通过

使用全球安全访问的源 IP 定位

在允许访问之前,具有服务型软件 (SaaS) 或业务线 (LOB) 应用程序的组织可能会强制实施特定的网络位置。 一种方法是使用 Microsoft Entra 专用访问通过私下控制的网络路由特定的 Web 应用程序流量。 此方法允许你强制实施仅组织使用的特定流出量 IP。 本文介绍如何配置 Microsoft Entra 专用访问,以通过专用网络隧道传输特定应用程序流量,从而满足应用程序基于网络的访问控制策略。

配置源 IP 定位以路由来自专用 IP 地址的流量

若要启用专用网络的应用程序强制实施,请为企业应用程序配置 Microsoft Entra 专用访问。 例如,当应用程序允许使用与你的标识提供者无关的本地凭据进行访问时,可能需要进行此配置。

此解决方案获取应用程序流量并从客户端设备进行路由。 它通过 Microsoft 的安全服务边缘路由到具有专用网络连接器的专用网络。 从专用网络,流量可以使用 Internet 或任何其他可用的专用连接访问应用程序。 应用程序将流量视为源自允许的流出量 IP 地址,指示访问来自满足其自己的网络访问控制的专用网络。

以下体系结构图演示了一个示例配置。

示例体系结构配置示意图。

在示例配置中,应用程序仅允许源自 15.4.23.54 的连接,这是客户的本地网络的流出量 IP 地址。 当用户尝试访问应用程序时,全球安全访问客户端通过 Microsoft 的安全服务边缘获取和隧道传输流量,其中可能会发生授权控制强制(如条件访问)。 使用专用网络连接器将流量隧道传输到本地网络。 最后,流量使用 Internet 连接到 Web 应用程序。 应用程序看到源自 15.4.23.54 的连接并允许访问。

注意

当 SaaS 应用强制实施自己的基于网络的控制时,必须配置源 IP 定位。 如果您的要求仅限于身份提供商的位置限制,那么合规的网络检查就足够了。 合规的网络检查在身份验证层强制实施基于网络的访问控制,并避免需要通过专用网络来固定流量。 全球安全访问将流量绑定到租户 ID,以确保使用全球安全访问的其他组织无法满足条件访问策略。

先决条件

在开始配置源 IP 定位之前,请确保环境已准备就绪且符合要求。

  • 有一个 SaaS 应用程序,它强制实施自己的基于网络的访问控制策略。
  • 许可证包括 Microsoft Entra 套件或 Microsoft Entra 专用访问。
  • 你已启用 Microsoft Entra 专用访问转发配置文件。
  • 你拥有最新版本的 全局安全访问客户端

部署专用网络连接器

满足先决条件时,请执行以下步骤来部署专用网络连接器:

  1. 在与目标 Web 应用程序建立出站连接的专用网络中安装专用网络连接器。 一个不错的选择是在控制出站流出量 IP 的 Azure 虚拟网络中托管连接器。 建议安装两个或多个连接器以实现复原和高可用性。
  2. 向 SaaS 应用程序提供连接器的公共 IP 地址,以便用户可以连接到该应用。

配置源 IP 定位

安装和配置专用网络连接器后,请执行以下步骤来创建企业应用程序:

  1. 导航到 entra.microsoft.com

  2. 选择 全局安全访问>应用程序 > 企业应用程序。

  3. 选择“新建应用程序”

  4. 输入应用程序的名称。

  5. 选择获取和路由流量的 连接器组

  6. 选择“添加应用程序段”。

  7. 完成以下字段:

    1. 目标类型 -- 选择 完全限定的域名

    2. 完全限定的域名 -- 输入 Web 应用程序的完全限定域名。

    3. 端口 -- 如果应用程序使用 HTTP,请输入 80。 如果应用程序使用 HTTPS,请输入 443。 还可以输入这两个端口。

    4. 协议 -- 选择 TCP

      “创建应用程序段”对话框的屏幕截图。

  8. 选择“应用”。

  9. 选择“保存”。

  10. 导航回 企业应用程序。 选择创建的应用程序。

  11. 选择“用户和组” 。

  12. 选择“添加用户/组”。

  13. 选择“ 用户和组>未选中”。

  14. 搜索并选择要分配给此应用程序的用户和组。 选择“选择”。

  15. 选择“分配”。

验证配置

为 Web 应用程序配置企业应用程序后,请执行以下步骤来验证它是否正常工作。

  1. 在 Windows 全局安全访问客户端中,打开 高级诊断

  2. 选择 转发配置文件

  3. 展开 专用访问规则。 验证 Web 应用程序的完全限定的域名 (FQDN) 是否在列表中。

    全局安全访问 - 高级诊断 - 规则的屏幕截图。

  4. 选择 “流量”。

  5. 选择 “开始收集”。

  6. 在浏览器中,导航到 Web 应用程序。

  7. 返回到 高级诊断

  8. 选择 “停止收集”。

  9. 验证以下设置:

    1. Web 应用程序显示在 目标 FQDN 下。

    2. “通道”字段为“专用访问”。

    3. 操作字段为Tunnel

      全局安全访问 - 高级诊断 - 网络流量的屏幕截图。

  10. 检查应用程序的日志(不在 Microsoft Entra ID 中)。 验证应用程序是否从与专用网络的流出量 IP 匹配的 IP 地址看到登录。

故障排除

确保禁用了 QUIC、IPv6 和加密的 DNS。 可以在 全局安全访问客户端的故障排除指南中找到详细信息。

后续步骤

  • 全局安全访问仪表板提供Microsoft Entra Private 和 Microsoft Entra Internet Access 服务获取的网络流量的可视化效果。
  • Last updated on