Udostępnij za pośrednictwem


Jak skonfigurować szybki dostęp do globalnego bezpiecznego dostępu

Za pomocą globalnego bezpiecznego dostępu można zdefiniować określone w pełni kwalifikowane nazwy domen (FQDN) lub adresy IP zasobów prywatnych do uwzględnienia w ruchu dla Dostęp Prywatny Microsoft Entra. Pracownicy organizacji mogą następnie uzyskiwać dostęp do aplikacji i witryn, które określisz. W tym artykule opisano sposób konfigurowania szybkiego dostępu dla Dostęp Prywatny Microsoft Entra.

Wymagania wstępne

Aby skonfigurować szybki dostęp, musisz mieć następujące elementy:

Aby zarządzać grupami łączników sieci prywatnej firmy Microsoft Entra, które są wymagane w przypadku szybkiego dostępu, musisz mieć następujące elementy:

  • Rola administratora aplikacji w identyfikatorze Entra firmy Microsoft
  • Licencje microsoft Entra ID P1 lub P2

Znane ograniczenia

Unikaj nakładających się segmentów aplikacji między dostępem szybkim i dostępem dla aplikacji.

Tunelowanie ruchu do miejsc docelowych dostępu prywatnego według adresu IP jest obsługiwane tylko w przypadku zakresów adresów IP spoza podsieci lokalnej urządzenia użytkownika końcowego.

W tej chwili ruch dostępu prywatnego można uzyskać tylko za pomocą klienta globalnego bezpiecznego dostępu. Nie można przypisać sieci zdalnych do profilu przekazywania ruchu prywatnego.

Klient GSA tworzy zasady NRPT do kierowania zapytań DNS dla Prywatna strefa DNS sufiksów przez tunel. W niektórych przypadkach nie można utworzyć zasad NRPT. Sprawdź użycie polecenia Get-DNSClientNRPTPolicy. Dzieje się tak z powodu nieprawidłowo sformułowanego obiektu zasad grupy, który stosuje ustawienia tabeli NRPT. Użyj tego skryptu, aby zidentyfikować zasady naruszenia i usunąć je po przeniesieniu odpowiednich ustawień do innych zasad. Edytuj skrypt i zmodyfikuj zmienne zgodnie ze środowiskiem. https://github.com/microsoft/GlobalSecureAccess/blob/main/website/content/FindDNSNRPTGPO.ps1

Kroki ogólne

Konfigurowanie ustawień szybkiego dostępu jest głównym składnikiem korzystającym z Dostęp Prywatny Microsoft Entra. Podczas konfigurowania szybkiego dostępu po raz pierwszy usługa Private Access tworzy nową aplikację dla przedsiębiorstw. Właściwości tej nowej aplikacji są automatycznie konfigurowane do pracy z dostępem prywatnym.

Aby skonfigurować szybki dostęp, musisz mieć grupę łączników z co najmniej jednym aktywnym łącznikiem serwera proxy aplikacji Firmy Microsoft Entra. Grupa łączników obsługuje ruch do tej nowej aplikacji. Po skonfigurowaniu szybkiego dostępu i grupy łączników sieci prywatnej należy udzielić dostępu do aplikacji.

Podsumowując, ogólny proces wygląda następująco:

  1. Utwórz grupę łączników z co najmniej jednym aktywnym łącznikiem sieci prywatnej.
  2. Konfigurowanie szybkiego dostępu.
  3. Przypisz użytkowników i grupy do aplikacji.
  4. Konfigurowanie zasad dostępu warunkowego.
  5. Włącz profil przekazywania ruchu prywatnego dostępu.

Tworzenie grupy łączników sieci prywatnej

Aby skonfigurować szybki dostęp, musisz mieć grupę łączników z co najmniej jednym aktywnym łącznikiem sieci prywatnej.

Jeśli nie masz jeszcze skonfigurowanej grupy łączników, zobacz Konfigurowanie łączników na potrzeby szybkiego dostępu.

Uwaga

Jeśli wcześniej zainstalowano łącznik, zainstaluj go ponownie, aby uzyskać najnowszą wersję. Podczas uaktualniania odinstaluj istniejący łącznik i usuń wszystkie powiązane foldery.

Minimalna wersja łącznika wymagana dla dostępu prywatnego to 1.5.3417.0.

Konfigurowanie szybkiego dostępu

Na stronie Szybki dostęp podaj nazwę aplikacji Szybki dostęp, wybierz grupę łączników i dodaj segmenty aplikacji, które obejmują nazwy FQDN i adresy IP. Możesz wykonać wszystkie trzy kroki w tym samym czasie lub dodać segmenty aplikacji po zakończeniu początkowej konfiguracji.

Nazwa i grupa łączników

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra przy użyciu odpowiednich ról.
  2. Przejdź do strony Globalne aplikacje>bezpiecznego dostępu>— szybki dostęp.
  3. Wprowadź nazwę. Zalecamy używanie nazwy Szybki dostęp.
  4. Wybierz grupę łączników z menu rozwijanego.
  5. Wybierz pozycję Zapisz , aby utworzyć aplikację "Szybki dostęp" bez nazw FQDN, adresów IP i prywatnych sufiksów DNS.

Dodawanie segmentu aplikacji Szybki dostęp

Należy zdefiniować nazwy FQDN i adresy IP do uwzględnienia podczas dodawania segmentu aplikacji Szybki dostęp. Te zasoby są dodawane podczas tworzenia lub aktualizowania aplikacji Szybki dostęp.

Można dodawać w pełni kwalifikowane nazwy domen (FQDN), adresy IP i zakresy adresów IP. W każdym segmencie aplikacji można dodać wiele portów i zakresów portów.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

  2. Przejdź do witryny Global Secure Access Applications Quick Access (Szybkie uzyskiwanie dostępu do globalnych aplikacji>bezpiecznego dostępu).>

  3. Wybierz pozycję Dodaj segment aplikacji Szybki dostęp.

  4. W wyświetlonym panelu Tworzenie segmentu aplikacji wybierz typ docelowy.

  5. Wprowadź odpowiednie szczegóły dla wybranego typu docelowego. W zależności od wybranego pola kolejne pola zmieniają się odpowiednio.

    • Adres IP:
      • Adres protokołu internetowego w wersji 4 (IPv4), taki jak 192.168.2.1, który identyfikuje urządzenie w sieci.
      • Podaj porty, które chcesz uwzględnić.
    • W pełni kwalifikowana nazwa domeny (w tym nazwy FQDN z symbolami wieloznacznymi):
      • Nazwa domeny określająca dokładną lokalizację komputera lub hosta w systemie nazw domen (DNS).
      • Podaj porty do uwzględnienia.
      • Rozwiązanie NetBIOS nie jest obsługiwane. Na przykład użyj polecenia contoso.local/app1 zamiast contoso/app1.
    • Zakres adresów IP (CIDR):
      • Routing międzydomenowy klasy (CIDR) reprezentuje zakres adresów IP. Po adresie IP następuje sufiks wskazujący liczbę bitów sieciowych w masce podsieci.
      • Na przykład 192.168.2.0/24 wskazuje, że pierwsze 24 bity adresu IP reprezentują adres sieciowy, podczas gdy pozostałe 8 bitów reprezentuje adres hosta.
      • Podaj adres początkowy, maskę sieci i porty.
    • Zakres adresów IP (IP do IP):
      • Zakres adresów IP od początkowego adresu IP (na przykład 192.168.2.1) do końcowego adresu IP (na przykład 192.168.2.10).
      • Podaj adres IP początkowy, końcowy i porty.
  6. Wprowadź porty i protokół, a następnie wybierz pozycję Zastosuj.

    • Rozdziel wiele portów przecinkami.
    • Określ zakresy portów za pomocą łącznika.
    • Spacje między wartościami są usuwane po zastosowaniu zmian.
    • Na przykład 400-500, 80, 443.

    Zrzut ekranu przedstawiający panel tworzenie segmentu aplikacji z dodanymi wieloma portami.

    Poniższa tabela zawiera najczęściej używane porty i skojarzone z nimi protokoły sieciowe:

    Port Protokół
    22 Bezpieczna powłoka (SSH)
    80 Protokół HTTP
    443 Protokół Secure protokołu transferu hipertekstowego (HTTPS)
    445 Udostępnianie plików bloku komunikatów serwera (SMB)
    3389 Protokół Remote Desktop Protocol (RDP)
  7. Po zakończeniu wybierz Zapisz.

Uwaga

Do aplikacji Szybki dostęp można dodać maksymalnie 500 segmentów aplikacji.

Nie nakładaj się na nazwy FQDN, adresy IP i zakresy adresów IP między aplikacją Szybki dostęp i żadnymi aplikacjami dostępu prywatnego.

Dodawanie prywatnych sufiksów DNS

Prywatna strefa DNS obsługa Dostęp Prywatny Microsoft Entra umożliwia wykonywanie zapytań względem własnych wewnętrznych serwerów DNS w celu rozpoznawania adresów IP dla wewnętrznych nazw domen. Spójrzmy na przykład. Załóżmy, że masz wewnętrzny zakres adresów IP do 10.8.0.0 10.8.255.255. Ten zakres można skonfigurować w definicji aplikacji Szybki dostęp. Chcesz, aby użytkownicy mieli dostęp do aplikacji internetowej odpowiadającej na adres IP 10.8.0.5 podczas wpisywania https://benefits w przeglądarce internetowej. Nie chcesz jednak konfigurować nazwy FQDN dla aplikacji. Korzystając z Prywatna strefa DNS, należy skonfigurować odpowiedni sufiks DNS, aby klient globalnego bezpiecznego dostępu wiedział, jak prawidłowo kierować żądanie.

Ponadto możesz udostępnić środowisko logowania jednokrotnego dla zasobów protokołu Kerberos, konfigurując uwierzytelnianie Kerberos na kontrolerach domeny przy użyciu Prywatna strefa DNS. Aby dowiedzieć się więcej na temat tworzenia środowiska logowania jednokrotnego, zobacz Use Kerberos for single sign-on (SSO) to your resources with Dostęp Prywatny Microsoft Entra (Korzystanie z protokołu Kerberos na potrzeby logowania jednokrotnego) do zasobów.

Dodaj sufiks DNS do użycia dla prywatnej usługi DNS.

  1. Wybierz kartę Prywatna strefa DNS.
  2. Zaznacz pole wyboru, aby włączyć prywatną usługę DNS.
  3. Wybierz pozycję Dodaj sufiks DNS.
  4. Wprowadź sufiks DNS, a następnie wybierz pozycję Dodaj.

Przypisywanie użytkowników i grup

Podczas konfigurowania szybkiego dostępu zostanie utworzona nowa aplikacja dla przedsiębiorstw w Twoim imieniu. Musisz udzielić dostępu do utworzonej aplikacji Szybki dostęp przez przypisanie użytkowników i/lub grup do aplikacji.

Właściwości można wyświetlić w obszarze Szybki dostęp lub przejść do aplikacji dla przedsiębiorstw i wyszukać aplikację Szybki dostęp.

Napiwek

Aby znaleźć aplikację na stronie Aplikacje dla przedsiębiorstw, wyczyść wszystkie filtry, aby nie filtrować aplikacji, której szukasz.

  1. Wybierz pozycję Edytuj ustawienia aplikacji w obszarze Szybki dostęp.

    Zrzut ekranu przedstawiający edytowanie ustawień aplikacji.

  2. Wybierz pozycję Użytkownicy i grupy z menu bocznego.

  3. Dodaj użytkowników i grupy zgodnie z potrzebami.

Uwaga

Użytkownicy muszą być bezpośrednio przypisani do aplikacji lub do grupy przypisanej do aplikacji. Zagnieżdżone grupy nie są obsługiwane.

Zasady dostępu warunkowego można zastosować do aplikacji Szybki dostęp. Stosowanie zasad dostępu warunkowego zapewnia więcej opcji zarządzania dostępem do aplikacji, witryn i usług.

Tworzenie zasad dostępu warunkowego zostało szczegółowo omówione w temacie Jak utworzyć zasady dostępu warunkowego dla aplikacji dostępu prywatnego.

Włączanie Dostęp Prywatny Microsoft Entra

Po skonfigurowaniu aplikacji Szybki dostęp dodane zasoby prywatne, użytkownicy przypisani do aplikacji będą mogli włączyć profil dostępu prywatnego z obszaru Przekazywanie ruchu w obszarze Globalnego bezpiecznego dostępu. Profil można włączyć przed skonfigurowaniem szybkiego dostępu, ale bez skonfigurowanej aplikacji i profilu nie ma ruchu do przesyłania dalej. Aby dowiedzieć się, jak włączyć profil przekazywania ruchu prywatnego dostępu, zobacz Jak zarządzać profilem przekazywania ruchu prywatnego dostępu.

Następne kroki