Udostępnij przez

Włączanie inteligentnego dostępu lokalnego (wersja zapoznawcza)

Funkcja inteligentnego dostępu lokalnego może pomóc w optymalizacji przepływu ruchu od klientów firmy Microsoft Entra do aplikacji Microsoft Entra Private Access, gdy klient znajduje się w sieci firmowej/prywatnej. W tym artykule wyjaśniono, jak włączyć inteligentną sieć prywatną dla usługi Microsoft Entra Private Access.

Wymagania wstępne

Aby skonfigurować globalne sieci prywatne bezpiecznego dostępu (GSA), musisz mieć następujące elementy:

Omówienie dostępu prywatnego

Obecnie usługa Entra Private Access (PA) wysyła cały ruch, zarówno aplikację, jak i uwierzytelnianie, za pośrednictwem usługi SSE / Private Access, niezależnie od lokalizacji użytkownika. Ten proces, reprezentowany przez zielony przepływ pracy na poniższym diagramie, powoduje wycofywanie sieci, co negatywnie wpływa na środowisko użytkownika przez dodanie opóźnienia i znaczne spowolnienie sieci. Funkcja inteligentnego dostępu lokalnego (ILA) ma na celu rozwiązanie tego problemu przez włączenie inteligentnego routingu sieciowego. Klient GSA określa sposób kierowania ruchu do aplikacji prywatnych. Ta funkcja zapewnia spójny stan zabezpieczeń dla pracowników, niezależnie od tego, czy pracują zdalnie, czy lokalnie. Ten adaptacyjny dostęp lokalny znacznie poprawia doświadczenie użytkownika, zmniejszając opóźnienia i unikając niepotrzebnego routingu sieciowego, reprezentowanego przez niebieski przepływ danych na poniższym diagramie.

Diagram przedstawiający przepływ pracy między dostępem prywatnym firmy Microsoft i inteligentnym dostępem lokalnym.

Klient GSA używa sond DNS do określenia, czy klient znajduje się w sieci firmowej. Gdy klient zidentyfikuje lokalizacje sieci corpnet, możesz zdefiniować, które aplikacje dostępu prywatnego powinny używać ILA i pomijać ruch zamiast wysyłać go za pośrednictwem zaplecza chmury

Włączanie funkcji inteligentnego dostępu lokalnego

Aby włączyć inteligentny dostęp lokalny dla usługi Microsoft Entra Private Access, wykonaj następujące kroki. Ta procedura obejmuje tworzenie sieci prywatnych i dodawanie aplikacji do sieci prywatnej.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra.

  2. Przejdź do Global Secure Access> Connect > sieci prywatne.

  3. Wybierz pozycję Dodaj sieć prywatną.

Zrzut ekranu przedstawiający ekran interfejsu użytkownika, na którym można dodać sieć prywatną.

  1. W wyświetlonym panelu Dodaj sieć prywatną zdefiniuj następujące elementy:

    1. Nazwa — przyjazna nazwa sieci. 

    2. Serwery DNS — adres serwera używany do rozpoznawania nazw DNS.

      1. Adres protokołu internetowego w wersji 4 (IPv4), taki jak 10.10.2.1, który identyfikuje serwer DNS w sieci.

    3. W pełni kwalifikowana nazwa domeny

      1. W pełni kwalifikowana nazwa domeny (FQDN), która musi zostać rozwiązana. 

    4. Wprowadź odpowiednie szczegóły dla wybranego typu Rozwiązano do adresu IP. W zależności od tego, co wybierzesz, wprowadź odpowiednią wartość w następnym polu Ustalono jako wartość adresu IP.

Ustalony rodzaj adresu IP Rozwiązano do wartości adresu IP
Adres IP Adres protokołu internetowego w wersji 4 (IPv4), taki jak 10.10.2.1, który identyfikuje urządzenie w sieci.
Zakres adresów IP (CIDR) Classless Inter-Domain Routing (CIDR) reprezentuje zakres adresów IP, gdzie adres IP jest uzupełniony o sufiks wskazujący liczbę bitów sieciowych w masce podsieci.

Na przykład 10.10.2.0/24 wskazuje, że pierwsze 24 bity adresu IP reprezentują adres sieciowy, podczas gdy pozostałe 8 bitów reprezentuje adres hosta.

Podaj adres początkowy i maskę sieci.
Zakres adresów IP (Adres IP do adresu IP) Zakres adresów IP od początkowego adresu IP (na przykład 10.10.2.1) do końcowego adresu IP (na przykład 10.10.2.10).

Podaj początek i koniec adresu IP.

  1. Wybierz Zasób docelowy.

    1. Wybierz Szybki dostęp lub aplikację przedsiębiorstwa PA, która jest pomijana lokalnie po wykryciu tej sieci prywatnej.

  2. Wybierz Utwórz.

Zrzut ekranu przedstawiający stronę, na której tworzysz sieć prywatną.

Zweryfikuj przepływ ILA na kliencie

Do monitorowania ruchu sieciowego ILA można użyć zaawansowanego klienta diagnostycznego w globalnym bezpiecznym dostępie.

Otwórz diagnostykę zaawansowaną dla klienta.

  1. Wybierz Rozpocznij zbieranie ruchu sieciowego.
  2. Filtruj według docelowego adresu IP/nazwy FQDN dla zasobu końcowego.
  3. Upewnij się, że domyślny filtr Action == Tunnel został usunięty. Zrzut ekranu przedstawiający stronę Global Secure Access Advanced Diagnostics (Zaawansowana diagnostyka bezpiecznego dostępu globalnego) przedstawiającą szczegóły ruchu sieciowego.
  4. Uzyskaj dostęp do aplikacji.
  5. Sprawdź, czy w ruchu sieciowym stan połączenia jest ominięty i czy akcja jest lokalna. Zrzut ekranu strony Zaawansowana diagnostyka globalnego bezpiecznego dostępu pokazujący stan i ustawienia ruchu sieciowego.

Omówienie dostępu prywatnego

  • Last updated on