如何使用全球安全访问应用程序配置按应用访问

Microsoft Entra 专用访问提供对组织内部资源的安全访问。 你将创建一个全局安全访问应用程序,并指定要保护的内部专用资源。 你将通过配置全局安全访问应用程序,创建对内部资源的按应用访问。 全局安全访问应用程序提供更详细的功能来管理按应用访问资源的方式。

本文介绍如何使用全球安全访问应用程序配置按应用访问。

先决条件

若要配置全局安全访问应用,必须具有:

若要管理全局安全访问应用所需的 Microsoft Entra 专用网络连接器组,必须满足以下要求:

  • Microsoft Entra ID 中的应用程序管理员角色
  • Microsoft Entra ID P1 或 P2 许可证

已知的限制

  • 避免快速访问和全局安全访问应用之间的应用段重叠。
  • 仅最终用户设备本地子网之外的 IP 范围支持通过 IP 地址将流量经隧道传输到专用访问目标。
  • 目前,专用访问流量只能通过全球安全访问客户端获取。 不能将远程网络分配到专用访问流量转发配置文件。

大致步骤

通过创建新的全局安全访问应用来配置按应用访问。 创建应用,选择一个连接器组,然后添加网络访问段。 这些设置构成了可为其分配用户和组的单个应用。

若要配置按应用访问,需有一个连接器组,其中至少包含一个活动的 Microsoft Entra 应用程序代理连接器。 该连接器组将处理发往此新应用程序的流量。 使用连接器可以按网络和连接器隔离应用。

概括而言,整个过程如下:

  1. 创建一个连接器组,其中至少包含一个活动的专用网络连接器

    • 如果已有连接器组,请确保使用最新版本。
  2. 创建全局安全访问应用

  3. 将用户和组分配到应用

  4. 配置条件访问策略

  5. 启用 Microsoft Entra 专用访问

创建专用网络连接器组

若要配置全局安全访问应用,必须有一个连接器组,其中至少包含一个活动的专用网络连接器。

如果尚未设置连接器,请参阅配置连接器

注意

如果以前安装了连接器,请重新安装以获取最新版本。 升级时,请卸载现有连接器并删除任何相关文件夹。

专用访问所需的连接器最低版本为 1.5.3417.0

创建全局安全访问应用程序

要创建新应用,请提供名称,选择连接器组,然后添加应用程序段。 应用段包括你想要通过服务建立隧道的完全限定域名 (FQDN) 和 IP 地址。 可以同时完成所有三个步骤,也可以在初始设置完成后添加这些资源。

选择名称和连接器组

  1. 使用合适的角色登录到 Microsoft Entra 管理中心

  2. 浏览到“全球安全访问”>“应用程序”>“企业应用程序”。

  3. 选择“新建应用程序” 。

    “企业应用”和“添加新应用程序”按钮的屏幕截图。

  4. 输入应用的名称。

  5. 从下拉菜单中选择一个连接器组。

    重要

    必须至少有一个活动连接器才能创建应用程序。 若要详细了解连接器,请参阅了解 Microsoft Entra 专用网络连接器

  6. 选择页面底部的“保存”按钮,以创建应用但不添加专用资源。

添加应用程序段

“添加应用程序段”过程会定义你要包含在全局安全访问应用流量中的 FQDN 和 IP 地址。 可以在创建应用时添加站点,然后返回以添加更多站点,或稍后对其进行编辑。

可以添加完全限定的域名 (FQDN)、IP 地址和 IP 地址范围。 在每个应用程序段中,可以添加多个端口和端口范围。

  1. 登录 Microsoft Entra 管理中心

  2. 浏览到“全球安全访问”>“应用程序”>“企业应用程序”。

  3. 选择“新建应用程序” 。

  4. 选择“添加应用程序段”。

  5. 在打开的“创建应用程序段”面板中,选择一个“目标类型”。

  6. 输入所选目标类型的相应详细信息。 根据所选内容,后续字段会相应地更改。

    • IP 地址
      • Internet 协议版本 4 (IPv4) 地址,例如 192.168.2.1,用于标识网络上的设备。
      • 提供要包含的端口。
    • “完全限定的域名”(包括通配符 FQDN):
      • 用于指定计算机或主机在域名系统 (DNS) 中的确切位置的域名。
      • 提供要包含的端口。
      • 不支持 NetBIOS。 例如,使用 contoso.local/app1 而不是 contoso/app1.
    • “IP 地址范围(CIDR)”:
      • 无类别域际路由选择 (CIDR) 表示 IP 地址范围,其中的 IP 地址带有后缀,该后缀指示子网掩码中的网络位数。
      • 例如,192.168.2.0/24 表示 IP 地址的前 24 位代表网络地址,其余 8 位代表主机地址。
      • 提供起始地址、网络掩码和端口。
    • “IP 地址范围(IP 到 IP)”:
      • 从起始 IP(例如 192.168.2.1)到结束 IP(例如 192.168.2.10)的 IP 地址范围。
      • 提供 IP 地址起始、结束和端口。
  7. 输入端口,然后选择“应用”按钮。

    • 用逗号分隔多个端口。
    • 使用连字符指定端口范围。
    • 应用更改时,将移除值之间的空格。
    • 例如 400-500, 80, 443

    “创建应用段”面板的屏幕截图,其中添加了多个端口。

    下表提供了最常用端口及其关联的网络协议:

    端口 协议
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)
  8. 选择“保存”。

注意

最多可以向应用添加 500 个应用程序段。

快速访问应用与任何专用访问应用之间的 FQDN、IP 地址和 IP 范围不能重叠。

分配用户和组

需要通过将用户和/或组分配到应用来授予对创建的应用的访问权限。 有关详细信息,请参阅向应用程序分配用户和组

  1. 登录 Microsoft Entra 管理中心
  2. 浏览到“全球安全访问”>“应用程序”>“企业应用程序”。
  3. 搜索并选择你的应用程序。
  4. 从边侧菜单中选择“用户和组”。
  5. 根据需要添加用户和组。

注意

必须将用户直接分配到应用或已分配给应用的组。 不支持嵌套组。

更新应用程序段

可以随时添加或更新应用中包含的 FQDN 和 IP 地址。

  1. 登录到 Microsoft Entra 管理中心
  2. 浏览到“全球安全访问”>“应用程序”>“企业应用程序”。
  3. 搜索并选择你的应用程序。
  4. 从边侧菜单中选择“网络访问属性”。
    • 若要添加新的 FQDN 或 IP 地址,请选择“添加应用程序段”。
    • 若要编辑现有应用,请从“目标类型”列中选择它。

使用全局安全访问客户端启用或禁用访问

可以使用全局安全访问客户端启用或禁用对全局安全访问应用的访问。 默认已选择此选项,但可以禁用它,以便应用段中包含的 FQDN 和 IP 地址不会通过服务进行隧道传输。

启用访问复选框的屏幕截图。

分配条件访问策略

按应用访问的条件访问策略在每个应用的应用程序级别配置。 可以从两个位置创建条件访问策略并将其应用到应用程序:

  • 转到“全球安全访问(预览版)”>“应用程序”>“企业应用程序”。 选择一个应用程序,然后从侧边菜单中选择“条件访问”。
  • 转到“保护”>“条件访问”>“策略”。 选择“+ 创建新策略”。

有关详细信息,请参阅将条件访问策略应用于专用访问应用

启用 Microsoft Entra 专用访问

配置应用、添加专用资源、将用户分配到应用后,可以启用专用访问流量转发配置文件。 可以在配置全局安全访问应用之前启用配置文件,但如果不配置应用和配置文件,则不会转发任何流量。

  1. 登录 Microsoft Entra 管理中心
  2. 浏览到“全球安全访问”>“连接”>“流量转发”。
  3. 选择“专用访问配置文件”的切换开关。

此图演示了当尝试使用远程桌面协议连接到专用网络上的服务器时 Microsoft Entra 专用访问的工作方式。

此图显示了 Microsoft Entra 专用访问如何与远程桌面协议协同工作。

步骤 说明
1 用户会启动与某个映射到目标服务器的 FQDN 的 RDP 会话。 GSA 客户端会截获流量并将其通过隧道传输到 SSE Edge。
2 SSE Edge 会评估存储在 Microsoft Entra ID 中的策略,例如是否将用户分配给应用程序和条件访问策略。
3 一旦用户获得授权,Microsoft Entra ID 就会为专用访问应用程序颁发令牌。
4 流量与应用程序的访问令牌一起释放,继续前往专用访问服务。
5 专用访问服务会验证访问令牌,连接会中转到专用访问后端服务。
6 连接会中转到专用网络连接器。
7 专用网络连接器会执行 DNS 查询以标识目标服务器的 IP 地址。
8 专用网络上的 DNS 服务会发送响应。
9 专用网络连接器会将流量转发到目标服务器。 RDP 会话在经过协商(包括 RDP 身份验证)后建立。

后续步骤

要开始使用 Microsoft Entra 专用访问,下一步是启用专用访问流量转发配置文件

有关专用访问的详细信息,请参阅以下文章: