Dela via

Så här konfigurerar du åtkomst per app med hjälp av globala program för säker åtkomst

Microsoft Entra Private Access ger säker åtkomst till din organisations interna resurser genom att låta dig kontrollera och säkra åtkomst till specifika nätverksdestinationer på ditt privata nätverk. Detta gör att du kan erbjuda detaljerad nätverksåtkomst baserat på användarnas behov. För att göra detta, skapa en företagsapplikation och lägg till applikationssegmentet som används av den interna, privata resursen som du vill skydda. Nätverksförfrågningar som skickas från enheter som kör Global Secure Access-klienten till det applikationssegment du lade till i din Enterprise-applikation kommer att förvärvas och styras till din interna applikation av Global Secure Access molntjänst utan möjlighet att ansluta till andra resurser på ditt nätverk. Genom att konfigurera en företagsapplikation skapar du åtkomst per applikation till dina interna resurser. Företagsapplikationer ger dig en segmenterad och detaljerad förmåga att hantera hur dina resurser nås på en applikationsbasis.

I den här artikeln beskrivs hur du konfigurerar åtkomst per app med hjälp av Företagsprogram.

Förutsättningar

Om du vill konfigurera en Global Secure Access Enterprise-app måste du ha:

Om du vill hantera grupper för privata Nätverksanslutningar i Microsoft Entra, som krävs för globala appar för säker åtkomst, måste du ha:

  • En programadministratörsroll i Microsoft Entra-ID
  • Microsoft Entra ID P1- eller P2-licenser

Kända begränsningar

Detaljerad information om kända problem och begränsningar finns i Kända begränsningar för global säker åtkomst.

Övergripande steg

Åtkomst per app konfigureras genom att skapa en ny global säker åtkomstapp. Du skapar appen, väljer en anslutningsgrupp och lägger till nätverksåtkomstsegment. De här inställningarna utgör den enskilda app som du kan tilldela användare och grupper till.

För att konfigurera Per-App Access måste du ha en anslutningsgrupp med minst en aktiv Microsoft Entra-programproxyanslutning . Den här anslutningsgruppen hanterar trafiken till det nya programmet. Med anslutare kan du isolera appar per nätverk och anslutare.

För att sammanfatta är den övergripande processen följande:

  1. Skapa en anslutningsgrupp med minst en aktiv privat nätverksanslutning.

    • Om du redan har en anslutningsgrupp kontrollerar du att du har den senaste versionen.

  2. Skapa en global app för säker åtkomst.

  3. Tilldela användare och grupper till appen.

  4. Konfigurera principer för villkorsstyrd åtkomst.

  5. Aktivera privat åtkomst till Microsoft Entra.

Skapa en privat nätverksanslutningsgrupp

Om du vill konfigurera en global säker åtkomstapp måste du ha en anslutningsgrupp med minst en aktiv privat nätverksanslutning.

Om du inte redan har konfigurerat en anslutning kan du läsa Konfigurera anslutningar.

Anmärkning

Om du tidigare har installerat en anslutning installerar du om den för att hämta den senaste versionen. När du uppgraderar avinstallerar du den befintliga anslutningsappen och tar bort eventuella relaterade mappar.

Den lägsta versionen av anslutningsappen som krävs för privat åtkomst är 1.5.3417.0.

Skapa en Global Secure Access Enterprise-applikation

Om du vill skapa en ny app anger du ett namn, väljer en anslutningsgrupp och lägger sedan till programsegment. Appsegmenten omfattar de fullständigt kvalificerade domännamnen (FQDN) och IP-adresser som du vill tunneltrafikera genom tjänsten. Du kan slutföra alla tre stegen samtidigt, eller så kan du lägga till dem när den första installationen är klar.

Välj namn och anslutningsgrupp

  1. Logga in på administrationscentret för Microsoft Entra med lämpliga roller.

  2. Bläddra till Global säker åtkomst>Applikationer>Företagsapplikationer.

  3. Välj Nytt program.

    Skärmbild av företagsappar och knappen Lägg till nytt program.

  4. Ange ett namn för appen.

  5. Välj en anslutningsgrupp på den nedrullningsbara menyn.

    Viktigt!

    Du måste ha minst en aktiv anslutning för att kunna skapa en applikation. För att lära dig mer om anslutningar, se Förstå anslutningen för det privata Microsoft Entra-nätverket.

  6. Välj knappen Spara längst ned på sidan för att skapa din app utan att lägga till privata resurser.

Lägg till programsegment

En applikationssegment definieras av 3 fält - destination, port och protokoll. Om två eller fler applikationssegment inkluderar samma destination, port och protokoll, anses de överlappa varandra. Processen Lägg till programsegment är den plats där du definierar de FQDN och IP-adresser som du vill att global säker åtkomst-klienten ska dirigera till ditt privata målprogram. Du kan lägga till applikationssegment när du skapar appen och senare kan du återvända för att lägga till fler eller redigera dem.

Du kan lägga till fullständigt kvalificerade domännamn (FQDN), IP-adresser och IP-adressintervall. Inom varje programsegment kan du lägga till flera portar och portintervall.

  1. Logga in på administrationscentret för Microsoft Entra.

  2. Bläddra till Global säker åtkomst>Applikationer>Företagsapplikationer.

  3. Välj Nytt program.

  4. Välj Lägg till programsegment.

  5. I panelen Skapa programsegment som öppnas väljer du en måltyp.

  6. Ange lämplig information för den valda måltypen. Beroende på vad du väljer ändras de efterföljande fälten i enlighet med detta.

    • IP-adress:
      • IPv4-adress (Internet Protocol version 4), till exempel 192.168.2.1, som identifierar en enhet i nätverket.
      • Ange de portar som du vill inkludera.
    • Fullständigt kvalificerat domännamn (inklusive jokertecken-FQDNs):
      • Domännamn som anger den exakta platsen för en dator eller en värd i DNS (Domain Name System).
      • Ange de portar som du vill inkludera.
      • NetBIOS stöds inte. Använd till exempel contoso.local/app1 i stället för contoso/app1.
    • IP-adressintervall (CIDR):
      • CIDR (Classless Inter-Domain Routing) representerar ett intervall med IP-adresser där en IP-adress följs av ett suffix som anger antalet nätverksbitar i nätmasken.
      • Till exempel anger 192.168.2.0/24 att de första 24 bitarna av IP-adressen representerar nätverksadressen, medan de återstående 8 bitarna representerar värdadressen.
      • Ange startadress, nätverksmask och portar.
    • IP-adressintervall (IP till IP):
      • Intervall med IP-adresser från start-IP (till exempel 192.168.2.1) till slut-IP (till exempel 192.168.2.10).
      • Ange IP-adressens start-, slut- och portar.

  7. Ange portarna och välj knappen Använd .

    • Avgränsa flera portar med kommatecken.
    • Ange portintervall med bindestreck.
    • Mellanslag mellan värden tas bort när du tillämpar ändringar.
    • Exempel: 400-500, 80, 443

    Skärmbild av panelen skapa appsegment med flera portar tillagda.

    Följande tabell innehåller de vanligaste portarna och deras associerade nätverksprotokoll:

    Hamn Protokoll
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 Hypertext Transfer Protocol Secure (HTTPS)
    445 Server Message Block (SMB) file sharing
    3389 Remote Desktop Protocol (RDP)

  8. Välj Spara.

Anmärkning

Du kan lägga till upp till 500 applikationssegment till din app, men ingen av dessa applikationssegment får ha överlappande FQDN:er, IP-adresser eller IP-områden inom eller mellan några Private Access-appar. Ett särskilt undantag är tillåtet för överlappande segment mellan Private Access-appar och Quick Access för att möjliggöra VPN-ersättning. Om ett segment som definierats i en Företagsapp (till exempel 10.1.1.1:3389) överlappar ett segment som definierats i Snabbåtkomst (till exempel 10.1.1.0/24:3389) prioriteras det segment som definieras i Enterprise-appen av GSA-tjänsten. Ingen trafik från någon användare till ett programsegment som definierats som en Företagsapp bearbetas av Quick Access. Det innebär att alla användare som försöker använda RDP till 10.1.1.1 utvärderas och dirigeras enligt Enterprise App-konfigurationen, inklusive användartilldelningar och principer för villkorsstyrd åtkomst. Som en bästa praxis, ta bort applikationssegment som du definierar i företagsappar från snabbåtkomst, genom att dela upp IP-subnät i mindre intervall så att undantaget är möjligt.

Tilldela användare och grupper

Du måste bevilja åtkomst till den app som du skapade genom att tilldela användare och/eller grupper till appen. Mer information finns i Tilldela användare och grupper till ett program.

  1. Logga in på administrationscentret för Microsoft Entra.
  2. Bläddra till Global säker åtkomst>Applikationer>Företagsapplikationer.
  3. Sök efter och välj ditt program.
  4. Välj Användare och grupper på sidomenyn.
  5. Lägg till användare och grupper efter behov.

Anmärkning

Du måste tilldela användare direkt i appen eller i en grupp som är kopplad till appen. Kapslade grupper stöds inte. Observera också att åtkomsttilldelningar inte automatiskt överförs till en ny Enterprise-app även om det finns ett befintligt (överlappande) applikationssegment definierat i Snabbåtkomst. Detta är viktigt eftersom du kan stöta på ett problem där användare som har använt ett appsegment via Snabbåtkomst blockeras från åtkomst när appsegmentet flyttas till Enterprise Apps tills du tilldelar dem åtkomst specifikt till Enterprise-appen. Låt 15 minuter för din konfigurationsändring att synkroniseras med dina Global Secure Access-klienter.

Uppdatera programsegment

Du kan lägga till eller uppdatera de FQDN:er och IP-adresser som ingår i din app när som helst.

  1. Logga in på administrationscentret för Microsoft Entra.
  2. Bläddra till Global säker åtkomst>Applikationer>Företagsapplikationer.
  3. Sök efter och välj ditt program.
  4. Välj Egenskaper för nätverksåtkomst på sidomenyn.
    • Om du vill lägga till ett nytt FQDN eller EN IP-adress väljer du Lägg till programsegment.
    • Om du vill redigera en befintlig app väljer du den i kolumnen Måltyp .

Aktivera eller inaktivera åtkomst med den globala klienten för säker åtkomst

Du kan aktivera eller inaktivera åtkomst till den globala säker åtkomstappen med hjälp av global säker åtkomstklient. Det här alternativet är valt som standard, men kan inaktiveras, så de FQDN:er och IP-adresser som ingår i appsegmenten dirigeras inte via tjänsten.

Skärmbild av kryssrutan Aktivera åtkomst.

Tilldela policys för villkorlig åtkomst

Principer för villkorlig åtkomst för åtkomst per app konfigureras på programnivå för varje app. Principer för villkorlig åtkomst kan skapas och tillämpas på programmet från två platser:

  • Gå till Global Secure Access>Applikationer>Enterprise-applikationer. Välj ett program och välj sedan Villkorlig åtkomst på sidomenyn.
  • Gå till Entra-ID>villkorlig åtkomst>principer. Välj + Skapa ny princip.

Mer information finns i Tillämpa principer för villkorsstyrd åtkomst på privata åtkomstappar.

Aktivera Microsoft Entra privatåtkomst

När du har konfigurerat din app, dina privata resurser har lagts till, användare som tilldelats till appen, kan du aktivera profilen vidarebefordran av privat åtkomsttrafik. Du kan aktivera profilen innan du konfigurerar en global säker åtkomstapp, men utan att appen och profilen har konfigurerats finns det ingen trafik att vidarebefordra.

  1. Logga in på administrationscentret för Microsoft Entra.
  2. Bläddra till Global säker åtkomst>Anslut>Vidarebefordran av trafik.
  3. Välj växlingsknappen för Profil för privat åtkomst.

Det här diagrammet visar hur Microsoft Entra privatåtkomst fungerar när du försöker använda Remote Desktop Protocol för att ansluta till en server i ett privat nätverk.

Diagram över Microsoft Entra Private Access som arbetar med Remote Desktop Protocol.

Steg Beskrivning
1 Användaren initierar RDP-sessionen till ett FQDN som mappar till målservern. GSA-klienten fångar upp trafiken och tunnlar den till SSE Edge.
2 SSE Edge utvärderar principer som lagras i Microsoft Entra-ID, till exempel om användaren har tilldelats till programmet och principer för villkorsstyrd åtkomst.
3 När användaren har auktoriserats utfärdar Microsoft Entra-ID en token för programmet För privat åtkomst.
4 Trafiken tillåts fortsätta till tjänsten för privat åtkomst tillsammans med applikationens åtkomsttoken.
5 Tjänsten Private Access verifierar åtkomsttoken och anslutningen förmedlas till deltjänsten för Private Access.
6 Anslutningen förmedlas till den privata nätverkskopplaren.
7 Den privata nätverksanslutningen utför en DNS-fråga för att identifiera IP-adressen för målservern.
8 DNS-tjänsten i det privata nätverket skickar svaret.
9 Anslutningsprogrammet för privata nätverk vidarebefordrar trafiken till målservern. RDP-sessionen förhandlas (inklusive RDP-autentisering) och upprättas sedan.

Nästa steg

Nästa steg för att komma igång med Microsoft Entra Private Access är att aktivera profilen för vidarebefordran av privat åtkomsttrafik.

Mer information om privat åtkomst finns i följande artiklar: