全域安全存取的應用程式探索 （預覽）

重要

應用程式探索目前處於預覽狀態。 這項資訊與發行前版本產品有關，在發行前可能會大幅修改。 Microsoft針對此處提供的資訊，不提供任何明示或默示擔保。

應用程式探索可讓系統管理員全面瞭解其公司網路內的應用程式使用量。 藉由識別要存取的應用程式和存取者，系統管理員可以建立具有精確分割和最低許可權存取的私人應用程式，進而將不必要的存取降到最低。

透過「Quick Access」功能，您可以像使用傳統 VPN 解決方案一樣，發佈廣泛的 IP 範圍和萬用字元 FQDN，以快速啟用私人存取。 然後，您可以從快速存取功能過渡到個別應用程式發佈，以更有效地控制每個應用程式的細節。 例如，您可以建立條件式存取原則，併為每個應用程式設定使用者指派。

本文將逐步解說如何使用應用程式探索來偵測哪些應用程式使用者存取（透過快速存取），以及建立個別的私人應用程式。

先決條件

• Microsoft Entra 租戶已啟用至 Microsoft Entra Private Access。
• Microsoft Entra 租戶已配置 快速存取。
• 使用全域安全存取用戶端設定的裝置（Windows、macOS、AndroidiOS）。

探索應用程式

若要檢視快速存取中使用者在過去 30 天內透過全域安全存取用戶端存取的所有應用程式區段清單：

1. 以 Global Secure Access Administrator身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 全域安全存取>應用程式>應用程式探索。

根據預設，應用程式探索 檢視會根據用戶數目以遞減順序排序應用程式區段。 此預設排序順序會將最常使用的應用程式區段移至清單頂端，讓系統管理員更看得見。

系統管理員可以調整時間範圍、新增其他篩選，並根據每個數據行排序應用程式區段。 系統管理員也可以依使用者 篩選，以查看特定使用者存取的應用程式區段清單。 從 [搜尋] 欄位，系統管理員可以依完整的網域名稱（FQDN）、IP 位址和埠地址進行篩選。

下列資料行適用於每個應用程式區段：

• 目的地 FQDN：應用程式區段的 FQDN。
• 目的地IP：應用程式區段的IP。
• 傳輸通訊協定：應用程式區段的傳輸通訊協定。 私人存取目前支援傳輸控制通訊協定 （TCP） 和用戶數據報通訊協定 （UDP）。
• 目的地埠：應用程式區段的埠。
• 使用者：存取應用程式區段的用戶數目。
• 交易：應用程式區段的交易數（連線）。
• 裝置 - 用來存取應用程式區段的裝置數目。
• 傳送的位元組：使用者裝置傳送至應用程式區段的數據總數。
• 接收的位元組：使用者裝置從應用程式區段接收的數據總數。
• 上次存取：應用程式區段存取的時間範圍中最後一次。
• 第一次存取：在指定的時間範圍內首次存取應用程式區段。

建立新的應用程式

使用應用程式探索，根據主數據表探索的應用程式區段，建立新的Microsoft Entra ID 應用程式。 若要將應用程式區段新增至新的應用程式：

1. 從 [應用程式探索] 清單中，選擇一或多個對應至您想要建立的應用程式的應用程式區段。
   1. 一個應用程式通常會使用一個應用程式區段。 例如：
      • 檔伺服器，例如：filesrv.contoso.com、TCP、445。
      • 入口網站，例如：internalportal.contoso.com、TCP、443。
   2. 不過，有時候單一應用程式會使用數個埠、通訊協定，或跨越多部伺服器 （FQDN/IP）。 在此情況下，您可以選擇數個應用程式區段，甚至手動新增其他區段。 例如：
      • 在特定 AD 網站中發佈 ADDS 服務：dc1.contoso.com 和 dc2.contoso.com、TCP、 88、135、137、138、389、445、464、636、3268、3269 和 Netlogon dc1.contoso.com 和 dc2.contoso.com、UDP、88、123、389、464 的固定高端口。
   3. 如需 ADDS 連接埠的完整清單，請參閱 如何為 Active Directory 網域和信任設定防火牆。
2. 選擇 新增至新的應用程式。 [建立全域安全存取應用程式] 畫面隨即開啟，其中顯示選取的應用程式區段。
   1. 為應用程式提供 名稱，然後選取對應的 連接器群組。
   2. 您也可以手動新增或刪除應用程式區段。
   3. 若要套用變更，請選擇 儲存。
3. 藉由調整指派給新應用程式的使用者和群組，以啟用適當使用者的存取權。
   1. 您應該在建立應用程式之後微調指派。 如此一來，清單只會根據最低許可權原則，只包含需要存取新應用程式的使用者群組。
   2. 針對企業應用程式：
      1. 流覽至 全域安全存取>應用程式>企業應用程式>使用者和群組。
      2. 選取您建立的應用程式。
      3. 視需要修改使用者和群組指派。

重要

全球安全存取會將個別定義應用程式的流量優先級設為高於快速存取。 這表示一旦您將應用程式區段從快速存取移至特定的全域安全存取應用程式，所有路由至該應用程式區段的流量都會根據您的應用程式組態進行路由傳送。 即使應用程式區段可能保留在快速存取所定義的範圍內，仍不會有流量透過快速存取路由傳送至新的應用程式。 因此，為了避免服務中斷，您透過應用程式偵測建立的新應用程式，在建立時會從快速存取中繼承所有已指派的使用者和群組。 在驗證新的應用程式之後，您應該重新設定應用程式的權限，僅限於需要連接至其中定義的應用程式區段的使用者。

4. （選擇性）如需額外的安全性，您可以根據公司的安全策略來設定條件式存取原則。 例如，當使用者存取重要應用程式時，您可能想要要求多重要素驗證 （MFA） 和裝置合規性。

注意

即使在您建立應用程式之後，應用程式區段仍會保存在應用程式探索主數據表中，直到使用者登入新的應用程式並存取資源為止。 未來，不論使用者互動為何，應用程式探索主數據表都會更新。

新增至現有的應用程式

您可以使用應用程式探索，將應用程式區段新增至現有的私人應用程式。 若要將應用程式區段新增至現有的應用程式：

1. 從 [應用程式探索] 列表中，選擇一或多個應用程式區段。
2. 選擇 新增至現有的應用程式。
3. 選擇您要在其中新增區段的現有私人應用程式。 [編輯全域安全存取] 應用程式 畫面隨即開啟，其中顯示現有應用程式的屬性、選取的應用程式區段（狀態 擱置），以及任何先前設定的應用程式區段（狀態 成功）。
4. 檢閱組態並修訂 名稱、連接器群組和應用程式區段，並進行任何必要的修訂。
5. 若要套用變更，請選擇 儲存。

檢視應用程式區段的詳細數據

在您決定建立私人應用程式之前，您可能想要檢閱應用程式區段的其他詳細數據。

1. 在 [應用程式探索] 資料表上，針對您想要探索的應用程式區段，選取 目的地 FQDN 或 目的地 IP。
2. [使用量] 索引標籤預設為一段時間內 使用者 的圖表。 您可以設定圖表來顯示 交易的分佈、裝置的分佈、傳送的位元組以及 收到的位元組 的分佈，隨時間變化。 您也可以藉由調整 Timespan 設定來變更時間範圍。
3. [使用者] 標籤顯示過去 30 天內存取所選應用程式區段的使用者列表。
   

重要

在上線選取的應用程式區段後，使用使用者清單來告知您針對計劃指派給 Entra 應用程式的使用者和群組所做的決策。

相關內容

• 如何設定全域安全存取的快速存取功能