Compartilhar via


Como configurar o Acesso Rápido para Acesso Seguro Global

Com o Acesso Seguro Global, você pode definir FQDNs (nomes de domínio totalmente qualificados) específicos ou endereços IP de recursos privados a serem incluídos no tráfego do Microsoft Entra Private Access. Os funcionários da sua organização podem acessar os aplicativos e sites que você especificar. Este artigo descreve como configurar o Acesso Rápido para o Microsoft Entra Private Access.

Pré-requisitos

Para configurar o Acesso Rápido, você deve ter:

Para gerenciar grupos de conectores de rede privada do Microsoft Entra, que são necessários para o Acesso Rápido, você precisa ter:

  • Uma função Administrador de Aplicativos no Microsoft Entra ID
  • Licença P1 ou P2 do Microsoft Entra ID

Limitações conhecidas

Evite sobrepor segmentos de aplicativo entre o Acesso Rápido e o acesso por aplicativo.

O tráfego de túnel para destinos de Acesso Privado por endereço IP tem suporte apenas para intervalos de IP fora da sub-rede local do dispositivo do usuário final.

No momento, o tráfego de acesso privado só pode ser adquirido com o cliente Global Secure Access. Redes remotas não podem ser atribuídas ao perfil de encaminhamento de tráfego de acesso privado.

O cliente GSA cria políticas NRPT para rotear consultas DNS para sufixos DNS privados por meio do túnel. Em alguns casos, as políticas NRPT não são criadas. Verifique usando Get-DNSClientNRPTPolicy. Isso ocorre devido a um GPO malformado que aplica as configurações de NRPT. Use esse script para identificar a política ofensiva e excluí-la depois de mover as configurações relevantes para outras políticas. Edite o script e modifique as variáveis de acordo com seu ambiente. https://github.com/microsoft/GlobalSecureAccess/blob/main/website/content/FindDNSNRPTGPO.ps1

Etapas de alto nível

Definir suas configurações de Acesso Rápido é um componente importante para utilizar o Microsoft Entra Private Access. Quando você configura o Acesso Rápido pela primeira vez, o Acesso Privado cria um novo aplicativo empresarial. As propriedades desse novo aplicativo são configuradas automaticamente para funcionar com o Acesso Privado.

Para configurar o acesso por aplicativo, você precisa ter um grupo de conectores com pelo menos um conector de proxy de aplicativo do Microsoft Entra ativo. O grupo de conectores manipula o tráfego para este novo aplicativo. Após configurar o Acesso Rápido e um grupo de conectores de rede privada, você precisará conceder acesso ao aplicativo.

Para resumir, o processo geral é o seguinte:

  1. Crie um grupo de conectores com pelo menos um conector de rede privada ativo.
  2. Configurar o Acesso Rápido.
  3. Atribua usuários e grupos ao aplicativo.
  4. Configurar políticas de Acesso Condicional.
  5. Habilitar o perfil de encaminhamento de tráfego de Acesso Privado.

Criar um grupo de conectores de rede privada

Para configurar o Acesso Rápido, você precisa ter um grupo de conectores com pelo menos um conector de rede privada ativo.

Se você ainda não tiver um grupo de conectores configurado, consulte Configurar conectores para Acesso Rápido.

Observação

Se você já instalou um conector, reinstale-o para obter a versão mais recente. Ao atualizar, desinstale o conector existente e exclua as pastas relacionadas.

A versão mínima do conector necessária para o Acesso Privado é 1.5.3417.0.

Configurar o Acesso Rápido

Na página acesso rápido, você fornece um nome para o aplicativo de Acesso Rápido, seleciona um grupo de conectores e adiciona segmentos de aplicativo, que incluem FQDNs e endereços IP. Você pode concluir todas as três etapas ao mesmo tempo ou adicionar os segmentos de aplicativo após a conclusão da instalação inicial.

Nome e grupo de conectores

  1. Entre no Centro de administração do Microsoft Entra com as funções apropriadas.
  2. Navegue até Acesso Global Seguro>Aplicativos>Acesso rápido.
  3. Insira um nome. É recomendável usar o nome acesso rápido.
  4. Selecione um grupo conector no menu suspenso.
  5. Selecione Salvar para criar o seu aplicativo de "Acesso Rápido" sem FQDNs, endereços IP e sufixos DNS privados.

Adicionar segmento de aplicativo de Acesso Rápido

Defina os FQDNs e endereços IP a serem incluídos ao adicionar o segmento de aplicativo do Acesso Rápido. Adicione esses recursos ao criar ou atualizar o aplicativo do Acesso Rápido.

Você pode adicionar FQDN (nomes de domínio totalmente qualificados), endereços IP e intervalos de endereços IP. Em cada segmento de aplicativo, você pode adicionar várias portas e intervalos de portas.

  1. Entre no Centro de administração do Microsoft Entra.

  2. Navegue até Acesso Global Seguro>Aplicativos>Acesso Rápido.

  3. Selecione Adicionar segmento de aplicativo de Acesso Rápido.

  4. No painel Criar segmento de aplicativo que é aberto, selecione um Tipo de destino.

  5. Insira os detalhes apropriados para o tipo de destino selecionado. Dependendo do que você selecionar, os campos subsequentes serão alterados adequadamente.

    • Endereço IP:
      • Endereço do protocolo da Internet versão 4 (IPv4), como 192.168.2.1, que identifica um dispositivo na rede.
      • Forneça as portas que você deseja incluir.
    • Nome de domínio totalmente qualificado (incluindo FQDNs curinga):
      • Nome de domínio que especifica o local exato de um computador ou host no DNS (Sistema de Nomes de Domínio).
      • Forneça as portas a serem incluídas.
      • NetBIOS não é suportado. Por exemplo, use contoso.local/app1 ao invés de contoso/app1.
    • Intervalo de endereços IP (CIDR):
      • O CIDR (Roteamento entre Domínios sem Classe) representa um intervalo de endereços IP. Um endereço IP é seguido por um sufixo que indica o número de bits de rede na máscara de sub-rede.
      • Por exemplo, 192.168.2.0/24 indica que os primeiros 24 bits do endereço IP representam o endereço de rede, enquanto os 8 bits restantes representam o endereço do host.
      • Forneça o endereço inicial, a máscara de rede e as portas.
    • Intervalo de endereços IP (IP para IP):
      • Intervalo de endereços IP desde o IP inicial (como 192.168.2.1) até o IP final (como 192.168.2.10).
      • Forneça o início, o término e as portas do endereço IP.
  6. Insira as portas e o protocolo e selecione Aplicar.

    • Separe várias portas com uma vírgula.
    • Especifique intervalos de porta com um hífen.
    • Espaços entre valores são removidos quando você aplica as alterações.
    • Por exemplo, 400-500, 80, 443.

    Captura de tela do painel

    A tabela a seguir fornece as portas mais usadas e seus protocolos de rede associados:

    Porta Protocolo
    22 Secure Shell (SSH)
    80 Protocolo HTTP
    443 HTTPS (Protocolo de Transferência de Hipertexto Seguro)
    445 Compartilhamento de arquivos SMB (Bloco de Mensagens do Servidor)
    3389 Protocolo RDP
  7. Selecione Salvar ao concluir.

Observação

Você pode adicionar até 500 segmentos de aplicativos ao seu aplicativo de Acesso Rápido.

Não sobreponha FQDNs, endereços IP e intervalos de IP entre seu aplicativo de Acesso Rápido e quaisquer aplicativos de Acesso Privado.

Adicionar sufixos DNS privados

O suporte DNS privado para o Acesso Privado do Microsoft Entra permite que você consulte seus próprios servidores DNS internos para resolver endereços IP para nomes de domínio internos. Vamos ver um exemplo. Digamos que você tenha um intervalo de IP interno de 10.8.0.0 até 10.8.255.255. Você configurará esse intervalo na definição de aplicativo de Acesso Rápido. Você deseja que os usuários acessem um aplicativo Web respondendo no IP 10.8.0.5 quando digitam https://benefits em seu navegador da Web. Mas você não deseja configurar um FQDN para o aplicativo. Usando o DNS privado, você configura um sufixo DNS correspondente para que o cliente do Acesso Global Seguro saiba como rotear a solicitação corretamente.

Além disso, você pode fornecer uma experiência de SSO (logon único) para recursos Kerberos configurando a Autenticação Kerberos para controladores de domínio usando DNS privado. Para saber mais sobre como criar uma experiência de SSO, consulte Usar o Kerberos para SSO (logon único) para seus recursos com o Acesso privado do Microsoft Entra.

Adicione um sufixo DNS a ser usado para DNS privado.

  1. Selecione a guia DNS Privado.
  2. Marque a caixa de seleção para habilitar o DNS privado.
  3. Selecione Adicionar sufixo DNS.
  4. Insira o sufixo DNS e selecione Adicionar.

Atribuir usuários e grupos

Quando você configura o Acesso Rápido, um novo aplicativo empresarial é criado em seu nome. Você precisa conceder acesso ao aplicativo de Acesso Rápido criado atribuindo usuários e/ou grupos ao aplicativo.

Você pode exibir as propriedades do Acesso Rápido ou navegar até Aplicativos empresariais e pesquisar seu aplicativo de Acesso Rápido.

Dica

Para encontrar um aplicativo na página Aplicativos Enterprise, desmarque todos os filtros para que você não oculte o aplicativo que está procurando.

  1. Selecione Editar configurações do aplicativo no Acesso Rápido.

    Captura de tela da opção de editar as configurações do aplicativo.

  2. Selecione Usuários e grupos no menu lateral.

  3. Adicione usuários e grupos conforme necessário.

Observação

Os usuários devem ser atribuídos diretamente ao aplicativo ou ao grupo atribuído ao aplicativo. Não há suporte para grupos aninhados.

As políticas de Acesso Condicional podem ser aplicadas ao seu aplicativo de Acesso Rápido. A aplicação de políticas de Acesso Condicional fornece mais opções para gerenciar o acesso a aplicativos, sites e serviços.

A criação de uma política de Acesso Condicional é abordada em detalhes em Como criar uma política de Acesso Condicional para aplicativos de Acesso Privado.

Habilitar o Acesso Privado do Microsoft Entra

Depois que seu aplicativo de Acesso Rápido estiver configurado, seus recursos privados adicionados, os usuários atribuídos ao aplicativo, você poderá habilitar o perfil de acesso privado da área de encaminhamento de tráfego do Acesso Seguro Global. Você pode habilitar o perfil antes de configurar o Acesso Rápido, mas sem o aplicativo e o perfil configurados, não há tráfego a ser encaminhado. Saiba como habilitar o perfil de encaminhamento de tráfego do Private Access em Como gerenciar o perfil de encaminhamento de tráfego do Private Access.

Próximas etapas