Share via

Konfigurieren des Schnellzugriffs für Global Secure Access

  • Artikel

Mit Global Secure Access können Sie bestimmte vollqualifizierte Domänennamen (FQDNs) oder IP-Adressen privater Ressourcen definieren, die in den Datenverkehr für Microsoft Entra-Privatzugriff einbezogen werden sollen. Die Mitarbeiter Ihrer Organisation können dann auf die von Ihnen angegebenen Apps und Websites zugreifen. In diesem Artikel wird beschrieben, wie Sie den Schnellzugriff für Microsoft Entra-Privatzugriff konfigurieren.

Voraussetzungen

Zum Konfigurieren des Schnellzugriffs benötigen Sie Folgendes:

  • Die Rollen Global Secure Access-Administrator und Anwendungsadministrator in Microsoft Entra ID.
  • Für die Vorschau ist eine Microsoft Entra ID P1-Lizenz erforderlich. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.

Um Gruppen privater Microsoft Entra-Netzwerkconnectors zu verwalten, wie für den Schnellzugriff gefordert ist, ist Folgendes erforderlich:

  • Die Rolle Anwendungsadministrator in Microsoft Entra ID
  • Eine P1- oder P2-Lizenz für Microsoft Entra ID

Bekannte Einschränkungen

Vermeiden Sie Überschneidungen von App-Segmenten zwischen Schnellzugriff und Zugriff per App.

Das Tunneln von Datenverkehr zu Zielen des privaten Zugriffs nach IP-Adresse wird nur für IP-Bereiche außerhalb des lokalen Subnetzes des Endbenutzergeräts unterstützt.

Im Moment kann privater Zugriffsdatenverkehr nur mit dem Global Secure Access-Client abgerufen werden. Remotenetzwerke können nicht dem Profil für Datenverkehrsweiterleitung für privaten Zugriff zugewiesen werden.

Schritte auf oberer Ebene:

Das Konfigurieren Ihrer Schnellzugriffseinstellungen ist eine wichtige Komponente für die Verwendung von Microsoft Entra-Privatzugriff. Wenn Sie den Schnellzugriff zum ersten Mal konfigurieren, erstellt Private Access eine neue Unternehmensanwendung. Die Eigenschaften dieser neuen App werden automatisch für die Verwendung mit privatem Zugriff konfiguriert.

Zum Konfigurieren des Schnellzugriffs benötigen Sie eine Connectorgruppe mit mindestens einem aktiven Microsoft Entra Anwendungsproxy-Connector. Die Connectorgruppe verarbeitet den Datenverkehr zu dieser neuen Anwendung. Nachdem Sie den Schnellzugriff und eine Gruppe privater Netzwerkconnectors konfiguriert haben, müssen Sie den Zugriff auf die App gewähren.

Zusammenfassend sieht der Gesamtprozess wie folgt aus:

  1. Erstellen Sie eine Connectorgruppe mit mindestens einem aktiven privaten Netzwerkconnector.

    • Wenn Sie bereits über eine Connectorgruppe verfügen, stellen Sie sicher, dass Sie die neueste Version verwenden.

  2. Konfigurieren des Schnellzugriffs.

  3. Zuweisen von Benutzern und Gruppen zur App.

  4. Konfigurieren von Richtlinien für bedingten Zugriff.

  5. Aktivieren des Profils für die Weiterleitung von Datenverkehr mit Privatzugriff.

Erstellen von Gruppen privater Netzwerkconnectors

Zum Konfigurieren des Schnellzugriffs müssen Sie über eine Connectorgruppe mit mindestens einem aktiven privaten Netzwerkconnector verfügen.

Wenn Sie noch keine Connectorgruppe eingerichtet haben, lesen Sie Konfiguration von Connectoren für den Schnellzugriff.

Hinweis

Wenn Sie bereits einen Connector installiert haben, installieren Sie ihn neu, um die neueste Version zu erhalten. Deinstallieren Sie beim Upgrade den vorhandenen Connector, und löschen Sie alle zugehörigen Ordner.

Die für Private Access erforderliche Mindestversion des Connectors ist 1.5.3417.0.

Konfigurieren des Schnellzugriffs

Geben Sie auf der Seite Schnellzugriff einen Namen für die Schnellzugriffs-App an, wählen Sie eine Connectorgruppe aus und fügen Sie Anwendungssegmente hinzu, die FQDNs und IP-Adressen enthalten. Sie können alle drei Schritte gleichzeitig ausführen oder die Anwendungssegmente hinzufügen, nachdem die Ersteinrichtung abgeschlossen ist.

Name und Connectorgruppe

  1. Melden Sie sich mit geeigneten Rollenberechtigungen beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Global Secure Access (Vorschau)>Geräte>Schnellzugriff.

  3. Geben Sie einen Namen ein. Es wird empfohlen, den Namen Quick Access zu verwenden.

  4. Wählen Sie im Dropdownmenü eine Connectorgruppe aus. Vorhandene Connectorgruppen werden im Dropdownmenü angezeigt.

    Screenshot des App-Namens für den Schnellzugriff.

  5. Wählen Sie unten auf der Seite die Schaltfläche Speichern aus, um Ihre „Quick Access“-App ohne FQDNs und IP-Adressen zu erstellen.

Hinzufügen eines Anwendungssegments für den Schnellzugriff

Im Abschnitt Schnellzugriffsanwendungssegment hinzufügen dieses Prozesses definieren Sie die FQDNs und IP-Adressen, die Sie in den Datenverkehr für Microsoft Entra-Privatzugriff einbeziehen möchten. Sie können diese Ressourcen hinzufügen, wenn Sie die Schnellzugriffs-App erstellen und später zurückkehren, um weitere hinzuzufügen oder sie zu bearbeiten.

Sie können vollqualifizierte Domänennamen (FQDN), IP-Adressen und IP-Adressbereiche hinzufügen. Innerhalb jedes Anwendungssegments können Sie mehrere Ports und Portbereiche hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Global Secure Access (Vorschau)>Anwendungen>Schnellzugriff.

  3. Wählen Sie Hinzufügen eines Anwendungssegments für den Schnellzugriff aus.

    Screenshot der Schaltfläche zum Hinzufügen von Schnellzugriffs-Anwendungssegmenten.

  4. Wählen Sie im daraufhin geöffneten Bereich Anwendungssegment erstellen einen Zieltyp aus.

    Screenshot des Bereichs zum Erstellen eines App-Segments.

  5. Geben Sie die entsprechenden Details für den ausgewählten Zieltyp ein. Je nachdem, was Sie auswählen, ändern sich die nachfolgenden Felder entsprechend.

    • IP-Adresse:
      • Internetprotokoll-Version 4 (IPv4)-Adresse, z. B. 192.0.2.1, die ein Gerät im Netzwerk identifiziert.
      • Geben Sie die Ports an, die Sie einschließen möchten.
    • Vollqualifizierter Domänenname (einschließlich Platzhalter-FQDNs):
      • Domänenname, der den genauen Speicherort eines Computers oder Hosts im DNS (Domain Name System) angibt.
      • Geben Sie die einzuschließenden Ports an.
      • NetBIOS wird nicht unterstützt. Verwenden Sie z. B. contoso.local/app1 statt contoso/app1.
    • IP-Adressbereich (CIDR):
      • Classless Inter-Domain Routing (CIDR) stellt einen Bereich von IP-Adressen dar. Auf eine IP-Adresse folgt ein Suffix, das die Anzahl der Netzwerkbits in der Subnetzmaske angibt.
      • Zum Beispiel: 192.0.2.0/24 gibt an, dass die ersten 24 Bit der IP-Adresse die Netzwerkadresse darstellen, während die restlichen 8 Bits die Hostadresse darstellen.
      • Geben Sie die Startadresse, die Netzwerkmaske und die Ports an.
    • IP-Adressbereich (IP zu IP):
      • Bereich der IP-Adressen von der Start-IP (z. B. 192.0.2.1) bis zur End-IP (z. B. 192.0.2.10).
      • Geben Sie den Anfang, das Ende und die Ports der IP-Adresse an.

  6. Geben Sie die Ports ein, und wählen Sie die Schaltfläche Anwenden aus.

    • Trennen Sie mehrere Bereiche durch ein Komma.
    • Geben Sie Portbereiche mit einem Bindestrich an.
    • Wenn Sie die Änderungen anwenden, werden Leerzeichen zwischen Werten entfernt.
    • Beispiel: 400-500, 80, 443.

    Screenshot des Bereichs zum Erstellen eines App-Segments mit mehreren hinzugefügten Ports.

    Die folgende Tabelle enthält die am häufigsten verwendeten Ports und die zugehörigen Netzwerkprotokolle:

    Port Protocol
    22 Secure Shell (SSH)
    80 Hypertext Transfer-Protokoll (HTTP)
    443 Hypertext Transfer-Protokoll Secure (HTTPS)
    445 Server Message Block (SMB)-Dateifreigabe
    3389 Remotedesktopprotokoll (RDP)

  7. Wählen Sie die Schaltfläche Speichern aus, wenn Sie fertig sind.

Hinweis

Sie können Ihrer Schnellzugriffs-App bis zu 500 Anwendungssegmente hinzufügen.

Überlappen Sie keine FQDNs, IP-Adressen und IP-Bereiche von Ihrer Schnellzugriffs-App und allen Private Access-Apps.

Aktualisieren von Schnellzugriffsanwendungssegmenten

Sie können Anwendungssegmente nach Abschluss der Ersteinrichtung hinzufügen oder bearbeiten.

Von Global Secure Access (Vorschau)>Anwendungen>Schnellzugriff:

  • Um einen FQDN oder eine IP-Adresse hinzuzufügen, wählen Sie Schnellzugriffsanwendungssegment hinzufügen aus.
  • Wählen Sie das Anwendungssegment aus, das Sie in der Spalte Zieltyp bearbeiten möchten.

Zuweisen von Benutzern und Gruppen

Wenn Sie den Schnellzugriff konfigurieren, wird eine neue Unternehmens-App in Ihrem Namen erstellt. Sie müssen der von Ihnen erstellten Schnellzugriffs-App Zugriff gewähren, indem Sie der App Benutzer und/oder Gruppen zuweisen.

Sie können die Eigenschaften im Schnellzugriff anzeigen oder zu Unternehmensanwendungen navigieren und nach Ihrer Schnellzugriffs-App suchen.

  1. Wählen Sie im Schnellzugriff die Schaltfläche Anwendungseinstellungen bearbeiten aus.

    Screenshot der Schaltfläche „Anwendungseinstellungen bearbeiten“.

  2. Wählen Sie im Seitenmenü Benutzer und Gruppen aus.

  3. Fügen Sie nach Bedarf Benutzer und Gruppen hinzu.

Hinweis

Benutzer müssen der App oder der Gruppe, die der App zugewiesen ist, direkt zugewiesen sein. Geschachtelte Gruppen werden nicht unterstützt.

Richtlinien für bedingten Zugriff können auf Ihre Schnellzugriffs-App angewendet werden. Das Anwenden von Richtlinien für bedingten Zugriff bietet weitere Optionen zum Verwalten des Zugriffs auf Anwendungen, Websites und Dienste.

Das Erstellen einer Richtlinie für bedingten Zugriff wird ausführlich unter Erstellen einer Richtlinie für bedingten Zugriff für Private Access-Apps behandelt.

Microsoft Entra Private Access aktivieren

Sobald Sie Ihre Schnellzugriffs-App konfiguriert, Ihre privaten Ressourcen hinzugefügt haben und benutzerseitig der App zugewiesen sind, können Sie das Profil Privater Zugriff im Bereich Datenverkehrsweiterleitung von Global Secure Access aktivieren. Sie können das Profil vor dem Konfigurieren des Schnellzugriffs aktivieren, aber ohne dass die App und das Profil konfiguriert sind, gibt es keinen Datenverkehr, der weitergeleitet werden kann.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Globaler sicherer Zugriff (Vorschau)>Connect>Datenweiterleitung.
  3. Aktivieren Sie das Kontrollkästchen für privates Zugriffsprofil.

Screenshot der Seite für die Datenweiterleitung mit aktiviertem privatem Zugriffsprofil.

Nutzungsbedingungen

Ihre Verwendung der Vorschauumgebungen und Features von Microsoft Entra-Privatzugriff und Microsoft Entra-Internetzugriff unterliegt den Bestimmungen für Onlinedienste (Vorschau), unter denen Sie die Dienste erworben haben. Vorschauversionen unterliegen möglicherweise eingeschränkten oder abweichenden Sicherheits-, Compliance- und Datenschutzverpflichtungen, wie in Allgemeine Lizenzbedingungen für Onlinedienste und im Nachtrag zum Datenschutz in Verbindung mit Produkten und Diensten von Microsoft sowie allen anderen mit der Vorschau bereitgestellten Hinweisen näher erläutert.

Nächste Schritte

Der nächste Schritt für die ersten Schritte mit Microsoft Entra Private Access besteht darin, das Profil für die Datenverkehrsweiterleitung für privaten Zugriff zu aktivieren.

Weitere Informationen zu privatem Zugriff finden Sie in den folgenden Artikeln: