Jak zarządzać profilem przekazywania ruchu prywatnego dostępu

Profil przesyłania dalej ruchu prywatnego kieruje ruch do sieci prywatnej za pośrednictwem globalnego klienta bezpiecznego dostępu. Włączenie tego profilu przekazywania ruchu umożliwia zdalnym pracownikom łączenie się z zasobami wewnętrznymi bez sieci VPN. Dzięki funkcjom Dostęp Prywatny Microsoft Entra można kontrolować, które zasoby prywatne mają być tunelowanie za pośrednictwem usługi, i stosować zasady dostępu warunkowego w celu zabezpieczenia dostępu do tych usług. Po wprowadzeniu konfiguracji można wyświetlać wszystkie te konfiguracje i zarządzać nimi z jednego miejsca.

Wymagania wstępne

Aby włączyć profil przekazywania dostępu prywatnego dla dzierżawy, musisz mieć następujące elementy:

• Rola administratora globalnego bezpiecznego dostępu w usłudze Microsoft Entra ID.
  • Rola administratora dostępu warunkowego do tworzenia zasad dostępu warunkowego i interakcji z nimi.
• Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.

Znane ograniczenia

• W tej chwili ruch dostępu prywatnego można uzyskać tylko za pomocą klienta globalnego bezpiecznego dostępu. Nie można uzyskać ruchu dostępu prywatnego z sieci zdalnych.
• Tunelowanie ruchu do miejsc docelowych dostępu prywatnego według adresu IP jest obsługiwane tylko w przypadku zakresów adresów IP spoza podsieci lokalnej urządzenia użytkownika końcowego.
• Należy wyłączyć system DNS za pośrednictwem protokołu HTTPS (Secure DNS) w celu tunelowania ruchu sieciowego na podstawie reguł w pełni kwalifikowanych nazw domen (FQDN) w profilu przekazywania ruchu.

Włączanie profilu przesyłania dalej ruchu prywatnego dostępu

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
2. Przejdź do przesyłania dalej ruchu Global Secure Access>Connect>.
3. Zaznacz pole wyboru profilu dostępu prywatnego.

Zasady dostępu prywatnego

Aby włączyć profil przekazywania ruchu prywatnego dostępu, zalecamy najpierw skonfigurowanie szybkiego dostępu. Szybki dostęp obejmuje adresy IP, zakresy adresów IP i w pełni kwalifikowane nazwy domen (FQDN) dla zasobów prywatnych, które mają zostać uwzględnione w zasadach. Aby uzyskać więcej informacji, zobacz Konfigurowanie szybkiego dostępu.

Możesz również skonfigurować dostęp dla aplikacji do zasobów prywatnych, tworząc aplikację Private Access. Podobnie jak w przypadku szybkiego dostępu, tworzysz nową aplikację dla przedsiębiorstw, którą można następnie przypisać do profilu przekazywania ruchu prywatnego dostępu. Szybki dostęp zawiera główną grupę zasobów prywatnych, które zawsze chcesz kierować przez usługę. Aplikacje dostępu prywatnego można włączać i wyłączać w razie potrzeby bez wpływu na nazwy FQDN i adresy IP zawarte w funkcji Szybki dostęp.

Aby zarządzać szczegółami zawartymi w zasadach przesyłania dalej ruchu prywatnego dostępu, wybierz link Wyświetl dla zasad dostępu prywatnego.

Zostaną wyświetlone szczegółowe informacje o szybkich dostępach i aplikacjach dla przedsiębiorstw na potrzeby dostępu prywatnego. Wybierz link dla aplikacji, aby wyświetlić szczegóły z obszaru Aplikacje dla przedsiębiorstw w obszarze Microsoft Entra ID.

Połączone zasady dostępu warunkowego

Zasady dostępu warunkowego dla dostępu prywatnego są konfigurowane na poziomie aplikacji dla każdej aplikacji. Zasady dostępu warunkowego można utworzyć i zastosować do aplikacji z dwóch miejsc:

• Przejdź do pozycji Globalne aplikacje bezpiecznego dostępu>dla>przedsiębiorstw. Wybierz aplikację, a następnie wybierz pozycję Dostęp warunkowy z menu bocznego.
• Przejdź do pozycji Ochrona>zasad dostępu>warunkowego. Wybierz pozycję + Utwórz nowe zasady.

Aby uzyskać więcej informacji, zobacz Stosowanie zasad dostępu warunkowego do aplikacji dostępu prywatnego.

Przypisania użytkowników i grup

Możesz określić zakres profilu dostępu prywatnego do określonych użytkowników i grup. Użytkownicy i grupy muszą być przypisani zarówno do aplikacji dostępu prywatnego, jak i profilu przekazywania ruchu.

Aby dowiedzieć się więcej na temat przypisywania użytkowników i grup, zobacz Jak przypisywać użytkowników i grupy oraz zarządzać nimi przy użyciu profilów przesyłania dalej ruchu.

Następne kroki

Następnym krokiem do rozpoczęcia pracy z Dostęp do Internetu Microsoft Entra jest zainstalowanie i skonfigurowanie globalnego klienta bezpiecznego dostępu na urządzeniach użytkowników końcowych.

Aby uzyskać więcej informacji na temat dostępu prywatnego, zobacz następujące artykuły:

• Dowiedz się więcej o przekierowywaniu ruchu
• Konfigurowanie szybkiego dostępu