Microsoft 365,  Microsoft Azure

Intelligent Local Access in Microsoft Entra Global Secure Access

6. Februar 2026 /

Intelligent Local Access (ILA) adressiert eine grundlegende Herausforderung von Microsoft Entra Global Secure Access: lokalen Netzwerkverkehr auch lokal zu behandeln. Microsoft Entra Global Secure Access leitet Datenverkehr basierend auf konfigurierten Datenverkehrsweiterleitungen über den cloudbasierten Security Service Edge (SSE), auch dann, wenn sich das Ziel im lokalen Netzwerk befindet. Dadurch werden Sicherheitsrichtlinien und Zugriffskontrollen jederzeit konsistent umgesetzt. Lokale Ressourcen wie Dateifreigaben oder Applikationen verlassen dadurch unnötig das lokale Netzwerk, obwohl eine direkte Verbindung möglich wäre. Durch den verlängerten Netzwerkpfad steigen die Latenzen und die Gesamtperformance des Zugriffs sinkt.

Intelligent Local Access (ILA) verändert dieses Verhalten durch die dynamische Ermittlung des Netzwerkpfads. Der Global Secure Access Client erkennt, ob sich das Ziel im lokalen Netzwerk befindet, und leitet den Datenverkehr in diesem Fall direkt weiter, ohne Umweg über den cloudbasierten Security Service Edge (SSE). Der Global Secure Access Client bleibt dabei aktiv, wodurch Microsoft Entra ID weiterhin Identität, Gerätestatus und Richtlinien auswertet. Befindet sich das Ziel ausserhalb des lokalen Netzwerks, erfolgt der Zugriff weiterhin über Microsoft Entra Global Secure Access gemäss den definierten Traffic-Profilen.

Dieser Beitrag zeigt die Umsetzung von Intelligent Local Access in Microsoft Entra Global Secure Access. Die Konfiguration von Privaten Netzwerken wird anhand eines Beispiels für den Zugriff auf einen Remote Desktop Session Host (RDSH) erläutert. Zum Zeitpunkt der Erstellung dieses Artikels stehen Private Netzwerke als Public Preview zur Verfügung. Das gezeigte Vorgehen lässt sich auf weitere lokale Ressourcen übertragen.

Inhaltsverzeichnis verbergen
1 Voraussetzungen und Lizenzierung
1.1 Profil für privaten Zugriff
1.2 Lizenzen
1.3 Rollen
2 Intelligent Local Access aktivieren
2.1 Datenfluss auf dem Client prüfen
3 Fazit

Voraussetzungen und Lizenzierung

Profil für privaten Zugriff

Intelligent Local Access kommt in Szenarien zum Einsatz, in denen Microsoft Entra Private Access verwendet wird. Entsprechend ist ein konfiguriertes privates Zugriffsprofil in Global Secure Access erforderlich, um Ressourcen über Private Netzwerke zu definieren.
Eine vollständige Anleitung zur Einrichtung von Microsoft Entra Private Access ist hier zu finden:
Microsoft Entra Private Access: sicherer Zugriff auf interne Ressourcen und Cloud-Dienste ohne VPN – cloudkaffee.ch

Lizenzen

Für Intelligent Local Access (ILA) ist keine zusätzliche Lizenz erforderlich. Das Feature ist Bestandteil von Microsoft Entra Global Secure Access und wird in Verbindung mit Microsoft Entra Private Access eingesetzt.

Rollen

Um Intelligent Local Access (ILA) zu konfigurieren, ist folgende Rolle nach dem Prinzip der geringsten Berechtigungen geeignet:

RolleBerechtigung
Global Secure Access-AdministratorErstellen und Verwaltung von Global Secure Access

Intelligent Local Access aktivieren

Bevor Intelligent Local Access (ILA) genutzt werden kann, muss Microsoft Entra Global Secure Access erkennen, ob sich das Zugriffsziel im lokalen Netzwerk befindet. Diese Erkennung erfolgt über die DNS-Namensauflösung und die daraus resultierende IP-Adresse. Löst ein für das Private Netzwerk definierter DNS-Server die Zieladresse auf und liegt die IP-Adresse innerhalb der konfigurierten IP-Adressdefinition, erkennt Microsoft Entra Global Secure Access das Ziel als lokal. Der Dienst leitet den Datenverkehr in diesem Fall direkt zum Ziel und umgeht den cloudbasierten Security Service Edge (SSE), während der Global Secure Access Client aktiv bleibt und Microsoft Entra ID weiterhin Identität und Richtlinien auswertet.

Der Intelligent Local Access (ILA) erfordert die Konfiguration von Privaten Netzwerken im Microsoft Entra Admin Center.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Globaler sicherer Zugriff > Verbinden > Private Netzwerke > Privates Netzwerk hinzufügen

Microsoft Entra admin center showing the Private networks configuration for Intelligent Local Access in Global Secure Access.

Das private Netzwerk wie folgt konfigurieren:

  1. Anzeigename des Netzwerks, z.B. int.cloudcoffee.ch
  2. DNS Server, die für die Namensauflösung verwendet werden, z.B. 192.168.125.21
  3. Vollqualifizierter Domänenname, der aufgelöst werden soll, z.B. cclvsrts001.int.cloudcoffee.ch
  4. IP-Adresstyp auswählen, zur Auswahl stehen IP Adresse oder IP Adress Range (CIDR oder IP-to-IP)
  5. Erwarteter Wert aus der IP-Adress Auflösung, z.B. 192.168.125.23
  6. Unternehmensanwendungen auswählen, welche über dieses private Netzwerk erreichbar sind, z.B. CCLVSRTS001-RDP

Konfiguration für das private Netzwerk mit Erstellen (7) abschliessen.

Configuration of a Private network in the Microsoft Entra admin center, defining DNS server, FQDN, and IP address for Intelligent Local Access in Global Secure Access.

Das private Netzwerk steht nun zur Verfügung.

Configured Private network entry in the Microsoft Entra admin center showing DNS server, FQDN, resolved IP address, and target resource for Intelligent Local Access.

Global Secure Access ist nun in der Lage, lokale Ressourcen zu erkennen und den Datenverkehr direkt zum Ziel zu senden und umgeht den Umweg über den Security Service Edge (SSE).

Datenfluss auf dem Client prüfen

Mit der erweiterten Diagnose im Global Secure Access Client lässt sich der Datenfluss nachverfolgen. In diesem Beispiel erfolgt die Auswertung des Datenverkehrs für eine Remotedesktopverbindung zum Server cclvsrts001.int.cloudcoffee.ch.

Global Secure Access Client starten > Troubleshooting > Collect advanced logs

Global Secure Access client troubleshooting view showing policy retrieval and advanced log collection for Intelligent Local Access diagnostics.

Im Register Traffic (1) den Filter (2) wie folgt setzen:

  • Destination FQDN == cclvsrts001.int.cloudcoffee.ch
  • Destination Port == 3389

Die Aufzeichnung des Datenverkehrs mit Start collecting (3) beginnen.

Network traffic analysis in Global Secure Access showing filtered connections to a private resource for validating Intelligent Local Access behavior.

Beim Herstellen der Verbindung zeigt sich, dass der Datenverkehr auf direktem Weg zum Server fliesst.

  1. Channel = Private Access
  2. Connection status = Bypassed
  3. Action = Local
Verified network traffic in Global Secure Access showing a local bypass for a private resource, confirming Intelligent Local Access behavior.

Wenn die gleiche Verbindung nicht über Intelligent Local Access angesprochen werden kann, sieht dies in der Datenverkehrsaufzeichnung folgendermassen aus.

  1. Channel = Private Access
  2. Connection status = Active
  3. Action = Tunnel
Private Access network traffic in Global Secure Access showing tunneled connectivity to a private resource when Intelligent Local Access is not applied.

Fazit

Intelligent Local Access (ILA) erweitert Microsoft Entra Global Secure Access um eine gezielte Optimierung für lokale Zugriffsszenarien. Lokale Ressourcen bleiben lokal erreichbar, ohne auf die konsistente Auswertung von Identität, Gerätestatus und Richtlinien durch Microsoft Entra ID zu verzichten. Unnötige Umwege über den Security Service Edge werden vermieden, Latenzen reduziert und die Benutzererfahrung verbessert.

Neue Inhalte, praxisnah erklärt: Wer nichts verpassen möchte, bleibt über LinkedIn und Bluesky stets informiert.

LinkedIn BlueSky

Kein Marketing, kein Lärm, nur Inhalt.
Ein Kaffee bringt frisches Know-how in die Tasse des nächsten Beitrags.

Buy Me a Coffee
  1. Windows Hello for Business: noch mehr Sicherheit mit mehrstufiger Entsperrung
  2. Sicherer Zugriff auf Microsoft 365 Apps mit Microsoft Entra Global Secure Access
  3. Microsoft Entra Internet Access: Schutz der Benutzer durch leistungsstarke Filterung von Webinhalten
  4. Token-Sicherheit stärken mit Microsoft Entra und Microsoft Intune