pas de name, connectorgroepen toepassingssegmenten aan en breng eventuele wijzigingen aan.
  5. Als u uw wijzigingen wilt toepassen, selecteert u Opslaan. Schermopname van het scherm Global Secure Access-toepassing bewerken met de kolom Status en de knop Opslaan gemarkeerd.

De details van een toepassingssegment weergeven

Voordat u besluit een privétoepassing te maken, wilt u mogelijk andere details van het toepassingssegment bekijken.

  1. Selecteer in de tabel Toepassingsdetectie de doel-FQDN- of doel-IP- voor het toepassingssegment dat u wilt verkennen.
  2. Het tabblad Gebruik wordt standaard ingesteld op een grafiek van Gebruikers door de tijd heen. U kunt de grafiek instellen om de distributie van Transacties, Apparaten, Verzonden Bytes, en Ontvangen Bytes over de tijd weer te geven. U kunt ook het tijdsbereik wijzigen door de instelling Tijdsperiode aan te passen. Schermopname van het tabblad Gebruik met de weergaveopties voor de Y-as gemarkeerd.
  3. Het tabblad Gebruikers toont de lijst met gebruikers die het geselecteerde toepassingssegment in de afgelopen 30 dagen hebben geopend.
    Schermopname van het tabblad Gebruikers met de lijst met gebruikers.

Belangrijk

Gebruik de lijst met gebruikers om de beslissingen te geven die u neemt met betrekking tot de gebruikers en groepen die u wilt toewijzen aan de Entra-toepassing zodra u het geselecteerde toepassingssegment onboardt.

Verwante inhoud