Настройка быстрого доступа для глобального безопасного доступа

  • Статья

С помощью глобального безопасного доступа можно определить конкретные полные доменные имена (FQDN) или IP-адреса частных ресурсов, которые будут включены в трафик для Частный доступ Microsoft Entra. Затем сотрудники вашей организации могут получить доступ к указанным приложениям и сайтам. В этой статье описывается настройка быстрого доступа для Частный доступ Microsoft Entra.

Необходимые компоненты

Чтобы настроить быстрый доступ, необходимо:

Для управления группами соединителей частной сети Microsoft Entra, которые необходимы для быстрого доступа, необходимо:

  • Роль администратора приложения в идентификаторе Microsoft Entra
  • Лицензии Microsoft Entra ID P1 или P2

Известные ограничения

Избегайте перекрывающихся сегментов приложений между быстрым доступом и доступом к каждому приложению.

Туннельный трафик к назначениям частного доступа по IP-адресу поддерживается только для диапазонов IP-адресов за пределами локальной подсети устройства конечного пользователя.

В настоящее время трафик частного доступа можно получить только с помощью клиента глобального безопасного доступа. Удаленные сети не могут быть назначены профилю пересылки трафика частного доступа.

Клиент GSA создает политики NRPT для маршрутизации ЗАПРОСОВ DNS для Частная зона DNS суффиксов через туннель. В некоторых случаях политики NRPT не создаются. Проверьте использование Get-DNSClientNRPTPolicy. Это происходит из-за неправильно сформированной групповой политики, которая применяет параметры NRPT. Используйте этот сценарий для идентификации политики обнажений и удаления ее после перемещения соответствующих параметров в другие политики. Измените скрипт и измените переменные в вашей среде. https://github.com/microsoft/GlobalSecureAccess/blob/main/website/content/FindDNSNRPTGPO.ps1

Шаги высокого уровня

Настройка параметров быстрого доступа является основным компонентом для использования Частный доступ Microsoft Entra. При первом настройке быстрого доступа приватный доступ создает новое корпоративное приложение. Свойства этого нового приложения автоматически настраиваются для работы с частным доступом.

Чтобы настроить быстрый доступ, необходимо иметь группу соединителей по крайней мере с одним активным соединителем прокси приложения Microsoft Entra. Группа соединителей обрабатывает трафик в это новое приложение. После настройки быстрого доступа и группы соединителей частной сети необходимо предоставить доступ к приложению.

Чтобы свести к сводные данные, общий процесс выглядит следующим образом:

  1. Создайте группу соединителей по крайней мере с одним активным соединителем частной сети.
  2. Настройка быстрого доступа.
  3. Назначьте пользователей и группы приложению.
  4. Настройка политик условного доступа.
  5. Включите профиль пересылки трафика частного доступа.

Создание группы соединителей частной сети

Чтобы настроить быстрый доступ, у вас должна быть группа соединителей с по крайней мере одним активным соединителем частной сети.

Если у вас еще нет группы соединителей, см. статью "Настройка соединителей для быстрого доступа".

Примечание.

Если вы ранее установили соединитель, переустановите его, чтобы получить последнюю версию. При обновлении удалите существующий соединитель и удалите все связанные папки.

Минимальная версия соединителя, необходимая для частного доступа, — 1.5.3417.0.

Настройка быстрого доступа

На странице быстрого доступа укажите имя приложения быстрого доступа, выберите группу соединителей и добавьте сегменты приложений, включая полные доменные имена и IP-адреса. Все три шага можно выполнить одновременно или добавить сегменты приложений после завершения начальной настройки.

Имя и группа соединителей

  1. Войдите в Центр администрирования Microsoft Entra с помощью соответствующих ролей.
  2. Перейдите к быстрому доступу к приложениям>глобального безопасного доступа.>
  3. Введите имя. Мы рекомендуем использовать имя Quick Access.
  4. Выберите группу соединителей в раскрывающемся меню.
  5. Нажмите кнопку "Сохранить ", чтобы создать приложение "Быстрый доступ" без полных доменных имен, IP-адресов и частных суффиксов DNS.

Добавление сегмента приложения быстрого доступа

Полное доменное имя и IP-адреса определяются при добавлении сегмента приложения быстрого доступа. Эти ресурсы добавляются при создании или обновлении приложения быстрого доступа.

Можно добавить полные доменные имена (FQDN), IP-адреса и диапазоны IP-адресов. В каждом сегменте приложения можно добавить несколько портов и диапазонов портов.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к быстрому доступу к приложениям>глобального безопасного доступа.>

  3. Выберите " Добавить сегмент приложения быстрого доступа".

  4. На открывающейся панели "Создание сегмента приложения" выберите тип назначения.

  5. Введите соответствующие сведения для выбранного типа назначения. В зависимости от выбранного значения последующие поля изменяются соответствующим образом.

    • IP-адрес:
      • Адрес протокола Интернета версии 4 (IPv4), например 192.168.2.1, который определяет устройство в сети.
      • Укажите порты, которые требуется включить.
    • Полное доменное имя (включая полные доменные имена подстановочных знаков):
      • Доменное имя, указывающее точное расположение компьютера или узла в системе доменных имен (DNS).
      • Укажите порты для включения.
      • NetBIOS не поддерживается. Например, используйте функцию contoso.local/app1 вместо contoso/app1.
    • Диапазон IP-адресов (CIDR):
      • Маршрутизация между доменами (CIDR) представляет диапазон IP-адресов. За IP-адресом следует суффикс, указывающий количество сетевых битов в маске подсети.
      • Например, 192.168.2.0/24 указывает, что первые 24 бита IP-адреса представляют сетевой адрес, а остальные 8 бит представляют адрес узла.
      • Укажите начальный адрес, маску сети и порты.
    • Диапазон IP-адресов (IP-адрес — IP):
      • Диапазон IP-адресов от начального IP-адреса (например, 192.168.2.1) до конца IP-адреса (например, 192.168.2.10).
      • Укажите начальный, конечный и порты IP-адреса.

  6. Введите порты и протокол и нажмите кнопку "Применить".

    • Разделите несколько портов с запятыми.
    • Укажите диапазоны портов с дефисом.
    • Пробелы между значениями удаляются при применении изменений.
    • Например, 400-500, 80, 443.

    Снимок экрана: панель создания сегмента приложения с несколькими портами.

    В следующей таблице приведены наиболее часто используемые порты и связанные с ними сетевые протоколы:

    Порт Протокол
    22 Secure Shell (SSH).
    80 Протокол HTTP
    443 Защита протокола передачи гипертекста (HTTPS)
    445 Общий доступ к файлам блока сообщений сервера (SMB)
    3389 Протокол удаленного рабочего стола (RDP)

  7. Выберите Сохранить по завершении.

Примечание.

В приложение быстрого доступа можно добавить до 500 сегментов приложений.

Не перекрывайте полные доменные имена, IP-адреса и диапазоны IP-адресов между приложением быстрого доступа и любыми приложениями приватного доступа.

Добавление частных суффиксов DNS

Частная зона DNS поддержку Частный доступ Microsoft Entra позволяет запрашивать собственные внутренние DNS-серверы для разрешения IP-адресов для внутренних доменных имен. Рассмотрим пример. Предположим, что у вас есть внутренний диапазон 10.8.0.0 10.8.255.255IP-адресов. Этот диапазон настраивает в определении приложения быстрого доступа. Вы хотите, чтобы пользователи обращались к веб-приложению, отвечая на IP-адрес 10.8.0.5 при вводе https://benefits в веб-браузере. Но вы не хотите настроить полное доменное имя для приложения. Используя Частная зона DNS, необходимо настроить соответствующий DNS-суффикс, чтобы клиент Глобального безопасного доступа знал, как правильно направлять запрос.

Кроме того, вы можете предоставить единый вход для ресурсов Kerberos, настроив проверку подлинности Kerberos на контроллеры домена с помощью Частная зона DNS. Дополнительные сведения о создании единого входа см. в статье Use Kerberos for single sign-on (SSO) to your resources with Частный доступ Microsoft Entra.

Добавьте DNS-суффикс для использования для частного DNS.

  1. Выберите вкладку Частная зона DNS.
  2. Установите флажок, чтобы включить частный DNS.
  3. Выберите " Добавить DNS суффикс".
  4. Введите суффикс DNS и нажмите кнопку "Добавить".

Назначить пользователей и группы

При настройке быстрого доступа создается новое корпоративное приложение от вашего имени. Необходимо предоставить доступ к приложению быстрого доступа, созданному путем назначения пользователям и (или) группам приложения.

Вы можете просмотреть свойства из быстрого доступа или перейти к корпоративным приложениям и найти приложение быстрого доступа.

Совет

Чтобы найти приложение на странице корпоративных приложений , снимите все фильтры, чтобы не отфильтровать нужное приложение.

  1. Выберите "Изменить параметры приложения" из быстрого доступа.

    Снимок экрана: изменение параметров приложения.

  2. Выберите "Пользователи" и "Группы " в боковом меню.

  3. При необходимости добавьте пользователей и группы.

Примечание.

Пользователи должны быть напрямую назначены приложению или группе, назначенной приложению. Вложенные группы не поддерживаются.

Политики условного доступа можно применять к приложению быстрого доступа. Применение политик условного доступа предоставляет дополнительные возможности для управления доступом к приложениям, сайтам и службам.

Создание политики условного доступа подробно описано в статье "Создание политики условного доступа для приложений приватного доступа".

Включение Частный доступ Microsoft Entra

После настройки приложения быстрого доступа ваши частные ресурсы, назначенные приложению, можно включить профиль частного доступа из области пересылки трафика глобального безопасного доступа. Вы можете включить профиль перед настройкой быстрого доступа, но без настройки приложения и профиля, нет трафика для пересылки. Сведения о включении профиля пересылки трафика частного доступа см. в статье "Управление профилем пересылки трафика частного доступа".

Следующие шаги