Dela via

Microsoft Entra-distributionsscenario – Modernisera fjärråtkomst till lokala appar med MFA per app

  • Artikel

Distributionsscenarierna i Microsoft Entra ger detaljerad vägledning om hur du kombinerar och testar dessa Microsoft Entra Suite-produkter:

I de här guiderna beskriver vi scenarier som visar värdet för Microsoft Entra Suite och hur dess funktioner fungerar tillsammans.

Scenario: Modernisera fjärråtkomst med snabb åtkomst

I det här avsnittet beskriver vi hur du konfigurerar Microsoft Entra Suite-produkter för ett scenario där den fiktiva organisationen Contoso uppgraderar sin befintliga VPN-lösning. Den nya, skalbara molnbaserade lösningen hjälper dem att gå mot SASE (Secure Access Service Edge). För att uppnå det här målet distribuerar de Microsoft Entra internetåtkomst, Microsoft Entra privatåtkomst och Microsoft Entra ID Protection.

Microsoft Entra privatåtkomst ger användare (oavsett om de arbetar på ett kontor eller på distans) säker åtkomst till privata företagsresurser. Microsoft Entra privatåtkomst bygger på Microsoft Entra-programproxyn för att utöka åtkomsten till alla privata resurser, oberoende av TCP/IP-port och protokoll.

Fjärranvändare kan ansluta till privata appar i hybrid- och multimolnsmiljöer, privata nätverk och datacenter från valfri enhet och nätverk utan att kräva en VPN-lösning. Tjänsten erbjuder anpassningsbar åtkomst per app baserat på principer för villkorsstyrd åtkomst (CA) för mer detaljerad säkerhet än en traditionell VPN-lösning.

Microsoft Entra ID Protection molnbaserad identitets- och åtkomsthantering (IAM) hjälper till att skydda användaridentiteter och autentiseringsuppgifter från att komprometteras.

Du kan replikera de här stegen på hög nivå för Contoso-lösningen enligt beskrivningen i det här scenariot.

  1. Registrera dig för Microsoft Entra Suite. Aktivera och konfigurera Microsoft Entra Internet och privat åtkomst till önskade nätverks- och säkerhetsinställningar.
  2. Distribuera Microsoft Global Secure Access-klienten på användarenheter och Microsoft Entra privatåtkomst anslutningsappar i privata nätverk. Inkludera IaaS-baserade virtuella nätverk (Internet-as-a-Service) för flera moln för att få åtkomst till appar och resurser i Contoso-nätverk.
  3. Konfigurera privata appar som globala appar för säker åtkomst. Tilldela lämpliga användare och grupper. Konfigurera principer för villkorlig åtkomst för dessa appar och användare. Med den här konfigurationen kan du uppnå minsta möjliga åtkomst genom att endast tillåta åtkomst till användare och grupper som kräver åtkomst.
  4. Aktivera Microsoft Entra ID Protection så att administratörer kan undersöka och åtgärda risker för att skydda organisationer. Risker kan matas in i verktyg som villkorsstyrd åtkomst för att fatta åtkomstbeslut och matas tillbaka till ett SIEM-verktyg (säkerhetsinformation och händelsehantering) för undersökning.
  5. Använd förbättrade loggar och analyser från Microsoft Entra internetåtkomst, Microsoft Entra privatåtkomst och Microsoft Entra ID Protection för att spåra och utvärdera nätverks- och säkerhetsstatus. Den här konfigurationen hjälper ditt SOC-team (Security Operations Center) att snabbt identifiera och undersöka hot för att förhindra eskalering.

Microsoft Entra Suite-lösningar erbjuder följande fördelar jämfört med VPN:

  • Enklare och konsoliderad hantering
  • Lägre VPN-kostnader
  • Bättre säkerhet och synlighet
  • Smidigare användarupplevelse och effektivitet
  • Beredskap för SASE

Krav för fjärråtkomst med snabb åtkomst

Det här avsnittet definierar kraven för scenariots lösning.

Behörigheter för fjärråtkomst med snabb åtkomst

Administratörer som interagerar med globala funktioner för säker åtkomst kräver rollerna Global administratör för säker åtkomst och programadministratör.

Konfiguration av principer för villkorlig åtkomst (CA) kräver rollen Administratör för villkorsstyrd åtkomst eller säkerhetsadministratör. Vissa funktioner kan kräva fler roller.

Krav för fjärråtkomst med snabb åtkomst

Konfigurera följande förutsättningar för att distribuera och testa det här scenariot:

  1. Microsoft Entra-klientorganisation med Microsoft Entra ID P1-licens. Konfigurera Microsoft Entra-ID för att testa Microsoft Entra ID Protection. Köp licenser eller skaffa utvärderingslicenser.
    • En användare med minst rollen Global administratör för säker åtkomst och programadministratör för att konfigurera Microsofts Security Service Edge
    • Minst en klienttestanvändare i din klientorganisation
  2. En Windows-klientenhet med den här konfigurationen:
    • Windows 10/11 64-bitarsversion
    • Microsoft Entra-ansluten eller hybridanslutning
    • Internetansluten och ingen företagsnätverksåtkomst eller VPN
  3. Ladda ned och installera Global Secure Access Client på klientenheten. I artikeln Global Secure Access Client for Windows beskrivs förutsättningar och installation.
  4. Om du vill testa Microsoft Entra privatåtkomst konfigurerar du en Windows-server så att den fungerar som resursserver:
    • Windows Server 2012 R2 eller senare
    • En filresurs
  5. Om du vill testa Microsoft Entra privatåtkomst konfigurerar du en Windows-server så att den fungerar som anslutningsserver:
  6. Upprätta anslutning mellan anslutningsservern och programservern. Bekräfta åtkomsten till testprogrammet på programservern (till exempel lyckad filresursåtkomst).

Det här diagrammet illustrerar minimikraven för arkitektur för att distribuera och testa Microsoft Entra privatåtkomst:

Diagram visar krav som inkluderar Microsoft Entra ID-klientorganisation med P1-licens.

Konfigurera global säker åtkomst för fjärråtkomst med snabb åtkomst

I det här avsnittet aktiverar vi global säker åtkomst via administrationscentret för Microsoft Entra. Sedan konfigurerar vi de inledande konfigurationer som krävs i det här scenariot.

  1. Logga in på administrationscentret för Microsoft Entra som global administratör.
  2. Bläddra till Global säker åtkomst> Kom igång> Aktivera global säker åtkomst i din klientorganisation. Välj Aktivera för att aktivera SSE-funktioner.
  3. Bläddra till Global vidarebefordran av säker åtkomstanslutningstrafik> Växla på Profil för privat åtkomst. Med vidarebefordran av trafik kan du konfigurera typen av nätverkstrafik till tunnel via Microsofts Security Service Edge Solution-tjänster. Konfigurera profiler för trafikvidarebefordring för att hantera trafiktyper.

    • Microsoft 365-åtkomstprofilen är avsedd för Microsoft Entra internetåtkomst för Microsoft 365.

    • Profilen Privat åtkomst är för Microsoft Entra privatåtkomst.

    • Internetåtkomstprofilen är avsedd för Microsoft Entra internetåtkomst. Microsofts Security Service Edge-lösning samlar bara in trafik på klientenheter med global säker åtkomstklientinstallation.

      Skärmbild av trafikvidarebefordring som visar aktiverad profilkontroll för privat åtkomst.

Installera Global Secure Access-klienten för fjärråtkomst med snabb åtkomst

Microsoft Entra internetåtkomst för Microsoft 365 och Microsoft Entra privatåtkomst använda Global Secure Access-klienten på Windows-enheter. Den här klienten hämtar och vidarebefordrar nätverkstrafik till Microsofts Security Service Edge-lösning. Slutför de här installations- och konfigurationsstegen:

  1. Kontrollera att Windows-enheten är Microsoft Entra-ansluten eller hybridanslutning.

  2. Logga in på Windows-enheten med en Microsoft Entra-användarroll med lokal administratörsbehörighet.

  3. Logga in på administrationscentret för Microsoft Entra som minst global administratör för säker åtkomst

  4. Bläddra till Global Secure Access>Connect-klientnedladdning.> Välj Ladda ned klient. Slutför installationen.

    Skärmbild av klientnedladdning som visar windows-nedladdningsklientkontrollen.

  5. I aktivitetsfältet Fönster visas den globala säkra åtkomstklienten först som frånkopplad. Efter några sekunder anger du testanvändarens autentiseringsuppgifter när du uppmanas att ange autentiseringsuppgifter.

  6. Hovra över ikonen Global säker åtkomstklient i aktivitetsfältet Fönster och kontrollera Ansluten status.

Konfigurera anslutningsserver för fjärråtkomst med snabb åtkomst

Anslutningsservern kommunicerar med Microsofts Security Service Edge-lösning som gateway till företagsnätverket. Den använder utgående anslutningar via 80 och 443 och kräver inte inkommande portar. Lär dig hur du konfigurerar anslutningsappar för Microsoft Entra privatåtkomst. Slutför de här konfigurationsstegen:

  1. Logga in på administrationscentret för Microsoft Entra på anslutningsservern som minst global administratör för säker åtkomst.

  2. Bläddra till Globala anslutningsappar för säker åtkomstanslutning>>. Välj Aktivera privata nätverksanslutningar.

    Skärmbild av privata nätverksanslutningar med en röd ruta som markerar kontrollen Aktivera privata nätverksanslutningar.

  3. Välj Ladda ned anslutningstjänsten.

  4. Följ installationsguiden för att installera anslutningstjänsten på anslutningsservern. När du uppmanas till det anger du autentiseringsuppgifter för klientorganisationen för att slutföra installationen.

  5. Anslutningsservern installeras när den visas i Anslutningsappar.

I det här scenariot använder vi standardanslutningsgruppen med en anslutningsserver. I en produktionsmiljö skapar du anslutningsgrupper med flera anslutningsservrar. Se detaljerad vägledning för att publicera appar i separata nätverk med hjälp av anslutningsgrupper.

Skapa säkerhetsgrupp för fjärråtkomst med snabb åtkomst

I det här scenariot använder vi en säkerhetsgrupp för att tilldela behörigheter till programmet för privat åtkomst och för att rikta in oss på principer för villkorsstyrd åtkomst.

  1. I administrationscentret för Microsoft Entra skapar du en ny molnbaserad säkerhetsgrupp.
  2. Lägg till testanvändare som medlem.

Fastställa en privat resurs för fjärråtkomst med snabb åtkomst

I det här scenariot använder vi filresurstjänster som en exempelresurs. Du kan använda alla privata program eller resurser. Du behöver veta vilka portar och protokoll som programmet använder för att publicera det med Microsoft Entra privatåtkomst.

Identifiera en server med en filresurs för att publicera och anteckna dess IP-adress. Filresurstjänster använder port 445/TCP.

Publicera program för fjärråtkomst med snabb åtkomst

Microsoft Entra privatåtkomst stöder TCP-program (Transmission Control Protocol) med valfri port. Utför följande steg för att ansluta till filservern (TCP-port 445) via Internet:

  1. Kontrollera att du har åtkomst till en filresurs på filservern från anslutningsservern.

  2. Logga in på administrationscentret för Microsoft Entra som minst global administratör för säker åtkomst

  3. Bläddra till Globala program för >+ Nytt program.

    Skärmbild av Företagsprogram som visar Ny programkontroll.

  4. Ange ett namn (till exempel FileServer1). Välj standardanslutningsgruppen. Välj +Lägg till programsegment. Ange IP-adressen för programservern och port 441.

    Skärmbild av Skapa globalt program för säker åtkomst, Skapa programsegment.

  5. Välj Använd>Spara. Kontrollera att programmet finns i Företagsprogram.

  6. Gå till Identity>Applications Enterprise-program.> Välj det nya programmet.

  7. Välj Användare och grupper. Lägg till säkerhetsgruppen som du skapade tidigare med testanvändare som har åtkomst till den här filresursen från Internet.

Skydda publicerat program för fjärråtkomst med snabb åtkomst

I det här avsnittet skapar vi en princip för villkorlig åtkomst (CA) som blockerar åtkomsten till det nya programmet när en användares risk är förhöjd.

  1. Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.
  2. Bläddra till Skyddsprinciper>villkorsstyrd åtkomst.>
  3. Välj Ny princip.
  4. Ange ett namn och välj användare. Välj användare och grupper. Välj den säkerhetsgrupp som du skapade tidigare.
  5. Välj Målresurser>Appar och det program som du skapade tidigare (till exempel FileServer1).
  6. Välj Villkor>Användarrisk>Konfigurera>Ja. Välj Hög och Medelhög risknivå. Välj Klar.
  7. Välj Bevilja>blockeraåtkomst>Välj.
  8. Växla på Aktivera princip.
  9. Granska dina inställningar.
  10. Välj Skapa.

Verifiera åtkomst för fjärråtkomst med snabb åtkomst

I det här avsnittet kontrollerar vi att användaren kan komma åt filservern medan det inte finns någon risk. Bekräfta att åtkomsten blockeras när risken identifieras.

  1. Logga in på den enhet där du tidigare installerade Global Secure Access-klienten.

  2. Försök att komma åt filservern genom att köra \\\IP_address och kontrollera att du kan bläddra i filresursen.

    Skärmbild av Utforskaren som visar anslutningen till filresursen.

  3. Om du vill kan du simulera användarrisken genom att följa anvisningarna i Simulera riskidentifieringar i Microsoft Entra ID Protection. Du kan behöva prova flera gånger för att öka användarrisken till medelhög eller hög.

  4. Försök att komma åt filservern för att bekräfta att åtkomsten är blockerad. Du kan behöva vänta upp till en timme för blockering.

  5. Kontrollera att principen för villkorsstyrd åtkomst (som du skapade tidigare med inloggningsloggar) blockerar åtkomsten. Öppna icke-interaktiva inloggningsloggar från ZTNA Network Access Client – Privat program. Visa loggar från namnet på det privata åtkomstprogrammet som du skapade tidigare som resursnamn.

Scenario: Modernisera fjärråtkomst per app

I det här avsnittet beskriver vi hur du konfigurerar Microsoft Entra Suite-produkter för ett scenario där den fiktiva organisationen Contoso omvandlar sin cybersäkerhetspraxis. De tillämpar noll förtroendeprinciper som uttryckligen verifierar, använder minst behörighet och förutsätter intrång i alla program och resurser. I identifieringsprocessen identifierade de flera affärsprogram som inte använder modern autentisering och förlitar sig på anslutning till företagsnätverket (antingen från sina avdelningskontor eller via en fjärranslutning med VPN).

Du kan replikera de här stegen på hög nivå för Contoso-lösningen enligt beskrivningen i det här scenariot.

  1. Om du vill verifiera uttryckligen konfigurerar du Privat åtkomst för Microsoft Entra-ID för åtkomst till företagsnätverket per program. Använd den enhetliga uppsättningen åtkomstkontroller som tillhandahålls av villkorsstyrd åtkomst och Microsoft Entra ID Protection för att ge åtkomst till företagsnätverket baserat på identitet, slutpunkt och risksignal som de använder med Microsoft 365 och andra molnprogram.
  2. Använd Microsoft Entra ID Governance för att skapa åtkomstpaket för att inkludera nätverksåtkomst per app tillsammans med de program som kräver det för att framtvinga lägsta behörighet. Den här metoden ger företagets nätverksåtkomst till anställda som är anpassade till deras jobbfunktioner i hela livscykeln för joiner/mover/leaver.

Som en del av den här omvandlingen uppnår SecOps-teamen rikare och mer sammanhängande säkerhetsanalyser för att bättre identifiera säkerhetshot. Det här är fördelarna med att använda lösningarna tillsammans:

  • Förbättrad säkerhet och synlighet. Tillämpa detaljerade och anpassningsbara åtkomstprinciper baserat på identitet och kontext för användare och enheter samt program- och datakänslighet och plats. Använd berikade loggar och analyser för att få insikter om nätverks- och säkerhetsstatus för att identifiera och snabbare svara på hot.
  • Minst behörighet till lokala program. Minska åtkomsten till företagsnätverket endast till vad programmen kräver. Tilldela och styra åtkomst i linje med jobbfunktionen utvecklas genom kopplings-/movers/leavers-cykeln. Den här metoden minskar risken för laterala attackvektorer.
  • Öka produktiviteten. Ge åtkomst till program och nätverk samtidigt när användarna ansluter till organisationen så att de är redo att gå på dag ett. Användarna har rätt åtkomst till information, gruppmedlemskap och program som de behöver. Självbetjäningsfunktioner för movers inom organisationen säkerställer åtkomståterkallelse när användare lämnar organisationen.

Krav för fjärråtkomst per app

Det här avsnittet definierar kraven för scenariots lösning.

Behörigheter för fjärråtkomst per app

Administratörer som interagerar med globala funktioner för säker åtkomst kräver rollerna Global administratör för säker åtkomst och programadministratör.

Konfiguration av identitetsstyrning kräver minst rollen Identitetsstyrningsadministratör.

Licenser för fjärråtkomst per app

För att implementera alla steg i det här scenariot behöver du licenser för global säker åtkomst och Microsoft Entra ID-styrning. Du kan köpa licenser eller skaffa utvärderingslicenser. Mer information om global licensiering för säker åtkomst finns i avsnittet om licensiering i Vad är global säker åtkomst?.

Användare för fjärråtkomst per app

För att konfigurera och testa stegen i det här scenariot behöver du följande användare:

  • Microsoft Entra-administratör med de roller som definierats i Behörigheter
  • Lokal Active Directory-administratör för att konfigurera Cloud Sync och åtkomst till exempelresursen (filservern)
  • En synkroniserad vanlig användare för att utföra testning på en klientenhet

Krav för privat åtkomst

Konfigurera dessa förutsättningar för att distribuera och testa det här scenariot.

  1. En Windows-klientenhet med den här konfigurationen:
    • Windows 10/11 64-bitarsversion
    • Microsoft Entra-ansluten eller hybridanslutning
    • Internetansluten och ingen företagsnätverksåtkomst eller VPN
  2. Ladda ned och installera den globala klienten för säker åtkomst på klientenheten. I artikeln Global Secure Access Client for Windows beskrivs förutsättningar och installation.
  3. Om du vill testa Microsoft Entra privatåtkomst konfigurerar du en Windows-server så att den fungerar som resursserver:
    • Windows Server 2012 R2 eller senare
    • En filresurs
  4. Om du vill testa Microsoft Entra privatåtkomst konfigurerar du en Windows-server så att den fungerar som anslutningsserver:
  5. Upprätta anslutning mellan anslutningsservern och programservern. Bekräfta att du har åtkomst till testprogrammet på programservern (till exempel lyckad filresursåtkomst).

Det här diagrammet illustrerar minimikraven för arkitektur för att distribuera och testa Microsoft Entra privatåtkomst:

Diagram visar krav som inkluderar Microsoft Entra ID-klientorganisation med P1-licens.

Fastställa privat resurs för fjärråtkomst per app

I det här scenariot använder vi fildelningstjänster som en exempelresurs. Du kan använda alla privata program eller resurser. Du behöver veta vilka portar och protokoll som programmet använder för att publicera det med Microsoft Entra privatåtkomst.

Identifiera en server med en filresurs som du vill publicera och anteckna dess IP-adress. Filresurstjänster använder port 445/TCP.

Konfigurera global säker åtkomst för fjärråtkomst per app

Aktivera global säker åtkomst via administrationscentret för Microsoft Entra och gör nödvändiga inledande konfigurationer för det här scenariot.

  1. Logga in på administrationscentret för Microsoft Entra som global administratör.
  2. Bläddra till Global säker åtkomst> Kom igång> Aktivera global säker åtkomst i din klientorganisation. Välj Aktivera för att aktivera SSE-funktioner i din klientorganisation.
  3. Gå till Global vidarebefordran av säker åtkomstanslutningstrafik> Växla på Profil för privat åtkomst. Med vidarebefordran av trafik kan du konfigurera typen av nätverkstrafik till tunnel via Microsofts Security Service Edge Solution-tjänster. Konfigurera profiler för trafikvidarebefordring för att hantera trafiktyper.

    • Microsoft 365-åtkomstprofilen är avsedd för Microsoft Entra internetåtkomst för Microsoft 365.

    • Profilen Privat åtkomst är för Microsoft Entra privatåtkomst.

    • Internetåtkomstprofilen är avsedd för Microsoft Entra internetåtkomst. Microsofts Security Service Edge-lösning samlar bara in trafik på klientenheter med global säker åtkomstklientinstallation.

      Skärmbild av trafikvidarebefordring som visar aktiverad profilkontroll för privat åtkomst.

Installera Global Secure Access-klienten för fjärråtkomst per app

Microsoft Entra internetåtkomst för Microsoft 365 och Microsoft Entra privatåtkomst använda Global Secure Access-klienten på Windows-enheter. Den här klienten hämtar och vidarebefordrar nätverkstrafik till Microsofts Security Service Edge-lösning. Slutför de här installations- och konfigurationsstegen:

  1. Kontrollera att Windows-enheten är Microsoft Entra-ID-ansluten eller hybridanslutning.

  2. Logga in på Windows-enheten med en Användarroll för Microsoft Entra-ID med lokal administratörsbehörighet.

  3. Logga in på administrationscentret för Microsoft Entra som minst global administratör för säker åtkomst

  4. Bläddra till Global Secure Access>Connect-klientnedladdning.> Välj Ladda ned klient. Slutför installationen.

    Skärmbild av klientnedladdning som visar windows-nedladdningsklientkontrollen.

  5. I aktivitetsfältet Fönster visas den globala säkra åtkomstklienten först som frånkopplad. Efter några sekunder anger du testanvändarens autentiseringsuppgifter när du uppmanas att ange autentiseringsuppgifter.

  6. Hovra över ikonen Global säker åtkomstklient i aktivitetsfältet Fönster och kontrollera Ansluten status.

Konfigurera anslutningsserver för fjärråtkomst per app

Anslutningsservern kommunicerar med Microsofts Security Service Edge-lösning som gateway till företagsnätverket. Den använder utgående anslutningar via 80 och 443 och kräver inte inkommande portar. Lär dig hur du konfigurerar anslutningsappar för Microsoft Entra privatåtkomst. Slutför de här konfigurationsstegen:

  1. Logga in på administrationscentret för Microsoft Entra på anslutningsservern som minst global administratör för säker åtkomst.

  2. Bläddra till Globala anslutningsappar för säker åtkomstanslutning>>. Välj Aktivera privata nätverksanslutningar.

    Skärmbild av privata nätverksanslutningar med en röd ruta som markerar kontrollen Aktivera privata nätverksanslutningar.

  3. Välj Ladda ned anslutningstjänsten.

  4. Följ installationsguiden för att installera anslutningstjänsten på anslutningsservern. När du uppmanas till det anger du autentiseringsuppgifter för klientorganisationen för att slutföra installationen.

  5. Anslutningsservern installeras när den visas i Anslutningsappar.

I det här scenariot använder vi standardanslutningsgruppen med en anslutningsserver. I en produktionsmiljö skapar du anslutningsgrupper med flera anslutningsservrar. Se detaljerad vägledning för att publicera appar i separata nätverk med hjälp av anslutningsgrupper.

Skapa programsäkerhetsgrupp för privat åtkomst

I det här scenariot använder vi en säkerhetsgrupp för att tilldela behörigheter till programmet för privat åtkomst och för att rikta in oss på principer för villkorsstyrd åtkomst.

  1. I administrationscentret för Microsoft Entra skapar du en ny molnbaserad säkerhetsgrupp.
  2. Lägg till testanvändare som medlem.

Publicera program för fjärråtkomst per app

Microsoft Entra privatåtkomst stöder TCP-program (Transmission Control Protocol) med valfri port. Utför följande steg för att ansluta till filservern (TCP-port 445) via Internet:

  1. Kontrollera att du har åtkomst till en filresurs på filservern från anslutningsservern.

  2. Logga in på administrationscentret för Microsoft Entra som minst global administratör för säker åtkomst.

  3. Bläddra till Globala program för >+ Nytt program.

    Skärmbild av Företagsprogram som visar Ny programkontroll.

  4. Ange ett namn (till exempel FileServer1). Välj standardanslutningsgruppen. Välj +Lägg till programsegment. Ange IP-adressen för programservern och port 441.

    Skärmbild av Skapa globalt program för säker åtkomst, Skapa programsegment.

  5. Välj Använd>Spara. Kontrollera att programmet finns i Företagsprogram.

  6. Gå till Identity>Applications Enterprise-program.> Välj det nya programmet.

  7. Välj Användare och grupper. Lägg till säkerhetsgruppen som du skapade tidigare med testanvändare som har åtkomst till den här filresursen från Internet.

Konfigurera åtkomststyrning för fjärråtkomst per app

I det här avsnittet beskriver vi konfigurationsstegen för den här lösningen.

Skapa rättighetshanteringskatalog

Följ dessa steg för att skapa en rättighetshanteringskatalog:

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Kataloger för berättigandehantering av>

  3. Välj +Ny katalog.

    Skärmbild av Ny åtkomstgranskning, Företagsprogram, Alla program, Identitetsstyrning, Ny katalog.

  4. Ange ett unikt namn för katalogen och ange en beskrivning. Beställare ser den här informationen i åtkomstpaketets information.

  5. Om du vill skapa åtkomstpaket i den här katalogen för interna användare väljer du Aktiverad för externa användare>Nej.

    Skärmbild av Ny katalog med Nej valt för kontrollen Aktiverad för externa användare.

  6. Öppna katalogen som du vill lägga till resurser till i Katalogen. Välj Resurser>+Lägg till resurser.

    Skärmbild av appkatalog, resurslista som visar kontrollen Lägg till resurser.

  7. Välj Typ och sedan Grupper och Teams, Program eller SharePoint-webbplatser.

  8. Välj och lägg till programmet (till exempel FileServer1) och säkerhetsgruppen (till exempel Finance Team File Share) som du skapade tidigare. Markera Lägga till.

Etablera grupper till Active Directory

Vi rekommenderar gruppetablering till Active Directory med Microsoft Entra Cloud Sync. Om du använder Connect Sync växlar du konfigurationen till Cloud Sync. Förutsättningarna för Microsoft Entra Cloud Sync i Microsoft Entra-ID och Installera microsoft Entra-etableringsagentartiklarna innehåller detaljerade instruktioner. Tillbakaskrivning av grupp v2 i Microsoft Entra Connect Sync är inte längre tillgängligt efter den 30 juni 2024.

Följ dessa steg för att konfigurera Microsoft Entra Cloud-synkronisering:

  1. Logga in på administrationscentret för Microsoft Entra som minst en hybrididentitetsadministratör.

  2. Bläddra till Identity>Hybrid Management>Microsoft Entra Connect>Cloud Sync.

  3. Välj Ny konfiguration.

  4. Välj Microsoft Entra-ID till AD-synkronisering.

    Skärmbild av Ny konfiguration, Microsoft Entra-ID till AD Sync.

  5. I Konfigurationer väljer du din domän. Du kan också välja Aktivera synkronisering av lösenordshash.

  6. Välj Skapa.

    Skärmbild av Microsoft Entra Connect, Cloud Sync, Configurations, Ny molnsynkroniseringskonfiguration.

  7. För Komma igång-konfiguration väljer du Lägg till omfångsfilter (bredvid ikonen Lägg till omfångsfilter ) eller Omfångsfilter (under Hantera).

  8. Välj Valda säkerhetsgrupper i alternativet Välj grupp(er). Välj Redigera objekt. Lägg till säkerhetsgruppen Microsoft Entra ID som du skapade tidigare (till exempel Ekonomiteamets filresurs). Vi använder den här gruppen för att hantera åtkomst till lokala program med hjälp av livscykelarbetsflöden och åtkomstpaket i senare steg.

    Skärmbild av omfånget Grupper med ekonomi i textrutan Sök, ett resultat hittades och gruppen i Vald.

Tilldela åtkomst till den lokala filservern

  1. Skapa en filresurs på den valda filservern.
  2. Tilldela läsbehörigheter till microsoft entra-ID-säkerhetsgruppen (till exempel ekonomiteamets filresurs) som du har etablerat i Active Directory.

Skapa åtkomstpaket för fjärråtkomst per app

Följ de här stegen för att skapa ett åtkomstpaket i Berättigandehantering:

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Åtkomstpaket för rättighetshantering>

  3. Välj Nytt åtkomstpaket.

  4. För Grundläggande ger du åtkomstpaketet ett namn (till exempel Åtkomstpaket för Finance Apps). Ange katalogen som du skapade tidigare.

  5. För Resursroller väljer du de resurser som du tidigare lade till (till exempel FileServer1-appen och säkerhetsgruppen Ekonomiteamets filresurs ).

  6. I Roll väljer du Medlem för ekonomiteamets filresurs och användare för FileServer1-appen .

    Skärmbild av resurslistan. En röd ruta framhäver kolumnen Roll.

  7. För Begäranden väljer du För användare i din katalog. Du kan också aktivera åtkomstpaketet för gästanvändare (som ska diskuteras i ett separat scenario).

  8. Om du har valt Specifika användare och grupper väljer du Lägg till användare och grupper.

  9. Välj inte en användare i Välj användare och grupper. Vi testar en användare som begär åtkomst senare.

  10. Valfritt: I Godkännande anger du om godkännande krävs när användare begär det här åtkomstpaketet.

  11. Valfritt: Välj Frågor i Begärandeinformation. Ange en fråga som du vill ställa till beställaren. Den här frågan kallas för visningssträngen. Om du vill lägga till lokaliseringsalternativ väljer du Lägg till lokalisering.

  12. För Livscykel anger du när en användares tilldelning till åtkomstpaketet upphör att gälla. Ange om användare kan utöka sina tilldelningar. För Förfallodatum anger du Förfallodatum för Access-pakettilldelningar till På datum, Antal dagar, Antal timmar eller Aldrig.

  13. Välj Skapa.

    Skärmbild av Nytt åtkomstpaket, Granska skapa, med en röd ruta som markerar kontrollen Skapa.

Skapa livscykelarbetsflöden

I det här avsnittet beskriver vi hur du skapar arbetsflöden för kopplings- och eftersändararbetsflöden och kör arbetsflöden på begäran.

Skapa kopplingsarbetsflöde

Följ dessa steg om du vill skapa ett kopplingsarbetsflöde.

  1. Logga in på administrationscentret för Microsoft Entra som minst en administratör för livscykelarbetsflöden.

  2. Bläddra till Livscykelarbetsflöden för >Skapa ett arbetsflöde.

  3. För Välj ett arbetsflöde väljer du Registrera ny anställd.

    Skärmbild av identitetsstyrning, livscykelarbetsflöden, Skapa ett arbetsflöde, Välj ett arbetsflöde.

  4. För Grunderna anger du Registrera ny anställd – Ekonomi för arbetsflödets visningsnamn och beskrivning. Välj Nästa.

  5. För Konfigurera omfångsregel> anger du värden för Egenskap, Operator och Värde. Ändra uttrycket för omfånget till endast användare där egenskapsavdelningen> har ett ekonomivärde. Se till att testanvändaren fyller i egenskapen med finance-strängen så att den finns i arbetsflödesomfånget.

    Skärmbild av regelvyn med en röd ruta som markerar värdekontrollen.

  6. I Granska aktiviteter väljer du Lägg till aktivitet för att lägga till en uppgift i mallen. I det här scenariot lägger vi till Begäran om tilldelning av användaråtkomstpaket.

  7. För Grunderna väljer du Begär tilldelning av användaråtkomstpaket. Tilldela ett namn till den här uppgiften (till exempel Tilldela Finance Access Package). Välj en princip.

  8. I Konfigurera väljer du det åtkomstpaket som du skapade tidigare.

  9. Valfritt: Lägg till andra kopplingsuppgifter på följande sätt. För vissa av dessa uppgifter ska du se till att viktiga attribut som Chef och E-post mappas korrekt till användare enligt beskrivningen i automatisera uppgifter för registrering av anställda före den första arbetsdagen med hjälp av API:er för livscykelarbetsflöden.

    • Aktivera användarkonto
    • Lägga till användare i grupper eller team
    • Skicka välkomstmeddelande
    • Generera TAP och skicka e-post

  10. Välj Aktivera schema.

    Skärmbild av Granska skapa för det nya objektet i kategorin Joiner med en röd ruta som markerar avsnittet Granska uppgifter.

  11. Välj Granska + skapa.

Skapa arbetsflöde för leaver

Följ dessa steg om du vill skapa ett arbetsflöde som lämnar.

  1. Logga in på administrationscentret för Microsoft Entra som minst en administratör för livscykelarbetsflöden.

  2. Bläddra till Livscykelarbetsflöden för >Skapa ett arbetsflöde.

  3. I Välj ett arbetsflöde väljer du Avregistrera en anställd.

    Skärmbild av Välj ett arbetsflöde med en röd ruta som markerar leaver-kortet.

  4. I Grundläggande anger du Avregistrera en anställd – Ekonomi som visningsnamn och beskrivning för arbetsflödet. Välj Nästa.

  5. I Konfigurera omfångsregel> anger du värden för Egenskap, Operator och Värde. Ändra uttrycket för omfånget till endast användare där egenskapsavdelningen> har ett ekonomivärde. Se till att testanvändaren fyller i egenskapen med finance-strängen så att den finns i arbetsflödesomfånget.

    Skärmbild av regelvyn med en röd ruta som markerar värdekontrollen.

  6. I Granska aktiviteter väljer du Lägg till aktivitet för att lägga till en uppgift i mallen. I det här scenariot lägger vi till Begäran om tilldelning av användaråtkomstpaket.

  7. Valfritt: Lägg till andra leaver-uppgifter, till exempel:

    • Inaktivera användarkonto
    • Ta bort användare från alla grupper
    • Ta bort användare från alla Teams

  8. Växla på Aktivera schema.

    Skärmbild av Granska skapa för det nya objektet i kategorin Leaver med en röd ruta som markerar avsnittet Granska uppgifter.

  9. Välj Granska + skapa.

Kommentar

Livscykelarbetsflöden körs automatiskt baserat på definierade utlösare som kombinerar tidsbaserade attribut och ett förskjutningsvärde. Om attributet till exempel är employeeHireDate och offsetInDays är -1 ska arbetsflödet utlösas en dag före anställningsdatumet för anställda. Värdet kan variera mellan -180 och 180 dagar. Värdena employeeHireDate och employeeLeaveDateTime måste anges i Microsoft Entra-ID för användare. Synkronisera attribut för livscykelarbetsflöden innehåller mer information om attribut och processer.

Köra joiner-arbetsflöde på begäran

Om du vill testa det här scenariot utan att vänta på det automatiserade schemat kör du livscykelarbetsflöden på begäran.

  1. Initiera arbetsflödet för den tidigare skapade anslutningsappen.

  2. Logga in på administrationscentret för Microsoft Entra som minst en administratör för livscykelarbetsflöden.

  3. Bläddra till Arbetsflöden för livscykelarbetsflöden för identitetsstyrning>>.

  4. I Arbetsflöde väljer du Registrera ny anställd – Ekonomi som du skapade tidigare.

  5. Välj Kör på begäran.

  6. Välj användare väljer du Lägg till användare.

  7. Lägg till användare väljer du de användare som du vill köra arbetsflödet på begäran för.

  8. Markera Lägga till.

  9. Bekräfta dina val. Välj Kör arbetsflöde.

  10. Välj Arbetsflödeshistorik för att verifiera uppgiftsstatus.

    Skärmbild av arbetsflödeshistorik, Användarsammanfattning som visar uppgiftsstatus.

  11. När alla uppgifter har slutförts kontrollerar du att användaren har åtkomst till de program som du har valt i åtkomstpaketet. Det här steget slutför kopplingsscenariot för att användaren ska få åtkomst till nödvändiga appar dag ett.

Verifiera åtkomst för fjärråtkomst per app

I det här avsnittet simulerar vi en ny medlem i ekonomiteamet som ansluter sig till organisationen. Vi tilldelar automatiskt användaråtkomst till ekonomiteamets filresurs och fjärråtkomst till filservern med Microsoft Entra privatåtkomst.

I det här avsnittet beskrivs alternativen för att verifiera åtkomsten till tilldelade resurser.

Verifiera tilldelning av åtkomstpaket

Följ dessa steg för att verifiera status för tilldelning av åtkomstpaket:

  1. Som användare loggar du in myaccess.microsoft.compå .

  2. Välj Åtkomstpaket, Aktiv för att se det åtkomstpaket (till exempel Finance Access Package) som du tidigare begärde.

    Skärmbild av My Access, Access Packages, Active.

Verifiera appåtkomst

Följ dessa steg för att verifiera appåtkomsten:

  1. Som användare loggar du in myaccess.microsoft.compå .

  2. I listan över appar letar du upp och kommer åt den app som du skapade tidigare (till exempel Finance App).

    Skärmbild av Mina appar, Finance Apps.

Verifiera gruppmedlemskap

Följ dessa steg för att verifiera gruppmedlemskap:

  1. Som användare loggar du in myaccess.microsoft.compå .

  2. Välj Grupper som jag är i. Kontrollera medlemskapet i den grupp som du skapade tidigare (till exempel Ekonomiredovisning).

    Skärmbild av Mina grupper, Grupper jag är i, med ekonomi angiven i textrutan Filter, Som visar 2 av 131.

Verifiera Teams-medlemskap

Följ dessa steg för att verifiera Teams-medlemskap:

  1. Logga in på Teams som användare.

  2. Kontrollera medlemskapet i teamet som du skapade tidigare (till exempel Ekonomiredovisning).

    Skärmbild av Teams som visar ekonomiredovisning i dina team.

Verifiera fjärråtkomst

Följ dessa steg för att verifiera användarens åtkomst till filservern:

  1. Logga in på enheten där du installerade Global Secure Access-klienten.

  2. Kör \\\IP_address och verifiera åtkomsten till filresursen.

    Skärmbild av Utforskaren som visar anslutningen till filresursen.

Köra arbetsflöde för leaver på begäran

  1. Logga in på administrationscentret för Microsoft Entra som minst en administratör för livscykelarbetsflöden.

  2. Bläddra till Arbetsflöden för livscykelarbetsflöden för identitetsstyrning>>.

  3. I Arbetsflöden väljer du arbetsflödet Avregistrera en anställd – Ekonomi som du skapade i stegen för att lämna företaget.

  4. Välj Kör på begäran.

  5. Välj användare väljer du Lägg till användare.

  6. Lägg till användare väljer du de användare som du vill köra arbetsflödet på begäran för.

  7. Markera Lägga till.

  8. Bekräfta dina val och välj Kör arbetsflöde.

  9. Välj Arbetsflödeshistorik för att verifiera uppgiftsstatus.

    Skärmbild av Avregistrera en anställd, Aktivitet, med en röd ruta som markerar kontrollen Arbetsflödeshistorik som visar användarsammanfattningen.

  10. När alla uppgifter har slutförts kontrollerar du att användaren har tagits bort från all åtkomst till de program som valts i åtkomstpaketet.

Verifiera borttagning av åtkomst

När du har kört det avslutande arbetsflödet bekräftar du borttagningen av användaråtkomst till ekonomiprogram, ekonomiteamet, SharePoint-webbplatser och filresurser genom att upprepa stegen i avsnittet Verifiera appåtkomst och Verifiera fjärråtkomst . Det här steget säkerställer noggrann verifiering av att användaren hindras från att komma åt dessa resurser.

Relaterat innehåll