Microsoft Entra Private Access: sicherer Zugriff auf interne Ressourcen und Cloud-Dienste ohne VPN

Mit Microsoft Entra Private Access erhält der Anwender von überall auf der Welt sicheren Zugang ins interne Netzwerk und zu cloudbasierten Diensten. Einrichtung und Unterhalt von (komplexen) VPN Verbindungen gehören damit der Vergangenheit an. Microsoft Entra Private Access ist Teil von Microsoft Global Secure Access, die eine Reihe von Produkten für die Identitäts- und Netzwerkzugriffssicherheit umfasst. Der Dienst basiert auf dem SASE-Framework (Secure Access Service Edge), das WAN-Funktionen und Zero-Trust-Network-Access (ZTNA) in einer cloudbasierten Plattform kombiniert.

Dieser Blog Artikel zeigt die Konfigurationschritte für Microsoft Entra Private Access für die Verwendung von lokalen Ressourcen wie Remote Desktop Services (RDS) oder SMB-Dateifreigaben.

Microsoft Entra Private Access ist zum Zeitpunkt des Erstellens dieses Beitrages in der Preview Phase. Dieser Artikel wird kontinuierlich aktualisiert.

Voraussetzungen und Lizenzierung

Lizenzen

Während der Preview Phase ist eine Microsoft Entra ID P1 Lizenz vorausgesetzt. Zum Zeitpunkt des Erstellens dieses Beitrages ist noch nicht bekannt, welche Lizenzen, Pläne oder AddOns nach globaler Verfügbarkeit von Microsoft Entra Private Access notwendig sind.

Rollen

Das Einrichten und Verwalten von Microsoft Entra Private Access setzt die Rolle Global Secure Access Administrator voraus.

Das Registrieren des Application Proxy Connectors setzt die Rolle Application Administrator voraus.

Geräte

Folgende Voraussetzungen gelten für die Geräte:

• Betriebssystem Windows 10, Windows 11 oder Android
  Frühzeitiger Zugang für iOS und MacOS als Private Preview verfügbar.
• Windows Geräte müssen Microsoft Entra joined oder Microsoft Entra hybrid joined sein. Microsoft Entra registered wird nicht unterstützt.
  

Onboard Microsoft Entra Private Access

Aktivierung Microsoft Entra Private Access

In den Datenverkehrsweiterleitungen wird Microsoft Entra Private Access aktiviert, dafür am Microsoft Entra Admin Center (https://entra.microsoft.com) anmelden.

Private access profile unter Global Secure Access > Connect > Traffic forwarding aktivieren

Installation Application Proxy Connector

Microsoft Entra Private Access benötigt ein Application Proxy Connector auf einem lokalen Windows Server und stellt damit die Verbindung aus dem internen Netzwerk zu Microsoft Entra sicher.
Der Application Proxy Connector unter Global Secure Access > Connect > Connectors > Download connector service > Accept terms & Download herunterladen.

Die heruntergeladene Datei AADApplicationProxyConnectorInstaller.exe auf den Windows Server 2016 oder höher kopieren. Der Application Proxy Connector muss auf einem Server installiert werden, der Zugriff auf alle internen Anwendungen hat, die veröffentlicht werden sollen.

Installation mit Install starten

Die Installation wird durchgeführt.

Für die Registrierung des Application Proxy Connectors muss mit einem Konto angemeldet werden, welches die Rolle Application Administrator zugewiesen hat.

Der Application Connector Proxy ist fertig installiert.

Die sichere Verbindung zwischen dem internen Netzwerk und Microsoft Azure ist nun eingerichtet und wird mit Status Active angezeigt.

Konfiguration Quick Access

Quick Access ermöglicht einen sicheren Zugriff auf interne Ressourcen.
Dieser Blogpost beleuchtet die Konfiguration für den Zugriff auf Remote Desktop Services (RDS) und SMB-Dateifreigaben in eine lokalen Active Directory Domäne.

Anwendungseinstellungen

Für Quick Access wird eine Enterprise Application erstellt.
Diese wird in zwei Schritten konfiguriert.

1. Name der Anwendung eingeben, z.B. int.cloudcoffee.ch
2. Connectorgruppe auswählen, in die der Application Connector Proxy Zugriff auf die Ressourcen erhält
3. Save klicken
4. Enterprise Application mit Edit application settings aufrufen

Die Anwendungseinstellungen werden über die bekannten Einstellungsmöglichkeiten einer Enterprise Application vorgenommen.
Speziell zu erwähnen sind hier folgende Konfigurationseinstellungen:

1. Users and groups
   Benutzer und Gruppen festlegen, die Zugriff auf diese Enterprise Application erhalten
2. Conditional Access
   Quick Access unterstützt als Enterprise Application den bedingten Microsoft Entra Zugriff
   

Remote Desktop Services (RDS)

Der Zugriff auf Remote Desktop Services (RDS), z.B. auf Remote Desktop Session Collections, benötigt eine funktionierende FQDN Abfrage. Die Konfiguration dazu wird in Quick Access durchgeführt.

Global Secure Access > Applications > Quick Access

1. Add Quick Access application segment anklicken
2. Destinationstyp Fully qualified domain name auswählen
3. FQDN des Zielservers angeben, z.B. ein Microsoft Remote Desktop Connection Broker
4. Port 3389 (Remote Desktop Protocol) und 443 (HTTPS) eingeben
   Mehrere Ports Kommagetrennt eingegeben
5. Apply klicken
6. Save klicken

Die Konfiguration für den Zugriff auf die Remote Desktop Services (RDS) ist erstellt.

SMB-Dateifreigaben

Die Verbindungen auf SMB-Dateifreigaben erfolgen über den Fully qualified domain name (FQDN) des Dateiservers. Die Konfiguration dazu wird in Quick Access durchgeführt.

Global Secure Access > Applications > Quick Access

1. Add Quick Access application segment anklicken
2. Destinationstyp Fully qualified domain name auswählen
3. FQDN des Dateiservers angeben
4. Port 445 verwenden (Server Message Block)
5. Apply klicken
6. Save klicken

Die Konfiguration für den Zugriff auf SMB-Dateifreigaben ist erstellt.

Onboard Clientsoftware

Client für Windows 10 / Windows 11

Clientsoftware herunterladen

Clientsoftware für Windows 10 oder Windows 11 herunterladen
Global Secure Access > Connect > Client Download

Die Clientsoftware kann mit Microsoft Intune oder manuell installiert werden.

Bereitstellung der Clientsoftware mit Microsoft Intune

Die heruntergeladene Datei GlobalSecureAccessClient.exe muss in das Format *.intunewin konvertiert werden. Dafür wir das Microsoft Win32 Content Prep Tool verwendet, das hier heruntergeladen werden kann: https://github.com/microsoft/Microsoft-Win32-Content-Prep-Tool/blob/master/IntuneWinAppUtil.exe

Das Microsoft Win32 Content Prep Tools benötigt zwei Dateiordner:

• C:\Temp\GSA
• C:\Temp\GSA\Client

Die Datei IntuneWinAppUtil.exe in das Verzeichnis C:\Temp\GSA verschieben.

Die Datei GlobalSecureAccessClient.exe in das Verzeichnis C:\Temp\GSA\Client verschieben.

PowerShell öffnen, in das Verzeichnis C:\Temp\GSA wechseln und IntuneWinAppUtil.exe ausführen.

Parameter mit folgenden Werten ausfüllen:

• Please specify the source folder: C:\Temp\GSA\Client
• Please specify the setup file: GlobalSecureAccessClient.exe
• Please specify the output folder: C:\Temp\GSA\Client
• Do you want to specify catalog folder (Y/N)? N

Die Datei GlobalSecureAccessClient.intunewin wird erstellt.

Nach kurzer Zeit steht GlobalSecureAccessClient.intunewin unter C:\Temp\GSA\Client zur Verfügung.

Anmeldung am Microsoft Intune admin center (https://endpoint.microsoft.com)
Apps > Windows > Add > Windows app (Win32) auswählen.

App information
Vorgängig erstellte Datei GlobalSecureAccessClient.intunewin hochladen. Weitere Angaben zur Applikation nach eigenen Richtlinien ausfüllen.

Program
Installations- und Deinstallationsoptionen angeben:

1. Install command              GlobalSecureAccessClient.exe /install /quiet
2. Uninstall command        GlobalSecureAccessClient.exe /uninstall /quiet

Requirements
Systemvoraussetzungen für GlobalSecureAccessClient.exe festlegen.

1. Operating system architecture:  64-bit
2. Minimum operating system:       Windows 10 22H2

Detection rules
Die erfolgreiche Installation von GlobalSecureAccessClient.exe mit folgenden Parametern prüfen:

1. Rules format Manually configure detection rules
2. Rule type File
3. Path C:\Program Files\Global Secure Access Client\
4. File or Folder GlobalSecureAccessClient.exe
5. Detection method File or folder exists

Dependencies und Supersedence
Diese Angaben überspringen, da sie momentan nicht benötigt werden.

Assignments
Gemäss eigenen Bedürfnissen ausfüllen.

Einstellungen zum Abschluss prüfen und App mit Create erstellen.

Die App GlobalSecureAccessClient steht wenig später zum Rollout bereit.

Installation Clientsoftware manuell

Die Installation der heruntergeladenen Datei GlobalSecureAccessClient.exe mit Doppelklick starten.

Install klicken

Die Installation beginnt.

Die Installation ist wenig später erfolgreich abgeschlossen.

Anmeldung an Global Secure Access

Global Secure Access startet nach der Anmeldung am Gerät automatisch (1) und startet den Anmeldebildschirm (2).

Die erfolgreiche Anmeldung an Global Secure Access wird in der Taskleiste mit einem grünen Hacken angezeigt.

Client für iOS

Für iOS ist ein Client als Private Preview verfügbar.
Der frühzeitige Zugang zum Client kann mit dem nachfolgenden Link beantragt werden: iOS Client (Privat Preview).

Client für MacOS

Für MacOS ist ein Client als Private Preview verfügbar.
Der frühzeitige Zugang zum Client kann mit dem nachfolgenden Link beantragt werden: MacOS Client (Privat Preview).

Funktionskontrolle

In den untenstehenden Beispielen wird die Domäne int.cloudcoffee.ch verwendet. Diese Domäne ist privat und ist nicht öffentlich erreichbar.

Nslookup

Die FQDN Abfrage des Servers cclvsrlb001.int.cloudcoffee.ch wird mit der IP-Adresse 6.6.0.3 aufgelöst. Diese IP-Adresse stammt aus dem Entra Private Access IP-Range. Der Datenverkehr wird entsprechend über Global Secure Access zum Server im internen Netzwerk geroutet.

Remote Desktop Services (RDS)

Auf die Remote Desktop Services kann wie aus dem internen Netzwerk gewohnt zugegriffen werden. Es benötigt keine Anpassung an den Verbindungsinformationen.
Beispiel:
Zugriff auf Microsoft Remote Desktop Web Access (https://cclvsrlb001.int.cloudcoffee.ch/rdweb)

Zugriff mit Remotedesktopverbindungen (mstsc.exe)

SMB-Dateifreigabe

SMB-Dateifreigaben werden über den UNC-Pfad verbunden, z.B. \\cclvsrdc001.int.cloudcoffee.ch\Daten

Fehlersuche und Fehlerbehebung

Global Secure Access befindet sich in der Preview Phase und die Log- und Diagnosemöglichkeiten werden stetig ausgebaut und verbessert.
Die Log- und Diagnosemöglichkeiten für Global Secure Access sind im Beitrag Microsoft Entra Internet Access – Fehlersuche und Fehlerbehebung detaillierter beschrieben.

Gut zu wissen

Application Proxy Connector

Ungenutzte Application Proxy Connectors werden als inaktiv angezeigt und nach 10 Tagen Inaktivität aus Microsoft Global Secure Access entfernt. Dabei wird der Application Proxy Connector auf dem Windows Server nicht automatisch entfernt.

---

Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.

Auf LinkedIn folgen

War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Duft eines frisch gebrühten Kaffees für mich!