Configuración del Acceso rápido para el Acceso global seguro

Con el Acceso global seguro, puedes definir nombres de dominio completos (FQDN) específicos o direcciones IP de recursos privados que se incluirán en el tráfico para Microsoft Entra Private Access. Después, los empleados de la organización pueden acceder a las aplicaciones y sitios que especifique. En este artículo se describe cómo configurar el Acceso rápido para Microsoft Entra Private Access.

Requisitos previos

Para configurar el Acceso rápido, debes tener:

Para administrar los grupos de conectores de red privada de Microsoft Entra, que es necesario para el acceso rápido, debes tener:

  • Un rol de Administrador de aplicaciones en Microsoft Entra ID
  • Unas licencias de Microsoft Entra ID P1 o P2

Limitaciones conocidas

Evita superponer segmentos de aplicación entre el Acceso rápido y el acceso por aplicación.

La tunelización del tráfico a destinos de Acceso privado por dirección IP solo se admite para intervalos IP fuera de la subred local del dispositivo del usuario final.

En este momento, el tráfico de acceso privado solo se puede adquirir con el cliente de acceso global seguro. Las redes remotas no se pueden asignar al perfil de reenvío de tráfico de acceso privado.

El cliente GSA crea directivas NRPT para enrutar consultas DNS para sufijos DNS privados a través del túnel. En algunos casos, las directivas NRPT no se pueden crear. Compruebe el uso de Get-DNSClientNRPTPolicy. Esto sucede debido a un GPO con formato incorrecto que aplica la configuración de NRPT. Use este script para identificar la directiva incorrecta y eliminarla después de mover la configuración pertinente a otras directivas. Edite el script y modifique las variables según su entorno. https://github.com/microsoft/GlobalSecureAccess/blob/main/website/content/FindDNSNRPTGPO.ps1

Pasos de alto nivel

La configuración de los valores de Acceso rápido es un componente importante para usar Microsoft Entra Private Access. Al configurar el Acceso rápido por primera vez, Private Access crea una nueva aplicación empresarial. Las propiedades de esta nueva aplicación se configuran automáticamente para que funcionen con Private Access.

Para configurar el Acceso rápido, debes tener un grupo de conectores con al menos un conector activo de proxy de aplicación de Microsoft Entra. El grupo de conectores controla el tráfico a esta nueva aplicación. Una vez configurado el acceso rápido y un grupo de conectores de red privada, debe conceder acceso a la aplicación.

En resumen, el proceso general es el siguiente:

  1. Crear un grupo de conectores con al menos un conector de red privada activo.
  2. Configuración del acceso rápido.
  3. Asignación de usuarios y grupos a la aplicación.
  4. Configuración de directivas de acceso condicional.
  5. Habilitación del perfil de reenvío de tráfico de Acceso privado.

Creación de un grupo de conectores de red privada

Para configurar el acceso rápido, debes tener un grupo de conectores con al menos un conector de red privada activo.

Si aún no tienes configurado un grupo de conectores, consulta Configuración de conectores para Acceso rápido.

Nota:

Si anteriormente has instalado un conector, vuelva a instalarlo para obtener la última versión. Al actualizar, desinstala el conector existente y elimina las carpetas relacionadas.

La versión mínima del conector necesaria para Private Access es 1.5.3417.0.

Configuración del acceso rápido

En la página de Acceso rápido, debes proporcionar un nombre para la aplicación de Acceso rápido, seleccionar un grupo de conectores y agregar segmentos de aplicación, que incluyen FQDN y direcciones IP. Puedes completar los tres pasos al mismo tiempo, o puedes agregar los segmentos de aplicación una vez completada la configuración inicial.

Nombre y grupo de conectores

  1. Inicia sesión en el Centro de administración de Microsoft Entra con los roles adecuados.
  2. Ve a Acceso global seguro>Aplicaciones>Acceso rápido.
  3. Escribe un nombre. Se recomienda usar el nombre Acceso rápido.
  4. Selecciona un grupo de conectores en el menú desplegable.
  5. Selecciona Guardar para crear la aplicación "Acceso rápido" sin FQDN, direcciones IP y sufijos DNS privados.

Adición de un segmento de aplicación de Acceso rápido

Define los FQDN y las direcciones IP que se van a incluir al segmento Agregar aplicación de Acceso rápido. Estos recursos se agregan al crear o actualizar la aplicación de Acceso rápido.

Puedes agregar nombres de dominio completos (FQDN), direcciones IP e intervalos de direcciones IP. Dentro de cada segmento de aplicación, puedes agregar varios puertos e intervalos de puertos.

  1. Inicia sesión en el Centro de administración de Microsoft Entra.

  2. Ve a Acceso global seguro>Aplicaciones>Acceso rápido.

  3. Selecciona Agregar segmento de aplicación de Acceso rápido.

  4. En el panel Crear segmento de aplicación que se abre, selecciona un Tipo de destino.

  5. Escribe los detalles adecuados para el tipo de destino seleccionado. En función de lo que selecciones, los campos posteriores cambian según corresponda.

    • Dirección IP:
      • Dirección del protocolo de Internet versión 4 (IPv4), como 192.168.2.1, que identifica un dispositivo en la red.
      • Proporciona los puertos que deseas incluir.
    • Nombre de dominio completo (incluidos los FQDN con caracteres comodín):
      • Nombre de dominio que especifica la ubicación exacta de un equipo o host en el Sistema de nombres de dominio (DNS).
      • Proporciona los puertos que se van a incluir.
      • NetBIOS no se admite. Por ejemplo, usa contoso.local/app1 en lugar de contoso/app1.
    • Intervalo de direcciones IP (CIDR)::
      • Enrutamiento entre dominios sin clases (CIDR) representa un intervalo de direcciones IP. Una dirección IP va seguida de un sufijo que indica el número de bits de red en la máscara de subred.
      • Por ejemplo, 192.168.2.0/24 indica que los primeros 24 bits de la dirección IP representan la dirección de red, mientras que los 8 bits restantes representan la dirección host.
      • Proporciona la dirección inicial, la máscara de red y los puertos.
    • Intervalo de direcciones IP (IP a IP):
      • Intervalo de direcciones IP de la IP de inicio (como 192.168.2.1) a la IP final (por ejemplo, 192.168.2.10).
      • Proporciona la dirección IP de inicio, fin y puertos.
  6. Escribe los puertos y el protocolo y selecciona Aplicar.

    • Separa varios puertos con una coma.
    • Especifica intervalos de puertos con un guión.
    • Los espacios entre valores se quitan cuando se aplican los cambios.
    • Por ejemplo, 400-500, 80, 443.

    Captura de pantalla del panel crear segmento de aplicación con varios puertos agregados.

    En la tabla siguiente se proporcionan los puertos más usados y sus protocolos de red asociados:

    Puerto Protocolo
    22 Secure Shell (SSH)
    80 Protocolo de transferencia de hipertexto (HTTP)
    443 Protocolo de transferencia de hipertexto con cifrado de Capa de sockets seguros (HTTPS)
    445 Uso compartido de archivos de bloque de mensajes del servidor (SMB)
    3389 Protocolo de escritorio remoto (RDP)
  7. Cuando hayas terminado, selecciona Guardar.

Nota:

Puedes agregar hasta 500 segmentos de aplicación a la aplicación de Acceso rápido.

No superpongas los FQDN, las direcciones IP y los intervalos IP entre la aplicación de Acceso rápido y las aplicaciones de Private Access.

Adición de sufijos DNS privados

La compatibilidad con DNS privado para Microsoft Entra Private Access te permite consultar tus propios servidores DNS internos para resolver direcciones IP para nombres de dominio internos. Veamos un ejemplo. Supongamos que tienes un intervalo de IP interna de 10.8.0.0 a 10.8.255.255. Configura este intervalo en tu definición de aplicación de acceso rápido. Deseas que los usuarios accedan a una aplicación web que responda en la IP 10.8.0.5 cuando escriban https://benefits en su explorador web. Pero no quieres configurar un FQDN para la aplicación. Mediante DNS privado, se configura un sufijo DNS correspondiente para que el cliente del acceso seguro global sepa cómo enrutar la solicitud correctamente.

Además, puedes proporcionar una experiencia de inicio de sesión único (SSO) para los recursos de Kerberos mediante la configuración de la autenticación Kerberos en controladores de dominio mediante DNS privado. Para obtener más información sobre la creación de una experiencia SSO, consulta Uso de Kerberos para el inicio de sesión único (SSO) en tus recursos con Microsoft Entra Private Access.

Agregar un sufijo DNS que se usará para DNS privado.

  1. Selecciona la pestaña DNS privado.
  2. Activa la casilla para habilitar DNS privado.
  3. Selecciona Agregar sufijo DNS.
  4. Escribe el sufijo DNS y selecciona Agregar.

Asignación de usuarios y grupos

Al configurar el Acceso rápido, se crea una nueva aplicación empresarial en su nombre. Debes conceder acceso a la aplicación de Acceso rápido que has creado mediante la asignación de usuarios o grupos a la aplicación.

Puedes ver las propiedades en Acceso rápido o navegar a Aplicaciones empresariales y buscar la aplicación de acceso rápido.

Sugerencia

Para buscar una aplicación en la página Aplicaciones empresariales, borra todos los filtros para que no filtres la aplicación que buscas.

  1. Selecciona Editar configuración de la aplicación en Acceso rápido.

    Captura de pantalla de la edición de la configuración de la aplicación.

  2. Selecciona Usuarios y grupos en el menú lateral.

  3. Agrega usuarios y grupos según sea necesario.

Nota:

Los usuarios deben asignarse directamente a la aplicación o al grupo asignado a la aplicación. No se admiten grupos anidados.

Las directivas de acceso condicional se pueden aplicar a la aplicación de Acceso rápido. La aplicación de directivas de acceso condicional proporciona más opciones para administrar el acceso a aplicaciones, sitios y servicios.

La creación de una directiva de acceso condicional se describe en detalle en Creación de una directiva de acceso condicional para aplicaciones de acceso privado.

Habilitación de Microsoft Entra Private Access

Tras configurar la aplicación de Acceso rápido, agregar los recursos privados y asignar los usuarios a la aplicación, puedes habilitar el perfil de acceso privado desde el área de Reenvío de tráfico de Global Secure Access. Puedes habilitar el perfil antes de configurar el Acceso rápido, pero sin la aplicación y el perfil configurados, no hay tráfico que reenviar. Obtén información sobre cómo habilitar el perfil de reenvío de tráfico de Private Access, consulta Cómo administrar el perfil de reenvío de tráfico de Private Acces.

Pasos siguientes