Настройка доступа для каждого приложения с помощью приложений Глобального безопасного доступа

Частный доступ Microsoft Entra обеспечивает безопасный доступ к внутренним ресурсам вашей организации. Вы создаете приложение глобального безопасного доступа и указываете внутренние частные ресурсы, которые требуется защитить. Настроив приложение Глобального безопасного доступа, вы создаете доступ к внутренним ресурсам для каждого приложения. Приложение Global Secure Access предоставляет более подробную возможность управлять доступом к ресурсам на основе каждого приложения.

В этой статье описывается настройка доступа для каждого приложения с помощью приложений Глобального безопасного доступа.

Необходимые компоненты

Чтобы настроить приложение глобального безопасного доступа, необходимо:

Для управления группами соединителей частной сети Microsoft Entra, которые необходимы для приложений глобального безопасного доступа, необходимо:

  • Роль администратора приложения в идентификаторе Microsoft Entra
  • Лицензии Microsoft Entra ID P1 или P2

Известные ограничения

  • Избегайте перекрывающихся сегментов приложений между быстрым доступом и приложениями глобального безопасного доступа.
  • Туннельный трафик к назначениям частного доступа по IP-адресу поддерживается только для диапазонов IP-адресов за пределами локальной подсети устройства конечного пользователя.
  • В настоящее время трафик частного доступа можно получить только с помощью клиента глобального безопасного доступа. Удаленные сети не могут быть назначены профилю пересылки трафика частного доступа.

Шаги высокого уровня

Доступ к приложениям настраивается путем создания нового приложения глобального безопасного доступа. Вы создаете приложение, выбираете группу соединителей и добавляете сегменты сетевого доступа. Эти параметры составляют отдельное приложение, которому можно назначить пользователей и группы.

Чтобы настроить per-App Access, необходимо иметь группу соединителей по крайней мере с одним активным соединителем прокси приложения Microsoft Entra. Эта группа соединителей обрабатывает трафик в это новое приложение. С помощью соединителей можно изолировать приложения для каждой сети и соединителя.

Чтобы свести к сводные данные, общий процесс выглядит следующим образом:

  1. Создайте группу соединителей по крайней мере с одним активным соединителем частной сети.

    • Если у вас уже есть группа соединителей, убедитесь, что вы используете последнюю версию.
  2. Создайте приложение глобального безопасного доступа.

  3. Назначьте пользователей и группы приложению.

  4. Настройка политик условного доступа.

  5. Включите Частный доступ Microsoft Entra.

Создание группы соединителей частной сети

Чтобы настроить приложение Global Secure Access, необходимо иметь группу соединителей с по крайней мере одним активным соединителем частной сети.

Если у вас еще нет соединителя, см. статью "Настройка соединителей".

Примечание.

Если вы ранее установили соединитель, переустановите его, чтобы получить последнюю версию. При обновлении удалите существующий соединитель и удалите все связанные папки.

Минимальная версия соединителя, необходимая для частного доступа, — 1.5.3417.0.

Создание приложения глобального безопасного доступа

Чтобы создать приложение, укажите имя, выберите группу соединителей и добавьте сегменты приложений. Сегменты приложений включают полные доменные имена (FQDN) и IP-адреса, которые вы хотите туннелировать через службу. Вы можете выполнить все три шага одновременно или добавить их после завершения начальной настройки.

Выбор имени и группы соединителей

  1. Войдите в Центр администрирования Microsoft Entra с помощью соответствующих ролей.

  2. Перейдите к приложениям> Global Secure Access>Enterprise.

  3. Выберите Новое приложение.

    Снимок экрана: корпоративные приложения и кнопка

  4. Введите название приложения.

  5. Выберите группу соединителей в раскрывающемся меню.

    Внимание

    Для создания приложения необходимо иметь по крайней мере один активный соединитель. Дополнительные сведения о соединителях см. в статье "Общие сведения о соединителе частной сети Microsoft Entra".

  6. Нажмите кнопку "Сохранить" в нижней части страницы, чтобы создать приложение без добавления частных ресурсов.

Добавление сегмента приложения

Процесс добавления сегмента приложения — это место, в котором определяются полные доменные имена и IP-адреса, которые необходимо включить в трафик для приложения Глобального безопасного доступа. Вы можете добавить сайты при создании приложения и вернуться, чтобы добавить дополнительные или изменить их позже.

Можно добавить полные доменные имена (FQDN), IP-адреса и диапазоны IP-адресов. В каждом сегменте приложения можно добавить несколько портов и диапазонов портов.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к приложениям> Global Secure Access>Enterprise.

  3. Выберите Новое приложение.

  4. Выберите " Добавить сегмент приложения".

  5. На открывающейся панели "Создание сегмента приложения" выберите тип назначения.

  6. Введите соответствующие сведения для выбранного типа назначения. В зависимости от выбранного значения последующие поля изменяются соответствующим образом.

    • IP-адрес:
      • Адрес протокола Интернета версии 4 (IPv4), например 192.168.2.1, который определяет устройство в сети.
      • Укажите порты, которые требуется включить.
    • Полное доменное имя (включая полные доменные имена подстановочных знаков):
      • Доменное имя, указывающее точное расположение компьютера или узла в системе доменных имен (DNS).
      • Укажите порты, которые требуется включить.
      • NetBIOS не поддерживается. Например, используйте contoso.local/app1 вместо contoso/app1.
    • Диапазон IP-адресов (CIDR):
      • Маршрутизация между доменами (CIDR) представляет диапазон IP-адресов, за которым следует IP-адрес, за которым следует суффикс, указывающий количество сетевых битов в маске подсети.
      • Например, 192.168.2.0/24 указывает, что первые 24 бита IP-адреса представляют сетевой адрес, а остальные 8 бит представляют адрес узла.
      • Укажите начальный адрес, маску сети и порты.
    • Диапазон IP-адресов (IP-адрес — IP):
      • Диапазон IP-адресов от начального IP-адреса (например, 192.168.2.1) до конца IP-адреса (например, 192.168.2.10).
      • Укажите начальный, конечный и порты IP-адреса.
  7. Введите порты и нажмите кнопку "Применить ".

    • Разделите несколько портов с запятыми.
    • Укажите диапазоны портов с дефисом.
    • Пробелы между значениями удаляются при применении изменений.
    • Например, 400-500, 80, 443.

    Снимок экрана: панель создания сегмента приложения с несколькими портами.

    В следующей таблице приведены наиболее часто используемые порты и связанные с ними сетевые протоколы:

    Порт Протокол
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)
  8. Выберите Сохранить.

Примечание.

В приложение можно добавить до 500 сегментов приложений.

Не перекрывайте полные доменные имена, IP-адреса и диапазоны IP-адресов между приложением быстрого доступа и любыми приложениями приватного доступа.

Назначить пользователей и группы

Необходимо предоставить доступ к приложению, созданному путем назначения пользователям и (или) группам приложения. Дополнительные сведения см. в разделе "Назначение пользователей и групп приложению".

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите к приложениям> Global Secure Access>Enterprise.
  3. Найдите и выберите свое приложение.
  4. Выберите "Пользователи" и "Группы " в боковом меню.
  5. При необходимости добавьте пользователей и группы.

Примечание.

Пользователи должны быть напрямую назначены приложению или группе, назначенной приложению. Вложенные группы не поддерживаются.

Обновление сегментов приложений

Полное доменное имя и IP-адреса, включенные в приложение, можно добавлять или обновлять в любое время.

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите к приложениям> Global Secure Access>Enterprise.
  3. Найдите и выберите свое приложение.
  4. Выберите свойства доступа к сети в боковом меню.
    • Чтобы добавить новое полное доменное имя или IP-адрес, выберите " Добавить сегмент приложения".
    • Чтобы изменить существующее приложение, выберите его в столбце типа назначения.

Включение или отключение доступа с помощью клиента глобального безопасного доступа

Вы можете включить или отключить доступ к приложению Глобального безопасного доступа с помощью клиента глобального безопасного доступа. Этот параметр выбран по умолчанию, но может быть отключен, поэтому полные доменные имена и IP-адреса, включенные в сегменты приложений, не туннелируются через службу.

Снимок экрана: флажок включения доступа.

Назначение политик условного доступа

Политики условного доступа для доступа для каждого приложения настраиваются на уровне приложения для каждого приложения. Политики условного доступа можно создавать и применять к приложению из двух мест:

  • Перейдите к приложениям> Global Secure Access>Enterprise. Выберите приложение и выберите условный доступ в боковом меню.
  • Перейдите к политикам условного доступа>защиты>. Выберите и создайте новую политику.

Дополнительные сведения см. в статье "Применение политик условного доступа к приложениям приватного доступа".

Включение Частный доступ Microsoft Entra

После настройки приложения ваши частные ресурсы добавлены, пользователи, назначенные приложению, можно включить профиль пересылки трафика частного доступа. Вы можете включить профиль перед настройкой приложения Глобального безопасного доступа, но без приложения и профиля, нет трафика для пересылки.

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите к переадресации трафика global Secure Access>Connect>.
  3. Выберите переключатель для профиля закрытого доступа.

Следующие шаги

Следующим шагом для начала работы с Частный доступ Microsoft Entra является включение профиля пересылки трафика приватного доступа.

Дополнительные сведения о частном доступе см. в следующих статьях: