Procedimiento para administrar el perfil de reenvío de tráfico de Acceso privado
El perfil de reenvío de tráfico de Acceso privado enruta el tráfico a la red privada a través del cliente de Acceso global seguro. Habilitar este perfil de reenvío de tráfico permite a los trabajadores remotos conectarse a recursos internos sin una VPN. Con las características de Acceso privado de Microsoft Entra puedes controlar qué recursos privados se van a tunelizar a través del servicio y aplicar directivas de acceso condicional para proteger el acceso a esos servicios. Una vez que se hayan implementado las configuraciones, puedes ver y administrar todas esas configuraciones desde un solo lugar.
Requisitos previos
Para habilitar el perfil de reenvío de acceso privado para el inquilino, debe tener:
- Un rol de Administrador de Acceso seguro global en Microsoft Entra ID.
- Un rol Administrador de acceso condicional para crear e interactuar con las directivas de acceso condicional.
- El producto requiere licencias. Para obtener más información, consulta la sección de licencias de Qué es el Acceso global seguro. Si es necesario, puede comprar una licencia u obtener licencias de prueba.
Limitaciones conocidas
- En este momento, el tráfico de Acceso privado solo se puede adquirir con el cliente de acceso seguro global. El tráfico de Acceso privado no se puede adquirir desde redes remotas.
- La tunelización del tráfico a destinos de Acceso privado por dirección IP solo se admite para intervalos IP fuera de la subred local del dispositivo del usuario final.
- Debe deshabilitar DNS a través de HTTPS (DNS seguro) para tunelizar el tráfico de red en función de las reglas de los nombres de dominio completos (FQDN) en el perfil de reenvío de tráfico.
Habilite el perfil de reenvío de tráfico de Acceso privado
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de Global Secure Access.
- Vaya a Global Secure Access>Conectar>Reenvío de trafico.
- Activa la casilla de Perfil de Acceso privado.
Directivas de Acceso privado
Para habilitar el perfil de reenvío de tráfico de Acceso privado, se recomienda configurar primero el Acceso rápido. El Acceso rápido incluye las direcciones IP, los intervalos IP y los nombres de dominio completos (FQDN) para los recursos privados que deseas incluir en la directiva. Para obtener más información, consulta Configurar Acceso rápido.
También puedes configurar el acceso por aplicación a los recursos privados mediante la creación de una aplicación de Acceso privado. De forma similar a Acceso rápido, se crea una nueva aplicación enterprise, que se puede asignar al perfil de reenvío de tráfico de acceso privado. El Acceso rápido contiene el grupo principal de recursos privados que siempre deseas enrutar a través del servicio. Las aplicaciones de Acceso privado se pueden habilitar y deshabilitar según sea necesario sin afectar a los FQDN y las direcciones IP incluidas en Acceso rápido.
A fin de administrar los detalles incluidos en la directiva de reenvío de tráfico de Acceso privado, selecciona el vínculo Ver para Directivas de Acceso privado.
Se muestran los detalles del Acceso rápido y las aplicaciones empresariales para el Acceso privado. Selecciona el vínculo de la aplicación para ver los detalles del área Aplicaciones empresariales de Microsoft Entra ID.
Directivas de acceso condicional vinculadas
Las directivas de acceso condicional para el Acceso privado se configuran en el nivel de aplicación para cada aplicación. Las directivas de acceso condicional se pueden crear y aplicar a la aplicación desde dos lugares:
- Vaya a Acceso global seguro>Aplicaciones>Aplicaciones empresariales. Seleccione una aplicación y después Acceso condicional en el menú lateral.
- Seleccione Protección>Acceso condicional>Directivas. Seleccione + Crear nueva directiva.
Para más información, vea Aplicación de directivas de acceso condicional a aplicaciones de acceso privado.
Asignaciones de usuarios y grupos
Puedes definir el ámbito del perfil de acceso privado a usuarios y grupos específicos. Los usuarios y grupos deben asignarse tanto a las aplicaciones de Acceso privado como al perfil de reenvío de tráfico.
Para obtener más información sobre la asignación de usuarios y grupos, consulta Procedimientos para asignar y administrar usuarios y grupos con perfiles de reenvío de tráfico.
Pasos siguientes
El siguiente paso para empezar a trabajar con Acceso a Internet de Microsoft Entra es instalar y configurar el cliente de Acceso global seguro en dispositivos de usuario final.
Para más información sobre Private Access, vea los artículos siguientes: