Partager via


Comment configurer l’accès rapide pour l’accès sécurisé global

Avec l’accès sécurisé global, vous pouvez définir des noms de domaine complets (FQDN) spécifiques ou des adresses IP de ressources privées à inclure dans le trafic pour Accès privé Microsoft Entra. Les employés de votre organisation peuvent ensuite accéder aux applications et aux sites que vous spécifiez. Cet article décrit comment configurer Accès rapide pour Accès privé Microsoft Entra.

Prérequis

Pour configurer Accès rapide, vous devez disposer des éléments suivants :

Pour gérer des groupes de connecteurs de réseau privé, ce qui est requis pour Accès rapide, vous devez disposer des éléments suivants :

  • Rôle Administrateur d’application dans Microsoft Entra ID
  • Licence Microsoft Entra ID P1 ou P2

Limitations connues

Évitez les segments d’application qui se chevauchent entre Accès rapide et l’accès par application.

Le tunneling du trafic vers des destinations Accès privé par adresse IP est pris en charge uniquement pour les plages IP en dehors du sous-réseau local de l’appareil de l’utilisateur final.

À l’heure actuelle, le trafic Accès privé ne peut être acquis qu’avec le client Global Secure Access. Les réseaux distants ne peuvent pas être affectés au profil d’accès privé de transfert de trafic.

Le client GSA crée des stratégies NRPT pour router les requêtes DNS pour les suffixes DNS privé via le tunnel. Dans certains cas, les stratégies NRPT ne peuvent pas être créées. Vérifiez à l’aide de Get-DNSClientNRPTPolicy. Cela se produit en raison d’un GPO mal formé qui applique les paramètres NRPT. Utilisez ce script pour identifier la stratégie qui cause problème et la supprimer après avoir déplacé les paramètres pertinents vers d’autres stratégies. Modifiez le script ainsi que les variables en fonction de votre environnement. https://github.com/microsoft/GlobalSecureAccess/blob/main/website/content/FindDNSNRPTGPO.ps1

Étapes de haut niveau

La configuration de vos paramètres Accès rapide est un composant majeur de l’utilisation d’Accès privé Microsoft Entra. Quand vous configurez Accès rapide pour la première fois, Accès privé crée une application d’entreprise. Les propriétés de cette nouvelle application sont automatiquement configurées pour fonctionner avec Accès privé.

Pour configurer Accès rapide, vous devez disposer d’un groupe de connecteurs avec au moins un connecteur Proxy d’application Microsoft Entra actif. Le groupe de connecteurs gère le trafic vers cette nouvelle application. Une fois l’accès rapide et un groupe de connecteurs de réseau privé configurés, vous devez accorder l’accès à l’application.

Pour résumer, le processus global est le suivant :

  1. Créez un groupe de connecteurs avec au moins un connecteur de réseau privé actif.
  2. Configurez l’accès rapide.
  3. Affectez des utilisateurs et des groupes à l’application.
  4. Configurez des stratégies d’accès conditionnel.
  5. Activez le profil de transfert de trafic Accès privé.

Créer un groupe de connecteurs de réseau privé

Pour configurer Accès rapide, vous devez disposer d’un groupe de connecteurs avec au moins un connecteur de réseau privé actif.

Si vous n’avez pas encore configuré de groupe de connecteurs, consultez Configurer des connecteurs pour Accès rapide.

Remarque

Si vous avez déjà installé un connecteur, réinstallez-le pour obtenir la dernière version. Lors de la mise à niveau, désinstallez le connecteur existant et supprimez tous les dossiers associés.

La version minimale du connecteur requise pour l’Accès privé est 1.5.3417.0.

Configurer l’accès rapide

La page Accès rapide vous permet d’entrer un nom pour l’application Accès rapide, de sélectionner un groupe de connecteurs et d’ajouter des segments d’application, notamment des noms de domaine complets et des adresses IP. Vous pouvez effectuer les trois étapes en même temps ou ajouter les segments d’application une fois la configuration initiale terminée.

Nom et groupe de connecteurs

  1. Connectez-vous au centre d’administration Microsoft Entra avec les rôles appropriés.
  2. Accédez à Accès global sécurisé>Applications>Accès rapide.
  3. Entrez un nom. Nous vous recommandons d’utiliser le nom Accès rapide.
  4. Sélectionnez un groupe de connecteurs dans le menu déroulant.
  5. Sélectionnez Enregistrer pour créer votre application « Accès rapide » sans noms de domaine complets, adresses IP et suffixes DNS privés.

Ajouter un segment d’application Accès rapide

Vous définissez les noms de domaine complets et les adresses IP à inclure lorsque vous sélectionnez Ajouter un segment d’application Accès rapide. Vous ajoutez ces ressources lorsque vous créez ou mettez à jour l’application Accès rapide.

Vous pouvez ajouter des noms de domaine complets, des adresses IP et des plages d’adresses IP. Dans chaque segment d’application, vous pouvez ajouter plusieurs ports et plages de ports.

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Accès global sécurisé>Applications>Accès rapide.

  3. Sélectionnez Ajouter un segment d’application Accès rapide.

  4. Dans le panneau Créer un segment d’application qui s’ouvre, sélectionnez un Type de destination.

  5. Entrez les détails appropriés pour le type de destination sélectionné. Les champs suivants changent en fonction de ce que vous sélectionnez.

    • Adresse IP :
      • Adresse IPv4 (Internet Protocol version 4), telle que 192.168.2.1, qui identifie un appareil sur le réseau.
      • Indiquez les ports que vous souhaitez inclure.
    • Nom de domaine complet (y compris les noms de domaine complets génériques) :
      • Nom de domaine qui spécifie l’emplacement exact d’un ordinateur ou d’un hôte dans le système DNS (Domain Name System).
      • Indiquez les ports à inclure.
      • NetBIOS n’est pas pris en charge. Par exemple, utilisez contoso.local/app1 au lieu de contoso/app1.
    • Plage d’adresses IP (CIDR) :
      • Le routage CIDR (Classless InterDomain Routing) représente une plage d’adresses IP. Une adresse IP est suivie d’un suffixe indiquant le nombre de bits réseau dans le masque de sous-réseau.
      • Par exemple, 192.168.2.0/24 indique que les 24 premiers bits de l’adresse IP représentent l’adresse réseau, tandis que les 8 bits restants représentent l’adresse d’hôte.
      • Indiquez l’adresse de départ, le masque de réseau et les ports.
    • Plage d’adresses IP (IP à IP) :
      • Plage d’adresses IP allant de l’IP de début (par exemple, 192.168.2.1) jusqu’à l’IP de fin (par exemple, 192.168.2.10).
      • Indiquez le début, la fin et les ports de l’adresse IP.
  6. Entrez les ports et le protocole, puis sélectionnez Appliquer.

    • Séparez plusieurs ports par une virgule.
    • Spécifiez des plages de ports avec un trait d’union.
    • Les espaces entre les valeurs sont supprimés lorsque vous appliquez les modifications.
    • Par exemple : 400-500, 80, 443.

    Capture d’écran du panneau Créer un segment d’application avec plusieurs ports ajoutés.

    Le tableau suivant fournit les ports les plus couramment utilisés et leurs protocoles réseau associés :

    Port Protocole
    22 Secure Shell (SSH)
    80 Hypertext Transfer Protocol (HTTP)
    443 HTTPS (Hypertext Transfer Protocol Secure)
    445 Partage de fichiers SMB (Server Message Block)
    3389 Protocole RDP (Remote Desktop Protocol)
  7. Sélectionnez Enregistrer lorsque vous avez terminé.

Remarque

Vous pouvez ajouter jusqu’à 500 segments d’application à votre application Accès rapide.

Ne chevauchez pas les noms de domaine complets, adresses IP et plages IP entre votre application Accès rapide et les applications Accès privé.

Ajouter des suffixes DNS privés

La prise en charge du DNS privé pour l’Accès privé Microsoft Entra vous permet d’interroger vos propres serveurs DNS internes pour résoudre les adresses IP pour des noms de domaine internes. Prenons un exemple. Supposons que vous disposez d’une plage d’adresses IP interne, de 10.8.0.0 à 10.8.255.255. Vous configurez cette plage dans votre définition d’application Accès rapide. Vous souhaitez que les utilisateurs accèdent à une application web répondant à l’adresse IP 10.8.0.5 lorsqu’ils saisissent https://benefits dans leur navigateur web. Mais vous ne souhaitez pas configurer un nom de domaine complet pour l’application. À l’aide du DNS privé, vous configurez un suffixe DNS correspondant afin que le client de l’Accès global sécurisé sache comment router correctement la requête.

De plus, vous pouvez fournir une expérience d’authentification unique pour les ressources Kerberos en configurant l’authentification Kerberos sur des contrôleurs de domaine à l’aide du DNS privé. Pour en savoir plus sur la création d’une expérience d’authentification unique, consultez Utiliser Kerberos pour l’authentification unique pour vos ressources avec l’Accès privé Microsoft Entra.

Ajoutez un suffixe DNS à utiliser pour le DNS privé.

  1. Sélectionnez l’onglet DNS privé.
  2. Cochez la case pour activer le DNS privé.
  3. Sélectionnez Ajouter un suffixe DNS.
  4. Entrez le suffixe DNS, puis sélectionnez Ajouter.

Affecter des utilisateurs et des groupes

Quand vous configurez Accès rapide, une application d’entreprise est créée en votre nom. Vous devez accorder l’accès à l’application Accès rapide que vous avez créée en attribuant des utilisateurs et/ou des groupes à l’application.

Vous pouvez afficher les propriétés à partir d’Accès rapide ou accéder à Applications d’entreprise et rechercher votre application Accès rapide.

Conseil

Pour rechercher une application sur la page Applications d’entreprise, désactivez tous les filtres afin de ne pas masquer l’application que vous recherchez.

  1. Sélectionnez Modifier les paramètres d’application dans Accès rapide.

    Capture d’écran de la modification des paramètres d’application.

  2. Sélectionnez Utilisateurs et groupes dans le menu latéral.

  3. Ajoutez des utilisateurs et des groupes selon vos besoins.

Remarque

Les utilisateurs doivent être directement attribués à l’application ou au groupe attribué à l’application. Les groupes imbriqués ne sont pas pris en charge.

Vous pouvez appliquer des stratégies d’accès conditionnel à votre application Accès rapide. L’application de stratégies d’accès conditionnel offre davantage d’options pour gérer l’accès aux applications, aux sites et aux services.

La création d’une stratégie d’accès conditionnel est traitée en détail dans Guide pratique pour créer une stratégie d’accès conditionnel pour des applications Accès privé.

Activer Accès privé Microsoft Entra

Une fois votre application Accès rapide configurée, vos ressources privées ajoutées et les utilisateurs attribués à l’application, vous pouvez activer le profil Accès privé à partir de la zone Transfert de trafic d’Accès global sécurisé. Vous pouvez activer le profil avant de configurer Accès rapide, mais sans l’application et le profil configurés, il n’y a aucun trafic à transférer. Pour découvrir comment activer le profil d’accès privé de transfert du trafic, consultez Comment gérer le profil d’accès privé de transfert du trafic.

Étapes suivantes