Udostępnij za pośrednictwem

Scenariusz wdrażania firmy Microsoft Entra — modernizowanie dostępu zdalnego do aplikacji lokalnych przy użyciu uwierzytelniania wieloskładnikowego na aplikację

  • Artykuł

Scenariusze wdrażania firmy Microsoft Entra zawierają szczegółowe wskazówki dotyczące łączenia i testowania tych produktów Microsoft Entra Suite:

W tych przewodnikach opisano scenariusze pokazujące wartość pakietu Microsoft Entra Suite i sposób współpracy jej możliwości.

Scenariusz: Modernizacja dostępu zdalnego przy użyciu szybkiego dostępu

W tej sekcji opisano sposób konfigurowania produktów Microsoft Entra Suite na potrzeby scenariusza, w którym fikcyjna organizacja Contoso uaktualnia istniejące rozwiązanie sieci VPN. Nowe, skalowalne rozwiązanie oparte na chmurze ułatwia przejście do usługi Secure Access Service Edge (SASE). Aby osiągnąć ten cel, wdrażają Dostęp do Internetu Microsoft Entra, Dostęp Prywatny Microsoft Entra i Ochrona tożsamości Microsoft Entra.

Dostęp Prywatny Microsoft Entra zapewnia użytkownikom (zarówno w biurze, jak i pracy zdalnej) bezpieczny dostęp do prywatnych zasobów firmy. Dostęp Prywatny Microsoft Entra opiera się na serwerze proxy aplikacji Microsoft Entra w celu rozszerzenia dostępu do dowolnego zasobu prywatnego, niezależnie od portu TCP/IP i protokołu.

Użytkownicy zdalni mogą łączyć się z aplikacjami prywatnymi w środowiskach hybrydowych i wielochmurowych, sieciach prywatnych i centrach danych z dowolnego urządzenia i sieci bez konieczności używania rozwiązania sieci VPN. Usługa oferuje dostęp adaptacyjny dla aplikacji oparty na zasadach dostępu warunkowego (CA) w celu zapewnienia bardziej szczegółowego poziomu zabezpieczeń niż tradycyjne rozwiązanie sieci VPN.

Ochrona tożsamości Microsoft Entra oparte na chmurze zarządzanie tożsamościami i dostępem (IAM) pomaga chronić tożsamości użytkowników i poświadczenia przed naruszeniem zabezpieczeń.

Te ogólne kroki dla rozwiązania Contoso można replikować zgodnie z opisem w tym scenariuszu.

  1. Zarejestruj się w usłudze Microsoft Entra Suite. Włącz i skonfiguruj usługę Microsoft Entra Internet i prywatny dostęp do żądanych ustawień sieci i zabezpieczeń.
  2. Wdróż klienta globalnego bezpiecznego dostępu firmy Microsoft na urządzeniach użytkowników i łączników Dostęp Prywatny Microsoft Entra w sieciach prywatnych. Dołącz wielochmurowe sieci wirtualne internetowe jako usługa (IaaS) do uzyskiwania dostępu do aplikacji i zasobów w sieciach firmy Contoso.
  3. Skonfiguruj aplikacje prywatne jako aplikacje globalnego bezpiecznego dostępu. Przypisz odpowiednich użytkowników i grupy. Skonfiguruj zasady dostępu warunkowego dla tych aplikacji i użytkowników. Dzięki tej konfiguracji można uzyskać minimalny dostęp, zezwalając na dostęp tylko do użytkowników i grup, które wymagają dostępu.
  4. Włącz Ochrona tożsamości Microsoft Entra, aby umożliwić administratorom badanie i korygowanie zagrożeń w celu zapewnienia bezpieczeństwa i bezpieczeństwa organizacji. Zagrożenia mogą być przekazywane do narzędzi, takich jak dostęp warunkowy, aby podejmować decyzje dotyczące dostępu i przekazywane z powrotem do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) do badania.
  5. Użyj rozszerzonych dzienników i analiz z Dostęp do Internetu Microsoft Entra, Dostęp Prywatny Microsoft Entra i Ochrona tożsamości Microsoft Entra, aby śledzić i oceniać stan sieci i zabezpieczeń. Ta konfiguracja ułatwia zespołowi usługi Security Operations Center (SOC) szybkie wykrywanie i badanie zagrożeń w celu zapobiegania eskalacji.

Rozwiązania microsoft Entra Suite oferują następujące korzyści w porównaniu z siecią VPN:

  • Łatwiejsze i skonsolidowane zarządzanie
  • Niższe koszty sieci VPN
  • Lepsze zabezpieczenia i widoczność
  • Sprawniejsze środowisko użytkownika i wydajność
  • Gotowość do sygnatury dostępu współdzielonego

Wymagania dotyczące dostępu zdalnego z szybkim dostępem

W tej sekcji zdefiniowano wymagania dotyczące rozwiązania scenariusza.

Uprawnienia dostępu zdalnego z szybkim dostępem

Administratorzy, którzy wchodzą w interakcje z funkcjami globalnego bezpiecznego dostępu, wymagają ról administratora globalnego bezpiecznego dostępu i administratora aplikacji.

Konfiguracja zasad dostępu warunkowego wymaga roli administratora dostępu warunkowego lub administratora zabezpieczeń. Niektóre funkcje mogą wymagać większej liczby ról.

Wymagania wstępne dotyczące dostępu zdalnego z szybkim dostępem

Aby pomyślnie wdrożyć i przetestować ten scenariusz, skonfiguruj następujące wymagania wstępne:

  1. Dzierżawa firmy Microsoft Entra z licencją Microsoft Entra ID P1. Skonfiguruj identyfikator entra firmy Microsoft, aby przetestować Ochrona tożsamości Microsoft Entra. Kup licencje lub uzyskaj licencje próbne.
    • Jeden użytkownik z co najmniej rolami administratora globalnego bezpiecznego dostępu i administratorem aplikacji w celu skonfigurowania przeglądarki Microsoft Security Service Edge
    • Co najmniej jeden użytkownik testowy klienta w dzierżawie
  2. Jedno urządzenie klienckie z systemem Windows z tą konfiguracją:
    • Wersja 64-bitowa systemu Windows 10/11
    • Przyłączone do firmy Microsoft lub dołączone hybrydy
    • Połączenie z Internetem i brak dostępu do sieci firmowej ani sieci VPN
  3. Pobierz i zainstaluj klienta globalnego bezpiecznego dostępu na urządzeniu klienckim. W artykule Global Secure Access Client for Windows (Globalny klient bezpiecznego dostępu dla systemu Windows ) opisano wymagania wstępne i instalację.
  4. Aby przetestować Dostęp Prywatny Microsoft Entra, skonfiguruj serwer z systemem Windows do działania jako serwer zasobów:
    • Windows Server 2012 R2 lub nowszy
    • Udział plików
  5. Aby przetestować Dostęp Prywatny Microsoft Entra, skonfiguruj serwer z systemem Windows do działania jako serwer łącznika:
  6. Ustanów łączność między serwerem łącznika i serwerem aplikacji. Potwierdź dostęp do testowej aplikacji na serwerze aplikacji (na przykład udany dostęp do udziału plików).

Na tym diagramie przedstawiono minimalne wymagania dotyczące architektury wdrażania i testowania Dostęp Prywatny Microsoft Entra:

Diagram przedstawia wymagania, które obejmują dzierżawę identyfikatora entra firmy Microsoft z licencją P1.

Konfigurowanie globalnego bezpiecznego dostępu na potrzeby dostępu zdalnego przy użyciu szybkiego dostępu

W tej sekcji aktywujemy globalny bezpieczny dostęp za pośrednictwem centrum administracyjnego firmy Microsoft Entra. Następnie skonfigurujemy początkowe konfiguracje wymagane przez ten scenariusz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
  2. Przejdź do sekcji Global Secure Access Get started>w dzierżawie. Wybierz pozycję Aktywuj , aby włączyć funkcje SSE.
  3. Przejdź do przesyłania dalej ruchu Global Secure Access>Connect>. Przełącz profil dostępu prywatnego. Przekazywanie ruchu umożliwia skonfigurowanie typu ruchu sieciowego do tunelowania za pośrednictwem usług rozwiązania Security Service Edge firmy Microsoft. Konfigurowanie profilów przesyłania dalej ruchu w celu zarządzania typami ruchu.

    • Profil dostępu platformy Microsoft 365 jest przeznaczony dla Dostęp do Internetu Microsoft Entra dla platformy Microsoft 365.

    • Profil dostępu prywatnego jest przeznaczony dla Dostęp Prywatny Microsoft Entra.

    • Profil dostępu do Internetu jest przeznaczony dla Dostęp do Internetu Microsoft Entra. Rozwiązanie Microsoft Security Service Edge przechwytuje ruch tylko na urządzeniach klienckich z instalacją globalnego klienta bezpiecznego dostępu.

      Zrzut ekranu przedstawiający przekazywanie ruchu z włączoną kontrolą profilu dostępu prywatnego.

Instalowanie globalnego klienta bezpiecznego dostępu na potrzeby dostępu zdalnego przy użyciu szybkiego dostępu

Dostęp do Internetu Microsoft Entra dla platformy Microsoft 365 i Dostęp Prywatny Microsoft Entra używać klienta globalnego bezpiecznego dostępu na urządzeniach z systemem Windows. Ten klient uzyskuje i przekazuje ruch sieciowy do rozwiązania Microsoft Security Service Edge. Wykonaj następujące kroki instalacji i konfiguracji:

  1. Upewnij się, że urządzenie z systemem Windows jest przyłączone do firmy Microsoft lub dołączone hybrydo.

  2. Zaloguj się na urządzeniu z systemem Windows przy użyciu roli użytkownika Microsoft Entra z uprawnieniami administratora lokalnego.

  3. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator globalnego bezpiecznego dostępu

  4. Przejdź do strony Pobieranie klienta programu Global Secure Access>Connect>. Wybierz pozycję Pobierz klienta. Ukończ instalację.

    Zrzut ekranu przedstawiający pobieranie klienta z kontrolką Klient pobierania systemu Windows.

  5. Na pasku zadań Okna klient globalnego bezpiecznego dostępu jest wyświetlany jako odłączony. Po kilku sekundach po wyświetleniu monitu o poświadczenia wprowadź poświadczenia użytkownika testowego.

  6. Na pasku zadań Okno umieść kursor na ikonie Globalnego klienta bezpiecznego dostępu i sprawdź stan Połączono .

Konfigurowanie serwera łącznika na potrzeby dostępu zdalnego przy użyciu szybkiego dostępu

Serwer łącznika komunikuje się z rozwiązaniem Security Service Edge firmy Microsoft jako bramą do sieci firmowej. Używa połączeń wychodzących przez 80 i 443 i nie wymaga portów przychodzących. Dowiedz się, jak skonfigurować łączniki dla Dostęp Prywatny Microsoft Entra. Wykonaj następujące kroki konfiguracji:

  1. Na serwerze łącznika zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator globalnego bezpiecznego dostępu.

  2. Przejdź do łączników Global Secure Access>Connect>. Wybierz pozycję Włącz łączniki sieci prywatnej.

    Zrzut ekranu przedstawiający łączniki sieci prywatnej z czerwonym polem z wyróżnioną kontrolką Włącz łączniki sieci prywatnej.

  3. Wybierz pozycję Pobierz usługę łącznika.

  4. Postępuj zgodnie z instrukcjami kreatora instalacji, aby zainstalować usługę łącznika na serwerze łącznika. Po wyświetleniu monitu wprowadź poświadczenia dzierżawy, aby ukończyć instalację.

  5. Serwer łącznika jest instalowany po wyświetleniu go w obszarze Łączniki.

W tym scenariuszu używamy domyślnej grupy łączników z jednym serwerem łącznika. W środowisku produkcyjnym utwórz grupy łączników z wieloma serwerami łączników. Zobacz szczegółowe wskazówki dotyczące publikowania aplikacji w oddzielnych sieciach przy użyciu grup łączników.

Tworzenie grupy zabezpieczeń na potrzeby dostępu zdalnego przy użyciu szybkiego dostępu

W tym scenariuszu używamy grupy zabezpieczeń do przypisywania uprawnień do aplikacji dostępu prywatnego i do docelowych zasad dostępu warunkowego.

  1. W centrum administracyjnym firmy Microsoft Entra utwórz nową grupę zabezpieczeń tylko w chmurze.
  2. Dodaj użytkownika testowego jako członka.

Określanie zasobu prywatnego na potrzeby dostępu zdalnego za pomocą szybkiego dostępu

W tym scenariuszu używamy usług udziałów plików jako przykładowego zasobu. Możesz użyć dowolnej aplikacji prywatnej lub zasobu. Musisz wiedzieć, które porty i protokoły są używane przez aplikację do publikowania jej za pomocą Dostęp Prywatny Microsoft Entra.

Zidentyfikuj serwer z udziałem plików, aby opublikować i zanotować jego adres IP. Usługi udziału plików używają portu 445/TCP.

Publikowanie aplikacji na potrzeby dostępu zdalnego za pomocą szybkiego dostępu

Dostęp Prywatny Microsoft Entra obsługuje aplikacje protokołu TCP (Transmission Control Protocol) przy użyciu dowolnego portu. Aby nawiązać połączenie z serwerem plików (port TCP 445) za pośrednictwem Internetu, wykonaj następujące kroki:

  1. Z poziomu serwera łącznika sprawdź, czy możesz uzyskać dostęp do udziału plików na serwerze plików.

  2. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator globalnego bezpiecznego dostępu

  3. Przejdź do > i nowej aplikacji.

    Zrzut ekranu aplikacji dla przedsiębiorstw przedstawiający kontrolkę Nowa aplikacja.

  4. Wprowadź nazwę (np. FileServer1). Wybierz domyślną grupę łączników. Wybierz pozycję +Dodaj segment aplikacji. Wprowadź adres IP serwera aplikacji i port 441.

    Zrzut ekranu przedstawiający tworzenie globalnej aplikacji bezpiecznego dostępu, tworzenie segmentu aplikacji.

  5. Wybierz pozycję Zastosuj>zapisz. Sprawdź, czy aplikacja znajduje się w aplikacjach dla przedsiębiorstw.

  6. Przejdź do pozycji Aplikacje tożsamości>>przedsiębiorstw. Wybierz nową aplikację.

  7. Wybierz pozycję Użytkownicy i grupy. Dodaj utworzoną wcześniej grupę zabezpieczeń z testowymi użytkownikami, którzy uzyskują dostęp do tego udziału plików z Internetu.

Zabezpieczanie opublikowanej aplikacji na potrzeby dostępu zdalnego przy użyciu szybkiego dostępu

W tej sekcji utworzymy zasady dostępu warunkowego ( CA), które blokują dostęp do nowej aplikacji po podwyższeniu poziomu ryzyka użytkownika.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>zasad dostępu>warunkowego.
  3. Wybierz pozycję Nowe zasady.
  4. Wprowadź nazwę i wybierz użytkowników. Wybierz użytkowników i grupy. Wybierz utworzoną wcześniej grupę zabezpieczeń.
  5. Wybierz pozycję Docelowe zasoby>Aplikacje i utworzoną wcześniej aplikację (np. FileServer1).
  6. Wybierz pozycję Warunki>Ryzyko>tak. Wybierz pozycję Wysoki i Średni poziom ryzyka. Wybierz pozycję Gotowe.
  7. Wybierz pozycję Udziel>blokuj>Wybierz.
  8. Włącz zasady.
  9. Przejrzyj ustawienia.
  10. Wybierz pozycję Utwórz.

Weryfikowanie dostępu zdalnego za pomocą szybkiego dostępu

W tej sekcji zweryfikujemy, że użytkownik może uzyskać dostęp do serwera plików, gdy nie ma ryzyka. Upewnij się, że dostęp jest zablokowany po wykryciu ryzyka.

  1. Zaloguj się do urządzenia, na którym wcześniej zainstalowano klienta globalnego bezpiecznego dostępu.

  2. Spróbuj uzyskać dostęp do serwera plików, uruchamiając polecenie \\\IP_address i sprawdź, czy możesz przeglądać udział plików.

    Zrzut ekranu przedstawiający Eksploratora Windows z połączeniem z udziałem plików.

  3. W razie potrzeby symuluj ryzyko użytkownika, postępując zgodnie z instrukcjami w temacie Symulowanie wykrywania ryzyka w Ochrona tożsamości Microsoft Entra. Może być konieczne wielokrotne wypróbowanie, aby zwiększyć ryzyko użytkownika do średniej lub wysokiej.

  4. Spróbuj uzyskać dostęp do serwera plików, aby upewnić się, że dostęp jest zablokowany. Może być konieczne odczekanie do jednej godziny na wymuszanie bloków.

  5. Sprawdź, czy zasady dostępu warunkowego (utworzone wcześniej przy użyciu dzienników logowania) blokują dostęp. Otwórz dzienniki logowania nieinterakcyjnego z poziomu klienta dostępu do sieci ZTNA — aplikacja prywatna . Wyświetl dzienniki z nazwy aplikacji dostępu prywatnego utworzonej wcześniej jako nazwa zasobu.

Scenariusz: Modernizacja dostępu zdalnego na aplikację

W tej sekcji opisano sposób konfigurowania produktów Microsoft Entra Suite na potrzeby scenariusza, w którym fikcyjna organizacja Contoso przekształca swoją praktykę cyberbezpieczeństwa. Przyjmują zasady zerowego zaufania, które weryfikują jawnie, korzystają z najniższych uprawnień i zakładają naruszenie we wszystkich aplikacjach i zasobach. W procesie odnajdywania zidentyfikowali wiele aplikacji biznesowych, które nie korzystają z nowoczesnego uwierzytelniania i polegają na łączności z siecią firmową (ze swoich oddziałów lub zdalnie z siecią VPN).

Te ogólne kroki dla rozwiązania Contoso można replikować zgodnie z opisem w tym scenariuszu.

  1. Aby jawnie zweryfikować, skonfiguruj prywatny dostęp microsoft Entra ID w celu uzyskania dostępu do sieci firmowej dla poszczególnych aplikacji. Użyj ujednoliconego zestawu mechanizmów kontroli dostępu udostępnianych przez dostęp warunkowy i Ochrona tożsamości Microsoft Entra, aby udzielić dostępu do sieci firmowej na podstawie tożsamości, punktu końcowego i sygnału ryzyka używanego w usłudze Microsoft 365 i innych aplikacjach w chmurze.
  2. Aby wymusić najmniejsze uprawnienia, użyj Zarządzanie tożsamością Microsoft Entra, aby utworzyć pakiety dostępu w celu uwzględnienia dostępu do sieci dla aplikacji wraz z aplikacjami, które tego wymagają. Takie podejście zapewnia pracownikom dostęp do sieci firmowej zgodny z ich funkcjami pracy w całym cyklu życia sprzężenia/mover/urlopu.

W ramach tej transformacji zespoły SecOps osiągają bogatszą i bardziej spójną analizę zabezpieczeń, aby lepiej identyfikować zagrożenia bezpieczeństwa. Są to korzyści wynikające ze wspólnego używania rozwiązań:

  • Zwiększone bezpieczeństwo i widoczność. Wymuszaj szczegółowe i adaptacyjne zasady dostępu na podstawie tożsamości i kontekstu użytkowników i urządzeń, a także poufności i lokalizacji aplikacji oraz danych. Użyj wzbogaconych dzienników i analiz, aby uzyskać wgląd w stan sieci i zabezpieczeń w celu wykrywania zagrożeń i szybszego reagowania na nie.
  • Najmniej uprzywilejowany dostęp do aplikacji lokalnych. Zmniejsz dostęp do sieci firmowej tylko do tego, czego wymagają aplikacje. Przypisywanie i zarządzanie dostępem dopasowanym do funkcji zadania ewoluuje za pośrednictwem cyklu sprzężenia/przenoszenia/opuszczania. Takie podejście zmniejsza ryzyko wektorów ataków ruchu bocznego.
  • Zwiększ produktywność. Cohesively włączyć dostęp do aplikacji i sieci, gdy użytkownicy dołączą do organizacji, aby byli gotowi na jeden dzień. Użytkownicy mają prawidłowy dostęp do informacji, członkostwa w grupach i aplikacji, których potrzebują. Funkcje samoobsługi dla osób przenoszących w organizacji zapewniają odwołanie dostępu, gdy użytkownicy opuszczają organizację.

Wymagania dotyczące dostępu zdalnego na aplikację

W tej sekcji zdefiniowano wymagania dotyczące rozwiązania scenariusza.

Uprawnienia dostępu zdalnego na aplikację

Administratorzy, którzy wchodzą w interakcje z funkcjami globalnego bezpiecznego dostępu, wymagają ról administratora globalnego bezpiecznego dostępu i administratora aplikacji.

Konfiguracja ładu tożsamości wymaga co najmniej roli Administratora ładu tożsamości.

Licencje dostępu zdalnego na aplikację

Aby zaimplementować wszystkie kroki w tym scenariuszu, potrzebujesz licencji Global Secure Access i Zarządzanie tożsamością Microsoft Entra. Możesz kupić licencje lub uzyskać licencje próbne. Aby dowiedzieć się więcej na temat licencjonowania globalnego bezpiecznego dostępu, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp?.

Użytkownicy dostępu zdalnego na aplikację

Aby skonfigurować i przetestować kroki opisane w tym scenariuszu, potrzebujesz następujących użytkowników:

  • Administrator firmy Microsoft Entra z rolami zdefiniowanymi w obszarze Uprawnienia
  • Lokalny administrator usługi Active Directory w celu skonfigurowania synchronizacji w chmurze i dostępu do przykładowego zasobu (serwera plików)
  • Synchronizowany zwykły użytkownik do przeprowadzania testów na urządzeniu klienckim

Wymagania wstępne dotyczące dostępu prywatnego

Aby pomyślnie wdrożyć i przetestować ten scenariusz, skonfiguruj te wymagania wstępne.

  1. Jedno urządzenie klienckie z systemem Windows z tą konfiguracją:
    • Wersja 64-bitowa systemu Windows 10/11
    • Przyłączone do firmy Microsoft lub dołączone hybrydy
    • Połączenie z Internetem i brak dostępu do sieci firmowej ani sieci VPN
  2. Pobierz i zainstaluj globalnego klienta bezpiecznego dostępu na urządzeniu klienckim. W artykule Global Secure Access Client for Windows (Globalny klient bezpiecznego dostępu dla systemu Windows ) opisano wymagania wstępne i instalację.
  3. Aby przetestować Dostęp Prywatny Microsoft Entra, skonfiguruj serwer z systemem Windows do działania jako serwer zasobów:
    • Windows Server 2012 R2 lub nowszy
    • Udział plików
  4. Aby przetestować Dostęp Prywatny Microsoft Entra, skonfiguruj serwer z systemem Windows do działania jako serwer łącznika:
  5. Ustanów łączność między serwerem łącznika a serwerem aplikacji. Upewnij się, że możesz uzyskać dostęp do aplikacji testowej na serwerze aplikacji (na przykład pomyślny dostęp do udziału plików).

Na tym diagramie przedstawiono minimalne wymagania dotyczące architektury wdrażania i testowania Dostęp Prywatny Microsoft Entra:

Diagram przedstawia wymagania, które obejmują dzierżawę identyfikatora entra firmy Microsoft z licencją P1.

Określanie zasobu prywatnego na potrzeby dostępu zdalnego na aplikację

W tym scenariuszu używamy usług udostępniania plików jako przykładowego zasobu. Możesz użyć dowolnej aplikacji prywatnej lub zasobu. Musisz wiedzieć, które porty i protokoły są używane przez aplikację do publikowania jej za pomocą Dostęp Prywatny Microsoft Entra.

Zidentyfikuj serwer z udziałem plików, który chcesz opublikować, i zanotuj jego adres IP. Usługi udziału plików używają portu 445/TCP.

Konfigurowanie globalnego bezpiecznego dostępu na potrzeby dostępu zdalnego dla aplikacji

Aktywuj globalny bezpieczny dostęp za pośrednictwem centrum administracyjnego firmy Microsoft Entra i wprowadź wymagane wstępne konfiguracje dla tego scenariusza.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
  2. Przejdź do sekcji Global Secure Access Get started>w dzierżawie. Wybierz pozycję Aktywuj , aby włączyć funkcje SSE w dzierżawie.
  3. Przejdź do pozycji Global Secure Access Connect Traffic forwarding (Globalne przekazywanie ruchu secure access>Connect).> Przełącz profil dostępu prywatnego. Przekazywanie ruchu umożliwia skonfigurowanie typu ruchu sieciowego do tunelowania za pośrednictwem usług rozwiązania Security Service Edge firmy Microsoft. Konfigurowanie profilów przesyłania dalej ruchu w celu zarządzania typami ruchu.

    • Profil dostępu platformy Microsoft 365 jest przeznaczony dla Dostęp do Internetu Microsoft Entra dla platformy Microsoft 365.

    • Profil dostępu prywatnego jest przeznaczony dla Dostęp Prywatny Microsoft Entra.

    • Profil dostępu do Internetu jest przeznaczony dla Dostęp do Internetu Microsoft Entra. Rozwiązanie Microsoft Security Service Edge przechwytuje ruch tylko na urządzeniach klienckich z instalacją globalnego klienta bezpiecznego dostępu.

      Zrzut ekranu przedstawiający przekazywanie ruchu z włączoną kontrolą profilu dostępu prywatnego.

Instalowanie globalnego klienta bezpiecznego dostępu na potrzeby dostępu zdalnego na aplikację

Dostęp do Internetu Microsoft Entra dla platformy Microsoft 365 i Dostęp Prywatny Microsoft Entra używać klienta globalnego bezpiecznego dostępu na urządzeniach z systemem Windows. Ten klient uzyskuje i przekazuje ruch sieciowy do rozwiązania Microsoft Security Service Edge. Wykonaj następujące kroki instalacji i konfiguracji:

  1. Upewnij się, że urządzenie z systemem Windows jest dołączone do identyfikatora Entra firmy Microsoft lub dołączone hybrydo.

  2. Zaloguj się na urządzeniu z systemem Windows przy użyciu roli użytkownika Microsoft Entra ID z uprawnieniami administratora lokalnego.

  3. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator globalnego bezpiecznego dostępu

  4. Przejdź do strony Pobieranie klienta programu Global Secure Access>Connect>. Wybierz pozycję Pobierz klienta. Ukończ instalację.

    Zrzut ekranu przedstawiający pobieranie klienta z kontrolką Klient pobierania systemu Windows.

  5. Na pasku zadań Okna klient globalnego bezpiecznego dostępu jest wyświetlany jako odłączony. Po kilku sekundach po wyświetleniu monitu o poświadczenia wprowadź poświadczenia użytkownika testowego.

  6. Na pasku zadań Okno umieść kursor na ikonie Globalnego klienta bezpiecznego dostępu i sprawdź stan Połączono .

Konfigurowanie serwera łącznika na potrzeby dostępu zdalnego na aplikację

Serwer łącznika komunikuje się z rozwiązaniem Microsoft Security Service Edge jako bramą sieci firmowej. Używa połączeń wychodzących przez 80 i 443 i nie wymaga portów przychodzących. Dowiedz się, jak skonfigurować łączniki dla Dostęp Prywatny Microsoft Entra. Wykonaj następujące kroki konfiguracji:

  1. Na serwerze łącznika zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator globalnego bezpiecznego dostępu.

  2. Przejdź do łączników Global Secure Access>Connect>. Wybierz pozycję Włącz łączniki sieci prywatnej.

    Zrzut ekranu przedstawiający łączniki sieci prywatnej z czerwonym polem z wyróżnioną kontrolką Włącz łączniki sieci prywatnej.

  3. Wybierz pozycję Pobierz usługę łącznika.

  4. Postępuj zgodnie z instrukcjami kreatora instalacji, aby zainstalować usługę łącznika na serwerze łącznika. Po wyświetleniu monitu wprowadź poświadczenia dzierżawy, aby ukończyć instalację.

  5. Serwer łącznika jest instalowany po wyświetleniu go w obszarze Łączniki.

W tym scenariuszu używamy domyślnej grupy łączników z jednym serwerem łącznika. W środowisku produkcyjnym utwórz grupy łączników z wieloma serwerami łączników. Zobacz szczegółowe wskazówki dotyczące publikowania aplikacji w oddzielnych sieciach przy użyciu grup łączników.

Tworzenie grupy zabezpieczeń aplikacji private access

W tym scenariuszu używamy grupy zabezpieczeń do przypisywania uprawnień do aplikacji dostępu prywatnego i do docelowych zasad dostępu warunkowego.

  1. W centrum administracyjnym firmy Microsoft Entra utwórz nową grupę zabezpieczeń tylko w chmurze.
  2. Dodaj użytkownika testowego jako członka.

Publikowanie aplikacji na potrzeby dostępu zdalnego na aplikację

Dostęp Prywatny Microsoft Entra obsługuje aplikacje protokołu TCP (Transmission Control Protocol) przy użyciu dowolnego portu. Aby nawiązać połączenie z serwerem plików (port TCP 445) za pośrednictwem Internetu, wykonaj następujące kroki:

  1. Z poziomu serwera łącznika sprawdź, czy możesz uzyskać dostęp do udziału plików na serwerze plików.

  2. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej globalny administrator bezpiecznego dostępu.

  3. Przejdź do > i nowej aplikacji.

    Zrzut ekranu aplikacji dla przedsiębiorstw przedstawiający kontrolkę Nowa aplikacja.

  4. Wprowadź nazwę (np. FileServer1). Wybierz domyślną grupę łączników. Wybierz pozycję +Dodaj segment aplikacji. Wprowadź adres IP serwera aplikacji i port 441.

    Zrzut ekranu przedstawiający tworzenie globalnej aplikacji bezpiecznego dostępu, tworzenie segmentu aplikacji.

  5. Wybierz pozycję Zastosuj>zapisz. Sprawdź, czy aplikacja znajduje się w aplikacjach dla przedsiębiorstw.

  6. Przejdź do pozycji Aplikacje tożsamości>>przedsiębiorstw. Wybierz nową aplikację.

  7. Wybierz pozycję Użytkownicy i grupy. Dodaj utworzoną wcześniej grupę zabezpieczeń z testowymi użytkownikami, którzy uzyskują dostęp do tego udziału plików z Internetu.

Konfigurowanie ładu dostępu na potrzeby dostępu zdalnego dla aplikacji

W tej sekcji opisano kroki konfiguracji dla tego rozwiązania.

Tworzenie katalogu zarządzania upoważnieniami

Wykonaj następujące kroki, aby utworzyć wykaz zarządzania upoważnieniami:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do katalogu zarządzania upoważnieniami do zarządzania tożsamościami>>.

  3. Wybierz pozycję +Nowy wykaz.

    Zrzut ekranu przedstawiający przegląd nowego dostępu, aplikacje dla przedsiębiorstw, wszystkie aplikacje, zarządzanie tożsamościami, nowy katalog.

  4. Wprowadź unikatową nazwę wykazu i podaj opis. Żądania widzą te informacje w szczegółach pakietu dostępu.

  5. Aby utworzyć pakiety dostępu w tym wykazie dla użytkowników wewnętrznych, wybierz pozycję Włączone dla użytkowników>zewnętrznych Nie.

    Zrzut ekranu przedstawiający nowy wykaz z wybraną pozycją Nie dla kontrolki Włączone dla użytkowników zewnętrznych.

  6. W katalogu otwórz katalog, do którego chcesz dodać zasoby. Wybierz pozycję Zasoby>+Dodaj zasoby.

    Zrzut ekranu przedstawiający wykaz aplikacji z listą Zasobów z wyświetloną pozycją Dodaj kontrolkę zasobów.

  7. Wybierz pozycję Typ, a następnie pozycję Grupy i zespoły, aplikacje lub witryny programu SharePoint.

  8. Wybierz i dodaj aplikację (np . FileServer1) i grupę zabezpieczeń (np . udział plików zespołu finansowego), która została wcześniej utworzona. Wybierz Dodaj.

Aprowizuj grupy w usłudze Active Directory

Zalecamy aprowizowanie grup w usłudze Active Directory za pomocą usługi Microsoft Entra Cloud Sync. Jeśli używasz funkcji Connect Sync, przełącz konfigurację na synchronizację z chmurą. Artykuły Wymagania wstępne dotyczące usługi Microsoft Entra Cloud Sync w usłudze Microsoft Entra ID i How to install the Microsoft Entra provisioning agent articles (Jak zainstalować agenta aprowizacji firmy Microsoft Entra) zawierają szczegółowe instrukcje. Zapisywanie zwrotne grup w wersji 2 w programie Microsoft Entra Connect Sync nie będzie już dostępne po 30 czerwca 2024 r.

Wykonaj następujące kroki, aby skonfigurować synchronizację usługi Microsoft Entra Cloud:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.

  2. Przejdź do sekcji Zarządzanie hybrydowe tożsamościami>— synchronizacja z chmurą>Microsoft Entra Connect.>

  3. Wybierz pozycję Nowa konfiguracja.

  4. Wybierz pozycję Microsoft Entra ID do synchronizacji usługi AD.

    Zrzut ekranu przedstawiający nową konfigurację, identyfikator entra firmy Microsoft do usługi AD Sync.

  5. W obszarze Konfiguracje wybierz domenę. Opcjonalnie wybierz pozycję Włącz synchronizację skrótów haseł.

  6. Wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający program Microsoft Entra Connect, synchronizację chmury, konfiguracje, nową konfigurację synchronizacji w chmurze.

  7. W obszarze Konfiguracja wprowadzająca wybierz pozycję Dodaj filtry określania zakresu (obok ikony Dodaj filtry określania zakresu) lub Filtry określania zakresu (w obszarze Zarządzaj).

  8. Wybierz pozycję Wybrane grupy zabezpieczeń w opcji Wybierz grupy . Wybierz pozycję Edytuj obiekty. Dodaj utworzoną wcześniej grupę zabezpieczeń Microsoft Entra ID (na przykład udział plików zespołu finansowego). Ta grupa służy do zarządzania dostępem do aplikacji lokalnych przy użyciu przepływów pracy cyklu życia i pakietów dostępu w kolejnych krokach.

    Zrzut ekranu przedstawiający zakres Grupy z finansami w polu tekstowym Wyszukaj, jeden znaleziony wynik i grupę w obszarze Wybrane.

Przypisywanie dostępu do lokalnego serwera plików

  1. Utwórz udział plików na wybranym serwerze plików.
  2. Przypisz uprawnienia do odczytu do grupy zabezpieczeń Microsoft Entra ID (takiej jak udział plików zespołu finansowego), która została aprowizowana w usłudze Active Directory.

Tworzenie pakietu dostępu na potrzeby dostępu zdalnego na aplikację

Wykonaj następujące kroki, aby utworzyć pakiet dostępu w obszarze Zarządzanie upoważnieniami:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.

  3. Wybierz pozycję Nowy pakiet dostępu.

  4. W obszarze Podstawy nadaj pakietowi dostępu nazwę (na przykład Pakiet dostępu aplikacji finansowych). Określ wcześniej utworzony wykaz.

  5. W obszarze Role zasobów wybierz wcześniej dodane zasoby (takie jak aplikacja FileServer1 i grupa zabezpieczeń udziału plików zespołu finansowego).

  6. W obszarze Rola wybierz pozycję Członek udziału plików zespołu finansowego i użytkownik aplikacji FileServer1 .

    Zrzut ekranu przedstawiający listę zasobów. Czerwone pole podkreśla kolumnę Rola.

  7. W obszarze Żądania wybierz pozycję Dla użytkowników w katalogu. Możesz też włączyć pakiet dostępu dla użytkowników-gości (aby omówić go w osobnym scenariuszu).

  8. W przypadku wybrania pozycji Konkretni użytkownicy i grupy wybierz pozycję Dodaj użytkowników i grupy.

  9. Nie wybieraj użytkownika w obszarze Wybieranie użytkowników i grup. Testujemy użytkownika żądającego dostępu później.

  10. Opcjonalnie: W obszarze Zatwierdzenie określ, czy zatwierdzenie jest wymagane, gdy użytkownicy żądają tego pakietu dostępu.

  11. Opcjonalnie: W obszarze Informacje o żądaniu wybierz pozycję Pytania. Wprowadź pytanie, które chcesz zadać żądającemu. To pytanie jest nazywane ciągiem wyświetlania. Aby dodać opcje lokalizacji, wybierz pozycję Dodaj lokalizację.

  12. W polu Cykl życia określ, kiedy wygasa przypisanie użytkownika do pakietu dostępu. Określ, czy użytkownicy mogą rozszerzać swoje przypisania. W obszarze Wygaśnięcie ustaw wartość Wygasanie przypisań pakietów programu Access na Data, Liczba dni, Liczba godzin lub Nigdy.

  13. Wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający nowy pakiet dostępu, Przeglądanie tworzenia z czerwonym polem z wyróżnionym kontrolką Utwórz.

Tworzenie przepływów pracy cyklu życia

W tej sekcji opisano sposób tworzenia przepływów pracy dołączania i opuszczania oraz uruchamiania przepływów pracy na żądanie.

Tworzenie przepływu pracy sprzężenia

Aby utworzyć przepływ pracy sprzężenia, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator przepływów pracy cyklu życia.

  2. Przejdź do przepływów>tożsamości Utwórz przepływ pracy.

  3. W obszarze Wybierz przepływ pracy wybierz pozycję Dołącz nowego pracownika zatrudnienia.

    Zrzut ekranu przedstawiający zarządzanie tożsamościami, przepływy pracy cyklu życia, Tworzenie przepływu pracy, Wybieranie przepływu pracy.

  4. W obszarze Podstawy wprowadź wartość Dołączanie nowego pracownika zatrudnienia — finanse jako nazwę wyświetlaną i opis przepływu pracy. Wybierz Dalej.

  5. W obszarze Konfigurowanie reguły zakresu>wprowadź wartości właściwości, operatora i wartości. Zmień wyrażenie zakresu na tylko użytkowników, dla których dział właściwości>ma wartośćFinanse. Upewnij się, że użytkownik testowy wypełni właściwość ciągiem Finanse, aby był w zakresie przepływu pracy.

    Zrzut ekranu przedstawiający widok Reguły z czerwonym polem z wyróżnioną kontrolką Wartość.

  6. W obszarze Przejrzyj zadania wybierz pozycję Dodaj zadanie , aby dodać zadanie do szablonu. W tym scenariuszu dodamy przypisanie żądania dostępu użytkowników.

  7. W obszarze Podstawowe wybierz pozycję Zażądaj przypisania pakietu dostępu użytkowników. Przypisz nazwę do tego zadania (na przykład Przypisz pakiet dostępu do finansów). Wybierz zasady.

  8. W obszarze Konfiguruj wybierz utworzony wcześniej pakiet dostępu.

  9. Opcjonalnie: Dodaj inne zadania sprzężenia w następujący sposób. W przypadku niektórych z tych zadań upewnij się, że ważne atrybuty, takie jak Menedżer i Poczta e-mail , są prawidłowo mapowane na użytkowników zgodnie z opisem w temacie Automatyzowanie zadań dołączania pracowników przed pierwszym dniem pracy przy użyciu interfejsów API przepływów pracy cyklu życia.

    • Włączanie konta użytkownika
    • Dodawanie użytkownika do grup lub zespołów
    • Wyślij powitalną wiadomość e-mail
    • Generowanie interfejsu TAP i wysyłanie wiadomości e-mail

  10. Wybierz pozycję Włącz harmonogram.

    Zrzut ekranu przedstawiający sekcję Przeglądanie tworzenia dla nowego elementu w kategorii Joiner z czerwonym polem z wyróżnioną sekcją Przeglądanie zadań.

  11. Wybierz pozycję Przejrzyj i utwórz.

Tworzenie przepływu pracy opuszczania

Aby utworzyć przepływ pracy opuszczania, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator przepływów pracy cyklu życia.

  2. Przejdź do przepływów>tożsamości Utwórz przepływ pracy.

  3. W obszarze Wybierz przepływ pracy wybierz pozycję Odłącz pracownika.

    Zrzut ekranu przedstawiający wybieranie przepływu pracy z czerwonym polem z wyróżnioną kartą Leaver.

  4. W obszarze Podstawy wprowadź pozycję Odłącz pracownika — finanse jako nazwę wyświetlaną i opis przepływu pracy. Wybierz Dalej.

  5. W obszarze Konfigurowanie reguły zakresu>wprowadź wartości właściwości, operatora i wartości. Zmień wyrażenie zakresu na tylko użytkowników, dla których dział właściwości>ma wartośćFinanse. Upewnij się, że użytkownik testowy wypełni właściwość ciągiem Finanse, aby był w zakresie przepływu pracy.

    Zrzut ekranu przedstawiający widok Reguły z czerwonym polem z wyróżnioną kontrolką Wartość.

  6. W obszarze Przejrzyj zadania wybierz pozycję Dodaj zadanie , aby dodać zadanie do szablonu. W tym scenariuszu dodamy przypisanie żądania dostępu użytkowników.

  7. Opcjonalnie: Dodaj inne zadania urlopowe, takie jak:

    • Wyłączanie konta użytkownika
    • Usuwanie użytkownika ze wszystkich grup
    • Usuwanie użytkownika ze wszystkich aplikacji Teams

  8. Przełącz opcję Włącz harmonogram.

    Zrzut ekranu przedstawiający sekcję Przeglądanie tworzenia dla nowego elementu w kategorii Leaver z czerwonym polem z wyróżnionym sekcją Przeglądanie zadań.

  9. Wybierz pozycję Przejrzyj i utwórz.

Uwaga

Przepływy pracy cyklu życia są uruchamiane automatycznie na podstawie zdefiniowanych wyzwalaczy, które łączą atrybuty oparte na czasie i wartość przesunięcia. Jeśli na przykład atrybut to employeeHireDate i offsetInDays ma wartość -1, przepływ pracy powinien zostać wyzwolony jeden dzień przed datą zatrudnienia pracownika. Wartość może należeć do zakresu od -180 do 180 dni. Wartości employeeHireDate i employeeLeaveDateTime muszą być ustawione w identyfikatorze Entra firmy Microsoft dla użytkowników. Sposób synchronizowania atrybutów przepływów pracy cyklu życia zawiera więcej informacji na temat atrybutów i procesów.

Uruchamianie przepływu pracy sprzężenia na żądanie

Aby przetestować ten scenariusz bez oczekiwania na zautomatyzowany harmonogram, uruchom przepływy pracy cyklu życia na żądanie.

  1. Zainicjuj wcześniej utworzony przepływ pracy sprzężenia.

  2. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator przepływów pracy cyklu życia.

  3. Przejdź do przepływu pracy cyklu życia ładu>tożsamości Przepływy> pracy.

  4. W obszarze Przepływ pracy wybierz pozycję Dołącz nowego pracownika zatrudnienia — finanse utworzone wcześniej.

  5. Wybierz pozycję Uruchom na żądanie.

  6. W obszarze Wybierz użytkowników wybierz pozycję Dodaj użytkowników.

  7. W obszarze Dodaj użytkowników wybierz użytkowników, dla których chcesz uruchomić przepływ pracy na żądanie.

  8. Wybierz Dodaj.

  9. Potwierdź wybrane opcje. Wybierz pozycję Uruchom przepływ pracy.

  10. Wybierz pozycję Historia przepływu pracy, aby zweryfikować stan zadania.

    Zrzut ekranu przedstawiający historię przepływu pracy z podsumowaniem Użytkownicy przedstawiający stan zadania.

  11. Po zakończeniu wszystkich zadań sprawdź, czy użytkownik ma dostęp do aplikacji wybranych w pakiecie dostępu. Ten krok umożliwia ukończenie scenariusza dołączania dla użytkownika w celu uzyskania dostępu do niezbędnych aplikacji pierwszego dnia.

Weryfikowanie dostępu zdalnego na aplikację

W tej sekcji symulujemy nowego członka zespołu ds. finansów dołączania do organizacji. Automatycznie przypisujemy użytkownikowi dostęp do udziału plików Zespołu finansowego i dostępu zdalnego do serwera plików przy użyciu Dostęp Prywatny Microsoft Entra.

W tej sekcji opisano opcje weryfikowania dostępu do przypisanych zasobów.

Weryfikowanie przypisania pakietu dostępu

Aby sprawdzić stan przypisania pakietu dostępu, wykonaj następujące kroki:

  1. Jako użytkownik zaloguj się do myaccess.microsoft.com.

  2. Wybierz pozycję Pakiety dostępu, Aktywny, aby wyświetlić wcześniej żądany pakiet dostępu (na przykład pakiet dostępu do finansów).

    Zrzut ekranu przedstawiający pozycję Mój dostęp, Pakiety dostępu, Aktywne.

Weryfikowanie dostępu do aplikacji

Aby zweryfikować dostęp do aplikacji, wykonaj następujące kroki:

  1. Jako użytkownik zaloguj się do myaccess.microsoft.com.

  2. Na liście aplikacji znajdź i uzyskaj dostęp do utworzonej wcześniej aplikacji (takiej jak aplikacja finansowa).

    Zrzut ekranu przedstawiający Moje aplikacje, Aplikacje finansowe.

Weryfikowanie członkostwa w grupie

Aby zweryfikować członkostwo w grupie, wykonaj następujące kroki:

  1. Jako użytkownik zaloguj się do myaccess.microsoft.com.

  2. Wybierz pozycję Grupy, w których jestem. Sprawdź członkostwo w utworzonej wcześniej grupie (np . Finance Accounting).

    Zrzut ekranu przedstawiający pozycje Moje grupy, grupy, w których jestem, a finanse zostały wprowadzone w polu tekstowym Filtry, pokazujące 2 z 131.

Weryfikowanie członkostwa w usłudze Teams

Aby zweryfikować członkostwo w usłudze Teams, wykonaj następujące kroki:

  1. Jako użytkownik zaloguj się do usługi Teams.

  2. Sprawdź członkostwo w utworzonym wcześniej zespole (takim jak Księgowość finansowa).

    Zrzut ekranu aplikacji Teams przedstawiający księgowość finansową w zespołach.

Weryfikowanie dostępu zdalnego

Aby zweryfikować dostęp użytkownika do serwera plików, wykonaj następujące kroki:

  1. Zaloguj się do urządzenia, na którym zainstalowano klienta globalnego bezpiecznego dostępu.

  2. Uruchom polecenie \\\IP_address i zweryfikuj dostęp do udziału plików.

    Zrzut ekranu przedstawiający Eksploratora Windows z połączeniem z udziałem plików.

Uruchamianie przepływu pracy urlopu na żądanie

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator przepływów pracy cyklu życia.

  2. Przejdź do przepływu pracy cyklu życia ładu>tożsamości Przepływy> pracy.

  3. W obszarze Przepływy pracy wybierz przepływ pracy Odłącz pracownika — finanse utworzony w krokach urlopu.

  4. Wybierz pozycję Uruchom na żądanie.

  5. W obszarze Wybierz użytkowników wybierz pozycję Dodaj użytkowników.

  6. W obszarze Dodaj użytkowników wybierz użytkowników, dla których chcesz uruchomić przepływ pracy na żądanie.

  7. Wybierz Dodaj.

  8. Potwierdź wybrane opcje i wybierz pozycję Uruchom przepływ pracy.

  9. Wybierz pozycję Historia przepływu pracy, aby zweryfikować stan zadania.

    Zrzut ekranu przedstawiający odłączenie pracownika, działania z czerwonym polem z wyróżnioną kontrolką Historia przepływu pracy, która wyświetla podsumowanie Użytkownicy.

  10. Po zakończeniu wszystkich zadań sprawdź, czy użytkownik zostanie usunięty ze wszystkich uprawnień dostępu do aplikacji wybranych w pakiecie dostępu.

Weryfikowanie usuwania dostępu

Po wykonaniu przepływu pracy urlopu potwierdź usunięcie dostępu użytkownika do aplikacji finansowych, zespołu finansowego, witryn programu SharePoint i udziałów plików, powtarzając kroki opisane w sekcjach Weryfikowanie dostępu do aplikacji i Weryfikowanie dostępu zdalnego. Ten krok zapewnia dokładną weryfikację użytkownika, który nie może uzyskać dostępu do tych zasobów.

Powiązana zawartość