如何使用全域安全存取應用程式設定個別應用程式存取
Microsoft Entra 私人存取 可讓您安全地存取組織的內部資源。 您可以建立全域安全存取應用程式,並指定您想要保護的內部私人資源。 藉由設定全域安全存取應用程式,您會建立內部資源的個別應用程式存取權。 全域安全存取應用程式可讓您更詳細地管理每個應用程式存取資源的方式。
本文說明如何使用全域安全存取應用程式設定個別應用程式存取。
必要條件
若要設定全域安全存取應用程式,您必須具備:
- Microsoft Entra ID 中的全域安全存取 管理員 istrator 和 Application 管理員 istrator 角色
- 預覽需要 Microsoft Entra ID P1 授權。 如有需要,您可以 購買授權或取得試用版授權。
若要管理全域安全存取應用程式所需的 Microsoft Entra 專用網連接器群組,您必須具備:
- Microsoft Entra ID 中的應用程式 管理員 istrator 角色
- Microsoft Entra ID P1 或 P2 授權
已知的限制
- 避免快速存取與全域安全存取應用程式之間的重疊應用程式區段。
- 僅針對終端使用者裝置本機子網以外的IP範圍,才支援依IP位址對私人存取目的地的通道流量。
- 目前,私人存取流量只能透過全域安全存取用戶端取得。 無法將遠端網路指派給私人存取流量轉送配置檔。
高階步驟
個別應用程式存取是藉由建立新的全域安全存取應用程式來設定。 您可以建立應用程式、選取連接器群組,以及新增網路存取區段。 這些設定組成您可以指派使用者和群組的個別應用程式。
若要設定個別應用程式存取,您必須擁有至少一個作用中 Microsoft Entra 應用程式 Proxy 連接器的連接器群組。 此連接器群組會處理此新應用程式的流量。 透過 連線 器,您可以隔離每個網路和連接器的應用程式。
總結來說,整體程式如下:
-
- 如果您已經有連接器群組,請確定您使用的是最新版本。
建立專用網連接器群組
若要設定全域安全存取應用程式,您必須擁有至少一個作用中專用網連接器的連接器群組。
如果您尚未設定連接器,請參閱 設定連接器。
注意
如果您先前已安裝連接器,請重新安裝以取得最新版本。 升級時,卸載現有的連接器並刪除任何相關資料夾。
Private Access 所需的連接器最低版本為 1.5.3417.0。
建立全域安全存取應用程式
若要建立新的應用程式,您可以提供名稱、選取連接器群組,然後新增應用程式區段。 應用程式區段包含完整的功能變數名稱 (FQDN) 和您想要透過服務進行通道傳送的IP位址。 您可以同時完成這三個步驟,也可以在初始設定完成之後加以新增。
選擇名稱和連接器群組
使用適當的角色登入 Microsoft Entra 系統管理中心 。
流覽至全域安全存取 (預覽)>應用程式>企業應用程式。
選取 [新增應用程式]。
![[企業應用程式] 和 [新增應用程式] 按鈕的螢幕快照。](media/how-to-configure-per-app-access/new-enterprise-app.png)
輸入應用程式的名稱。
從下拉功能表中選取 連線 或群組。
- 現有的連接器群組會出現在下拉功能表中。
選取頁面底部的 [ 儲存 ] 按鈕,以建立您的應用程式,而不需新增私人資源。
新增應用程式區段
[ 新增應用程式區段 ] 程式是您定義要包含在全域安全存取應用程式流量中的 FQDN 和 IP 位址的位置。 您可以在建立應用程式時新增網站,並返回以新增更多或稍後編輯網站。
您可以新增完整功能變數名稱 (FQDN)、IP 位址和 IP 位址範圍。 在每個應用程式區段中,您可以新增多個埠和埠範圍。
流覽至全域安全存取 (預覽)>應用程式>企業應用程式。
選取 [新增應用程式]。
選取 [ 新增應用程式區段]。
![[新增應用程式區段] 按鈕的螢幕快照。](media/how-to-configure-per-app-access/enterprise-app-add-application-segment.png)
在開啟的 [ 建立應用程式區段 ] 面板中,選取 [ 目的地類型]。
![[建立應用程式區段] 面板的螢幕快照。](media/how-to-configure-per-app-access/app-segment-destination-type.png)
輸入所選目的地類型的適當詳細數據。 視您選取的內容而定,後續欄位會隨之變更。
- IP 位址:
- 因特網通訊協定第 4 版 (IPv4) 位址,例如 192.0.2.1,可識別網路上的裝置。
- 提供您想要包含的埠。
- 完整功能變數名稱 (包括通配符 FQDN):
- 功能變數名稱,指定功能變數名稱系統 (DNS) 中電腦或主機的確切位置。
- 提供您想要包含的埠。
- 不支援 NetBIOS。 例如,使用
contoso.local/app1而非contoso/app1.
- IP 位址範圍 (CIDR):
- 無類別網域間路由是代表IP位址範圍的方式,其中IP位址後面接著後綴,指出子網掩碼中的網路位數目。
- 例如,192.0.2.0/24 表示 IP 位址的前 24 位代表網路位址,而其餘 8 位則代表主機位址。
- 提供起始位址、網路遮罩和埠。
- IP 位址範圍(IP 到 IP):
- IP 位址範圍從起始 IP(例如 192.0.2.1)到結束 IP(例如 192.0.2.10)。
- 提供IP位址開始、結束和埠。
- IP 位址:
輸入埠,然後選取 [ 套用] 按鈕。
- 以逗號分隔多個埠。
- 使用連字元指定埠範圍。
- 當您套用變更時,會移除值之間的空格。
- 例如:
400-500, 80, 443。
![[建立應用程式區段] 面板的螢幕快照,其中已新增多個埠。](media/how-to-configure-per-app-access/app-segment-multiple-ports.png)
下表提供最常用的埠及其相關聯的網路通訊協定:
連接埠 通訊協定 22 安全殼層 (SSH) 80 超文字傳輸通訊協定 (HTTP) 443 超文字傳輸通訊協定安全 (HTTPS) 445 伺服器訊息塊 (SMB) 檔案共用 3389 遠端桌面通訊協定 (RDP) 完成時,請選取 [ 儲存 ] 按鈕。
注意
您最多可以將 500 個應用程式區段新增至您的應用程式。
請勿將快速存取應用程式與任何 Private Access 應用程式之間的 FQDN、IP 位址和 IP 範圍重疊。
指派使用者與群組
您必須將使用者和/或群組指派給應用程式,以授與您建立之應用程式的存取權。 如需詳細資訊,請參閱 將使用者和群組指派給應用程式。
- 登入 Microsoft Entra 系統管理中心。
- 流覽至全域安全存取 (預覽)>應用程式>企業應用程式。
- 搜尋並選取您的應用程式。
- 從側邊功能表中選取 [使用者和群組 ]。
- 視需要新增使用者和群組。
注意
用戶必須直接指派給應用程式或指派給應用程式的群組。 「不支援」巢狀群組。
更新應用程式區段
您可以隨時新增或更新應用程式中包含的 FQDN 和 IP 位址。
- 登入 Microsoft Entra 系統管理中心。
- 流覽至全域安全存取 (預覽)>應用程式>企業應用程式。
- 搜尋並選取您的應用程式。
- 從側邊功能表中選取 [ 網络存取屬性 ]。
- 若要新增 FQDN 或 IP 位址,請選取 [ 新增應用程式區段]。
- 若要編輯現有的應用程式,請從 [ 目的地類型 ] 資料行中選取它。
使用全域安全存取客戶端啟用或停用存取
您可以使用全域安全存取客戶端來啟用或停用全域安全存取應用程式的存取。 此選項預設為選取,但可以停用,因此應用程式區段中包含的 FQDN 和 IP 位址不會透過服務進行通道。
指派條件式存取原則
個別應用程式存取的條件式存取原則是在每個應用程式的應用層級設定。 條件式存取原則可以從兩個位置建立並套用至應用程式:
- 移至全域安全存取(預覽)>應用程式>企業應用程式。 選取應用程式,然後從側邊功能表中選取 [條件式存取 ]。
- 移至 [保護>條件式存取>原則]。 選取 [+ 建立新原則]。
如需詳細資訊,請參閱 將條件式存取原則套用至 Private Access 應用程式。
啟用 Microsoft Entra 私人存取
設定應用程式之後,已新增私人資源、指派給應用程式的使用者,您可以啟用私人存取流量轉送配置檔。 您可以先啟用配置檔,再設定全域安全存取應用程式,但未設定應用程式和配置檔,則沒有要轉送的流量。
- 登入 Microsoft Entra 系統管理中心。
- 流覽至全域安全存取 (預覽)>連線> Traffic 轉送。
- 選取 [私人存取設定檔] 複選框。
使用規定
您使用 Microsoft Entra 私人存取 和 Microsoft Entra 網際網路存取 預覽體驗和功能,會受您取得服務之合約的預覽在線服務條款及條件所控管。 預覽可能會受限於降低或不同的安全性、合規性和隱私權承諾,如 在線服務和Microsoft 產品和服務數據保護增補條款(“DPA”)以及預覽版所提供的任何其他通知中所述。
下一步
開始使用 Microsoft Entra 私人存取的下一個步驟是啟用私人存取流量轉送配置檔。
如需 Private Access 的詳細資訊,請參閱下列文章: