Управление профилем пересылки трафика приватного доступа

Трафик перенаправления частного доступа направляет трафик в частную сеть через глобальный клиент безопасного доступа. Включение этого профиля пересылки трафика позволяет удаленным работникам подключаться к внутренним ресурсам без VPN. С помощью функций Частный доступ Microsoft Entra вы можете контролировать, какие частные ресурсы можно туннелировать через службу и применять политики условного доступа для защиты доступа к этим службам. После того как конфигурации будут установлены, вы можете просматривать и управлять всеми этими конфигурациями из одного места.

Необходимые компоненты

Чтобы включить профиль пересылки приватного доступа для клиента, необходимо:

• Роль глобального администратора безопасного доступа в идентификаторе Microsoft Entra.
  • Роль администратора условного доступа для создания и взаимодействия с политиками условного доступа.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Известные ограничения

• В настоящее время трафик частного доступа можно получить только с помощью глобального клиента безопасного доступа. Не удается получить трафик частного доступа из удаленных сетей.
• Туннельный трафик к назначениям частного доступа по IP-адресу поддерживается только для диапазонов IP-адресов за пределами локальной подсети устройства конечного пользователя.
• Необходимо отключить DNS по протоколу HTTPS (Secure DNS) для туннелирования сетевого трафика в соответствии с правилами полных доменных имен (FQDN) в профиле пересылки трафика.

Включение профиля пересылки трафика приватного доступа

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
2. Перейдите к переадресации трафика global Secure Access>Connect>.
3. Установите флажок для профиля закрытого доступа.

Политики частного доступа

Чтобы включить профиль пересылки трафика частного доступа, рекомендуется сначала настроить быстрый доступ. Быстрый доступ включает IP-адреса, диапазоны IP-адресов и полные доменные имена (FQDN) для частных ресурсов, которые необходимо включить в политику. Дополнительные сведения см. в разделе "Настройка быстрого доступа".

Вы также можете настроить доступ к частным ресурсам для каждого приложения, создав приложение Private Access. Аналогично быстрому доступу, вы создаете новое корпоративное приложение, которое затем может быть назначено профилю пересылки трафика приватного доступа. Быстрый доступ содержит основную группу частных ресурсов, которые вы всегда хотите маршрутизировать через службу. Приложения частного доступа могут быть включены и отключены по мере необходимости, не затрагивая полные доменные имена и IP-адреса, включенные в быстрый доступ.

Чтобы управлять сведениями, включенными в политику пересылки трафика приватного доступа, выберите ссылку "Вид " для политик частного доступа.

Отображаются сведения о быстрых и корпоративных приложениях для частного доступа. Выберите ссылку для приложения, чтобы просмотреть сведения из области корпоративных приложений идентификатора Microsoft Entra ID.

Связанные политики условного доступа

Политики условного доступа для частного доступа настраиваются на уровне приложения для каждого приложения. Политики условного доступа можно создавать и применять к приложению из двух мест:

• Перейдите к приложениям> Global Secure Access>Enterprise. Выберите приложение и выберите условный доступ в боковом меню.
• Перейдите к политикам условного доступа>защиты>. Выберите и создайте новую политику.

Дополнительные сведения см. в статье "Применение политик условного доступа к приложениям приватного доступа".

Назначения пользователей и групп

Профиль закрытого доступа можно ограничить определенными пользователями и группами. Пользователям и группам необходимо назначить как приложения частного доступа, так и профиль пересылки трафика.

Дополнительные сведения о назначении пользователей и групп см. в статье "Назначение пользователей и групп" и управление ими с помощью профилей пересылки трафика.

Следующие шаги

Следующим шагом для начала работы с Интернет-доступ Microsoft Entra является установка и настройка клиента глобального безопасного доступа на устройствах конечных пользователей.

Дополнительные сведения о частном доступе см. в следующих статьях:

• Сведения о переадресации трафика
• Настройка быстрого доступа