评估使用 Microsoft Entra 专用访问的解决方案

已完成

评估使用 Microsoft Entra 专用访问的解决方案

Microsoft Entra 专用访问解锁了指定完全限定域名 (FQDN) 和专用或内部 IP 地址的功能,以便你可以管理组织访问这些资源的方式。 通过专用访问,可以现代化组织用户访问专用应用和资源的方式。 如果远程工作者安装了全局安全访问客户端,则他们无需使用 VPN 即可访问这些资源。 客户端可以静默地无缝连接到它们所需的资源。

专用访问提供了两种方法来配置要通过服务建立隧道的专用资源。 可以配置快速访问,这是要保护的主要 FQDN 和 IP 地址组。 还可为每个应用程序访问配置全局安全访问应用,这允许指定要保护的专用资源的子集。 全局安全访问应用提供了一种精细的方法来保护专用资源。

Microsoft Entra 专用访问功能提供了一种快速简单的方法来替换 VPN,以便使用条件访问的安全功能,通过简单的一次性配置安全地访问内部资源。

快速访问和全局安全访问应用

配置快速访问和全局安全访问应用时,需要创建一个新的企业应用程序。 该应用充当你要保护的专用资源的容器。 该应用程序有自己的 Microsoft Entra 专用网络连接器,可以中转服务和内部资源之间的连接。 可以将用户和组分配到应用,然后使用条件访问策略来控制对应用的访问。

快速访问和按应用访问类似,但有一些关键概念需要理解,以便可以确定如何配置每一种方式。

快速访问应用

快速访问是要保护的主要 FQDN 和 IP 地址组。 规划全局安全访问部署时,请查看专用资源列表,并确定你始终希望通过服务建立隧道的资源。 这组主要 FQDN、IP 地址和 IP 范围是要添加到快速访问的内容。

快速访问应用流程的示意图,其中的流量通过服务流向应用,并通过应用程序代理授予访问权限。

全局安全访问应用

如果你想要实现以下任一方案,则可以配置全局安全访问应用:

  • 我需要对一组用户应用一组不同的条件访问策略。
  • 我有一些想要保护的专用资源,但它们应该有一组不同的访问策略。
  • 我有一部分专用资源,我只想在特定时间范围内保护它们。

全局安全访问应用流程的示意图,其中的流量通过服务流向应用,并通过应用程序代理授予访问权限。

全局安全访问应用采用更详细的方法来保护专用资源。 你可以创建多个按应用访问应用来保护不同的专用资源。 与条件访问策略搭配,可以通过一种强大而精细的方式来保护专用资源。