智能本地访问功能可帮助优化从 Microsoft Entra 客户端到 Microsoft Entra Private Access 应用(当客户端位于企业/专用网络上时)的流量流。 本文介绍如何为 Microsoft Entra Private Access 启用智能专用网络。
先决条件
若要配置全局安全访问(GSA)专用网络,必须具备:
产品许可。 有关详细信息,请参阅什么是全球安全访问的许可部分。 如果需要,可以购买许可证或获取试用许可证。
专用访问概述
目前,Entra Private Access(PA)通过 SSE/Private Access 服务发送所有流量(无论是应用程序和身份验证),无论用户的位置如何。 此过程由下图中的绿色工作流表示,会导致网络回传,这通过添加延迟并显著降低网络来对用户体验产生负面影响。 借助智能本地访问(ILA)功能,我们旨在通过启用智能网络路由来解决此问题。 GSA 客户端确定如何将流量路由到专用应用程序。 无论员工是远程工作还是本地,此功能都可确保员工的安全状况一致。 这种自适应本地访问通过减少延迟和避免网络发夹路由来显著改善用户体验,如下图中所表示的蓝色工作流。
GSA 客户端使用 DNS 探测来确定客户端是否在企业网络中。 一旦客户端标识出公司内网的位置,您可以定义哪些专用访问应用程序应使用 ILA,并选择绕过流量,而不是通过云后端传输流量。
启用智能本地访问功能
若要为 Microsoft Entra Private Access 启用智能本地访问,请完成这些步骤。 此过程涉及创建专用网络并将应用程序添加到专用网络。
登录到 Microsoft Entra 管理中心。
浏览到 全局安全访问> 连接 > 专用网络。
选择 “添加专用网络”。
在打开的 “添加专用网络 ”面板中,定义以下内容:
名称 - 网络的友好名称。
DNS 服务器 - 用于 DNS 解析的服务器地址。
- Internet 协议版本 4(IPv4)地址,例如 10.10.2.1,用于标识网络上的 DNS 服务器。
完全限定的域名
- 需要解析的完全限定域名(FQDN)。
输入您选择的IP地址解析类型的相应详细信息。 根据所选内容,填写后续字段中的相应值 “解析为 IP 地址”值。
| 解析为 IP 地址类型 | 解析为 IP 地址值 |
|---|---|
| IP 地址 | 用于标识网络上设备的 Internet 协议版本 4(IPv4)地址,例如 10.10.2.1。 |
| IP 地址范围 (CIDR) | 无类别域间路由(CIDR)表示一系列 IP 地址,其中 IP 地址后跟一个后缀,指示子网掩码中的网络位的数量。 例如,10.10.2.0/24 表示 IP 地址的前 24 位表示网络地址,其余 8 位表示主机地址。 提供起始地址和网络掩码。 |
| IP 地址范围(IP 到 IP) | 从起始 IP(如 10.10.2.1)到结束 IP(如 10.10.2.10)的 IP 地址范围。 提供 IP 地址的开始和结束。 |
选择 目标资源。
- 选择检测到此专用网络时本地绕过的快速访问或 PA 企业应用。
选择 创建。
验证客户端上的 ILA 流
可以使用全局安全访问中的高级诊断客户端来监视 ILA 网络流量。
打开 高级诊断以供客户端使用。
- 选择 “开始收集 网络流量”。
- 为了最终资源按目标 IP/FQDN 进行筛选。
- 确保删除 作 == Tunnel 的默认筛选器。
- 访问应用程序。
- 验证在网络流量中连接状态为绕过,且操作为本地。
