Programidentifiering (förhandsversion) för global säker åtkomst
Viktig
Applikationsidentifiering är för närvarande i förhandsgranskning. Den här informationen gäller en förhandsversionsprodukt som kan ändras avsevärt innan den släpps. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Programidentifiering gör det möjligt för administratörer att få omfattande insyn i programanvändningen i företagets nätverk. Genom att identifiera vilka program som används och av vem kan administratörer skapa privata program med exakt segmentering och åtkomst med minsta möjliga behörighet, vilket minimerar onödig åtkomst.
Med Snabb åtkomst kan du snabbt registrera dig för privat åtkomst genom att publicera breda IP-intervall och jokertecken fQDN, som du skulle göra med traditionella VPN-lösningar. Du kan sedan övergå från Snabbåtkomst till publicering per program för bättre kontroll och kornighet för varje program. Du kan till exempel skapa en princip för villkorsstyrd åtkomst och ange användartilldelningar per program.
Den här artikeln går igenom processen med att använda programidentifiering för att identifiera vilka program som användare får åtkomst till (via snabbåtkomst) och skapa separata privata program.
Förutsättningar
- En Microsoft Entra-klientorganisation har gått med i Microsoft Entra Private Access.
- Ett Microsoft Entra-klient konfigurerad med Snabbåtkomst.
- En enhet som konfigurerats med Global Secure Access-klienten (Windows, macOS, Android, iOS).
Upptäck applikationer
Så här visar du en lista över alla programsegment i Snabbåtkomst som användarna har använt via global säker åtkomst-klienten under de senaste 30 dagarna:
- Logga in på Microsoft Entra administrationscenter som en global säker åtkomstadministratör .
- Bläddra till Global Secure Access>applikationer>applikationsupptäckt.
Som standard sorterar Programidentifiering vy programsegmenten i fallande ordning enligt antalet användare. Den här standardsorteringsordningen flyttar de mest använda programsegmenten överst i listan, vilket gör dem mer synliga för administratören.
Administratören kan justera tidsintervallet, lägga till andra filter och sortera programsegmenten enligt var och en av kolumnerna. Administratören kan också filtrera efter användare för att se listan över de programsegment som används av en viss användare. Från fältet Search kan administratören filtrera efter fullständigt kvalificerade domännamn (FQDN), IP-adress och portadress.
Följande kolumner är tillgängliga för varje programsegment:
- mål-FQDN: FQDN för programsegmentet.
- mål-IP-: IP-adressen för programsegmentet.
- Transport protocol: transportprotokollet för programsegmentet. Privat åtkomst stöder för närvarande TCP (Transmission Control Protocol) och UDP (User Datagram Protocol).
- Målport: porten för programsegmentet.
- Användare: antalet användare som har åtkomst till programsegmentet.
- Transaktioner: antalet transaktioner (anslutningar) till programsegmentet.
- Enheter – antalet enheter som användes för att komma åt programsegmentet.
- Skickade byte: det totala antalet byte med data som användarenheten skickade till applikationssegmentet.
- Mottagna byte: totalt antal byte med data som användarenheten tog emot från programsegmentet.
- Senaste åtkomst: sista gången i tidsintervallet som programsegmentet användes.
- Första åtkomsten: första gången i tidsintervallet som programsegmentet användes.
Skapa ett nytt program
Använd Programidentifiering för att skapa nya Microsoft Entra-ID-program baserat på de identifierade programsegmenten i huvudtabellen. Så här lägger du till ett programsegment i ett nytt program:
- I listan Programidentifiering väljer du ett eller flera programsegment som motsvarar ett program som du vill skapa.
- Ofta använder ett program ett programsegment. Till exempel:
- En filserver, till exempel:
filesrv.contoso.com
, TCP, 445. - En portal, till exempel:
internalportal.contoso.com
, TCP, 443.
- En filserver, till exempel:
- Men ibland använder ett enda program flera portar, protokoll eller sträcker sig över flera servrar (FQDN/IP-adresser). I det här fallet kan du välja flera programsegment och även lägga till andra manuellt. Till exempel:
- Publicera ADDS-tjänster på en specifik AD-webbplats:
dc1.contoso.com
ochdc2.contoso.com
, TCP, 88, 135, 137, 138, 389, 445, 464, 636, 3268, 3269 och en fast hög port för Netlogondc1.contoso.com
ochdc2.contoso.com
, UDP, 88, 123, 389, 464.
- Publicera ADDS-tjänster på en specifik AD-webbplats:
- En omfattande lista över ADDS-portar finns i Konfigurera en brandvägg för Active Directory-domäner och förtroenden.
- Ofta använder ett program ett programsegment. Till exempel:
- Välj Lägg till i nytt program. Skärmen Skapa globalt program för säker åtkomst öppnas med de valda programsegmenten.
- Ge programmet ett Namn och välj motsvarande -anslutningsgrupp.
- Du kan också lägga till eller ta bort programsegment manuellt.
- Om du vill tillämpa ändringarna väljer du Spara.
- Aktivera åtkomst för lämpliga användare genom att justera de användare och grupper som tilldelats det nya programmet.
- Du bör finjustera tilldelningarna efter att har skapat programmet. På så sätt innehåller listan endast grupper av användare som behöver åtkomst till det nya programmet, enligt principen om lägsta behörighet.
- För företagsprogram:
- Bläddra till Globalt säkert åtkomst>Applikationer>Enterprise-applikationer>Användare och grupper.
- Välj det program som du skapade.
- Ändra användar- och grupptilldelningarna efter behov.
Viktig
Global säker åtkomst prioriterar trafik för individuellt definierade program som är högre än Snabbåtkomst. Det innebär att när du flyttar ett programsegment från Snabbåtkomst till en specifik global säker åtkomstapp dirigeras all trafik som dirigeras till det programsegmentet enligt programkonfigurationen. Ingen trafik till det nya programmet dirigeras via snabbåtkomst även om programsegmentet kan finnas kvar inom de intervall som definieras av Snabbåtkomst. För att undvika avbrott i tjänsten ärver nya program som du skapar genom programidentifiering alla tilldelade användare och grupper från Snabbåtkomst (när de skapas). När den nya applikationen har verifierats bör du anpassa applikationens behörigheter för endast de användare som behöver ansluta till de applikationssegment som definierats i den.
- (Valfritt) För extra säkerhet kan du ange principer för villkorlig åtkomst enligt företagets säkerhetsprinciper. Du kanske till exempel vill kräva multifaktorautentisering (MFA) och enhetsefterlevnad när användare får åtkomst till ett kritiskt program.
Notera
Programsegment finns kvar i huvudtabellen för programidentifiering även efter att du har skapat ett program tills en användare loggar in på det nya programmet och kommer åt resursen. I framtiden uppdateras huvudtabellen för programidentifiering oavsett användarinteraktion.
Lägga till i ett befintligt program
Du kan använda Programidentifiering för att lägga till programsegment i ett befintligt privat program. Så här lägger du till ett programsegment i ett befintligt program:
- I listan Programidentifiering väljer du ett eller flera programsegment.
- Välj Lägg till i ett befintligt program.
- Välj det befintliga privata program som du vill lägga till segmenten i. Skärmen Redigera globalt program för säker åtkomst öppnas, som visar egenskaperna för det befintliga programmet, de valda programsegmenten (med status Väntar på) och eventuella tidigare konfigurerade programsegment (med status Lyckades).
- Granska konfigurationen och ändra Name, Connector Groupoch programsegmenten och gör nödvändiga revisioner.
- Om du vill tillämpa ändringarna väljer du Spara.
Visa detaljer om ett applikationssegment
Innan du bestämmer dig för att skapa ett privat program kanske du vill granska annan information om programsegmentet.
- I tabellen Programidentifiering väljer du Mål-FQDN eller mål-IP- för det programsegment som du vill utforska.
- Fliken Användning har som standardinställning: ett diagram över Användare över tid. Du kan ange att diagrammet ska visa fördelningen av transaktioner, enheter, byte som skickatsoch byte som tagits emot över tid. Du kan också ändra tidsintervallet genom att justera inställningen Tidsintervall.
- Fliken Användare visar listan över användare som har använt det valda programsegmentet under de senaste 30 dagarna.
Viktig
Använd listan över användare för att informera de beslut du fattar om de användare och grupper som du planerar att tilldela till Entra-programmet när du registrerar det valda programsegmentet.