共用方式為

如何使用全球安全存取應用程式設定個別應用程式存取

  • 發行項

Microsoft Entra 私人存取可讓您安全地存取組織的內部資源。 您會建立全球安全存取應用程式,並指定您想要保護的內部私人資源。 透過設定全球安全存取應用程式,您會建立每個應用程式對內部資源的存取。 全球安全存取應用程式可讓您更詳細地管理每個應用程式存取資源的方式。

本文描述如何使用全球安全存取應用程式設定個別應用程式存取。

必要條件

若要設定全球安全存取應用程式,您必須具備:

若要管理全域安全存取應用程式所需的 Microsoft Entra 私人網路連接器群組,您必須具備:

  • Microsoft Entra ID 中的應用程式管理員角色
  • Microsoft Entra ID P1 或 P2 授權

已知的限制

  • 避免在快速存取與全球安全存取應用程式之間重疊應用程式區段。
  • 只有終端使用者裝置本機子網路外部的 IP 範圍,才支援依 IP 位址將流量進行通道傳送到私人存取目的地。
  • 此時,只能使用全球安全存取用戶端來取得私人存取流量。 無法將遠端網路指派給私人存取流量轉送設定檔。

高階步驟

個別應用程式存取會透過建立新的全球安全存取應用程式來設定。 您會建立應用程式、選取連接器群組,以及新增網路存取區段。 這些設定會組成您可以指派使用者和群組的個別應用程式。

若要設定個別應用程式存取,您必須擁有至少有一個使用中 Microsoft Entra 應用程式 Proxy 連接器的連接器群組。 此連接器群組會處理流向這個新應用程式的流量。 使用連接器,您就能隔離每個網路和連接器的應用程式。

總結來說,整體流程如下:

  1. 使用至少一個作用中的私人網路連接器來建立連接器群組

    • 如果您已經有連接器群組,請確定您使用的是最新版本。

  2. 建立全球安全存取應用程式

  3. 將使用者和群組指派給應用程式

  4. 設定條件式存取原則

  5. 啟用 Microsoft Entra 私人存取

建立私人網路連接器群組

若要設定全球安全存取應用程式,您必須擁有至少有一個使用中私人網路連接器的連接器群組。

如果您尚未設定連接器,請參閱設定連接器

注意

如果您先前已安裝連接器,請重新安裝以取得最新版本。 升級時,解除安裝現有的連接器並刪除任何相關資料夾。

私人存取所需的連接器最低版本是 1.5.3417.0

建立全球安全存取應用程式

若要建立新的應用程式,您可以提供名稱、選取連接器群組,然後新增應用程式區段。 應用程式區段包含您想要透過服務進行通道傳送的完整網域名稱 (FQDN) 和 IP 位址。 您可以同時完成這三個步驟,或在初始設定完成之後新增它們。

選擇名稱和連接器群組

  1. 以適當的角色登入 Microsoft Entra 系統管理中心

  2. 瀏覽 [全球安全存取]> [應用程式]> [企業應用程式]

  3. 選取 [新增應用程式]

    [企業應用程式] 和 [新增應用程式] 按鈕的螢幕擷取畫面。

  4. 輸入應用程式的名稱。

  5. 從下拉式功能表中選取連接器群組。

    重要

    您必須至少有一個作用中的連接器才能建立應用程式。 若要深入了解連接器,請參閱 瞭解Microsoft Entra 專用網連接器

  6. 選取頁面底部的 [儲存] 按鈕,以建立您的應用程式,而不需新增私人資源。

新增應用程式區段

新增應用程式區段流程是您定義想要包含於全球安全存取應用程式流量中之 FQDN 和 IP 位址的地方。 您可以在建立應用程式時新增網站,並於稍後返回以新增更多資源或加以編輯。

您可以新增完整網域名稱 (FQDN)、IP 位址和 IP 位址範圍。 在每個應用程式區段中,您可以新增多個連接埠和連接埠範圍。

  1. 登入 Microsoft Entra 系統管理中心。

  2. 瀏覽 [全球安全存取]> [應用程式]> [企業應用程式]

  3. 選取 [新增應用程式]

  4. 選取 [新增應用程式區段]

  5. 在開啟的 [建立應用程式區段] 面板中,選取 [目的地類型]

  6. 輸入所選目的地類型的適當詳細資料。 視您選取的內容而定,後續欄位會隨之變更。

    • IP 位址
      • 網際網路通訊協定第 4 版 (IPv4) 位址 (例如 192.168.2.1),可識別網路上的裝置。
      • 提供您想要包含的連接埠。
    • 完整網域名稱 (包括萬用字元 FQDN):
      • 網域名稱,指定網域名稱系統 (DNS) 中電腦或主機的確切位置。
      • 提供您想要包含的連接埠。
      • 不支援 NetBIOS。 例如,使用 contoso.local/app1,而不要使用 contoso/app1.
    • IP 位址範圍 (CIDR)
      • 無類別網域間路由選擇 (CIDR) 代表 IP 位址範圍的方式,其中 IP 位址後面緊接著一個尾碼,指出子網路遮罩中的網路位元數。
      • 例如,192.168.2.0/24 指出 IP 位址的前 24 個位元代表網路位址,而其餘 8 個位元則代表主機位址。
      • 提供開始位址、網路遮罩和連接埠。
    • IP 位址範圍 (IP 到 IP)
      • 從起始 IP (例如 192.168.2.1) 到結束 IP (例如 192.168.2.10) 的 IP 位址範圍。
      • 提供 IP 位址開始、結束和連接埠。

  7. 輸入連接埠,然後選取 [套用] 按鈕。

    • 以逗號分隔多個連接埠。
    • 使用連字號指定連接埠範圍。
    • 套用變更時,會移除值之間的空格。
    • 例如: 400-500, 80, 443

    [建立應用程式區段] 面板的螢幕擷取畫面,其中已新增多個連接埠。

    下表提供最常用的連接埠及其相關聯的網路通訊協定:

    連接埠 通訊協定
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)

  8. 選取 [儲存]

注意

您最多可將 500 個應用程式區段新增至您的應用程式。

請勿將快速存取應用程式與任何私人存取應用程式之間的 FQDN、IP 位址和 IP 範圍重疊。

指派使用者與群組

您必須將使用者和/或群組指派給應用程式,藉以授與對您所建立應用程式的存取權。 如需詳細資訊,請參閱將使用者和群組指派給應用程式

  1. 登入 Microsoft Entra 系統管理中心。
  2. 瀏覽 [全球安全存取]> [應用程式]> [企業應用程式]
  3. 搜尋並選取您的應用程式。
  4. 從側邊功能表中選取 [使用者和群組]
  5. 視需要新增使用者和群組。

注意

使用者必須直接指派給應用程式或已指派給該應用程式的群組。 「不支援」巢狀群組。

更新應用程式區段

您可以隨時新增或更新應用程式中所含的 FQDN 和 IP 位址。

  1. 登入 Microsoft Entra 系統管理中心。
  2. 瀏覽 [全球安全存取]> [應用程式]> [企業應用程式]
  3. 搜尋並選取您的應用程式。
  4. 從側邊功能表中選取 [網路存取屬性]
    • 若要新增 FQDN 或 IP 位址,選取 [新增應用程式區段]
    • 若要編輯現有的應用程式,從 [目的地類型] 資料行選取它。

使用全球安全存取用戶端啟用或停用存取

您可以使用全球安全存取用戶端,來啟用或停用對全球安全存取應用程式的存取。 預設會選取此選項,但可加以停用,因此,應用程式區段中所含的 FQDN 和 IP 位址不會透過服務進行通道傳送。

啟用存取核取方塊的螢幕擷取畫面。

指派條件式存取原則

適用於個別應用程式存取的條件式存取原則會設定於每個應用程式的應用程式層級。 條件式存取原則可以從下列兩處建立並套用至應用程式:

  • 移至 [全球安全存取] > [應用程式] > [企業應用程式]。 選取應用程式,然後從側邊功能表中選取 [條件式存取]
  • 移至 [保護]>[條件式存取]>[原則]。 選取 [+ 建立新原則]

如需詳細資訊,請參閱將條件式存取原則套用至私人存取應用程式

啟用 Microsoft Entra 私人存取

當您設定應用程式、新增私人資源、並將使用者指派給應用程式之後,即可啟用私人存取流量轉送設定檔。 您可以先啟用全球安全存取應用程式,然後再啟用設定檔,但若未設定應用程式和設定檔,則不會有要轉送的流量。

  1. 登入 Microsoft Entra 系統管理中心。
  2. 瀏覽至 [全球安全存取]>[連線]>[流量轉送]
  3. 選取 [私人存取設定檔] 的切換。

此圖示範嘗試使用遠端桌面通訊協定連線到專用網上的伺服器時,Microsoft Entra 私人存取的運作方式。

Microsoft Entra 私人存取 使用遠端桌面通訊協定的圖表。

步驟 描述:
1 使用者會將 RDP 工作階段起始至對應至目標伺服器的 FQDN。 GSA 用戶端會攔截流量,並將其通道傳送至 SSE Edge。
2 SSE Edge 會評估儲存在 Microsoft Entra 識別碼中的原則,例如使用者是否已指派給應用程式和條件式存取原則。
3 一旦用戶獲得授權,Microsoft Entra ID 會發出 Private Access 應用程式的令牌。
4 流量會釋出,以繼續進行私人存取服務,以及應用程式的存取令牌。
5 Private Access 服務會驗證存取令牌,並將連線代理至 Private Access 後端服務。
6 聯機會代理至專用網連接器。
7 專用網連接器會執行 DNS 查詢,以識別目標伺服器的 IP 位址。
8 專用網上的 DNS 服務會傳送回應。
9 專用網連接器會將流量轉送至目標伺服器。 RDP 工作階段會交涉(包括 RDP 驗證),然後建立。

下一步

開始使用 Microsoft Entra 私人存取的下一個步驟是啟用私人存取流量轉送設定檔

如需私人存取的詳細資訊,請參閱下列文章: