Поделиться через

Сценарий развертывания Microsoft Entra — модернизация удаленного доступа к локальным приложениям с помощью MFA для каждого приложения

  • Статья

Сценарии развертывания Microsoft Entra предоставляют подробные рекомендации по объединении и тестировании этих продуктов Microsoft Entra Suite:

В этих руководствах описаны сценарии, показывающие значение Microsoft Entra Suite и способы совместной работы его возможностей.

Сценарий. Модернизация удаленного доступа с быстрым доступом

В этом разделе описано, как настроить продукты Microsoft Entra Suite для сценария, в котором вымышленная организация Contoso обновляет существующее VPN-решение. Новое масштабируемое облачное решение помогает им перейти к пограничной службе безопасного доступа (SASE). Для выполнения этой задачи они развертывают Интернет-доступ Microsoft Entra, Частный доступ Microsoft Entra и Защита идентификации Microsoft Entra.

Частный доступ Microsoft Entra предоставляет пользователям (в офисе или удаленном режиме) безопасный доступ к частным корпоративным ресурсам. Частный доступ Microsoft Entra строится на прокси-сервере приложения Microsoft Entra, чтобы расширить доступ к любому частному ресурсу, независимо от порта TCP/IP и протокола.

Удаленные пользователи могут подключаться к частным приложениям в гибридных и многооблачных средах, частных сетях и центрах обработки данных из любого устройства и сети, не требуя VPN-решения. Служба предлагает адаптивный доступ для каждого приложения на основе политик условного доступа (ЦС) для более детальной безопасности, чем традиционное VPN-решение.

Защита идентификации Microsoft Entra облачное управление удостоверениями и доступом (IAM) помогает защитить удостоверения пользователей и учетные данные от компрометации.

Эти высокоуровневые шаги можно реплицировать для решения Contoso, как описано в этом сценарии.

  1. Зарегистрируйтесь в Microsoft Entra Suite. Включите и настройте Microsoft Entra Internet и частный доступ к нужным параметрам сети и безопасности.
  2. Разверните клиент Microsoft Global Secure Access на пользовательских устройствах и соединителях Частный доступ Microsoft Entra в частных сетях. Включите виртуальные сети на основе мультиоблачного интернета как услуга (IaaS) для доступа к приложениям и ресурсам в сетях Contoso.
  3. Настройте частные приложения в качестве приложений Global Secure Access. Назначение соответствующих пользователей и групп. Настройте политики условного доступа для этих приложений и пользователей. С помощью этой установки вы можете обеспечить минимальный доступ, разрешая доступ только пользователям и группам, которым требуется доступ.
  4. Включите Защита идентификации Microsoft Entra, чтобы администраторы могли исследовать и устранять риски, чтобы обеспечить безопасность и безопасность организаций. Риски можно использовать в таких средствах, как условный доступ для принятия решений о доступе и обратно в средство управления безопасностью и событиями (SIEM) для расследования.
  5. Используйте расширенные журналы и аналитику из Интернет-доступ Microsoft Entra, Частный доступ Microsoft Entra и Защита идентификации Microsoft Entra для отслеживания и оценки состояния сети и безопасности. Эта конфигурация помогает команде Центра безопасности (SOC) быстро обнаруживать и проверять угрозы для предотвращения эскалации.

Решения Microsoft Entra Suite предлагают следующие преимущества по сравнению с VPN:

  • Упрощение и консолидированное управление
  • Более низкие затраты НА VPN
  • Повышение безопасности и видимости
  • Более плавное взаимодействие с пользователем и эффективность
  • Готовность к SASE

Требования к удаленному доступу с быстрым доступом

В этом разделе определяются требования к решению сценария.

Разрешения для удаленного доступа с быстрым доступом

Администраторам, взаимодействующим с функциями глобального безопасного доступа, требуются роли глобального администратора безопасного доступа и администратора приложений.

Для настройки политики условного доступа (ЦС) требуется роль администратора условного доступа или администратора безопасности. Для некоторых функций может потребоваться больше ролей.

Предварительные требования для удаленного доступа с быстрым доступом

Чтобы успешно развернуть и проверить этот сценарий, настройте следующие предварительные требования:

  1. Клиент Microsoft Entra с лицензией Microsoft Entra ID P1. Настройте идентификатор Microsoft Entra для тестирования Защита идентификации Microsoft Entra. Приобретение лицензий или получение пробных лицензий.
    • Один пользователь с по крайней мере глобальными ролями администратора безопасного доступа и администратора приложений для настройки Microsoft Security Service Edge
    • По крайней мере один тестовый пользователь клиента в клиенте
  2. Одно клиентское устройство Windows с этой конфигурацией:
    • 64-разрядная версия Windows 10/11
    • Присоединение к Microsoft Entra или гибридное присоединение
    • Подключение к Интернету и отсутствие доступа к корпоративной сети или VPN
  3. Скачайте и установите клиент глобального безопасного доступа на клиентском устройстве. В статье "Глобальный безопасный доступ" для Windows описываются предварительные требования и установка.
  4. Чтобы проверить Частный доступ Microsoft Entra, настройте сервер Windows для работы в качестве сервера ресурсов:
    • Windows Server 2012 R2 и более поздние версии
    • Общий файловый ресурс.
  5. Чтобы проверить Частный доступ Microsoft Entra, настройте сервер Windows для работы в качестве сервера соединителя:
  6. Установите подключение между сервером соединителя и сервером приложений. Подтвердите доступ к тестового приложения на сервере приложений (например, успешный доступ к общей папке).

На этой схеме показаны минимальные требования к архитектуре для развертывания и тестирования Частный доступ Microsoft Entra:

На схеме показаны требования, включающие клиент идентификатора Microsoft Entra с лицензией P1.

Настройка глобального безопасного доступа для удаленного доступа с быстрым доступом

В этом разделе мы активируем глобальный безопасный доступ через Центр администрирования Microsoft Entra. Затем мы настроим начальные конфигурации, необходимые для этого сценария.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
  2. Перейдите к началу >>, активируйте глобальный безопасный доступ в клиенте. Выберите "Активировать" , чтобы включить функции SSE.
  3. Перейдите к переадресации трафика global Secure Access>Connect>. Переключение в профиле закрытого доступа. Перенаправление трафика позволяет настроить тип сетевого трафика для туннелирования через службы пограничных решений службы безопасности Майкрософт. Настройте профили пересылки трафика для управления типами трафика.

    • Профиль доступа Microsoft 365 предназначен для Интернет-доступ Microsoft Entra для Microsoft 365.

    • Профиль закрытого доступа предназначен для Частный доступ Microsoft Entra.

    • Профиль доступа к Интернету предназначен для Интернет-доступ Microsoft Entra. Решение Microsoft Security Service Edge фиксирует трафик только на клиентских устройствах с установкой клиента Global Secure Access.

      Снимок экрана: переадресация трафика с включенным элементом управления закрытым доступом.

Установка клиента Global Secure Access для удаленного доступа с быстрым доступом

Интернет-доступ Microsoft Entra для Microsoft 365 и Частный доступ Microsoft Entra использовать клиент глобального безопасного доступа на устройствах Windows. Этот клиент получает и перенаправит сетевой трафик в решение Microsoft Security Service Edge. Выполните следующие действия по установке и настройке:

  1. Убедитесь, что устройство Windows присоединено к Microsoft Entra или присоединено к гибридному подключению.

  2. Войдите на устройство Windows с ролью пользователя Microsoft Entra с правами локального администратора.

  3. Войдите в Центр администрирования Microsoft Entra как минимум глобальный администратор безопасного доступа

  4. Перейдите к скачиванию клиента Global Secure Access>Connect>. Выберите " Скачать клиент". Завершите установку.

    Снимок экрана: скачивание клиента Windows с элементом управления

  5. На панели задач Окна клиент глобального безопасного доступа сначала отображается как отключенный. Через несколько секунд при появлении запроса на ввод учетных данных введите учетные данные тестового пользователя.

  6. На панели задач "Окно" наведите указатель мыши на значок клиента глобального безопасного доступа и проверьте состояние "Подключенный ".

Настройка сервера соединителя для удаленного доступа с быстрым доступом

Сервер соединителя взаимодействует с решением Microsoft Security Service Edge в качестве шлюза в корпоративной сети. Он использует исходящие подключения через 80 и 443 и не требует входящих портов. Узнайте, как настроить соединители для Частный доступ Microsoft Entra. Выполните следующие действия по настройке:

  1. На сервере соединителя войдите в Центр администрирования Microsoft Entra как минимум глобальный администратор безопасного доступа.

  2. Перейдите к соединителям Global Secure Access>Connect>. Выберите "Включить соединители частной сети".

    Снимок экрана: соединители частной сети с красным полем, в котором выделен элемент управления

  3. Выберите Скачать службу соединителя.

  4. Следуйте инструкциям мастера установки, чтобы установить службу соединителя на сервере соединителя. При появлении запроса введите учетные данные клиента для завершения установки.

  5. Сервер соединителя устанавливается при отображении в соединителях.

В этом сценарии мы используем группу соединителей по умолчанию с одним сервером соединителя. В рабочей среде создайте группы соединителей с несколькими серверами соединителей. Подробные рекомендации по публикации приложений в отдельных сетях с помощью групп соединителей.

Создание группы безопасности для удаленного доступа с быстрым доступом

В этом сценарии мы используем группу безопасности для назначения разрешений приложению приватного доступа и целевым политикам условного доступа.

  1. В Центре администрирования Microsoft Entra создайте новую облачную группу безопасности.
  2. Добавьте тестового пользователя в качестве члена.

Определение частного ресурса для удаленного доступа с быстрым доступом

В этом сценарии мы используем службы общей папки в качестве примера ресурса. Вы можете использовать любое частное приложение или ресурс. Необходимо знать, какие порты и протоколы приложение использует для публикации с помощью Частный доступ Microsoft Entra.

Определите сервер с общей папкой для публикации и запишите его IP-адрес. Службы общей папки используют порт 445/TCP.

Публикация приложения для удаленного доступа с быстрым доступом

Частный доступ Microsoft Entra поддерживает приложения протокола TCP, использующие любой порт. Чтобы подключиться к файлового сервера (TCP-порт 445) через Интернет, выполните следующие действия:

  1. На сервере соединителя убедитесь, что на файловом сервере можно получить доступ к общей папке.

  2. Войдите в Центр администрирования Microsoft Entra как минимум глобальный администратор безопасного доступа

  3. Перейдите к > и новым приложениям.

    Снимок экрана: корпоративные приложения с новым элементом управления приложениями.

  4. Введите имя (например, FileServer1). Выберите группу соединителей по умолчанию. Нажмите кнопку +Добавить сегмент приложения. Введите IP-адрес сервера приложений и порт 441.

    Снимок экрана: создание приложения глобального безопасного доступа, создание сегмента приложения.

  5. Нажмите кнопку "Применить>сохранение". Убедитесь, что приложение находится в корпоративных приложениях.

  6. Перейдите к приложениям Identity>Applications>Enterprise. Выберите новое приложение.

  7. Выберите Пользователи и группы Добавьте группу безопасности, созданную ранее с тестовыми пользователями, которые обращаются к этой общей папке из Интернета.

Безопасное опубликованное приложение для удаленного доступа с быстрым доступом

В этом разделе мы создадим политику условного доступа (ЦС), которая блокирует доступ к новому приложению при повышении риска пользователя.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>.
  3. Выберите Новая политика.
  4. Введите имя и выберите пользователей. Выберите пользователей и группы. Выберите созданную ранее группу безопасности.
  5. Выберите целевые приложения>и созданное ранее приложение (например, FileServer1).
  6. Выберите >>да. Выберите уровни высокого и среднего риска. Нажмите кнопку Готово.
  7. Выберите "Предоставить>доступ к блоку".>
  8. Переключение на включение политики.
  9. Проверьте настройки.
  10. Нажмите кнопку создания.

Проверка доступа к удаленному доступу с помощью быстрого доступа

В этом разделе мы проверяем, что пользователь может получить доступ к файловым серверу, пока не существует риска. Убедитесь, что доступ блокируется при обнаружении риска.

  1. Войдите на устройство, на котором ранее был установлен клиент Global Secure Access.

  2. Попробуйте получить доступ к файловом серверу, выполнив \\\IP_address , и убедитесь, что вы можете просмотреть общую папку.

    Снимок экрана: проводник Windows, показывающий подключение к общей папке.

  3. При желании имитируйте риск пользователей, выполнив инструкции по имитации обнаружения рисков в Защита идентификации Microsoft Entra. Возможно, потребуется несколько раз попытаться повысить риск пользователей до среднего или высокого уровня.

  4. Попробуйте получить доступ к файловом серверу, чтобы убедиться, что доступ заблокирован. Возможно, потребуется подождать до одного часа для принудительного применения блокировки.

  5. Убедитесь, что политика условного доступа (созданная ранее с помощью журналов входа) блокирует доступ. Откройте журналы неинтерактивного входа из клиента ZTNA Network Access — частное приложение. Просмотр журналов из имени приложения приватного доступа, созданного ранее в качестве имени ресурса.

Сценарий: модернизация удаленного доступа для каждого приложения

В этом разделе описано, как настроить продукты Microsoft Entra Suite для сценария, в котором вымышленная организация Contoso преобразует свою практику кибербезопасности. Они принимают принципы нулевого доверия, которые проверяют явно, используют наименьшие привилегии и предполагают нарушение всех приложений и ресурсов. В процессе обнаружения они определили несколько бизнес-приложений, которые не используют современную проверку подлинности и полагаются на подключение к корпоративной сети (из филиалов или удаленно с VPN).

Эти высокоуровневые шаги можно реплицировать для решения Contoso, как описано в этом сценарии.

  1. Чтобы явно проверить, настройте частный доступ Microsoft Entra ID для доступа к корпоративной сети на основе каждого приложения. Используйте унифицированный набор элементов управления доступом, предоставляемый условным доступом и Защита идентификации Microsoft Entra, чтобы предоставить доступ к корпоративной сети на основе удостоверений, конечной точки и сигнала риска о том, что они используются с Microsoft 365 и другими облачными приложениями.
  2. Чтобы обеспечить наименьшие привилегии, используйте Управление идентификацией Microsoft Entra для создания пакетов доступа для включения доступа к сети для каждого приложения вместе с приложениями, которым это требуется. Этот подход предоставляет сотрудникам доступ к корпоративной сети, согласованный со своими функциями заданий в течение жизненного цикла соединения, перемещения или выхода.

В рамках этого преобразования команды SecOps обеспечивают более широкий и более сплоченный анализ безопасности для более эффективной идентификации угроз безопасности. Это преимущества совместного использования решений:

  • Улучшенная безопасность и видимость. Применяйте детализированные и адаптивные политики доступа на основе удостоверений и контекста пользователей и устройств, а также конфиденциальности и расположения приложений и данных. Используйте обогащенные журналы и аналитику для получения аналитических сведений о безопасности сети и безопасности для обнаружения и более быстрого реагирования на угрозы.
  • Минимальный привилегированный доступ к локальным приложениям. Уменьшите доступ к корпоративной сети только тем, что требуется приложениям. Назначение и управление доступом, согласованным с функцией задания, развивается путем объединения, перемещения или выхода цикла. Такой подход снижает риск векторов атак бокового движения.
  • Повысить производительность. Согласованно обеспечить доступ к приложениям и сетям, когда пользователи присоединяются к организации, чтобы они были готовы пойти в день один. У пользователей есть правильный доступ к информации, членству в группах и приложениям, которые им нужны. Возможности самообслуживания для перемещения в организации обеспечивают отзыв доступа при выходе пользователей из организации.

Требования к удаленному доступу для каждого приложения

В этом разделе определяются требования к решению сценария.

Разрешения для удаленного доступа для каждого приложения

Администраторам, взаимодействующим с функциями глобального безопасного доступа, требуются роли глобального администратора безопасного доступа и администратора приложений.

Для настройки управления удостоверениями требуется по крайней мере роль администратора управления удостоверениями.

Лицензии на удаленный доступ для каждого приложения

Для реализации всех шагов в этом сценарии требуется глобальный безопасный доступ и Управление идентификацией Microsoft Entra лицензии. Вы можете приобрести лицензии или получить пробные лицензии. Дополнительные сведения о лицензировании Global Secure Access см. в разделе "Что такое глобальный безопасный доступ?".

Пользователи для удаленного доступа для каждого приложения

Чтобы настроить и проверить действия в этом сценарии, вам потребуются следующие пользователи:

  • Администратор Microsoft Entra с ролями, определенными в разрешениях
  • Локальный администратор Active Directory для настройки облачной синхронизации и доступа к примеру ресурса (файлового сервера)
  • Синхронизированный обычный пользователь для выполнения тестирования на клиентском устройстве

Предварительные требования для частного доступа

Чтобы успешно развернуть и проверить этот сценарий, настройте эти предварительные требования.

  1. Одно клиентское устройство Windows с этой конфигурацией:
    • 64-разрядная версия Windows 10/11
    • Присоединение к Microsoft Entra или гибридное присоединение
    • Подключение к Интернету и отсутствие доступа к корпоративной сети или VPN
  2. Скачайте и установите клиент глобального безопасного доступа на клиентском устройстве. В статье "Глобальный безопасный доступ" для Windows описываются предварительные требования и установка.
  3. Чтобы проверить Частный доступ Microsoft Entra, настройте сервер Windows для работы в качестве сервера ресурсов:
    • Windows Server 2012 R2 и более поздние версии
    • Общий файловый ресурс.
  4. Чтобы проверить Частный доступ Microsoft Entra, настройте сервер Windows для работы в качестве сервера соединителя:
  5. Установите подключение между сервером соединителя и сервером приложений. Убедитесь, что вы можете получить доступ к тестовом приложению на сервере приложений (например, успешном доступе к общей папке).

На этой схеме показаны минимальные требования к архитектуре для развертывания и тестирования Частный доступ Microsoft Entra:

На схеме показаны требования, включающие клиент идентификатора Microsoft Entra с лицензией P1.

Определение частного ресурса для удаленного доступа для каждого приложения

В этом сценарии мы используем службы общего доступа к файлам в качестве примера ресурса. Вы можете использовать любое частное приложение или ресурс. Необходимо знать, какие порты и протоколы приложение использует для публикации с помощью Частный доступ Microsoft Entra.

Определите сервер с файловой папкой, которую вы хотите опубликовать и заметить его IP-адрес. Службы общей папки используют порт 445/TCP.

Настройка глобального безопасного доступа для удаленного доступа для каждого приложения

Активируйте глобальный безопасный доступ через Центр администрирования Microsoft Entra и сделайте необходимые начальные конфигурации для этого сценария.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
  2. Перейдите к началу >>, активируйте глобальный безопасный доступ в клиенте. Выберите "Активировать" , чтобы включить функции SSE в клиенте.
  3. Перейдите к переадресации трафика глобального безопасного доступа.>> Переключение в профиле закрытого доступа. Перенаправление трафика позволяет настроить тип сетевого трафика для туннелирования через службы пограничных решений службы безопасности Майкрософт. Настройте профили пересылки трафика для управления типами трафика.

    • Профиль доступа Microsoft 365 предназначен для Интернет-доступ Microsoft Entra для Microsoft 365.

    • Профиль закрытого доступа предназначен для Частный доступ Microsoft Entra.

    • Профиль доступа к Интернету предназначен для Интернет-доступ Microsoft Entra. Решение Microsoft Security Service Edge фиксирует трафик только на клиентских устройствах с установкой клиента Global Secure Access.

      Снимок экрана: переадресация трафика с включенным элементом управления закрытым доступом.

Установка клиента Global Secure Access для удаленного доступа для каждого приложения

Интернет-доступ Microsoft Entra для Microsoft 365 и Частный доступ Microsoft Entra использовать клиент глобального безопасного доступа на устройствах Windows. Этот клиент получает и перенаправит сетевой трафик в решение Microsoft Security Service Edge. Выполните следующие действия по установке и настройке:

  1. Убедитесь, что устройство Windows является идентификатором Microsoft Entra, присоединенным или гибридным.

  2. Войдите на устройство Windows с помощью роли пользователя Идентификатора Microsoft Entra с правами локального администратора.

  3. Войдите в Центр администрирования Microsoft Entra как минимум глобальный администратор безопасного доступа

  4. Перейдите к скачиванию клиента Global Secure Access>Connect>. Выберите " Скачать клиент". Завершите установку.

    Снимок экрана: скачивание клиента Windows с элементом управления

  5. На панели задач Окна клиент глобального безопасного доступа сначала отображается как отключенный. Через несколько секунд при появлении запроса на ввод учетных данных введите учетные данные тестового пользователя.

  6. На панели задач "Окно" наведите указатель мыши на значок клиента глобального безопасного доступа и проверьте состояние "Подключенный ".

Настройка сервера соединителя для удаленного доступа для каждого приложения

Сервер соединителя взаимодействует с решением Microsoft Security Service Edge в качестве шлюза в корпоративной сети. Он использует исходящие подключения через 80 и 443 и не требует входящих портов. Узнайте, как настроить соединители для Частный доступ Microsoft Entra. Выполните следующие действия по настройке:

  1. На сервере соединителя войдите в Центр администрирования Microsoft Entra как минимум глобальный администратор безопасного доступа.

  2. Перейдите к соединителям Global Secure Access>Connect>. Выберите "Включить соединители частной сети".

    Снимок экрана: соединители частной сети с красным полем, в котором выделен элемент управления

  3. Выберите Скачать службу соединителя.

  4. Следуйте инструкциям мастера установки, чтобы установить службу соединителя на сервере соединителя. При появлении запроса введите учетные данные клиента для завершения установки.

  5. Сервер соединителя устанавливается при отображении в соединителях.

В этом сценарии мы используем группу соединителей по умолчанию с одним сервером соединителя. В рабочей среде создайте группы соединителей с несколькими серверами соединителей. Подробные рекомендации по публикации приложений в отдельных сетях с помощью групп соединителей.

Создание группы безопасности приложений приватного доступа

В этом сценарии мы используем группу безопасности для назначения разрешений приложению приватного доступа и целевым политикам условного доступа.

  1. В Центре администрирования Microsoft Entra создайте новую облачную группу безопасности.
  2. Добавьте тестового пользователя в качестве члена.

Публикация приложения для удаленного доступа для каждого приложения

Частный доступ Microsoft Entra поддерживает приложения протокола TCP, использующие любой порт. Чтобы подключиться к файлового сервера (TCP-порт 445) через Интернет, выполните следующие действия:

  1. На сервере соединителя убедитесь, что на файловом сервере можно получить доступ к общей папке.

  2. Войдите в Центр администрирования Microsoft Entra как минимум глобальный администратор безопасного доступа.

  3. Перейдите к > и новым приложениям.

    Снимок экрана: корпоративные приложения с новым элементом управления приложениями.

  4. Введите имя (например, FileServer1). Выберите группу соединителей по умолчанию. Нажмите кнопку +Добавить сегмент приложения. Введите IP-адрес сервера приложений и порт 441.

    Снимок экрана: создание приложения глобального безопасного доступа, создание сегмента приложения.

  5. Нажмите кнопку "Применить>сохранение". Убедитесь, что приложение находится в корпоративных приложениях.

  6. Перейдите к приложениям Identity>Applications>Enterprise. Выберите новое приложение.

  7. Выберите Пользователи и группы Добавьте группу безопасности, созданную ранее с тестовыми пользователями, которые обращаются к этой общей папке из Интернета.

Настройка управления доступом для удаленного доступа для каждого приложения

В этом разделе описаны действия по настройке этого решения.

Создание каталога управления правами

Выполните следующие действия, чтобы создать каталог управления правами:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

  2. Перейдите к каталогам управления правами управления>удостоверениями.>

  3. Выберите + Создать каталог.

    Снимок экрана: обзор нового доступа, корпоративные приложения, все приложения, управление удостоверениями, новый каталог.

  4. Введите уникальное имя каталога и описание. Запрашиватели видят эти сведения в сведениях пакета доступа.

  5. Чтобы создать пакеты доступа в этом каталоге для внутренних пользователей, выберите "Включено" для внешних пользователей>Нет.

    Снимок экрана: создание каталога без выбора для элемента управления

  6. В каталоге откройте каталог, в который требуется добавить ресурсы. Выберите "Ресурсы> и добавить ресурсы".

    Снимок экрана: каталог приложений, список ресурсов с элементом управления

  7. Выберите "Тип", а затем группы и группы, приложения или сайты SharePoint.

  8. Выберите и добавьте приложение (например , FileServer1) и группу безопасности (например , финансовую общую папку группы финансов), созданную ранее. Выберите Добавить.

Подготовка групп в Active Directory

Рекомендуется группировать подготовку в Active Directory с помощью Microsoft Entra Cloud Sync. Если вы используете синхронизацию подключения, переключите конфигурацию на Cloud Sync. Предварительные требования для Microsoft Entra Cloud Sync в идентификаторе Microsoft Entra ID и установка статей агента подготовки Microsoft Entra содержат подробные инструкции. Функция обратной записи группы версии 2 в Microsoft Entra Connect Sync больше не будет доступна после 30 июня 2024 г.

Выполните следующие действия, чтобы настроить синхронизацию Microsoft Entra Cloud:

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.

  2. Перейдите к синхронизации Microsoft Entra Connect>>

  3. Выберите Новая конфигурация.

  4. Выберите идентификатор Microsoft Entra в службу синхронизации AD.

    Снимок экрана: новая конфигурация, идентификатор Microsoft Entra в AD Sync.

  5. В конфигурациях выберите свой домен. При необходимости выберите включить синхронизацию хэша паролей.

  6. Нажмите кнопку создания.

    Снимок экрана: Microsoft Entra Connect, Cloud Sync, Configurations, New cloud sync configuration.

  7. Для настройки начала выберите " Добавить фильтры области" (рядом с значком "Добавить фильтры области") или фильтры области (в разделе "Управление").

  8. Выберите выбранные группы безопасности в параметре Select group(s) (Выбор групп). Выберите "Изменить объекты". Добавьте созданную ранее группу безопасности идентификатора Microsoft Entra (например , файловый ресурс группы финансов). Эта группа используется для управления доступом к локальным приложениям с помощью рабочих процессов жизненного цикла и пакетов доступа в последующих шагах.

    Снимок экрана: область групп с финансами в текстовом поле

Назначение доступа к локальному файловом серверу

  1. Создайте общую папку на выбранном файловом сервере.
  2. Назначьте разрешения на чтение группе безопасности идентификатора Microsoft Entra (например , общей папке группы финансов), подготовленной в Active Directory.

Создание пакета доступа для удаленного доступа для каждого приложения

Выполните следующие действия, чтобы создать пакет доступа в службе управления правами:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

  2. Перейдите к пакету управления правами управления>удостоверениями>.

  3. Выберите Новый пакет для доступа.

  4. Для основных сведений укажите имя пакета доступа (например , пакет доступа к финансовым приложениям). Укажите созданный ранее каталог.

  5. Для ролей ресурсов выберите ресурсы, которые вы ранее добавили (например , приложение FileServer1 и группа безопасности общей папки группы финансов).

  6. В роли выберите участника для общей папки группы финансов и пользователя для приложения FileServer1.

    Снимок экрана: список ресурсов. Красное поле подчеркивает столбец роли.

  7. Для запросов выберите "Для пользователей в каталоге". Кроме того, включите пакет доступа для гостевых пользователей (обсуждаться в отдельном сценарии).

  8. Если выбран вариант Конкретные пользователи и группы, щелкните Добавить пользователей и группы.

  9. Не выбирайте пользователя в списке "Выбор пользователей и групп". Мы протестируем пользователя, запрашивающего доступ позже.

  10. Необязательно. В разделе "Утверждение" укажите, требуется ли утверждение при запросе этого пакета доступа пользователями.

  11. Необязательно. В сведениях о запросе выберите "Вопросы". Введите вопрос, который вы хотите задать запрашивателю. Этот вопрос называется отображаемой строкой. Чтобы добавить параметры локализации, выберите "Добавить локализацию".

  12. Для жизненного цикла укажите, когда срок действия назначения пользователя пакету доступа истекает. Укажите, могут ли пользователи расширить свои назначения. Для срока действия задайте срок действия назначений пакетов Access на дату, количество дней, количество часов или никогда.

  13. Нажмите кнопку создания.

    Снимок экрана: новый пакет доступа, проверка создания с красным полем с выделением элемента управления Create.

Создание рабочих процессов жизненного цикла

В этом разделе описано, как создавать рабочие процессы соединения и оставить и запускать рабочие процессы по запросу.

Создание рабочего процесса соединения

Чтобы создать рабочий процесс соединения, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор рабочих процессов жизненного цикла.

  2. Перейдите к рабочим процессам жизненного цикла управления>удостоверениями.>

  3. Чтобы выбрать рабочий процесс, выберите "Подключить нового сотрудника".

    Снимок экрана: управление удостоверениями, рабочие процессы жизненного цикла, создание рабочего процесса, выбор рабочего процесса.

  4. В поле "Основы" введите "Onboard New hire employee" (Финансы для отображаемого имени рабочего процесса и описания). Выберите Далее.

  5. Чтобы настроить правило области>, введите значения свойств, операторов и значений. Измените выражение области на только пользователей, где отдел>имеет значениефинансов. Убедитесь, что тестовый пользователь заполняет свойство строкой Finance , чтобы она была в области рабочего процесса.

    Снимок экрана: представление правила с красным полем с выделением элемента управления

  6. В разделе "Рецензирование" выберите "Добавить задачу", чтобы добавить задачу в шаблон. В этом сценарии мы добавим назначение пакета доступа пользователей запроса.

  7. В области "Основы" выберите "Запросить назначение пакета доступа пользователей". Назначьте имя этой задаче (например , назначение пакета доступа к финансам). Выберите политику.

  8. В разделе "Настройка" выберите созданный ранее пакет доступа.

  9. Необязательно. Добавьте другие задачи соединения следующим образом. Для некоторых из этих задач убедитесь, что важные атрибуты, такие как диспетчер и электронная почта , правильно сопоставляются с пользователями, как описано в описании автоматизации задач подключения сотрудников до первого дня работы с помощью API рабочих процессов жизненного цикла.

    • Активация учетной записи пользователя
    • Добавление пользователя в группы или команды
    • Отправка приветственного сообщения по электронной почте
    • Создать TAP и отправка сообщения по электронной почте

  10. Выберите "Включить расписание".

    Снимок экрана: создание нового элемента в категории Joiner с красным полем, в котором выделен раздел

  11. Выберите Review + create (Просмотреть и создать).

Создание рабочего процесса выхода

Чтобы создать рабочий процесс выхода, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор рабочих процессов жизненного цикла.

  2. Перейдите к рабочим процессам жизненного цикла управления>удостоверениями.>

  3. На вкладке "Выбор рабочего процесса" выберите "Отключить" сотрудника.

    Снимок экрана: выбор рабочего процесса с красным полем с выделением карточки

  4. В поле "Основы" введите "Отсбор" сотрудника - Финансы в качестве отображаемого имени и описания рабочего процесса. Выберите Далее.

  5. В >" введите значения свойств, операторов и значений. Измените выражение области на только пользователей, где отдел>имеет значениефинансов. Убедитесь, что тестовый пользователь заполняет свойство строкой Finance , чтобы она была в области рабочего процесса.

    Снимок экрана: представление правила с красным полем с выделением элемента управления

  6. В разделе "Рецензирование" выберите "Добавить задачу", чтобы добавить задачу в шаблон. В этом сценарии мы добавим назначение пакета доступа пользователей запроса.

  7. Необязательный: добавьте другие задачи оставить, например:

    • Блокировка учетной записи пользователя
    • Удаление пользователя из всех групп.
    • Удаление пользователя из всех экземпляров Teams.

  8. Переключение по расписанию включения.

    Снимок экрана: создание нового элемента в категории

  9. Выберите Review + Create (Просмотреть и создать).

Примечание.

Рабочие процессы жизненного цикла выполняются автоматически на основе определенных триггеров, которые объединяют атрибуты на основе времени и значение смещения. Например, если атрибут имеет employeeHireDate значение offsetInDays -1, рабочий процесс должен активироваться за день до даты найма сотрудника. Значение может варьироваться от –180 до 180 дней. Значения employeeHireDate и employeeLeaveDateTime должны быть заданы в идентификаторе Microsoft Entra для пользователей. Синхронизация атрибутов для рабочих процессов жизненного цикла предоставляет дополнительные сведения об атрибутах и процессах .

Выполнение рабочего процесса соединения по запросу

Чтобы протестировать этот сценарий, не ожидая автоматического расписания, выполните рабочие процессы жизненного цикла по запросу.

  1. Инициируйте ранее созданный рабочий процесс соединения.

  2. Войдите в Центр администрирования Microsoft Entra как минимум администратор рабочих процессов жизненного цикла.

  3. Перейдите к рабочим процессам жизненного цикла управления>удостоверениями.>

  4. В рабочем процессе выберите "Подключить нового сотрудника" — финансы , созданные ранее.

  5. Выберите "Выполнить по запросу".

  6. На вкладке "Выбор пользователей" выберите "Добавить пользователей".

  7. При добавлении пользователей выберите пользователей, для которых требуется запустить рабочий процесс по запросу.

  8. Выберите Добавить.

  9. Подтвердите выбор. Выберите Запуск рабочего процесса.

  10. Выберите журнал рабочих процессов, чтобы проверить состояние задачи.

    Снимок экрана: журнал рабочего процесса, сводка пользователей с состоянием задачи.

  11. После завершения всех задач убедитесь, что у пользователя есть доступ к приложениям, выбранным в пакете доступа. На этом шаге выполняется сценарий соединения для пользователя, чтобы получить доступ к необходимым приложениям на один день.

Проверка доступа к удаленному доступу для каждого приложения

В этом разделе мы имитируем нового члена группы финансов, присоединяющегося к организации. Мы автоматически назначаем пользователю доступ к общей папке Группы финансов и удаленному доступу к файловом серверу с Частный доступ Microsoft Entra.

В этом разделе описываются параметры проверки доступа к назначенным ресурсам.

Проверка назначения пакета доступа

Чтобы проверить состояние назначения пакета доступа, выполните следующие действия.

  1. Войдите в myaccess.microsoft.comкачестве пользователя.

  2. Выберите пакеты Access, активная, чтобы просмотреть пакет доступа (например, пакет доступа к финансам), который вы ранее запросили.

    Снимок экрана:

Проверка доступа к приложению

Чтобы проверить доступ к приложению, выполните следующие действия.

  1. Войдите в myaccess.microsoft.comкачестве пользователя.

  2. В списке приложений найдите и получите доступ к созданному ранее приложению (например , финансовому приложению).

    Снимок экрана: Мои приложения, финансы приложений.

Проверка членства в группе

Чтобы проверить членство в группе, выполните следующие действия.

  1. Войдите в myaccess.microsoft.comкачестве пользователя.

  2. Выберите группы, в которые я вхожу. Проверьте членство в созданной ранее группе (например , финансовая учетная запись).

    Снимок экрана:

Проверка членства в Teams

Чтобы проверить членство в Teams, выполните следующие действия.

  1. Войдите в Teams от имени пользователя.

  2. Проверьте членство в созданной ранее команде (например , финансовая учетная запись).

    Снимок экрана: Teams с финансовым учетом в командах.

Проверка удаленного доступа

Чтобы проверить доступ пользователей к файловом серверу, выполните следующие действия.

  1. Войдите на устройство, на котором установлен клиент Global Secure Access.

  2. Запустите \\\IP_address и проверьте доступ к общей папке.

    Снимок экрана: проводник Windows, показывающий подключение к общей папке.

Выполнение рабочего процесса выхода по запросу

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор рабочих процессов жизненного цикла.

  2. Перейдите к рабочим процессам жизненного цикла управления>удостоверениями.>

  3. В рабочих процессах выберите рабочий процесс offboard сотрудника — финансовый рабочий процесс, созданный на этапах выхода.

  4. Выберите "Выполнить по запросу".

  5. На вкладке "Выбор пользователей" выберите "Добавить пользователей".

  6. При добавлении пользователей выберите пользователей, для которых требуется запустить рабочий процесс по запросу.

  7. Выберите Добавить.

  8. Подтвердите выбранные параметры и выберите Запустить рабочий процесс.

  9. Выберите журнал рабочих процессов, чтобы проверить состояние задачи.

    Снимок экрана: отключение сотрудника, действия с красным полем, в котором выделен элемент управления журналом рабочих процессов, в котором отображается сводка

  10. После завершения всех задач убедитесь, что пользователь удаляется из всех приложений, выбранных в пакете доступа.

Проверка удаления доступа

После выполнения рабочего процесса выхода подтвердите удаление доступа пользователей к финансовым приложениям, финансовой группе, сайтам SharePoint и общим папкам, повторяя действия в разделах "Проверка доступа к приложению" и "Проверка удаленного доступа ". Этот шаг обеспечивает тщательную проверку того, что пользователь не может получить доступ к этим ресурсам.

Связанный контент