Обнаружение приложений (предварительная версия) для глобального безопасного доступа

Важный

Обнаружение приложений в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.

Обнаружение приложений позволяет администраторам получать исчерпывающую информацию об использовании приложений в корпоративной сети. Определяя доступ к приложениям и которым администраторы могут создавать частные приложения с точной сегментацией и минимальным доступом к привилегиям, что сводит к минимуму ненужный доступ.

С помощью быстрого доступа вы можете быстро внедриться в систему частного доступа, публикуя широкие диапазоны IP-адресов и маскированные полные доменные имена (FQDN), как и в традиционных VPN-решениях. Затем вы можете перейти от быстрого доступа к публикации в каждом приложении для улучшения контроля и детализации каждого приложения. Например, можно создать политику условного доступа и задать назначения пользователей для каждого приложения.

В этой статье описывается процесс обнаружения приложений для определения доступа пользователей приложений (через быстрый доступ) и создания отдельных частных приложений.

Необходимые условия

• Клиент Microsoft Entra, подключенный к Microsoft Entra Private Access.
• Клиент Microsoft Entra, настроенный с функцией быстрого доступа.
• Устройство, настроенное с помощью клиента Глобального безопасного доступа (Windows, macOS, Android, iOS).

Обнаружение приложений

Чтобы просмотреть список всех сегментов приложений в быстром доступе, к которым пользователи обращаются через клиент Global Secure Access за последние 30 дней:

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
2. Перейдите в Глобальный безопасный доступ>приложения>обнаружение приложений.

По умолчанию в представлении "Обнаружение приложений" сегменты приложений сортируются в порядке убывания по количеству пользователей. Этот порядок сортировки по умолчанию перемещает наиболее часто используемые сегменты приложений в верхнюю часть списка, что делает их более видимыми для администратора.

Администратор может настроить диапазон времени, добавить другие фильтры и отсортировать сегменты приложения в соответствии с каждым из столбцов. Администратор также может фильтровать по пользователю, чтобы просмотреть список сегментов приложений, полученных конкретным пользователем. В поле поиска администратор может фильтровать по полностью квалифицированному доменному имени (FQDN), IP-адресу и адресу порта.

Для каждого сегмента приложения доступны следующие столбцы:

• полное доменное имя назначения: полное доменное имя сегмента приложения.
• IP-адрес назначения: IP-адрес сегмента приложения.
• транспортный протокол: транспортный протокол сегмента приложения. В настоящее время частный доступ поддерживает протоколы TCP и UDP.
• порт назначения: порт сегмента приложения.
• пользователи: количество пользователей, которые получили доступ к сегменту приложения.
• транзакции: количество транзакций (подключений) к сегменту приложения.
• устройства — количество устройств, которые использовались для доступа к сегменту приложения.
• отправленных байтов: общее количество байтов данных, отправленных устройством пользователя в сегмент приложения.
• полученные байты: общее количество байтов данных, полученных устройством пользователя из сегмента приложения.
• Последний доступ: последнее время в диапазоне, когда был доступ к сегменту приложения.
• Первый доступ: первый раз в диапазоне времени, когда был доступ к сегменту приложения.

Создание нового приложения

Используйте обнаружение приложений для создания новых приложений идентификатора Microsoft Entra на основе обнаруженных сегментов приложений основной таблицы. Чтобы добавить сегмент приложения в новое приложение, выполните следующие действия.

1. В списке обнаружения приложений выберите один или несколько сегментов приложений, соответствующих создаваемому приложению.
   1. Часто одно приложение использует один сегмент приложения. Например:
      • Файловый сервер, например filesrv.contoso.com, TCP, 445.
      • Портал, например, internalportal.contoso.com, TCP, 443.
   2. Однако иногда одно приложение использует несколько портов, протоколов или диапазонов между несколькими серверами (FQDN/IP-адреса). В этом случае можно выбрать несколько сегментов приложений и даже добавить другие вручную. Например:
      • Публикация служб ADDS на определенном сайте AD: dc1.contoso.com и dc2.contoso.com, TCP, 88, 135, 137, 138, 389, 445, 464, 636, 3268, 3269 и фиксированный высокий порт для netlogon dc1.contoso.com и dc2.contoso.com, UDP, 88, 123, 389, 464.
   3. Полный список портов ADDS см. в разделе Как настроить брандмауэр для доменов Active Directory и доверенных отношений.
2. Выберите Добавить в новое приложение. Откроется экран Create Global Secure Access, в котором отображаются выбранные сегменты приложения.
   1. Дайте приложению имя и выберите соответствующую группу соединителей .
   2. Вы также можете добавлять или удалять сегменты приложений вручную.
   3. Чтобы применить изменения, выберите Сохранить.
3. Включите доступ для соответствующих пользователей, изменив пользователей и группы, назначенные новому приложению.
   1. Вы должны точно настроить задания после создания приложения. Таким образом, список содержит только группы пользователей, которым требуется доступ к новому приложению, в соответствии с принципом наименьших привилегий.
   2. Для корпоративных приложений:
      1. Перейдите к глобальному безопасному доступу,>приложениям,>корпоративным приложениям,>пользователям и группам.
      2. Выберите созданное приложение.
      3. При необходимости измените назначения пользователей и групп.

Важный

Глобальный безопасный доступ приоритизирует трафик для индивидуально определённых приложений выше, чем для быстрого доступа. Это означает, что после перемещения сегмента приложения из быстрого доступа к конкретному приложению Глобального безопасного доступа все трафик, перенаправленный в этот сегмент приложения, будет перенаправлен в соответствии с конфигурацией приложения. Трафик к новому приложению не будет направляться через быстрый доступ, даже если сегмент приложения может сохраняться в пределах диапазонов, определенных кратким доступом. В результате, чтобы избежать нарушения работы сервисов, новые приложения, создаваемые с помощью идентификации приложений, перенимают всех назначенных пользователей и группы из функции быстрого доступа на момент их создания. После проверки нового приложения необходимо переопределить разрешения приложения только тем пользователям, которые должны подключаться к сегментам приложения, определенным в нем.

4. (Необязательно) Для дополнительной безопасности можно задать политики условного доступа в соответствии с политиками безопасности вашей компании. Например, может потребоваться многофакторная проверка подлинности (MFA) и соответствие устройств при доступе пользователей к критическому приложению.

Заметка

Сегменты приложений сохраняются в главной таблице обнаружения приложений даже после создания приложения, пока пользователь не войдет в новое приложение и не обращается к ресурсу. В будущем основная таблица обнаружения приложений будет обновляться независимо от взаимодействия с пользователем.

Добавление в существующее приложение

Обнаружение приложений можно использовать для добавления сегментов приложений в существующее частное приложение. Чтобы добавить сегмент приложения в существующее приложение, выполните следующие действия.

1. В списке обнаружения приложений выберите один или несколько сегментов приложения.
2. Выберите Добавить в существующее приложение.
3. Выберите существующее частное приложение, в которое вы хотите добавить сегменты. Откроется экран приложения Edit Global Secure Access, где отображаются свойства существующего приложения, выбранные сегменты приложения (с состоянием ожидание), а также все ранее настроенные сегменты приложения (с состоянием успешно).
4. Просмотрите конфигурацию, имя, группу соединителей и сегменты приложений, и внесите необходимые изменения.
5. Чтобы применить изменения, выберите Сохранить.

Просмотр сведений о сегменте приложения

Прежде чем приступить к созданию частного приложения, вам может потребоваться просмотреть другие сведения о сегменте приложения.

1. В таблице обнаружения приложений выберите полное доменное имя назначения или IP-адрес назначения назначения для сегмента приложения, который вы хотите изучить.
2. Вкладка использования по умолчанию показывает график изменения числа пользователей со временем. График можно задать для отображения распределения транзакций, устройств, байтов, отправленных, и байтов, полученных с течением времени. Вы также можете изменить диапазон времени, изменив параметр Timespan.
3. На вкладке "Пользователи" отображается список пользователей, которые обращаются к выбранному сегменту приложения за последние 30 дней.
   

Важный

Используйте список пользователей, чтобы сообщить о принятых решениях относительно пользователей и групп, которые планируется назначить приложению Entra после подключения выбранного сегмента приложения.

Связанное содержимое

• Настройка быстрого доступа для глобального безопасного доступа