Freigeben über

Anwendungsermittlung für globalen sicheren Zugriff

Mithilfe der Anwendungsermittlung können Administratoren sehen, welche Anwendungen personen in ihrem Unternehmensnetzwerk verwenden. Durch die Identifizierung, wer welche Anwendungen verwendet, können Administratoren private Anwendungen mit präziser Segmentierung und geringstem Berechtigungszugriff erstellen, sodass Benutzer nur den benötigten Zugriff erhalten.

Mit Quick Access können Sie schnell auf Private Access zugreifen, indem Sie umfangreiche IP-Bereiche und Wildcard-FQDNs veröffentlichen, wie bei herkömmlichen VPN-Lösungen. Sie können dann vom Schnellzugriff zum Veröffentlichen pro Anwendung wechseln, um die Kontrolle und Detailliertheit über jede Anwendung zu verbessern. Sie können beispielsweise eine Richtlinie für bedingten Zugriff erstellen und Benutzerzuweisungen pro Anwendung festlegen.

In diesem Artikel wird erläutert, wie Sie die Anwendungsermittlung verwenden, um zu erkennen, auf welche Anwendungen Benutzer (über Den Schnellzugriff) zugreifen und separate private Anwendungen erstellen.

Voraussetzungen

Entdecken von Anwendungen

So zeigen Sie eine Liste aller Anwendungssegmente im Schnellzugriff an, auf die Benutzende in den letzten 30 Tagen über den Global Secure Access-Client zugegriffen haben:

  1. Melden Sie sich beim Microsoft Entra Admin-Center als Administrator für globalen sicheren Zugriff an.
  2. Navigieren Sie zu Global Secure Access>Anwendungen>Anwendungserkennung. Screenshot: Bildschirm „App-Erkennung“.

Standardmäßig sortiert die Anwendungsermittlungsansicht Anwendungssegmente in absteigender Reihenfolge nach Anzahl von Benutzern. Die am häufigsten verwendeten Anwendungssegmente werden oben in der Liste angezeigt, sodass sie für den Administrator einfacher zu finden sind.

Der Administrator kann den Zeitraum anpassen, weitere Filter hinzufügen und die Anwendungssegmente nach den einzelnen Spalten sortieren. Die Administration kann auch nach Benutzenden filtern, um die Liste der Anwendungssegmente anzuzeigen, auf die bestimmte Benutzende zugegriffen haben. Im Feld Suche kann die Administration nach dem vollqualifizierten Domänennamen (FQDN), der IP-Adresse und der Portadresse filtern.

Jedes Anwendungssegment enthält die folgenden Spalten:

  • Ziel-FQDN: The FQDN of the application segment.
  • Ziel-IP: Die IP des Anwendungssegments.
  • Transportprotokoll: Das Transportprotokoll des Anwendungssegments. Privater Zugriff unterstützt TCP (Transmission Control Protocol) und User Datagram Protocol (UDP).
  • Zielport: Der Port des Anwendungssegments.
  • Benutzer: Die Anzahl der Benutzer, die auf das Anwendungssegment zugegriffen haben.
  • Transaktionen: Die Anzahl der Transaktionen (Verbindungen) mit dem Anwendungssegment.
  • Geräte – Die Anzahl der Geräte, die für den Zugriff auf das Anwendungssegment verwendet werden.
  • Gesendete Bytes: Die Gesamtzahl der Daten, die das Benutzergerät an das Anwendungssegment gesendet hat.
  • Empfangene Bytes: Die Gesamtzahl der Daten, die das Benutzergerät aus dem Anwendungssegment erhalten hat.
  • Letzter Zugriff: Der Zeitraum, in dem zuletzt auf das Anwendungssegment zugegriffen wurde.
  • Erster Zugriff: Das erste Mal im Zeitbereich, dass auf das Anwendungssegment zugegriffen wurde.

Empfehlungen überprüfen

Microsoft Entra-Empfehlungen bieten Ihnen umsetzbare Anleitungen zur Verbesserung Ihres Sicherheitsstatus. Empfehlungen für die Anwendungsermittlung helfen Ihnen dabei, zu identifizieren, welche Anwendungssegmente als private Anwendungen integriert werden sollen. Weitere Informationen finden Sie unter "Was sind Microsoft Entra-Empfehlungen?".

So greifen Sie auf Empfehlungen für die Anwendungsermittlung zu:

  1. Melden Sie sich beim Microsoft Entra Admin-Center als Administrator für globalen sicheren Zugriff an.
  2. Navigieren Sie zurIdentitätsübersicht>.
  3. Wählen Sie die Registerkarte "Empfehlungen" aus .
  4. Wählen Sie die Empfehlung für die Anwendungsermittlung aus: Onboarding neuer ermittelter Anwendungssegmente in Unternehmensanwendungen. Screenshot der Registerkarte
  5. Überprüfen Sie die Empfehlungsdetails, und folgen Sie dem vorgeschlagenen Aktionsplan. Screenshot der betroffenen Ressourcen und des empfohlenen Aktionsplans.

Anmerkung

Dieses Feature ist derzeit in Australien und Afrika nicht verfügbar.

Erstellen einer neuen Anwendung

Verwenden Sie application discovery, um neue Microsoft Entra ID-Anwendungen basierend auf den ermittelten Anwendungssegmenten der Haupttabelle zu erstellen. So fügen Sie einer neuen Anwendung ein Anwendungssegment hinzu:

  1. Wählen Sie in der Anwendungsermittlungsliste ein oder mehrere Anwendungssegmente aus, die einer Anwendung entsprechen, die Sie erstellen möchten. Screenshot: Liste der Anwendungssegmente mit zwei ausgewählten Segmenten.
    1. Häufig verwendet eine Anwendung ein Anwendungssegment. Beispiel:
      • Ein Dateiserver, z. B. filesrv.contoso.com, TCP, 445.
      • Ein Portal, z. B. internalportal.contoso.com, TCP, 443.
    2. Manchmal verwendet eine einzelne Anwendung jedoch mehrere Ports, Protokolle oder erstreckt sich über mehrere Server (FQDNs/IPs). In diesem Fall können Sie mehrere Anwendungssegmente auswählen und sogar andere manuell hinzufügen. Beispiel:
      • Veröffentlichen von ADDS-Diensten auf einem bestimmten AD-Standort: dc1.contoso.com und dc2.contoso.com, TCP, 88, 135, 137, 138, 389, 445, 464, 636, 3268, 3269 und ein fester hoher Port für Netlogon dc1.contoso.com und dc2.contoso.com, UDP, 88, 123, 389, 464.
    3. Eine Liste der ADD-Ports finden Sie unter Konfigurieren einer Firewall für Active Directory-Domänen und Vertrauensstellungen.
  2. Wählen Sie Zu einer neuen Anwendung hinzufügen aus. Der Bildschirm Anwendung für globalen sicheren Zugriff erstellen wird geöffnet und zeigt die ausgewählten Anwendungssegmente an.
    1. Geben Sie einen Namen für die Anwendung ein, und wählen Sie die entsprechende Connectorgruppe aus.
    2. Fügen Sie Anwendungssegmente bei Bedarf manuell hinzu oder löschen Sie sie.
    3. Wählen Sie "Speichern" aus, um Ihre Änderungen anzuwenden. Screenshot: Bildschirm „Anwendung für globalen sicheren Zugriff erstellen“ mit hervorgehobenen Feldern „Name“, „Connectorgruppe“ und der Schaltfläche „Speichern“.
  3. Aktivieren Sie den Zugriff für die entsprechenden Benutzer, indem Sie die Benutzer und Gruppen anpassen, die der neuen Anwendung zugewiesen sind.
    1. Sie sollten die Aufgaben nach dem Erstellen der Anwendung optimieren. Auf diese Weise enthält die Liste nur Gruppen von Benutzern, die Zugriff auf die neue Anwendung benötigen, gemäß dem Prinzip der geringsten Berechtigungen.
    2. Für Unternehmensanwendungen:
      1. Navigieren Sie zu Global Secure Access>Anwendungen>Unternehmensanwendungen>Benutzer und Gruppen.
      2. Wählen Sie die von Ihnen erstellte Anwendung aus.
      3. Ändern Sie die Benutzer- und Gruppenzuweisungen nach Bedarf.

Wichtig

Global Secure Access priorisiert Datenverkehr für individuell definierte Anwendungen im Verhältnis zum Schnellzugriff. Wenn Sie ein Anwendungssegment von Schnellzugriff auf eine bestimmte globale Secure Access-App verschieben, folgt der gesamte Datenverkehr zu diesem Segment Ihrer Anwendungskonfiguration. Kein Datenverkehr zur neuen Anwendung durchläuft den Schnellzugriff, auch wenn das Segment innerhalb der bereiche verbleibt, die durch den Schnellzugriff definiert werden. Um Dienstunterbrechungen zu vermeiden, erben neue Anwendungen, die Sie über die Anwendungsermittlung erstellen, alle zugewiesenen Benutzer und Gruppen vom Schnellzugriff beim Erstellen. Nachdem Sie die neue Anwendung überprüft haben, beschränken Sie die Anwendungsberechtigungen auf nur die Benutzer, die eine Verbindung zu den definierten Segmenten herstellen müssen.

  1. (Optional) Für zusätzliche Sicherheit können Sie Richtlinien für den bedingten Zugriff gemäß den Sicherheitsrichtlinien Ihres Unternehmens festlegen. Sie können z. B. die mehrstufige Authentifizierung (Multifactor Authentication, MFA) und die Gerätekompatibilität erfordern, wenn Benutzer auf eine kritische Anwendung zugreifen.

Anmerkung

Anwendungssegmente bleiben auch nach dem Erstellen einer Anwendung in der Haupttabelle der Anwendungsermittlung erhalten, bis sich ein Benutzer bei der neuen Anwendung anmeldet und auf die Ressource zugreift. In Zukunft wird die Haupttabelle für die Anwendungsentdeckung unabhängig von der Benutzerinteraktion aktualisiert.

Zu einer vorhandenen Anwendung hinzufügen

Sie können die Anwendungsentdeckung nutzen, um Anwendungssegmente zu einer bestehenden privaten Anwendung hinzuzufügen. So fügen Sie einer vorhandenen Anwendung ein Anwendungssegment hinzu:

  1. Wählen Sie in der Anwendungserkennungsliste ein oder mehrere Anwendungssegmente aus.
  2. Wählen Sie Zu einer vorhandenen Anwendung hinzufügen aus.
  3. Wählen Sie die vorhandene private Anwendung aus, der Sie die Segmente hinzufügen möchten. Der Bildschirm Anwendung für globalen sicheren Zugriff bearbeiten wird geöffnet und zeigt die Eigenschaften der vorhandenen Anwendung, die ausgewählten Anwendungssegmente (mit Status Ausstehend) und alle zuvor konfigurierten Anwendungssegmente (mit Status Success).
  4. Überprüfen Sie die Konfiguration, überarbeiten Sie Name, Connectorgruppe und die Anwendungssegmente, und nehmen Sie erforderliche Anpassungen vor.
  5. Um Ihre Änderungen anzuwenden, wählen Sie Speichern aus. Screenshot des Bildschirms

Anzeigen der Details eines Anwendungssegments

Bevor Sie sich für die Erstellung einer privaten Anwendung entscheiden, sollten Sie weitere Details des Anwendungssegments überprüfen.

  1. Wählen Sie in der Tabelle „Anwendungserkennung“ den Ziel-FQDN oder die Ziel-IP des Anwendungssegments aus, das Sie untersuchen möchten.
  2. Die Registerkarte Verbrauch zeigt standardmäßig das Diagramm der Benutzenden im Laufe der Zeit. Sie können den Graph so einstellen, dass die Verteilung von Transaktionen, Geräten, gesendeten Bytes und empfangenen Bytes im Laufe der Zeit angezeigt wird. Sie können den Zeitraum auch ändern, indem Sie die Einstellung Timespan anpassen. Screenshot der Registerkarte
  3. Auf der Registerkarte Benutzende wird die Liste der Benutzenden angezeigt, die in den letzten 30 Tagen auf das ausgewählte Anwendungssegment zugegriffen haben.
    Screenshot der Registerkarte

Wichtig

Verwenden Sie die Liste der Benutzer, um die Entscheidungen zu informieren, die Sie hinsichtlich der Benutzer und Gruppen treffen, die Sie der Microsoft Entra-Anwendung zuweisen möchten, sobald Sie das ausgewählte Anwendungssegment integriert haben.

Verwandte Inhalte

  • Last updated on