Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Intelligente Lokale Zugriffsfunktion kann dazu beitragen, den Datenverkehrsfluss von Microsoft Entra-Clients zu Microsoft Entra Private Access-Apps zu optimieren, wenn sich der Client in einem unternehmens-/privaten Netzwerk befindet. In diesem Artikel wird erläutert, wie Sie das intelligente private Netzwerk für microsoft Entra Private Access aktivieren.
Voraussetzungen
Zum Konfigurieren eines privaten Global Secure Access (GSA)-Netzwerks benötigen Sie Folgendes:
Rolle "Globaler Administrator für sicheren Zugriff " oder die Rolle " Administrator für privilegierte Rollen" .
Produktlizenzierung. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
Übersicht über den privaten Zugriff
Heute sendet Entra Private Access (PA) unabhängig vom Standort des Benutzers über den SSE/Private Access-Dienst den gesamten Datenverkehr, sowohl Anwendungs- als auch Authentifizierung. Dieser Prozess, dargestellt durch den grünen Workflow im folgenden Diagramm, führt zu Netzwerk-Backhauling, was sich negativ auf die Benutzererfahrung auswirkt, indem Latenz hinzugefügt und das Netzwerk erheblich verlangsamt wird. Mit dem Feature Intelligent Local Access (ILA) wollen wir dieses Problem beheben, indem wir intelligentes Netzwerkrouting ermöglichen. Der GSA-Client bestimmt, wie Datenverkehr an private Anwendungen weitergeleitet wird. Dieses Feature stellt einen konsistenten Sicherheitsstatus für Mitarbeiter sicher, unabhängig davon, ob sie remote oder lokal arbeiten. Dieser adaptive lokale Zugriff verbessert das Nutzererlebnis erheblich, indem die Latenz reduziert und Netzwerk-Hairpinning vermieden wird, wie im folgenden Diagramm durch den blauen Workflow dargestellt.
Der GSA-Client verwendet DNS-Prüfpunkte, um festzustellen, ob sich der Client innerhalb des Unternehmensnetzwerks befindet. Nachdem der Client Corpnet-Standorte identifiziert hat, können Sie definieren, welche Private Access-Anwendungen ILA verwenden und den Datenverkehr umgehen sollten, anstatt ihn über das Cloud-Back-End zu senden.
Aktivieren der intelligenten lokalen Zugriffsfunktion
Führen Sie die folgenden Schritte aus, um den intelligenten lokalen Zugriff für Microsoft Entra Private Access zu aktivieren. Dieses Verfahren umfasst das Erstellen privater Netzwerke und das Hinzufügen von Anwendungen zum privaten Netzwerk.
Melden Sie sich beim Microsoft Entra Admin Center an.
Navigieren Sie zu Global Secure Access, um > Private Netzwerke zu verbinden>.
Wählen Sie "Privates Netzwerk hinzufügen" aus.
Definieren Sie im daraufhin geöffneten Bereich "Privates Netzwerk hinzufügen " Folgendes:
Name – Der freundliche Name des Netzwerks.
DNS-Server – Serveradresse, die für die DNS-Auflösung verwendet wird.
- IPv4-Adresse (Internet Protocol Version 4), z. B. 10.10.2.1, die einen DNS-Server im Netzwerk identifiziert.
Vollqualifizierter Domänenname
- Der vollqualifizierte Domänenname (FQDN), der aufgelöst werden muss.
Geben Sie die entsprechenden Details für den ausgewählten Typ "Aufgelöst in IP-Adresse" ein. Geben Sie in Abhängigkeit davon, was Sie auswählen, einen geeigneten Wert im nachfolgenden Feld "Aufgelöst in IP-Adresswert" ein.
| Aufgelöst zu IP-Adresstyp | In IP-Adresswert aufgelöst |
|---|---|
| IP-Adresse | IPv4-Adresse (Internet Protocol Version 4), z. B. 10.10.2.1, die ein Gerät im Netzwerk identifiziert. |
| IP-Adressbereich (CIDR) | Classless Inter-Domain Routing (CIDR) stellt einen Bereich von IP-Adressen dar, auf den eine IP-Adresse folgt, gefolgt von einem Suffix, das die Anzahl der Netzwerkbits in der Subnetzmaske angibt. Beispielsweise gibt 10.10.2.0/24 an, dass die ersten 24 Bit der IP-Adresse die Netzwerkadresse darstellen, während die verbleibenden 8 Bit die Hostadresse darstellen. Geben Sie die Startadresse und die Netzwerkmaske an. |
| IP-Adressbereich (IP-zu-IP) | Bereich von IP-Adressen von Start-IP (z. B. 10.10.2.1) bis zur End-IP (z. B. 10.10.2.10). Geben Sie den Start und das Ende der IP-Adresse an. |
Wählen Sie "Zielressource" aus.
- Wählen Sie die Schnellzugriffs- oder PA-Unternehmens-App aus, die lokal umgangen wird, sobald dieses private Netzwerk erkannt wird.
Wählen Sie "Erstellen" aus.
Prüfen des ILA-Flusses auf dem Client
Sie können den erweiterten Diagnoseclient im globalen sicheren Zugriff verwenden, um den ILA-Netzwerkdatenverkehr zu überwachen.
Öffnen Sie die erweiterte Diagnose für den Client.
- Wählen Sie "Netzwerkdatenverkehr sammeln starten " aus.
- Filtert nach Ziel-IP/FQDN für die Endressource.
- Stellen Sie sicher, dass der Standardfilter für Action == Tunnel entfernt wird.
- Greifen Sie auf die Anwendung zu.
- Vergewissern Sie sich, dass der Verbindungsstatus umgangen wird und dass die Aktion im Netzwerkdatenverkehr lokal ist.
