Поделиться через

Сценарий развертывания Microsoft Entra — модернизация удаленного доступа к локальным приложениям с помощью MFA для каждого приложения

  • Статья

Сценарии развертывания Microsoft Entra предоставляют подробные рекомендации по объединении и тестировании этих продуктов Microsoft Entra Suite:

В этих руководствах описаны сценарии, показывающие значение Microsoft Entra Suite и способы совместной работы его возможностей.

Сценарий. Модернизация удаленного доступа с быстрым доступом

В этом разделе описано, как настроить продукты Microsoft Entra Suite для сценария, в котором вымышленная организация Contoso обновляет существующее VPN-решение. Новое масштабируемое облачное решение помогает им перейти к архитектуре безопасного доступа (SASE). Для выполнения этой задачи они развертывают Интернет-доступ Microsoft Entra, Частный доступ Microsoft Entra и Защита идентификации Microsoft Entra.

Частный доступ Microsoft Entra предоставляет пользователям (в офисе или удаленном режиме) безопасный доступ к частным корпоративным ресурсам. Частный доступ Microsoft Entra строится на прокси-сервере приложения Microsoft Entra, чтобы расширить доступ к любому частному ресурсу, независимо от порта TCP/IP и протокола.

Удаленные пользователи могут подключаться к частным приложениям в гибридных и многооблачных средах, частных сетях и центрах обработки данных из любого устройства и сети, не требуя VPN-решения. Служба предлагает адаптивный доступ для каждого приложения на основе политик условного доступа для более детальной безопасности, чем традиционное VPN-решение.

Защита идентификации Microsoft Entra облачное управление удостоверениями и доступом (IAM) помогает защитить удостоверения пользователей и учетные данные от компрометации.

Эти высокоуровневые шаги можно реплицировать для решения Contoso, как описано в этом сценарии.

  1. Зарегистрируйтесь в Microsoft Entra Suite. Включите и настройте Microsoft Entra Internet и частный доступ к нужным параметрам сети и безопасности.
  2. Разверните Microsoft Global Secure Access клиент на пользовательских устройствах и Microsoft Entra Private Access соединители на частных сетях. Включите виртуальные сети на основе мультиоблачного интернета как услуга (IaaS) для доступа к приложениям и ресурсам в сетях Contoso.
  3. Настройте частные приложения в качестве приложений Global Secure Access. Назначение соответствующих пользователей и групп. Настройте политики условного доступа для этих приложений и пользователей. С помощью этой установки вы можете обеспечить минимальный доступ, разрешая доступ только пользователям и группам, которым требуется доступ.
  4. Включите Защиту идентификаций Microsoft Entra, чтобы администраторы могли исследовать и устранять риски для обеспечения безопасности организаций. Риски можно интегрировать в такие инструменты, как условный доступ, для принятия решений о доступе, и передавать обратно в средство управления информацией и событиями безопасности (SIEM) для их расследования.
  5. Используйте журналы и расширенную аналитику из Microsoft Entra Интернет-доступ, Microsoft Entra Частный доступ и Microsoft Entra Защита идентификации, чтобы отслеживать и оценивать состояние сети и безопасность. Эта конфигурация помогает команде Центра безопасности (SOC) быстро обнаруживать и проверять угрозы для предотвращения эскалации.

Решения Microsoft Entra Suite предлагают следующие преимущества по сравнению с VPN:

  • Упрощение и консолидированное управление
  • Снижение затрат на VPN
  • Повышение безопасности и видимости
  • Более плавное взаимодействие с пользователем и эффективность
  • Готовность к SASE

Требования к удаленному доступу с быстрым доступом

В этом разделе определяются требования к решению сценария.

Разрешения для удаленного доступа с быстрым доступом

Администраторам, взаимодействующим с функциями глобального безопасного доступа, требуются роли глобального администратора безопасного доступа и администратора приложений.

Для настройки политики условного доступа требуется роль администратора условного доступа или администратора безопасности. Для некоторых функций может потребоваться больше ролей.

Предварительные требования для удаленного доступа с быстрым доступом

Чтобы успешно развернуть и проверить этот сценарий, настройте следующие предварительные требования:

  1. Клиент Microsoft Entra с лицензией Microsoft Entra ID P1. Настройте Microsoft Entra ID для тестирования защиты Microsoft Entra ID. Приобретение лицензий или получение пробных лицензий.
    • Один пользователь с по крайней мере глобальными ролями администратора безопасного доступа и администратора приложений для настройки Microsoft Security Service Edge
    • По крайней мере один тестовый пользователь клиента в вашей учетной записи арендатора
  2. Одно клиентское устройство Windows с этой конфигурацией:
    • 64-разрядная версия Windows 10/11
    • Присоединение к Microsoft Entra или гибридное присоединение
    • Подключение к Интернету и отсутствие доступа к корпоративной сети или VPN
  3. Скачайте и установите клиент глобального безопасного доступа на клиентском устройстве. В статье Глобальный безопасный доступ для Windows описываются предварительные требования и установка клиента.
  4. Чтобы проверить Частный доступ Microsoft Entra, настройте сервер Windows для работы в качестве сервера ресурсов:
    • Windows Server 2012 R2 и более поздние версии
    • Общая папка.
  5. Чтобы проверить Частный доступ Microsoft Entra, настройте сервер Windows для работы в качестве сервера соединителя:
  6. Установите подключение между сервером соединителя и сервером приложений. Подтвердите доступ к тестовому приложению на сервере приложений (например, успешный доступ к общей папке на сервере).

На этой схеме показаны минимальные требования к архитектуре для развертывания и тестирования Microsoft Entra Private Access.

На схеме показаны требования, включающие арендатор Microsoft Entra ID с лицензией P1.

Настройка глобального безопасного доступа для удаленного доступа с быстрым доступом

В этом разделе мы активируем глобальный безопасный доступ через Центр администрирования Microsoft Entra. Затем мы настроим начальные конфигурации, необходимые для этого сценария.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
  2. Перейдите к Global Secure Access>Начать>Активируйте Global Secure Access в вашем клиенте. Выберите "Активировать" , чтобы включить функции SSE.
  3. ** Перейдите к Global Secure Access>Connect>переадресации трафика. Включите профиль закрытого доступа. Перенаправление трафика позволяет настроить типы сетевого трафика для передачи через туннель с использованием решения Microsoft Security Service Edge. Настройте профили пересылки трафика для управления типами трафика.

    • Профиль доступа Microsoft 365 предназначен для Microsoft Entra Internet Access для Microsoft 365.

    • Профиль закрытого доступа предназначен для Microsoft Entra Private Access.

    • Профиль доступа к Интернету предназначен для Microsoft Entra Internet Access. Решение Microsoft Security Service Edge фиксирует трафик только на клиентских устройствах с установкой клиента Global Secure Access.

      Снимок экрана перенаправления трафика с включенным контролем профиля закрытого доступа.

Установка клиента Global Secure Access для удаленного доступа с быстрым доступом

Интернет-доступ Microsoft Entra для Microsoft 365 и частный доступ Microsoft Entra используют клиента глобального безопасного доступа на устройствах Windows. Этот клиент получает и перенаправит сетевой трафик в решение Microsoft Security Service Edge. Выполните следующие действия по установке и настройке:

  1. Убедитесь, что устройство Windows присоединено к Microsoft Entra или присоединено к гибридному подключению.

  2. Войдите на устройство Windows с ролью пользователя Microsoft Entra с правами локального администратора.

  3. Войдите в Центр администрирования Microsoft Entra в качестве как минимум глобального администратора безопасного доступа.

  4. Перейдите к Global Secure Access>Connect>Client Download. Выберите " Скачать клиент". Завершите установку.

    Снимок экрана клиента загрузки с элементом управления Windows Download Client.

  5. На панели задач Окна клиент глобального безопасного доступа сначала отображается как отключенный. Через несколько секунд при появлении запроса на ввод учетных данных введите учетные данные тестового пользователя.

  6. На панели задач "Окно" наведите указатель мыши на значок клиента глобального безопасного доступа и проверьте состояние "Подключенный ".

Настройка сервера соединителя для удаленного доступа с быстрым доступом

Сервер соединителя взаимодействует с решением Microsoft Security Service Edge в качестве шлюза в корпоративной сети. Он использует исходящие подключения через 80 и 443 и не требует входящих портов. Узнайте, как настроить соединители для Microsoft Entra Private Access. Выполните следующие действия по настройке:

  1. На сервере соединителя войдите в центр администрирования Microsoft Entra в качестве как минимум глобального администратора безопасного доступа.

  2. Откройте Global Secure Access>Connect>Connectors. Выберите "Включить соединители частной сети".

    Снимок экрана: соединители частной сети с красным полем, в котором выделен элемент управления

  3. Выберите Служба загрузки соединителя.

  4. Следуйте инструкциям мастера установки, чтобы установить службу на сервере соединителя. При появлении запроса введите учетные данные клиента для завершения установки.

  5. Сервер соединителя устанавливают, когда он появляется в соединителях.

В этом сценарии мы используем группу соединителей по умолчанию с одним сервером соединителя. В рабочей среде создайте группы соединителей с несколькими серверами соединителей. Ознакомьтесь с подробными рекомендациями по публикации приложений в отдельных сетях, используя группы соединителей.

Создание группы безопасности для удаленного доступа с быстрым доступом

В этом сценарии мы используем группу безопасности для назначения разрешений приложению приватного доступа и целевым политикам условного доступа.

  1. В Центре администрирования Microsoft Entra создайте новую облачную группу безопасности.
  2. Добавьте тестового пользователя в качестве члена.

Определение частного ресурса для удаленного доступа с быстрым доступом

В этом сценарии мы используем службы общей папки в качестве примера ресурса. Вы можете использовать любое частное приложение или ресурс. Необходимо знать, какие порты и протоколы приложение использует, чтобы опубликовать его с использованием Microsoft Entra Private Access.

Определите сервер с общей папкой для публикации и запишите его IP-адрес. Службы общей папки используют порт 445/TCP.

Публикация приложения для удаленного доступа с быстрым доступом

Microsoft Entra Private Access поддерживает приложения на основе протокола передачи данных (TCP), использующие любой порт. Чтобы подключиться к файлового сервера (TCP-порт 445) через Интернет, выполните следующие действия:

  1. На сервере соединителя убедитесь, что на файловом сервере можно получить доступ к общей папке.

  2. Войдите в Центр администрирования Microsoft Entra в качестве как минимум глобального администратора безопасного доступа

  3. Перейдите к Global Secure Access>Приложения>Корпоративные приложения>+ Новое приложение.

    Снимок экрана: корпоративные приложения с новым элементом управления приложениями.

  4. Введите имя (например, FileServer1). Выберите группу соединителей по умолчанию. Выберите +Добавить сегмент приложения. Введите IP-адрес сервера приложений и порт 441.

    Снимок экрана: создание приложения глобального безопасного доступа, создание сегмента приложения.

  5. Выберите Применить>Сохранить. Убедитесь, что приложение находится в корпоративных приложениях.

  6. Перейдите к Identity>Applications>Enterprise applications. Выберите новое приложение.

  7. Выберите Пользователи и группы Добавьте группу безопасности, созданную ранее с тестовыми пользователями, которые обращаются к этой общей папке из Интернета.

Безопасное опубликованное приложение для удаленного доступа с быстрым доступом

В этом разделе мы создадим политику условного доступа, которая блокирует доступ к новому приложению при повышении риска пользователя.

  1. Войдите в Центр администрирования Microsoft Entra на правах администратора условного доступа.
  2. Перейдите к Защита>Условный доступ>Политики.
  3. Выберите Новая политика.
  4. Введите имя и выберите пользователей. Выберите пользователей и группы. Выберите созданную ранее группу безопасности.
  5. Выберите целевые ресурсы>приложения и созданное вами ранее приложение (например, FileServer1).
  6. Выберите Условия>Риск пользователя>Настроить>Да. Выберите уровни высокого и среднего риска. Нажмите кнопку Готово.
  7. Выберите "Предоставить">"Блокировать""доступ">Выберите.
  8. Переключение на включение политики.
  9. Проверьте настройки.
  10. Нажмите кнопку создания.

Проверьте доступ к удаленным услугам с использованием быстрого доступа

В этом разделе мы проверяем, что пользователь может получить доступ к файловым серверу, пока не существует риска. Убедитесь, что доступ блокируется при обнаружении риска.

  1. Войдите на устройство, на котором ранее был установлен клиент Global Secure Access.

  2. Попробуйте получить доступ к файловом серверу, выполнив \\\IP_address , и убедитесь, что вы можете просмотреть общую папку.

    Снимок экрана: проводник Windows, показывающий подключение к общей папке.

  3. При желании имитируйте риск пользователей, выполнив инструкции по имитации обнаружения рисков в Microsoft Entra ID Protection. Возможно, потребуется несколько раз попытаться повысить риск пользователей до среднего или высокого уровня.

  4. Попробуйте получить доступ к файловом серверу, чтобы убедиться, что доступ заблокирован. Возможно, потребуется подождать до одного часа для принудительного применения блокировки.

  5. Убедитесь, что политика условного доступа (созданная ранее с помощью журналов входа) блокирует доступ. Откройте журналы неинтерактивного входа из клиента ZTNA Network Access — частное приложение. Просмотр журналов из приложения Private Access, созданного ранее в качестве ресурса Имя ресурса.

Сценарий: модернизация удаленного доступа для каждого приложения

В этом разделе описано, как настроить продукты Microsoft Entra Suite для сценария, в котором вымышленная организация Contoso преобразует свою практику кибербезопасности. Они принимают принципы нулевого доверия, которые предусматривают явную проверку, использование минимально необходимых привилегий и предвидение нарушений безопасности для всех приложений и ресурсов. В процессе обнаружения они определили несколько бизнес-приложений, которые не используют современную проверку подлинности и полагаются на подключение к корпоративной сети (из филиалов или удаленно с VPN).

Эти высокоуровневые шаги можно реплицировать для решения Contoso, как описано в этом сценарии.

  1. Чтобы явно проверить, настройте Microsoft Entra ID Private Access для доступа к корпоративной сети на основе каждого приложения. Используйте унифицированный набор элементов управления доступом, предоставляемый Условным доступом и Защитой идентификации Microsoft Entra, чтобы предоставить доступ к корпоративной сети на основе удостоверений, конечной точки и сигнала риска, которые они используют с Microsoft 365 и другими облачными приложениями.
  2. Чтобы обеспечить наименьшие привилегии, используйте Управление идентификацией Microsoft Entra для создания пакетов доступа для включения доступа к сети для каждого приложения вместе с приложениями, которым это требуется. Этот подход предоставляет сотрудникам доступ к корпоративной сети в соответствии с их функциональными обязанностями на протяжении всего жизненного цикла: от приема на работу до перемещения или увольнения.

В рамках этого преобразования команды SecOps обеспечивают более широкий и более сплоченный анализ безопасности для более эффективной идентификации угроз безопасности. Это преимущества совместного использования решений:

  • Улучшенная безопасность и видимость. Применяйте детализированные и адаптивные политики доступа на основе удостоверений и контекста пользователей и устройств, а также конфиденциальности и расположения приложений и данных. Используйте обогащенные журналы и аналитику для получения сведений о состоянии сети и безопасности, чтобы быстрее обнаруживать угрозы и реагировать на них.
  • Минимальный привилегированный доступ к локальным приложениям. Уменьшите доступ к корпоративной сети только тем, что требуется приложениям. Назначение и управление доступом в соответствии с должностными обязанностями изменяются в ходе цикла приема, перемещения и увольнения сотрудников. Такой подход снижает риск векторов атак бокового движения.
  • Повысить производительность. Согласованно обеспечить доступ к приложениям и сетям, когда пользователи присоединяются к организации, чтобы они были готовы приступить к работе в первый день. У пользователей есть правильный доступ к информации, членству в группах и приложениям, которые им нужны. Возможности самообслуживания для модераторов в организации обеспечивают аннулирование доступа, когда пользователи покидают организацию.

Требования к удаленному доступу для каждого приложения

В этом разделе определяются требования к решению сценария.

Разрешения для удаленного доступа для каждого приложения

Администраторам, взаимодействующим с функциями глобального безопасного доступа, требуются роли глобального администратора безопасного доступа и администратора приложений.

Для настройки управления удостоверениями требуется по крайней мере роль администратора управления удостоверениями.

Лицензии на удаленный доступ для каждого приложения

Для реализации всех шагов в этом сценарии требуются лицензии Глобального Безопасного Доступа и Microsoft Entra ID Governance. Вы можете приобрести лицензии или получить пробные лицензии. Дополнительные сведения о лицензировании Global Secure Access см. в разделе "Что такое глобальный безопасный доступ?".

Пользователи для удаленного доступа для каждого приложения

Чтобы настроить и проверить действия в этом сценарии, вам потребуются следующие пользователи:

  • Администратор Microsoft Entra с ролями, определенными в разделе Права доступа
  • Локальный администратор Active Directory для настройки облачной синхронизации и доступа к примеру ресурса (файлового сервера)
  • Синхронизированный обычный пользователь для выполнения тестирования на клиентском устройстве

Предварительные требования для частного доступа

Чтобы успешно развернуть и проверить этот сценарий, настройте эти предварительные требования.

  1. Одно клиентское устройство Windows с этой конфигурацией:
    • 64-разрядная версия Windows 10/11
    • Подключение к Microsoft Entra или гибридное подключение
    • Подключение к Интернету и отсутствие доступа к корпоративной сети или VPN
  2. Скачайте и установите клиент глобального безопасного доступа на клиентском устройстве. В статье Global Secure Access Client для Windows описываются предварительные требования и установка.
  3. Чтобы проверить Частный доступ Microsoft Entra, настройте сервер Windows для работы в качестве сервера ресурсов:
    • Windows Server 2012 R2 и более поздние версии
    • Общий файловый ресурс.
  4. Чтобы проверить Частный доступ Microsoft Entra, настройте сервер Windows для работы в качестве сервера соединителя:
  5. Установите подключение между сервером соединителя и сервером приложений. Убедитесь, что вы можете получить доступ к тестовом приложению на сервере приложений (например, успешном доступе к общей папке).

На этой схеме показаны минимальные требования к архитектуре для развертывания и тестирования Microsoft Entra Private Access.

На схеме показаны требования, включающие арендатора Microsoft Entra ID с лицензией P1.

Определение частного ресурса для удаленного доступа для каждого приложения

В этом сценарии мы используем службы общего доступа к файлам в качестве примера ресурса. Вы можете использовать любое частное приложение или ресурс. Вам необходимо знать, какие порты и протоколы использует приложение для публикации с помощью Microsoft Entra Private Access.

Определите сервер с общей папкой, которую вы хотите опубликовать и запишите его IP-адрес. Службы общей папки используют порт 445/TCP.

Настройка глобального безопасного доступа для удаленного доступа для каждого приложения

Активируйте глобальный безопасный доступ через Центр администрирования Microsoft Entra и сделайте необходимые начальные конфигурации для этого сценария.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
  2. Перейдите к Global Secure Access>Начало работы>, активируйте Global Secure Access в вашем клиенте. Выберите "Активировать" , чтобы включить функции SSE в клиенте.
  3. Перейдите к Глобальному безопасному доступу>Подключение>Переадресация трафика. Включите профиль закрытого доступа. Перенаправление трафика позволяет настроить тип сетевого трафика для прохождения через решения по обеспечению безопасности периферийных сетей от Microsoft. Настройте профили пересылки трафика для управления типами трафика.

    • Профиль доступа Microsoft 365 используется для интернет-доступа Microsoft Entra к Microsoft 365.

    • Профиль приватного доступа предназначен для Microsoft Entra Private Access.

    • Профиль доступа в Интернет предназначен для Microsoft Entra Internet Access. Решение Microsoft Security Service Edge фиксирует трафик только на клиентских устройствах с установкой клиента Global Secure Access.

      Снимок экрана: пересылка трафика с включенным управлением профилем закрытого доступа.

Установка клиента Global Secure Access для удаленного доступа для каждого приложения

Интернет-доступ Microsoft Entra для Microsoft 365 и Частный доступ Microsoft Entra используют клиента глобального безопасного доступа на устройствах Windows. Этот клиент получает и перенаправит сетевой трафик в решение Microsoft Security Service Edge. Выполните следующие действия по установке и настройке:

  1. Убедитесь, что устройство Windows присоединено к Microsoft Entra ID или является гибридно присоединённым.

  2. Войдите на устройство Windows с помощью роли пользователя Идентификатора Microsoft Entra с правами локального администратора.

  3. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Администратора безопасного глобального доступа

  4. Перейдите к Global Secure Access>Connect>Загрузка клиента. Выберите " Скачать клиент". Завершите установку.

    Снимок экрана с элементом управления загрузки клиента Windows Download Client.

  5. На панели задач Окна клиент глобального безопасного доступа сначала отображается как отключенный. Через несколько секунд при появлении запроса на ввод учетных данных введите учетные данные тестового пользователя.

  6. На панели задач "Окно" наведите указатель мыши на значок клиента глобального безопасного доступа и проверьте состояние "Подключенный ".

Настройка сервера соединителя для удаленного доступа для каждого приложения

Сервер соединителя взаимодействует с решением Microsoft Security Service Edge в качестве шлюза в корпоративной сети. Он использует исходящие подключения через 80 и 443 и не требует входящих портов. Узнайте, как настроить соединители для Microsoft Entra Частный доступ. Выполните следующие действия по настройке:

  1. На сервере соединителя войдите в Центр администрирования Microsoft Entra как минимум в качестве глобального администратора безопасного доступа.

  2. Перейдите к Global Secure Access>Connect>Connectors. Выберите "Включить соединители частной сети".

    Снимок экрана: соединители частной сети с красным полем, в котором выделен элемент управления

  3. Выберите Загрузить службу соединителя.

  4. Следуйте инструкциям мастера установки, чтобы установить службу соединителя на сервере соединителя. При появлении запроса введите учетные данные клиента для завершения установки.

  5. Сервер соединителя устанавливается, когда он отображается в соединителях.

В этом сценарии мы используем группу соединителей по умолчанию с одним сервером соединителя. В рабочей среде создайте группы соединителей с несколькими серверами соединителей. См. подробные рекомендации по публикации приложений в отдельных сетях с использованием групп соединителей.

Создание группы безопасности приложений приватного доступа

В этом сценарии мы используем группу безопасности для назначения разрешений приложению приватного доступа и целевым политикам условного доступа.

  1. В Центре администрирования Microsoft Entra создайте новую облачную группу безопасности.
  2. Добавьте тестового пользователя в качестве члена.

Публикация приложения для удаленного доступа для каждого приложения

Частный доступ Microsoft Entra поддерживает приложения протокола TCP, использующие любой порт. Чтобы подключиться к файлового сервера (TCP-порт 445) через Интернет, выполните следующие действия:

  1. На сервере соединителя убедитесь, что на файловом сервере можно получить доступ к общей папке.

  2. Войдите в Центр администрирования Microsoft Entra в качестве как минимум глобального администратора безопасности доступа.

  3. Перейдите к Global Secure Access>Приложения>Корпоративные приложения>+ Новое приложение.

    Снимок экрана: корпоративные приложения с новым элементом управления приложениями.

  4. Введите имя (например, FileServer1). Выберите группу соединителей по умолчанию. Нажмите кнопку +Добавить сегмент приложения. Введите IP-адрес сервера приложений и порт 441.

    Снимок экрана: создание приложения глобального безопасного доступа, создание сегмента приложения.

  5. Нажмите «Применить»> и «Сохранить». Убедитесь, что приложение находится в корпоративных приложениях.

  6. Перейдите к Identity>Applications>Enterprise applications. Выберите новое приложение.

  7. Выберите Пользователи и группы Добавьте группу безопасности, созданную ранее с тестовыми пользователями, которые обращаются к этой общей папке из Интернета.

Настройка управления доступом для удаленного доступа для каждого приложения

В этом разделе описаны действия по настройке этого решения.

Создание каталога управления правами

Выполните следующие действия, чтобы создать каталог управления правами:

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор управления удостоверениями.

  2. Перейдите к Управлению удостоверениями>Управлению правами>Каталоги.

  3. Выберите + Создать каталог.

    Снимок экрана: обзор нового доступа, корпоративные приложения, все приложения, управление удостоверениями, новый каталог.

  4. Введите уникальное имя каталога и описание. Запрашиватели видят эти сведения в сведениях пакета доступа.

  5. Чтобы создать пакеты доступа в этом каталоге для внутренних пользователей, выберите "Включено" для внешних пользователей>Нет.

    Снимок экрана нового каталога с выбранным значением

  6. В каталоге откройте каталог, в который требуется добавить ресурсы. Выберите Ресурсы>+Добавить ресурсы.

    Снимок экрана: каталог приложений, список ресурсов с элементом управления

  7. Выберите "Тип", а затем группы и группы, приложения или сайты SharePoint.

  8. Выберите и добавьте приложение (например FileServer1) и группу безопасности (например Файловое хранилище финансов группы Финансовая команда), которые вы создали ранее. Выберите Добавить.

Предоставление групп в Active Directory

Рекомендуется использование групповой подготовки в Active Directory с помощью Microsoft Entra Cloud Sync. Если вы используете Connect Sync, переключите конфигурацию на Cloud Sync. Статьи Предварительные требования для Microsoft Entra Cloud Sync в Microsoft Entra ID и Как установить агент подготовки Microsoft Entra содержат подробные инструкции. Функция Group Writeback v2 в Microsoft Entra Connect Sync больше не будет доступна после 30 июня 2024 г.

Выполните следующие действия, чтобы настроить синхронизацию Microsoft Entra Cloud:

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве гибридного администратора удостоверений.

  2. Перейдите к Идентификация>Гибридное управление>Microsoft Entra Connect>Синхронизация с облаком.

  3. Выберите Новая конфигурация.

  4. Выберите синхронизацию Microsoft Entra ID с AD.

    Снимок экрана: новая конфигурация, идентификатор Microsoft Entra в AD Sync.

  5. В конфигурациях выберите свой домен. При необходимости выберите включить синхронизацию хэша паролей.

  6. Нажмите кнопку создания.

    Снимок экрана: Microsoft Entra Connect, Cloud Sync, Конфигурации, Новая конфигурация облачной синхронизации.

  7. Для начальной настройки выберите Добавить фильтры области (рядом со значком Добавить фильтры области) или Фильтры области (в разделе Управление).

  8. Выберите выбранные группы безопасности в параметре Select group(s) (Выбор групп). Выберите "Изменить объекты". Добавьте созданную ранее группу безопасности Microsoft Entra ID (например, Файлообменник команды финансов). Эта группа используется для управления доступом к локальным приложениям с помощью рабочих процессов жизненного цикла и пакетов доступа в последующих шагах.

    Снимок экрана: область групп с финансами в текстовом поле

Назначение доступа к локальному файловом серверу

  1. Создайте общую папку на выбранном файловом сервере.
  2. Назначьте разрешения на чтение группе безопасности Microsoft Entra ID (например, Finance Team File Share), которую вы подготовили в Active Directory.

Создание пакета доступа для удаленного доступа для каждого приложения

Выполните следующие действия, чтобы создать пакет доступа в службе управления правами:

  1. Войдите в административный центр Microsoft Entra как минимум в роли администратора управления удостоверением.

  2. Перейдите к Управление удостоверениями>Управление правами>Пакет доступа.

  3. Выберите Новый пакет для доступа.

  4. Для основных сведений укажите имя пакета доступа (например , пакет доступа к финансовым приложениям). Укажите созданный ранее каталог.

  5. Для ролей ресурсов выберите ресурсы, которые вы ранее добавили (например, приложение FileServer1 и группа безопасности для общей папки финансовой команды).

  6. В Роли выберите Член для Файлового ресурса команды Финансов и Пользователь для приложения FileServer1.

    Снимок экрана: список ресурсов. Красное поле подчеркивает столбец роли.

  7. Для запросов выберите Для пользователей в вашем каталоге. Кроме того, включите пакет доступа для гостевых пользователей (обсуждаться в отдельном сценарии).

  8. Если выбран вариант Конкретные пользователи и группы, щелкните Добавить пользователей и группы.

  9. Не выбирайте пользователя в списке "Выбор пользователей и групп". Мы протестируем пользователя, запрашивающего доступ позже.

  10. Необязательно. В разделе "Утверждение" укажите, требуется ли утверждение при запросе этого пакета доступа пользователями.

  11. Необязательно. В сведениях о запросе выберите "Вопросы". Введите вопрос, который вы хотите задать запрашивателю. Этот вопрос называется отображаемой строкой. Чтобы добавить параметры локализации, выберите "Добавить локализацию".

  12. Для жизненного цикла укажите, когда срок действия назначения пользователя пакету доступа истекает. Укажите, могут ли пользователи расширить свои назначения. Для срока действия задайте срок действия назначений пакетов Access на дату, количество дней, количество часов или никогда.

  13. Нажмите кнопку создания.

    Снимок экрана нового пакета доступа, обзор создания, с красным полем, выделяющим элемент управления

Создание рабочих процессов жизненного цикла

В этом разделе описано, как создавать рабочие процессы для новых сотрудников и увольняемых и запускать рабочие процессы по требованию.

Создание рабочего процесса соединения

Чтобы создать рабочий процесс соединения, выполните следующие действия.

  1. Войдите в Административный центр Microsoft Entra как минимум в роли Администратора по рабочим процессам жизненного цикла.

  2. Перейдите к управлению удостоверениями>рабочим процессам жизненного цикла>создать рабочий процесс.

  3. Чтобы выбрать рабочий процесс, выберите "Подключить нового сотрудника".

    Снимок экрана: управление идентификацией, процессы жизненного цикла, создание и выбор рабочего процесса.

  4. Для основ введите "Завести нового сотрудника — Финансы" для отображаемого имени рабочего процесса и описания. Выберите Далее.

  5. Для настройки области>Правила введите значения для Свойства, Оператора и Значения. Измените выражение области для пользователей, где свойство> имеет значениеФинансы. Убедитесь, что тестовый пользователь заполняет свойство значением Finance, чтобы оно было в области рабочего процесса.

    Скриншот представления правила, где красным прямоугольником выделен элемент управления

  6. В разделе "Рецензирование" выберите "Добавить задачу", чтобы добавить задачу в шаблон. В этом сценарии мы добавим назначение пакета запросов доступа пользователей.

  7. В области "Основы" выберите "Запросить назначение пакета доступа пользователей". Назначьте имя для этой задачи (например, Назначение пакета доступа к финансам). Выберите политику.

  8. В разделе "Настройка" выберите созданный ранее пакет доступа.

  9. Необязательно. Добавьте другие задачи соединения следующим образом. Для некоторых из этих задач убедитесь, что важные атрибуты, такие как диспетчер и электронная почта , правильно сопоставляются с пользователями, как описано в описании автоматизации задач подключения сотрудников до первого дня работы с помощью API рабочих процессов жизненного цикла.

    • Активация учетной записи пользователя
    • Добавление пользователя в группы или команды
    • Отправка приветственного сообщения по электронной почте
    • Создать TAP и отправить сообщение по электронной почте

  10. Выберите "Включить расписание".

    Снимок экрана: создание нового элемента в категории Joiner с красным полем, в котором выделен раздел

  11. Выберите Просмотреть и создать.

Создание рабочего процесса выхода

Чтобы создать рабочий процесс увольнения, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора рабочих процессов управления жизненным циклом.

  2. Перейдите к управлению удостоверениями>рабочим процессам жизненного цикла>создать рабочий процесс.

  3. На вкладке "Выбор рабочего процесса" выберите "Отключить" сотрудника.

    Снимок экрана выбора рабочего процесса с красным полем, выделяющим карточку

  4. В разделе Основы введите Увольнение сотрудника – Финансы в качестве отображаемого имени и описания для данного рабочего процесса. Выберите Далее.

  5. На странице Настроить область>Правило введите значения для Свойства, Оператора и Значения. Измените выражение охвата так, чтобы затрагивались только пользователи, у которых свойство>отдел имеет значениеФинансы. Убедитесь, что ваш тестовый пользователь заполняет Свойство строкой Finance, чтобы она находилась в области рабочего процесса.

    Снимок экрана панели правил с красным прямоугольником, выделяющим элемент управления «Значение».

  6. В разделе "Рецензирование" выберите "Добавить задачу", чтобы добавить задачу в шаблон. В этом сценарии мы добавляем запрос на назначение пакета доступа для пользователя.

  7. Необязательно: добавьте, например, другие задачи для уходящих.

    • Блокировка учетной записи пользователя
    • Удаление пользователя из всех групп.
    • Удалить пользователя из всех команд Teams.

  8. Включите Расписание.

    Снимок экрана создания рецензии для нового элемента в категории

  9. Выберите Review + Create.

Примечание.

Рабочие процессы жизненного цикла выполняются автоматически на основе определенных триггеров, которые объединяют временные атрибуты и значение смещения. Например, если атрибут employeeHireDate и значение offsetInDays равно -1, то рабочий процесс должен активироваться за день до даты найма сотрудника. Значение может варьироваться от –180 до 180 дней. Значения employeeHireDate и employeeLeaveDateTime должны быть заданы в идентификаторе Microsoft Entra для пользователей. Синхронизация атрибутов для рабочих процессов жизненного цикла предоставляет дополнительные сведения об атрибутах и процессах .

Выполнение рабочего процесса соединения по запросу

Чтобы протестировать этот сценарий, не ожидая автоматического расписания, выполните рабочие процессы жизненного цикла по запросу.

  1. Инициируйте ранее созданный рабочий процесс соединения.

  2. Войдите в Центр администрирования Microsoft Entra как минимум Администратор рабочих процессов жизненного цикла.

  3. Перейдите к управлению удостоверениями>рабочим процессам жизненного цикла>рабочим процессам.

  4. В рабочем процессе выберите созданный ранее процесс "Принять на работу нового сотрудника — финансы".

  5. Выберите "Выполнить по запросу".

  6. На вкладке "Выбор пользователей" выберите "Добавить пользователей".

  7. При добавлении пользователей выберите пользователей, для которых требуется запустить рабочий процесс по запросу.

  8. Выберите Добавить.

  9. Подтвердите выбор. Выберите Запуск рабочего процесса.

  10. Выберите журнал рабочих процессов, чтобы проверить состояние задачи.

    Снимок экрана: журнал рабочего процесса, сводка пользователей с состоянием задачи.

  11. После завершения всех задач убедитесь, что у пользователя есть доступ к приложениям, выбранным в пакете доступа. На этом шаге завершается процесс подключения, позволяющий пользователю получить доступ к необходимым приложениям с первого дня.

Проверка доступа к удаленному доступу для каждого приложения

В этом разделе мы имитируем нового члена группы финансов, присоединяющегося к организации. Мы автоматически назначаем пользователю доступ к общей папке финансовой команды и удаленный доступ к файловому серверу с Microsoft Entra Private Access.

В этом разделе описываются параметры проверки доступа к назначенным ресурсам.

Проверка назначения пакета доступа

Чтобы проверить состояние назначения пакета доступа, выполните следующие действия.

  1. Войдите в myaccess.microsoft.com, как пользователь.

  2. Выберите пакеты доступа, Активные, чтобы увидеть пакет доступа (например, пакет доступа к финансам), который вы ранее запросили.

    Снимок экрана:

Проверка доступа к приложению

Чтобы проверить доступ к приложению, выполните следующие действия.

  1. Войдите в myaccess.microsoft.com как пользователь.

  2. В списке приложений найдите и получите доступ к созданному ранее приложению (например , финансовому приложению).

    Снимок экрана: Мои приложения, финансовые приложения.

Проверка членства в группе

Чтобы проверить членство в группе, выполните следующие действия.

  1. Войдите в myaccess.microsoft.com как пользователь.

  2. Выберите группы, в которые я вхожу. Проверьте членство в созданной ранее группе (например , финансовая учетная запись).

    Скриншот раздела

Проверка членства в Teams

Чтобы проверить членство в Teams, выполните следующие действия.

  1. Войдите в Teams от имени пользователя.

  2. Проверьте членство в созданной ранее команде (например , финансовая учетная запись).

    Снимок экрана Teams, показывающий

Проверка удаленного доступа

Чтобы проверить доступ пользователей к файловом серверу, выполните следующие действия.

  1. Войдите на устройство, на котором установлен клиент Global Secure Access.

  2. Запустите \\\IP_address и проверьте доступ к общей папке.

    Снимок экрана: проводник Windows, показывающий подключение к общей папке.

Выполнение процесса увольнения по запросу

  1. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор рабочих процессов жизненного цикла.

  2. Перейдите к управлению удостоверениями>рабочие процессы жизненного цикла>Рабочие процессы.

  3. В рабочих процессах выберите рабочий процесс «Увольнение сотрудника — Финансы», созданный на этапе увольнения.

  4. Выберите "Выполнить по запросу".

  5. На вкладке "Выбор пользователей" выберите "Добавить пользователей".

  6. При добавлении пользователей выберите пользователей, для которых требуется запустить рабочий процесс по запросу.

  7. Выберите Добавить.

  8. Подтвердите выбранные параметры и выберите Запустить рабочий процесс.

  9. Выберите журнал рабочих процессов, чтобы проверить состояние задачи.

    Снимок экрана: отключение сотрудника, действия с красным полем, в котором выделен элемент управления журналом рабочих процессов, в котором отображается сводка

  10. После завершения всех задач убедитесь, что пользователь удаляется из всех приложений, выбранных в пакете доступа.

Проверка удаления доступа

После выполнения рабочего процесса увольнения подтвердите отключение доступа пользователей к финансовым приложениям, финансовой команде, сайтам SharePoint и общим папкам, повторив действия, описанные в разделах "Проверка доступа к приложению" и "Проверка удаленного доступа". Этот шаг обеспечивает тщательную проверку того, что пользователь не может получить доступ к этим ресурсам.

Связанный контент