Odnajdywanie aplikacji (wersja zapoznawcza) dla Globalnego Bezpiecznego Dostępu

Ważny

Odnajdywanie aplikacji jest obecnie dostępne w wersji zapoznawczej. Te informacje odnoszą się do produktu w wersji wstępnej, który może zostać znacząco zmodyfikowany przed jego wydaniem. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani domniemanych, w odniesieniu do podanych tutaj informacji.

Odnajdywanie aplikacji umożliwia administratorom uzyskanie kompleksowego wglądu w użycie aplikacji w sieci firmowej. Identyfikując, do których aplikacji uzyskuje się dostęp, i przez kogo administratorzy mogą tworzyć prywatne aplikacje z precyzyjną segmentacją i dostępem do najmniejszych uprawnień, co minimalizuje niepotrzebny dostęp.

Dzięki szybkiemu dostępowi można szybko dołączyć do dostępu prywatnego, publikując szerokie zakresy adresów IP i wieloznaczne nazwy FQDN, tak jak w przypadku tradycyjnych rozwiązań sieci VPN. Następnie możesz przejść z funkcji Szybki dostęp do publikowania dla poszczególnych aplikacji, aby uzyskać lepszą kontrolę i stopień szczegółowości dla każdej aplikacji. Można na przykład utworzyć zasady dostępu warunkowego i ustawić przypisania użytkowników na aplikację.

W tym artykule przedstawiono proces używania funkcji odnajdywania aplikacji w celu wykrywania, do których aplikacji uzyskują dostęp użytkownicy (za pośrednictwem szybkiego dostępu) i tworzenia oddzielnych aplikacji prywatnych.

Warunki wstępne

• Dzierżawa firmy Microsoft Entra dołączona do usługi microsoft Entra Private Access.
• Dzierżawa Microsoft Entra skonfigurowana z użyciem Szybki Dostęp.
• Urządzenie skonfigurowane przy użyciu klienta globalnego bezpiecznego dostępu (windows, macOS, android, iOS).

Odnajdywanie aplikacji

Aby wyświetlić listę wszystkich segmentów aplikacji w obszarze Szybki dostęp, do których użytkownicy uzyskiwali dostęp za pośrednictwem klienta globalnego bezpiecznego dostępu w ciągu ostatnich 30 dni:

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako administrator globalnego bezpiecznego dostępu .
2. Przejdź do Globalny Bezpieczny Dostęp>Odkrywanie aplikacji>.

Domyślnie widok odnajdywania aplikacji sortuje segmenty aplikacji w kolejności malejącej zgodnie z liczbą użytkowników. Ta domyślna kolejność sortowania przenosi najbardziej używane segmenty aplikacji na początku listy, dzięki czemu są bardziej widoczne dla administratora.

Administrator może dostosować zakres czasu, dodać inne filtry i posortować segmenty aplikacji zgodnie z poszczególnymi kolumnami. Administrator może również filtrować według użytkownika, aby wyświetlić listę segmentów aplikacji, do których uzyskuje dostęp określony użytkownik. W polu Wyszukiwania administrator może filtrować według w pełni kwalifikowanej nazwy domeny (FQDN), adresu IP i adresu portu.

Dla każdego segmentu aplikacji są dostępne następujące kolumny:

• docelowa nazwa FQDN: nazwa FQDN segmentu aplikacji.
• docelowy adres IP: adres IP segmentu aplikacji.
• protokół transportowy: protokół transportowy segmentu aplikacji. Dostęp prywatny obsługuje obecnie protokół TCP (Transmission Control Protocol) i protokół UDP (User Datagram Protocol).
• port docelowy: port segmentu aplikacji.
• Użytkownicy: liczba użytkowników, którzy uzyskiwali dostęp do segmentu aplikacji.
• Transakcje: liczba transakcji (połączeń) do segmentu aplikacji.
• Urządzenia — liczba urządzeń używanych do uzyskiwania dostępu do segmentu aplikacji.
• Bajty wysłane: łączna liczba bajtów danych, które urządzenie użytkownika wysłało do segmentu aplikacji.
• Odebrane bajty: łączna liczba bajtów danych odebranych przez urządzenie użytkownika z segmentu aplikacji.
• ostatniego dostępu: ostatni raz, kiedy uzyskano dostęp do segmentu aplikacji w ramach przedziału czasowego.
• pierwszy dostęp: po raz pierwszy w przedziale czasowym, kiedy uzyskano dostęp do segmentu aplikacji.

Tworzenie nowej aplikacji

Użyj funkcji odnajdywania aplikacji, aby utworzyć nowe aplikacje Microsoft Entra ID na podstawie wykrytych segmentów aplikacji w tabeli głównej. Aby dodać segment aplikacji do nowej aplikacji:

1. Z listy Odnajdywanie aplikacji wybierz co najmniej jeden segment aplikacji odpowiadający aplikacji, którą chcesz utworzyć.
   1. Często jedna aplikacja używa jednego segmentu aplikacji. Na przykład:
      • Serwer plików, taki jak: filesrv.contoso.com, TCP, 445.
      • Portal, taki jak: internalportal.contoso.com, TCP, 443.
   2. Jednak czasami jedna aplikacja używa kilku portów, protokołów lub zakresów między wieloma serwerami (FQDN/IP). W takim przypadku można wybrać kilka segmentów aplikacji, a nawet ręcznie dodać inne. Na przykład:
      • Publikowanie usług ADDS w określonej lokacji AD: dc1.contoso.com i dc2.contoso.com, TCP, 88, 135, 137, 138, 389, 445, 464, 636, 3268, 3269 oraz ustalony wysoki port dla Netlogon dc1.contoso.com i dc2.contoso.com, UDP, 88, 123, 389, 464.
   3. Aby uzyskać pełną listę portów usługi ADDS, zobacz Jak skonfigurować zaporę dla domen i relacji zaufania usługi Active Directory.
2. Wybierz pozycję Dodaj do nowej aplikacji. Zostanie otwarty ekran aplikacji Utwórz globalny bezpieczny dostęp, pokazujący wybrane segmenty aplikacji.
   1. Nadaj aplikacji nazwę i wybierz odpowiednią grupę łączników .
   2. Możesz również ręcznie dodawać lub usuwać segmenty aplikacji.
   3. Aby zastosować zmiany, kliknij Zapisz.
3. Włącz dostęp dla odpowiednich użytkowników, dostosowując użytkowników i grupy przypisane do nowej aplikacji.
   1. Należy dokładnie dostosować przypisania po utworzeniu aplikacji. W ten sposób lista zawiera tylko grupy użytkowników, którzy wymagają dostępu do nowej aplikacji, zgodnie z zasadą najniższych uprawnień.
   2. W przypadku aplikacji dla przedsiębiorstw:
      1. Przejdź do aplikacji globalnego bezpiecznego dostępu>>aplikacje dla przedsiębiorstw>Użytkownicy i grupy.
      2. Wybierz utworzoną aplikację.
      3. Zmodyfikuj przypisania użytkowników i grup zgodnie z potrzebami.

Ważny

Globalny Bezpieczny Dostęp nadaje wyższy priorytet ruchowi dla aplikacji zdefiniowanych indywidualnie niż Szybki Dostęp. Oznacza to, że po przeniesieniu segmentu aplikacji z szybkiego dostępu do określonej globalnej aplikacji bezpiecznego dostępu cały ruch kierowany do tego segmentu aplikacji będzie kierowany zgodnie z konfiguracją aplikacji. Żaden ruch do nowej aplikacji nie będzie kierowany przez Szybki Dostęp, nawet jeśli segment aplikacji może być obecny w zakresach zdefiniowanych przez Szybki Dostęp. Aby uniknąć zakłóceń w usłudze, nowe aplikacje, które tworzysz poprzez odnajdywanie aplikacji, dziedziczą wszystkich przypisanych użytkowników i grupy z Quick Access (w momencie tworzenia). Po zweryfikowaniu nowej aplikacji należy ponownie określić zakres uprawnień aplikacji tylko do tych użytkowników, którzy muszą łączyć się z zdefiniowanymi w niej segmentami aplikacji.

4. (Opcjonalnie) W celu zapewnienia dodatkowych zabezpieczeń można ustawić zasady dostępu warunkowego zgodnie z zasadami zabezpieczeń firmy. Na przykład możesz wymagać uwierzytelniania wieloskładnikowego (MFA) i zgodności urządzeń, gdy użytkownicy uzyskują dostęp do aplikacji krytycznej.

Notatka

Segmenty aplikacji utrzymują się w głównej tabeli odnajdywania aplikacji nawet po utworzeniu aplikacji, dopóki użytkownik nie zaloguje się do nowej aplikacji i uzyskuje dostęp do zasobu. W przyszłości tabela główna odnajdywania aplikacji zostanie zaktualizowana niezależnie od interakcji użytkownika.

Dodawanie do istniejącej aplikacji

Odnajdywanie aplikacji umożliwia dodawanie segmentów aplikacji do istniejącej aplikacji prywatnej. Aby dodać segment aplikacji do istniejącej aplikacji:

1. Z listy Odnajdywanie aplikacji wybierz co najmniej jeden segment aplikacji.
2. Wybierz pozycję Dodaj do istniejącej aplikacji.
3. Wybierz istniejącą aplikację prywatną, do której chcesz dodać segmenty. Otworzy się ekran edytowania aplikacji Global Secure Access, wyświetlając właściwości istniejącej aplikacji, wybrane segmenty aplikacji (o statusie Oczekujące) oraz wszystkie wcześniej skonfigurowane segmenty aplikacji (o statusie Sukces).
4. Przejrzyj konfigurację i popraw Nazwa, grupa łączników oraz segmenty aplikacji, wprowadzając niezbędne poprawki.
5. Aby zastosować zmiany, kliknij Zapisz.

Wyświetlanie szczegółów segmentu aplikacji

Przed podjęciem decyzji o utworzeniu aplikacji prywatnej warto przejrzeć inne szczegóły segmentu aplikacji.

1. W tabeli Odnajdywanie aplikacji wybierz docelową nazwę FQDN lub docelowy adres IP dla segmentu aplikacji, który chcesz eksplorować.
2. Karta Zużycie domyślnie pokazuje wykres Użytkowników w czasie. Na wykresie można ustawić rozkład transakcji , urządzeń , bajtów wysłanych i bajtów odebranych w czasie. Zakres czasu można również zmienić, dostosowując ustawienie Przedział czasu.
3. Karta użytkownicy zawiera listę użytkowników, którzy uzyskiwali dostęp do wybranego segmentu aplikacji w ciągu ostatnich 30 dni.
   

Ważny

Użyj listy użytkowników, aby poinformować o decyzjach dotyczących użytkowników i grup, które planujesz przypisać do aplikacji Entra po dołączeniu wybranego segmentu aplikacji.

Powiązana zawartość

• Jak skonfigurować szybki dostęp na potrzeby globalnego bezpiecznego dostępu