Настройка доступа для каждого приложения с помощью приложений Глобального безопасного доступа
Частный доступ Microsoft Entra обеспечивает безопасный доступ к внутренним ресурсам вашей организации. Вы создаете приложение глобального безопасного доступа и указываете внутренние частные ресурсы, которые требуется защитить. Настроив приложение Глобального безопасного доступа, вы создаете доступ к внутренним ресурсам для каждого приложения. Приложение Global Secure Access предоставляет более подробную возможность управлять доступом к ресурсам на основе каждого приложения.
В этой статье описывается настройка доступа для каждого приложения с помощью приложений Глобального безопасного доступа.
Необходимые компоненты
Чтобы настроить приложение глобального безопасного доступа, необходимо:
- Роли глобального администратора безопасного доступа и администратора приложений в идентификаторе Microsoft Entra
- Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
Для управления группами соединителей частной сети Microsoft Entra, которые необходимы для приложений глобального безопасного доступа, необходимо:
- Роль администратора приложения в идентификаторе Microsoft Entra
- Лицензии Microsoft Entra ID P1 или P2
Известные ограничения
- Избегайте перекрывающихся сегментов приложений между быстрым доступом и приложениями глобального безопасного доступа.
- Туннельный трафик к назначениям частного доступа по IP-адресу поддерживается только для диапазонов IP-адресов за пределами локальной подсети устройства конечного пользователя.
- В настоящее время трафик частного доступа можно получить только с помощью клиента глобального безопасного доступа. Удаленные сети не могут быть назначены профилю пересылки трафика частного доступа.
Шаги высокого уровня
Доступ к приложениям настраивается путем создания нового приложения глобального безопасного доступа. Вы создаете приложение, выбираете группу соединителей и добавляете сегменты сетевого доступа. Эти параметры составляют отдельное приложение, которому можно назначить пользователей и группы.
Чтобы настроить per-App Access, необходимо иметь группу соединителей по крайней мере с одним активным соединителем прокси приложения Microsoft Entra. Эта группа соединителей обрабатывает трафик в это новое приложение. С помощью соединителей можно изолировать приложения для каждой сети и соединителя.
Чтобы свести к сводные данные, общий процесс выглядит следующим образом:
Создайте группу соединителей по крайней мере с одним активным соединителем частной сети.
- Если у вас уже есть группа соединителей, убедитесь, что вы используете последнюю версию.
Создайте приложение глобального безопасного доступа.
Настройка политик условного доступа.
Создание группы соединителей частной сети
Чтобы настроить приложение Global Secure Access, необходимо иметь группу соединителей с по крайней мере одним активным соединителем частной сети.
Если у вас еще нет соединителя, см. статью "Настройка соединителей".
Примечание.
Если вы ранее установили соединитель, переустановите его, чтобы получить последнюю версию. При обновлении удалите существующий соединитель и удалите все связанные папки.
Минимальная версия соединителя, необходимая для частного доступа, — 1.5.3417.0.
Создание приложения глобального безопасного доступа
Чтобы создать приложение, укажите имя, выберите группу соединителей и добавьте сегменты приложений. Сегменты приложений включают полные доменные имена (FQDN) и IP-адреса, которые вы хотите туннелировать через службу. Вы можете выполнить все три шага одновременно или добавить их после завершения начальной настройки.
Выбор имени и группы соединителей
Войдите в Центр администрирования Microsoft Entra с помощью соответствующих ролей.
Перейдите к приложениям> Global Secure Access>Enterprise.
Выберите Новое приложение.
Введите название приложения.
Выберите группу соединителей в раскрывающемся меню.
Внимание
Для создания приложения необходимо иметь по крайней мере один активный соединитель. Дополнительные сведения о соединителях см. в статье "Общие сведения о соединителе частной сети Microsoft Entra".
Нажмите кнопку "Сохранить" в нижней части страницы, чтобы создать приложение без добавления частных ресурсов.
Добавление сегмента приложения
Процесс добавления сегмента приложения — это место, в котором определяются полные доменные имена и IP-адреса, которые необходимо включить в трафик для приложения Глобального безопасного доступа. Вы можете добавить сайты при создании приложения и вернуться, чтобы добавить дополнительные или изменить их позже.
Можно добавить полные доменные имена (FQDN), IP-адреса и диапазоны IP-адресов. В каждом сегменте приложения можно добавить несколько портов и диапазонов портов.
Войдите в центр администрирования Microsoft Entra.
Перейдите к приложениям> Global Secure Access>Enterprise.
Выберите Новое приложение.
Выберите " Добавить сегмент приложения".
На открывающейся панели "Создание сегмента приложения" выберите тип назначения.
Введите соответствующие сведения для выбранного типа назначения. В зависимости от выбранного значения последующие поля изменяются соответствующим образом.
- IP-адрес:
- Адрес протокола Интернета версии 4 (IPv4), например 192.168.2.1, который определяет устройство в сети.
- Укажите порты, которые требуется включить.
- Полное доменное имя (включая полные доменные имена подстановочных знаков):
- Доменное имя, указывающее точное расположение компьютера или узла в системе доменных имен (DNS).
- Укажите порты, которые требуется включить.
- NetBIOS не поддерживается. Например, используйте
contoso.local/app1
вместоcontoso/app1.
- Диапазон IP-адресов (CIDR):
- Маршрутизация между доменами (CIDR) представляет диапазон IP-адресов, за которым следует IP-адрес, за которым следует суффикс, указывающий количество сетевых битов в маске подсети.
- Например, 192.168.2.0/24 указывает, что первые 24 бита IP-адреса представляют сетевой адрес, а остальные 8 бит представляют адрес узла.
- Укажите начальный адрес, маску сети и порты.
- Диапазон IP-адресов (IP-адрес — IP):
- Диапазон IP-адресов от начального IP-адреса (например, 192.168.2.1) до конца IP-адреса (например, 192.168.2.10).
- Укажите начальный, конечный и порты IP-адреса.
- IP-адрес:
Введите порты и нажмите кнопку "Применить ".
- Разделите несколько портов с запятыми.
- Укажите диапазоны портов с дефисом.
- Пробелы между значениями удаляются при применении изменений.
- Например,
400-500, 80, 443
.
В следующей таблице приведены наиболее часто используемые порты и связанные с ними сетевые протоколы:
Порт Протокол 22
Secure Shell (SSH)
80
Hypertext Transfer Protocol (HTTP)
443
Hypertext Transfer Protocol Secure (HTTPS)
445
Server Message Block (SMB) file sharing
3389
Remote Desktop Protocol (RDP)
Выберите Сохранить.
Примечание.
В приложение можно добавить до 500 сегментов приложений.
Не перекрывайте полные доменные имена, IP-адреса и диапазоны IP-адресов между приложением быстрого доступа и любыми приложениями приватного доступа.
Назначить пользователей и группы
Необходимо предоставить доступ к приложению, созданному путем назначения пользователям и (или) группам приложения. Дополнительные сведения см. в разделе "Назначение пользователей и групп приложению".
- Войдите в центр администрирования Microsoft Entra.
- Перейдите к приложениям> Global Secure Access>Enterprise.
- Найдите и выберите свое приложение.
- Выберите "Пользователи" и "Группы " в боковом меню.
- При необходимости добавьте пользователей и группы.
Примечание.
Пользователи должны быть напрямую назначены приложению или группе, назначенной приложению. Вложенные группы не поддерживаются.
Обновление сегментов приложений
Полное доменное имя и IP-адреса, включенные в приложение, можно добавлять или обновлять в любое время.
- Войдите в центр администрирования Microsoft Entra.
- Перейдите к приложениям> Global Secure Access>Enterprise.
- Найдите и выберите свое приложение.
- Выберите свойства доступа к сети в боковом меню.
- Чтобы добавить новое полное доменное имя или IP-адрес, выберите " Добавить сегмент приложения".
- Чтобы изменить существующее приложение, выберите его в столбце типа назначения.
Включение или отключение доступа с помощью клиента глобального безопасного доступа
Вы можете включить или отключить доступ к приложению Глобального безопасного доступа с помощью клиента глобального безопасного доступа. Этот параметр выбран по умолчанию, но может быть отключен, поэтому полные доменные имена и IP-адреса, включенные в сегменты приложений, не туннелируются через службу.
Назначение политик условного доступа
Политики условного доступа для доступа для каждого приложения настраиваются на уровне приложения для каждого приложения. Политики условного доступа можно создавать и применять к приложению из двух мест:
- Перейдите к приложениям> Global Secure Access>Enterprise. Выберите приложение и выберите условный доступ в боковом меню.
- Перейдите к политикам условного доступа>защиты>. Выберите и создайте новую политику.
Дополнительные сведения см. в статье "Применение политик условного доступа к приложениям приватного доступа".
Включение Частный доступ Microsoft Entra
После настройки приложения ваши частные ресурсы добавлены, пользователи, назначенные приложению, можно включить профиль пересылки трафика частного доступа. Вы можете включить профиль перед настройкой приложения Глобального безопасного доступа, но без приложения и профиля, нет трафика для пересылки.
- Войдите в центр администрирования Microsoft Entra.
- Перейдите к переадресации трафика global Secure Access>Connect>.
- Выберите переключатель для профиля закрытого доступа.
На этой схеме показано, как работает Частный доступ Microsoft Entra при попытке использовать протокол удаленного рабочего стола для подключения к серверу в частной сети.
Этап | Описание: |
---|---|
1 | Пользователь инициирует сеанс RDP в полное доменное имя, которое сопоставляется с целевым сервером. Клиент GSA перехватывает трафик и туннелирует его на пограничный сервер SSE. |
2 | SSE Edge оценивает политики, хранящиеся в идентификаторе Microsoft Entra, например, назначается ли пользователь политикам приложения и условного доступа. |
3 | После того как пользователь был авторизован, идентификатор Microsoft Entra выдает маркер для приложения приватного доступа. |
4 | Трафик освобождается для продолжения работы службы приватного доступа вместе с маркером доступа приложения. |
5 | Служба приватного доступа проверяет маркер доступа, а подключение выполняется брокером к серверной службе приватного доступа. |
6 | Подключение выполняется брокером к соединителю частной сети. |
7 | Соединитель частной сети выполняет DNS-запрос для идентификации IP-адреса целевого сервера. |
8 | Служба DNS в частной сети отправляет ответ. |
9 | Соединитель частной сети перенаправит трафик на целевой сервер. Сеанс RDP согласовывается (включая проверку подлинности RDP) и затем устанавливается. |
Следующие шаги
Следующим шагом для начала работы с Частный доступ Microsoft Entra является включение профиля пересылки трафика приватного доступа.
Дополнительные сведения о частном доступе см. в следующих статьях: