Настройка доступа для каждого приложения с помощью приложений Глобального безопасного доступа

Обзор

Частный доступ Microsoft Entra обеспечивает безопасный доступ к внутренним ресурсам вашей организации, позволяя контролировать и защищать доступ к определённым сетевым направлениям в вашей частной сети. Это позволяет предоставлять детальный доступ к сети на основе потребностей пользователя. Для этого создайте корпоративное приложение и добавьте сегмент приложения, используемый внутренним частным ресурсом, который требуется защитить. Сетевые запросы, отправляемые с устройств, на которых работает клиент Global Secure Access, в сегмент приложения, добавленный в ваше корпоративное приложение, будут перехвачены и перенаправлены к вашему внутреннему приложению через облачный сервис Global Secure Access без возможности подключения к другим ресурсам вашей сети. Настроив корпоративное приложение, вы создаете доступ к вашим внутренним ресурсам для каждого приложения. Корпоративные приложения предоставляют вам сегментированную и детализированную возможность управлять тем, как ваши ресурсы доступны на уровне каждого приложения.

В этой статье описывается, как настроить доступ для каждого приложения с помощью корпоративных приложений.

Предварительные условия

Чтобы настроить приложение Global Secure Access Enterprise, необходимо:

Для управления группами соединителей частной сети Microsoft Entra, которые необходимы для приложений глобального безопасного доступа, необходимо:

  • Роль администратора приложения в идентификаторе Microsoft Entra
  • Лицензии Microsoft Entra ID P1 или P2

Известные ограничения

Подробные сведения об известных проблемах и ограничениях см. в разделе "Известные ограничения для глобального безопасного доступа".

Шаги высокого уровня

Настройка доступа для каждого приложения осуществляется путем создания нового приложения Global Secure Access. Вы создаете приложение, выбираете группу соединителей и добавляете сегменты сетевого доступа. Эти параметры составляют отдельное приложение, которому можно назначить пользователей и группы.

Чтобы настроить Per-App Access, необходимо иметь группу соединителей по крайней мере с одним активным соединителем частной сети Microsoft Entra . Эта группа соединителей обрабатывает трафик в это новое приложение. С помощью соединителей можно изолировать приложения для каждой сети и соединителя.

Чтобы свести к сводные данные, общий процесс выглядит следующим образом:

  1. Создайте группу соединителей по крайней мере с одним активным соединителем частной сети.

    • Если у вас уже есть группа соединителей, убедитесь, что вы используете последнюю версию.

  2. Создайте приложение глобального безопасного доступа.

  3. Назначьте пользователей и группы приложению.

  4. Настройка политик условного доступа.

  5. Включите Частный доступ Microsoft Entra.

Создание группы соединителей частной сети

Чтобы настроить приложение Global Secure Access, необходимо иметь группу соединителей с по крайней мере одним активным соединителем частной сети.

Если у вас еще нет соединителя, см. статью "Настройка соединителей".

Примечание.

Если вы ранее установили соединитель, переустановите его, чтобы получить последнюю версию. При обновлении удалите существующий соединитель и удалите все связанные папки.

Минимальная версия соединителя, необходимая для частного доступа, — 1.5.3417.0.

Создание приложения Global Secure Access Enterprise

Чтобы создать приложение, укажите имя, выберите группу соединителей и добавьте сегменты приложений. Сегменты приложений включают полные доменные имена (FQDN) и IP-адреса, которые вы хотите туннелировать через службу. Вы можете выполнить все три шага одновременно или добавить их после завершения начальной настройки.

Выбор имени и группы соединителей

  1. Войдите в Центр администрирования Microsoft Entra с помощью соответствующих ролей.

  2. Перейдите к Global Secure Access>приложениям>корпоративным приложениям.

  3. Выберите Новое приложение.

    Снимок экрана: корпоративные приложения и кнопка

  4. Введите название приложения.

  5. Выберите группу соединителей в раскрывающемся меню.

    Внимание

    Для создания приложения необходимо иметь хотя бы один активный соединитель. Дополнительные сведения о соединителях см. в статье "Общие сведения о соединителе частной сети Microsoft Entra".

  6. Нажмите кнопку "Сохранить" в нижней части страницы, чтобы создать приложение без добавления частных ресурсов.

Добавление сегмента приложения

Сегмент приложения определяется тремя полями — местом назначения, портом и протоколом. Если два или более сегментов приложений включают одно и то же назначение, порт и протокол, они считаются перекрывающимися. Процесс Добавления сегмента приложения — это этап, на котором вы определяете полные доменные имена (FQDN) и IP-адреса, к которым клиент Global Secure Access должен направлять трафик для вашей целевой частной программы. Вы можете добавить сегменты приложений при создании приложения, а затем вернуться к добавлению дополнительных или изменить их.

Можно добавить полные доменные имена (FQDN), IP-адреса и диапазоны IP-адресов. В каждом сегменте приложения можно добавить несколько портов и диапазонов портов.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к Global Secure Access>приложениям>корпоративным приложениям.

  3. Выберите Новое приложение.

  4. Выберите Добавить сегмент приложения.

  5. На открывающейся панели "Создание сегмента приложения" выберите тип назначения.

  6. Введите соответствующие сведения для выбранного типа назначения. В зависимости от выбранного значения последующие поля изменяются соответствующим образом.

    • IP-адрес:
      • Адрес протокола Интернета версии 4 (IPv4), например 192.168.2.1, который определяет устройство в сети.
      • Укажите порты, которые требуется включить.
    • Полное доменное имя (включая подстановочные FQDN):
      • Доменное имя, указывающее точное расположение компьютера или узла в системе доменных имен (DNS).
      • Укажите порты, которые требуется включить.
      • NetBIOS не поддерживается. Например, используйте contoso.local/app1 вместо contoso/app1.
    • Диапазон IP-адресов (CIDR):
      • Маршрутизация между доменами без классов (CIDR) представляет собой диапазон IP-адресов, где за IP-адресом следует суффикс, указывающий количество сетевых битов в маске подсети.
      • Например, 192.168.2.0/24 указывает, что первые 24 бита IP-адреса представляют сетевой адрес, а остальные 8 бит представляют адрес узла.
      • Укажите начальный адрес, маску сети и порты.
    • Диапазон IP-адресов (IP-адрес — IP):
      • Диапазон IP-адресов от начального IP-адреса (например, 192.168.2.1) до конца IP-адреса (например, 192.168.2.10).
      • Укажите начальный, конечный и порты IP-адреса.

  7. Введите порты и нажмите кнопку "Применить ".

    • Разделите несколько портов запятой.
    • Укажите диапазоны портов с дефисом.
    • Пробелы между значениями удаляются при применении изменений.
    • Например, 400-500, 80, 443.

    Снимок экрана: панель создания сегмента приложения с несколькими портами.

    В следующей таблице приведены наиболее часто используемые порты и связанные с ними сетевые протоколы:

    Порт Протокол
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)

  8. Выберите Сохранить.

Примечание.

Вы можете добавить до 500 сегментов приложений в ваше приложение, однако ни один из этих сегментов не может иметь совпадающие полные доменные имена (FQDN), IP-адреса или диапазоны IP-адресов как внутри, так и между приложениями Private Access. Специальное исключение допускается для перекрывающихся сегментов между приложениями приватного доступа и быстрым доступом, чтобы разрешить замену VPN. Если сегмент, определенный в Enterprise App (например, 10.1.1.1:3389), пересекается с сегментом, определенным в Quick Access (например, 10.1.1.0/24:3389), то сегмент, определенный в Enterprise App, будет иметь приоритет в сервисе GSA. Несмотря на наличие трафика от любого пользователя к сегменту приложения, определенному как Enterprise App, он не будет обрабатываться через Quick Access. Это означает, что любой пользователь, который пытается выполнять подключение по RDP к 10.1.1.1, будет оцениваться и маршрутизироваться в соответствии с конфигурацией корпоративного приложения, включая назначения пользователей и политики условного доступа. В качестве рекомендации удалите сегменты приложений, которые определяются в корпоративных приложениях из быстрого доступа, разбивая IP-подсети на меньшие диапазоны, чтобы можно было исключить.

Просмотр приоритета правила в клиенте

Чтобы определить активное правило для назначения, откройте клиент Глобального безопасного доступа и перейдите в Расширенная диагностика>Профиль пересылки. На вкладке "Профиль пересылки" отображаются активные правила в клиенте и столбец "Приоритет ".

Правила с меньшими числовыми значениями приоритета имеют приоритет над правилами с большими числовыми значениями. Вы также можете использовать средство тестирования политик на вкладке профиля пересылки , чтобы определить активное правило для определенного назначения.

Назначить пользователей и группы

Необходимо предоставить доступ к созданному приложению, назначив ему пользователей и/или группы. Дополнительные сведения см. в разделе "Назначение пользователей и групп приложению".

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите к Global Secure Access>приложениям>корпоративным приложениям.
  3. Найдите и выберите свое приложение.
  4. Выберите "Пользователи" и "Группы " в боковом меню.
  5. При необходимости добавьте пользователей и группы.

Примечание.

Вы должны назначить пользователей, непосредственно назначенных к приложению, или к группе, назначенной к приложению. Вложенные группы не поддерживаются. Также обратите внимание, что назначения доступа не переносятся автоматически в новое корпоративное приложение, даже если в Quick Access определен существующий (перекрывающийся) сегмент приложения. Это важно, так как вы можете столкнуться с проблемой, из-за которой пользователи, которые успешно получили доступ к сегменту приложения через быстрый доступ, будут заблокированы при перемещении сегмента приложения в корпоративные приложения, пока не назначьте им доступ специально для корпоративного приложения. Дайте время в 15 минут, чтобы изменение вашей конфигурации было синхронизировано с вашими клиентами Global Secure Access.

Обновление сегментов приложений

Полное доменное имя и IP-адреса, включенные в приложение, можно добавлять или обновлять в любое время.

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите к Global Secure Access>приложениям>корпоративным приложениям.
  3. Найдите и выберите свое приложение.
  4. Выберите свойства доступа к сети в боковом меню.
    • Чтобы добавить новое полное доменное имя или IP-адрес, выберите " Добавить сегмент приложения".
    • Чтобы изменить существующее приложение, выберите его в столбце типа назначения.

Настройка маршрутизации трафика для приложения

Маршрутизация трафика настраивается для каждого приложения глобального безопасного доступа. Метод маршрутизации трафика по умолчанию — Random, который распределяет запросы между доступными соединителями в выбранной группе соединителей.

Для приложений Глобального безопасного доступа можно изменить поведение маршрутизации, чтобы использовать сохраняемость сеансов, также называемую сходством сеансов. Сохраняемость сеанса последовательно направляет запросы от одного пользователя и устройства к одному соединителю в течение сеанса.

Сохраняемость сеансов полезна для приложений, использующих IP-адрес исходящего соединителя для списков проверки подлинности или управления доступом (ACL).

Tip

Устойчивость сеансов работает только с приложениями Global Secure Access, а не с приложениями-прокси Microsoft Entra.

Метод маршрутизации трафика для приложения Global Secure Access можно настроить, обновив свойство trafficRoutingMethod в приложении через Microsoft Graph. Сведения об определении свойств и поддерживаемых значениях см. в trafficRoutingMethod ресурса OnPremisesPublishing.

Обновите объект приложения, используя отдельный запрос PATCH к Microsoft Graph.

PATCH https://graph.microsoft.com/beta/applications/{appRegistrationObjectId}
Content-Type: application/json

{
    "onPremisesPublishing": {
        "trafficRoutingMethod": "sessionPersistence"
    }
}

Замените {appRegistrationObjectId} идентификатором объекта регистрации приложения. Это значение можно найти в Центр администрирования Microsoft Entra в разделе Identity>Applications>Регистрация приложений, выбрав регистрацию приложения для приложения Global Secure Access и скопируйв идентификатор Object ID на странице Overview. Чтобы вернуться к поведению по умолчанию, задайте значение trafficRoutingMethodrandom. Дополнительные сведения см. в разделе "Обновление приложения".

Чтобы убедиться, что конфигурация зафиксирована, получите объект регистрации приложения с помощью запроса GET, а затем просмотрите значение onPremisesPublishing.trafficRoutingMethod.

GET https://graph.microsoft.com/beta/applications/{appRegistrationObjectId}

Дополнительные сведения см. в разделе Получение приложения.

Включение или отключение доступа с помощью клиента глобального безопасного доступа

Вы можете включить или отключить доступ к приложению Глобального безопасного доступа с помощью клиента глобального безопасного доступа. Этот параметр выбран по умолчанию, но может быть отключен, поэтому полные доменные имена и IP-адреса, включенные в сегменты приложений, не туннелируются через службу.

Снимок экрана: флажок включения доступа.

Назначение политик условного доступа

Политики условного доступа для доступа для каждого приложения настраиваются на уровне приложения для каждого приложения. Политики условного доступа можно создавать и применять к приложению из двух мест:

  • Перейдите к Global Secure Access>Приложениям>Корпоративные приложения. Выберите приложение и выберите условный доступ в боковом меню.
  • Перейдите к Microsoft Entra ID>Условному доступу>Политики. Выберите и создайте новую политику.

Дополнительные сведения см. в статье "Применение политик условного доступа к приложениям приватного доступа".

Включить частный доступ Microsoft Entra

После того как вы настроите приложение, добавите ваши частные ресурсы и назначите пользователей приложению, вы можете включить профиль пересылки трафика частного доступа. Вы можете включить профиль перед настройкой приложения Global Secure Access, но без настроенных приложения и профиля нет трафика для перенаправления.

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите к Global Secure Access>Connect>Переадресация трафика.
  3. Выберите переключатель для профиля закрытого доступа.

На этой схеме показано, как работает Частный доступ Microsoft Entra при попытке использовать протокол удаленного рабочего стола для подключения к серверу в частной сети.

Схема работы Частный доступ Microsoft Entra с протоколом удаленного рабочего стола.

Этап Описание:
1 Пользователь инициирует сеанс RDP с помощью полного доменного имени, которое соответствует целевому серверу. Клиент GSA перехватывает трафик и передаёт его через туннель на SSE Edge.
2 SSE Edge оценивает политики, хранящиеся в идентификаторе Microsoft Entra, например, назначается ли пользователь политикам приложения и условного доступа.
3 После того как пользователь был авторизован, идентификатор Microsoft Entra выдает маркер для приложения приватного доступа.
4 Трафик направляется для продолжения работы службы частного доступа вместе с токеном доступа приложения.
5 Служба Private Access проверяет токен доступа, а подключение осуществляется через посредничество к серверной службе Private Access.
6 Подключение выполняется брокером к соединителю частной сети.
7 Соединитель частной сети выполняет DNS-запрос для идентификации IP-адреса целевого сервера.
8 Служба DNS в частной сети отправляет ответ.
9 Соединитель частной сети перенаправит трафик на целевой сервер. Сессия RDP согласовывается (включая аутентификацию RDP) и затем устанавливается.

Следующие шаги

Следующим шагом для начала работы с Microsoft Entra Частный доступ является включить профиль пересылки трафика Частного доступа.

Дополнительные сведения о частном доступе см. в следующих статьях:

  • Last updated on