Como configurar o acesso por aplicativo usando aplicativos de Acesso Seguro Global

  • Artigo

O Microsoft Entra Private Access fornece acesso seguro aos recursos internos da sua organização. Você cria um aplicativo de Acesso Seguro Global e especifica os recursos internos e privados que deseja proteger. Ao configurar um aplicativo de Acesso Seguro Global, você está criando acesso por aplicativo aos seus recursos internos. O aplicativo Global Secure Access fornece uma capacidade mais detalhada de gerenciar como os recursos são acessados por aplicativo.

Este artigo descreve como configurar o acesso por aplicativo usando aplicativos de Acesso Seguro Global.

Pré-requisitos

Para configurar um aplicativo de Acesso Seguro Global, você deve ter:

  • As funções de Administrador de Acesso Seguro Global e Administrador de Aplicativos na ID do Microsoft Entra
  • O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é o Acesso Seguro Global. Se necessário, você pode comprar licenças ou obter licenças de avaliação.

Para gerenciar grupos de conectores de rede privada do Microsoft Entra, que é necessário para aplicativos de Acesso Seguro Global, você deve ter:

  • Uma função de Administrador de Aplicativos no Microsoft Entra ID
  • Licenças do Microsoft Entra ID P1 ou P2

Limitações conhecidas

  • Evite a sobreposição de segmentos de aplicativos entre aplicativos de Acesso Rápido e de Acesso Seguro Global.
  • O tráfego de encapsulamento para destinos de Acesso Privado por endereço IP é suportado apenas para intervalos de IP fora da sub-rede local do dispositivo do usuário final.
  • No momento, o tráfego de Acesso Privado só pode ser adquirido com o cliente Global Secure Access. As redes remotas não podem ser atribuídas ao perfil de encaminhamento de tráfego de acesso privado.

Passos de alto nível

O Acesso por Aplicativo é configurado criando um novo aplicativo de Acesso Seguro Global. Você cria o aplicativo, seleciona um grupo de conectores e adiciona segmentos de acesso à rede. Essas configurações compõem o aplicativo individual ao qual você pode atribuir usuários e grupos.

Para configurar o Acesso por aplicativo, você precisa ter um grupo de conectores com pelo menos um conector proxy de aplicativo Microsoft Entra ativo. Este grupo de conectores lida com o tráfego para este novo aplicativo. Com os conectores, você pode isolar aplicativos por rede e conector.

Em resumo, o processo global é o seguinte:

  1. Crie um grupo de conectores com pelo menos um conector de rede privada ativo.

    • Se já tiver um grupo de conectores, certifique-se de que está na versão mais recente.

  2. Crie um aplicativo de Acesso Seguro Global.

  3. Atribua usuários e grupos ao aplicativo.

  4. Configure políticas de Acesso Condicional.

  5. Habilite o Microsoft Entra Private Access.

Criar um grupo de conectores de rede privada

Para configurar um aplicativo de Acesso Seguro Global, você deve ter um grupo de conectores com pelo menos um conector de rede privada ativo.

Se você ainda não tiver um conector configurado, consulte Configurar conectores.

Nota

Se já tiver instalado um conector, reinstale-o para obter a versão mais recente. Ao atualizar, desinstale o conector existente e exclua todas as pastas relacionadas.

A versão mínima do conector necessária para o Private Access é 1.5.3417.0.

Criar um aplicativo Global Secure Access

Para criar um novo aplicativo, forneça um nome, selecione um grupo de conectores e adicione segmentos de aplicativo. Os segmentos de aplicativo incluem os FQDNs (nomes de domínio totalmente qualificados) e os endereços IP que você deseja encapsular pelo serviço. Você pode concluir todas as três etapas ao mesmo tempo ou adicioná-las após a conclusão da configuração inicial.

Escolher nome e grupo de conectores

  1. Entre no centro de administração do Microsoft Entra com as funções apropriadas.

  2. Navegue até Aplicativos empresariais de Aplicativos>de Acesso>Seguro Global.

  3. Selecione Nova aplicação.

    Captura de ecrã do botão Aplicações empresariais e Adicionar nova aplicação.

  4. Introduzir um nome para a aplicação.

  5. Selecione um grupo Conector no menu suspenso.

    Importante

    Você deve ter pelo menos um conector ativo para criar um aplicativo. Para saber mais sobre conectores, consulte Compreender o conector de rede privada do Microsoft Entra.

  6. Selecione o botão Salvar na parte inferior da página para criar seu aplicativo sem adicionar recursos privados.

Adicionar segmento de aplicação

O processo Adicionar segmento de aplicativo é onde você define os FQDNs e endereços IP que deseja incluir no tráfego do aplicativo Global Secure Access. Você pode adicionar sites ao criar o aplicativo e retornar para adicionar mais ou editá-los mais tarde.

Você pode adicionar nomes de domínio totalmente qualificados (FQDN), endereços IP e intervalos de endereços IP. Dentro de cada segmento de aplicativo, você pode adicionar várias portas e intervalos de portas.

  1. Inicie sessão no centro de administração do Microsoft Entra.

  2. Navegue até Aplicativos empresariais de Aplicativos>de Acesso>Seguro Global.

  3. Selecione Nova aplicação.

  4. Selecione Adicionar segmento de aplicativo.

  5. No painel Criar segmento de aplicativo que é aberto, selecione um Tipo de destino.

  6. Insira os detalhes apropriados para o tipo de destino selecionado. Dependendo do que você selecionar, os campos subsequentes mudam de acordo.

    • Endereço IP:
      • Endereço IPv4 (Internet Protocol version 4), como 192.168.2.1, que identifica um dispositivo na rede.
      • Forneça as portas que você deseja incluir.
    • Nome de domínio totalmente qualificado (incluindo FQDNs curinga):
      • Nome de domínio que especifica a localização exata de um computador ou host no DNS (Sistema de Nomes de Domínio).
      • Forneça as portas que você deseja incluir.
      • NetBIOS não é suportado. Por exemplo, use contoso.local/app1 em vez de contoso/app1.
    • Intervalo de endereços IP (CIDR):
      • O CIDR (Roteamento entre Domínios sem Classe) representa um intervalo de endereços IP em que um endereço IP é seguido por um sufixo que indica o número de bits de rede na máscara de sub-rede.
      • Por exemplo, 192.168.2.0/24 indica que os primeiros 24 bits do endereço IP representam o endereço de rede, enquanto os 8 bits restantes representam o endereço do host.
      • Forneça o endereço inicial, a máscara de rede e as portas.
    • Intervalo de endereços IP (IP para IP):
      • Intervalo de endereços IP desde o IP inicial (como 192.168.2.1) até o IP final (como 192.168.2.10).
      • Forneça o início, o fim e as portas do endereço IP.

  7. Insira as portas e selecione o botão Aplicar .

    • Separe várias portas com uma vírgula.
    • Especifique intervalos de portas com um hífen.
    • Os espaços entre os valores são removidos quando você aplica as alterações.
    • Por exemplo, 400-500, 80, 443.

    Captura de tela do painel de criação de segmento de aplicativo com várias portas adicionadas.

    A tabela a seguir fornece as portas mais usadas e seus protocolos de rede associados:

    Porta Protocolo
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)

  8. Selecione Guardar.

Nota

Você pode adicionar até 500 segmentos de aplicativos ao seu aplicativo.

Não sobreponha FQDNs, endereços IP e intervalos de IP entre seu aplicativo de Acesso Rápido e qualquer aplicativo de Acesso Privado.

Atribuir usuários e grupos

Você precisa conceder acesso ao aplicativo criado atribuindo usuários e/ou grupos ao aplicativo. Para obter mais informações, consulte Atribuir usuários e grupos a um aplicativo.

  1. Inicie sessão no centro de administração do Microsoft Entra.
  2. Navegue até Aplicativos empresariais de Aplicativos>de Acesso>Seguro Global.
  3. Procure e selecione a sua aplicação.
  4. Selecione Usuários e grupos no menu lateral.
  5. Adicione usuários e grupos conforme necessário.

Nota

Os usuários devem ser atribuídos diretamente ao aplicativo ou ao grupo atribuído ao aplicativo. Os grupos aninhados não são suportados.

Atualizar segmentos de aplicativos

Você pode adicionar ou atualizar os FQDNs e endereços IP incluídos em seu aplicativo a qualquer momento.

  1. Inicie sessão no centro de administração do Microsoft Entra.
  2. Navegue até Aplicativos empresariais de Aplicativos>de Acesso>Seguro Global.
  3. Procure e selecione a sua aplicação.
  4. Selecione Propriedades de acesso à rede no menu lateral.
    • Para adicionar um novo FQDN ou endereço IP, selecione Adicionar segmento de aplicativo.
    • Para editar um aplicativo existente, selecione-o na coluna Tipo de destino .

Habilitar ou desabilitar o acesso com o Global Secure Access Client

Você pode habilitar ou desabilitar o acesso ao aplicativo Global Secure Access usando o Global Secure Access Client. Essa opção é selecionada por padrão, mas pode ser desabilitada, para que os FQDNs e endereços IP incluídos nos segmentos do aplicativo não sejam encapsulados pelo serviço.

Captura de ecrã da caixa de verificação Ativar acesso.

Atribuir políticas de Acesso Condicional

As políticas de acesso condicional para acesso por aplicativo são configuradas no nível do aplicativo para cada aplicativo. As políticas de Acesso Condicional podem ser criadas e aplicadas ao aplicativo de dois locais:

  • Vá para Aplicativos empresariais de Aplicativos> de Acesso>Seguro Global. Selecione um aplicativo e, em seguida, selecione Acesso condicional no menu lateral.
  • Vá para Políticas de Acesso>Condicional de Proteção.> Selecione + Criar nova política.

Para obter mais informações, consulte Aplicar políticas de acesso condicional a aplicativos de acesso privado.

Habilitar o acesso privado do Microsoft Entra

Depois de configurar seu aplicativo, adicionar seus recursos privados, usuários atribuídos ao aplicativo, você poderá habilitar o perfil de encaminhamento de tráfego de acesso privado. Você pode habilitar o perfil antes de configurar um aplicativo de Acesso Seguro Global, mas sem o aplicativo e o perfil configurados, não há tráfego a ser encaminhado.

  1. Inicie sessão no centro de administração do Microsoft Entra.
  2. Navegue até Global Secure Access>Connect>Traffic forwarding.
  3. Selecione a alternância para Perfil de acesso privado.

Próximos passos

A próxima etapa para começar a usar o Microsoft Entra Private Access é habilitar o perfil de encaminhamento de tráfego do Private Access.

Para obter mais informações sobre o Acesso Privado, consulte os seguintes artigos: