pass around服务（pass是什么服务）

大家好，我是讯享网，很高兴认识大家。

 </nav><p>在允许访问之前，具有软件即服务（SaaS）或业务线（LOB）应用程序的组织可能会强制实施特定的网络位置。 一种方法是使用Microsoft Entra 专用访问通过专用控制的网络路由特定的 Web 应用程序流量。 此方法允许你强制实施仅组织使用的特定出口 IP。 本文介绍如何配置Microsoft Entra 专用访问以通过专用网络隧道传输特定应用程序流量，以满足应用程序的基于网络的访问控制策略。</p>

讯享网

若要启用专用网络的应用程序强制实施，请使用Microsoft Entra 专用访问配置企业应用程序。可能需要此配置的示例是当应用程序允许使用未绑定到标识提供者的本地凭据进行访问时。

此解决方案获取应用程序流量并从客户端设备路由。它通过Microsoft的安全服务 Edge 路由到具有专用网络连接器的专用网络。从专用网络，流量可以使用 Internet 或任何其他可用的专用连接访问应用程序。应用程序将流量视为源自允许的出口 IP 地址，指示访问来自满足其自己的网络访问控制的专用网络。

以**系结构图演示了一个示例配置。

在示例配置中，应用程序仅允许源自 15.4.23.54 的连接，这是客户的本地网络的出口 IP 地址。当用户尝试访问应用程序时，全局安全访问客户端通过Microsoft的安全服务 Edge 获取和隧道传输流量，其中可能会发生授权控制强制（如条件访问）。使用专用网络连接器将流量隧道传送到本地网络。最后，流量使用 Internet 连接到 Web 应用程序。应用程序看到源自 15.4.23.54 的连接并允许访问。

在开始配置源 IP 定位之前，请确保环境已准备就绪且符合要求。

你有一个 SaaS 应用程序，它强制实施自己的基于网络的访问控制策略。
许可证包括Microsoft Entra Suite 或Microsoft Entra Internet 访问和Microsoft Entra 专用访问。
你已启用 Microsoft Entra 专用访问转发配置文件。
你拥有最新版本的全局安全访问客户端。

满足先决条件时，请执行以下步骤来部署专用网络连接器：

在与目标 Web 应用程序建立出站连接的专用网络中安装专用网络连接器。一个不错的选择是在控制出站出口 IP 的 Azure 虚拟网络中托管连接器。建议安装两个或多个连接器以实现复原和高可用性。
将连接器的公共 IP 地址提供给 SaaS 应用，以便用户能够连接到应用。

不支持在专用网络连接器与目标 Web 应用程序之间放置和使用转发代理。

安装和配置专用网络连接器后，请执行以下步骤来创建企业应用程序：

导航到。
选择 全局安全访问>应用程序 > 企业应用程序。
选择“新建应用程序”。
输入应用程序的名称。
选择 获取和路由流量的连接器组 。
选择“添加应用程序段”。
完成以下字段：
1. 目标类型 -- 选择 完全限定的域名。
2. 完全限定的域名 -- 输入 Web 应用程序的完全限定域名。
3. 端口 -- 如果应用程序使用 HTTP，请输入 80。如果应用程序使用 HTTPS，请输入 443。还可以输入这两个端口。
4. 协议 -- 选择 TCP。
选择“应用”。
选择“保存”。

讯享网
导航回 企业应用程序。选择创建的应用程序。
选择“用户和组”。
选择“添加用户/组”。
选择“用户和组>未选中”。
搜索并选择要分配给此应用程序的用户和组。选择“选择”。
选择“分配”。

为 Web 应用程序配置企业应用程序后，请执行以下步骤来验证它是否正常工作。

在 Windows 全局安全访问客户端中，打开 高级诊断。
选择 “转发配置文件”。
展开 专用访问规则。验证 Web 应用程序的完全限定域名（FQDN）是否在列表中。
选择 “流量”。
选择“ 开始收集”。
在浏览器中，导航到 Web 应用程序。
返回到 高级诊断。
选择“ 停止收集”。
验证以下设置：
1. Web 应用程序显示在目标 FQDN 下。
2. “ 通道 ”字段为 “专用访问”。
3. 操作字段为 Tunnel。
检查应用程序的日志（不在 Microsoft Entra ID 中）。验证应用程序是否从与专用网络的出口 IP 匹配的 IP 地址看到登录。

确保禁用了 QUIC、IPv6 和加密 DNS。可以在全局安全访问客户端的故障排除指南中找到详细信息。

全局安全访问仪表板提供Microsoft Entra Private 和 Microsoft Entra Internet 访问服务获取的网络流量的可视化效果。

pass around服务（pass是什么服务）

相关推荐