专用访问流量转发配置文件通过全局安全访问客户端将流量路由至您的专用网络。 启用此流量转发配置文件,远程工作人员无需 VPN 就可以连接到内部资源。 借助 Microsoft Entra 专用访问的功能,你可以对哪些专用资源通过服务进行隧道传输进行控制,并应用条件访问策略来保护对这些服务的访问。 配置到位后,你可以从一个位置查看和管理所有这些配置。
先决条件
若要为租户启用专用访问转发配置文件,你必须具备:
- Microsoft Entra ID 中的 全局安全访问管理员 角色。
- 用于创建条件访问策略并与之交互 的条件访问管理员 角色。
- 产品需要经过许可。 有关详细信息,请参阅 什么是全局安全访问的许可部分。 如果需要,可以 购买许可证或获取试用许可证。
已知限制
有关已知问题和限制的详细信息,请参阅 全局安全访问的已知限制。
启用专用访问流量转发配置文件
- 以全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 全局安全访问>连接>流量转发。
- 选中“专用访问配置文件”复选框。
专用访问策略
若要启用专用访问流量转发配置文件,建议首先配置快速访问。 快速访问包括要包含在策略中的专用资源的 IP 地址、IP 范围和完全限定的域名 (FQDN)。 有关详细信息,请参阅 “配置快速访问”。
还可以通过创建专用访问应用来配置每个应用对专用资源的访问权限。 与快速访问类似,你可以先创建一个新的企业应用,然后将其分配给专用访问流量转发配置文件。 快速访问包含你始终希望通过服务路由的主要专用资源组。 可以根据需要启用和禁用专用访问应用,不会影响快速访问中包含的 FQDN 和 IP 地址。
若要管理专用访问流量转发策略中包含的详细信息,请选择“专用访问策略”的“查看”链接。
您的快速访问和企业应用程序的 私密访问详细信息将会显示。 选择应用程序的链接即可从 Microsoft Entra ID 的企业应用程序区域查看详细信息。
链接的条件访问策略
私有访问的条件访问策略是在每个应用程序的级别上配置的。 可以从两个位置创建条件访问策略并将其应用到应用程序:
- 转到“全球安全访问(预览版)”>“应用程序”>“企业应用程序”。 选择一个应用程序,然后从侧边菜单中选择“条件访问”。
- 转到 Entra ID>条件访问>策略。 选择“+ 创建新策略”。
有关详细信息,请参阅 将条件访问策略应用于专用访问应用。
用户和组分配
可以将专用访问配置文件的范围限定为特定用户和组。 必须将用户和组分配给专用访问应用和流量转发配置文件。
若要详细了解用户和组分配,请参阅 如何使用流量转发配置文件分配和管理用户和组。
后续步骤
Microsoft Entra Internet Access 入门的下一步是在 最终用户设备上安装和配置全局安全访问客户端。
有关专用访问的详细信息,请参阅以下文章: