Привязка исходного IP-адреса с помощью глобального безопасного доступа

Организации с приложениями Software-as-a-Service (SaaS) или корпоративными приложениями могут требовать определенные сетевые расположения перед разрешением доступа. Одним из способов является использование Microsoft Entra Частный доступ для маршрутизации определенного трафика веб-приложения в частной управляемой сети. Этот подход позволяет применять определенные IP-адреса исходящего трафика, которые используются только вашей организацией. В этой статье описывается, как настроить Частный доступ Microsoft Entra для туннелирования определенного трафика приложения через частную сеть для удовлетворения политики управления доступом на основе сети приложения.

Подсказка

Привязка исходного IP-адреса и восстановление исходного IP-адреса являются разными функциями. Привязка исходного IP-адреса направляет трафик приложений через соединитель приватной сети, чтобы приложение SaaS видело ваш известный IP-адрес исходящего трафика. (из этой статьи) Восстановление исходного IP-адреса источника сохраняет исходный общедоступный IP-адрес пользователя в журналах входа Microsoft Entra при прохождении трафика через глобальный безопасный доступ. Выберите функцию, соответствующую вашему сценарию.

Настройка привязки исходного IP-адреса для маршрутизации трафика с выделенного IP-адреса

Чтобы включить принудительное использование приложений в специальной сети, настройте корпоративное приложение с помощью Microsoft Entra Private Access. Пример, в котором может потребоваться эта конфигурация, заключается в том, что приложение разрешает доступ с локальными учетными данными, которые не привязаны к поставщику удостоверений.

Это решение получает трафик приложения и направляет его с клиентского устройства. Он направляется через Microsoft Secure Service Edge, а затем в частную сеть с помощью соединителя частной сети. В частной сети трафик может получить доступ к приложению с помощью Интернета или любого другого доступного частного подключения. Приложение видит трафик как исходящий из разрешенного IP-адреса выхода, что указывает на то, что доступ поступает из выделенной сети, соответствующей собственным правилам управления доступом к сети.

На следующей схеме архитектуры показан пример конфигурации.

Схема примера конфигурации архитектуры.

В примере конфигурации приложение разрешает только подключения, которые должны исходить с адреса 15.4.23.54, который является исходящим IP-адресом локальной сети клиента. Когда пользователь пытается получить доступ к приложению, клиент Глобального безопасного доступа получает и туннелирует трафик через Secure Service Edge Майкрософт, где может выполняться управление авторизацией (например, условный доступ). Трафик туннелируется в локальную сеть с использованием частного сетевого соединителя. Наконец, трафик использует Интернет для подключения к веб-приложению. Приложение видит подключение, исходящее от 15.4.23.54, и разрешает доступ.

Примечание.

Настройка привязки исходного IP-адреса необходима, если приложение SaaS применяет собственные сетевые элементы управления. Если ваше требование ограничивается применением расположений от поставщика удостоверений, проверка соответствия сети будет достаточной. Проверка соответствия сетей внедряет сетевые правила доступа на уровне аутентификации и позволяет избежать необходимости переадресовать трафик через вашу частную сеть. Глобальный безопасный доступ привязывает трафик к идентификатору клиента, чтобы другие организации, использующие глобальный безопасный доступ, не соответствовали политикам условного доступа.

Предварительные условия

Прежде чем приступить к настройке привязки исходного IP-адреса, убедитесь, что среда готова и соответствует требованиям.

  • У вас есть приложение SaaS, которое применяет собственную политику управления доступом на основе сети.
  • Лицензия включает Microsoft Entra Suite или Частный доступ Microsoft Entra.
  • Вы включили профиль пересылки данных для функции Private Access в Microsoft Entra.
  • У вас есть последняя версия клиента Глобального безопасного доступа.

Развертывание соединителей частной сети

При выполнении предварительных требований выполните следующие действия, чтобы развернуть соединители частной сети:

  1. Установите соединитель частной сети в частной сети с исходящим подключением к целевому веб-приложению. Хорошим вариантом является размещение соединителя в виртуальная сеть Azure, где вы управляете исходящим IP-адресом исходящего трафика. Рекомендуется установить два или более соединителей для обеспечения устойчивости и высокой доступности.
  2. Предоставьте общедоступный IP-адрес соединителей приложению SaaS, чтобы пользователи могли подключаться к приложению.

Настройка привязки исходного IP-адреса

После установки и настройки соединителей частной сети выполните следующие действия, чтобы создать корпоративное приложение:

  1. Перейдите к entra.microsoft.com.

  2. Выберите Global Secure Access>Корпоративные приложения>.

  3. Выберите новое приложение.

  4. Введите имя приложения.

  5. Выберите группу соединителей, которая получает и направляет трафик.

  6. Выберите "Добавить сегмент приложения".

  7. Заполните следующие поля:

    1. Тип назначения — выберите полное доменное имя.

    2. Полное доменное имя . Введите полное доменное имя веб-приложения.

    3. Порты — если приложение использует HTTP, введите 80. Если приложение использует ПРОТОКОЛ HTTPS, введите 443. Вы также можете ввести оба порта.

    4. Протокол — выберите TCP.

      Снимок экрана: диалоговое окно

  8. Нажмите кнопку "Применить".

  9. Нажмите кнопку "Сохранить".

  10. Вернитесь к корпоративным приложениям. Выберите созданное приложение.

  11. Выберите пользователей и группы.

  12. Выберите "Добавить пользователя или группу".

  13. Выберите "Пользователи" и группы>"Нет выбранных".

  14. Найдите и выберите пользователей и группы, которые вы хотите назначить этому приложению. Нажмите кнопку "Выбрать".

  15. Выберите Назначить.

Проверка конфигурации

После настройки корпоративного приложения для веб-приложения выполните следующие действия, чтобы проверить правильность работы приложения.

  1. В клиенте Глобального безопасного доступа Windows откройте расширенную диагностику.

  2. Выберите профиль пересылки.

  3. Разверните правила частного доступа. Убедитесь, что полное доменное имя веб-приложения (FQDN) находится в списке.

    Снимок экрана: глобальный безопасный доступ — расширенная диагностика — правила.

  4. Выберите трафик.

  5. Нажмите кнопку "Начать сбор".

  6. В браузере перейдите к веб-приложению.

  7. Вернитесь к расширенной диагностике.

  8. Нажмите кнопку "Остановить сбор".

  9. Проверьте следующие параметры:

    1. Веб-приложение отображается в разделе полное доменное имя назначения.

    2. Область канала предназначена для частного доступа.

    3. Поле "Действие " — туннель.

      Снимок экрана: глобальный безопасный доступ — расширенная диагностика — сетевой трафик.

  10. Проверьте логи приложения (не в Microsoft Entra ID). Убедитесь, что приложение видит вход из IP-адреса, соответствующего IP-адресу исходящего трафика частной сети.

Устранение неполадок

Убедитесь, что вы отключили QUIC, IPv6 и зашифрованные DNS. Подробные сведения см. в руководстве по устранению неполадок для клиента Глобального безопасного доступа.

Следующие шаги

  • Last updated on