Mit Microsoft Entra Private Access erhält der Anwender von überall auf der Welt sicheren Zugang ins interne Netzwerk und zu cloudbasierten Diensten. Einrichtung und Unterhalt von (komplexen) VPN Verbindungen gehören damit der Vergangenheit an. Microsoft Entra Private Access ist Teil von Microsoft Global Secure Access, die eine Reihe von Produkten für die Identitäts- und Netzwerkzugriffssicherheit umfasst. Der Dienst basiert auf dem SASE-Framework (Secure Access Service Edge), das WAN-Funktionen und Zero-Trust-Network-Access (ZTNA) in einer cloudbasierten Plattform kombiniert.
Dieser Blog Artikel zeigt die Konfigurationschritte für Microsoft Entra Private Access für die Verwendung von lokalen Ressourcen wie Remote Desktop Services (RDS) oder SMB-Dateifreigaben.
Voraussetzungen und Lizenzierung
Lizenzen
Für Microsoft Entra Private Access ist pro Benutzer eine der folgenden Lizenzen notwendig:
- Microsoft Entra Suite
- Microsoft Entra Private Access
Detaillierte Informationen und Preisgestaltung zu den verschiedenen Plänen sind übersichtlich auf der Microsoft Produktwebseite: Microsoft Entra Plans and Pricing | Microsoft Security
Rollen
Das Einrichten und Verwalten von Microsoft Entra Private Access setzt die Rolle Global Secure Access Administrator voraus.
Das Registrieren des Application Proxy Connectors setzt die Rolle Application Administrator voraus.
Geräte
Folgende Voraussetzungen gelten für die Geräte:
- Betriebssystem Windows 10, Windows 11 oder Android
- iOS und MacOS als Preview verfügbar
- Windows Geräte müssen Microsoft Entra joined oder Microsoft Entra hybrid joined sein, Microsoft Entra registered wird nicht unterstützt
Onboard Microsoft Entra Private Access
Aktivierung Microsoft Entra Private Access
In den Datenverkehrsweiterleitungen wird Microsoft Entra Private Access aktiviert, dafür am Microsoft Entra Admin Center (https://entra.microsoft.com) anmelden.
Private access profile unter Global Secure Access > Connect > Traffic forwarding aktivieren
Installation Application Proxy Connector
Microsoft Entra Private Access benötigt ein Application Proxy Connector auf einem lokalen Windows Server und stellt damit die Verbindung aus dem internen Netzwerk zu Microsoft Entra sicher.
Der Application Proxy Connector unter Global Secure Access > Connect > Connectors > Download connector service > Accept terms & Download herunterladen.
Die heruntergeladene Datei AADApplicationProxyConnectorInstaller.exe auf den Windows Server 2016 oder höher kopieren. Der Application Proxy Connector muss auf einem Server installiert werden, der Zugriff auf alle internen Anwendungen hat, die veröffentlicht werden sollen.
Installation mit Install starten
Die Installation wird durchgeführt.
Für die Registrierung des Application Proxy Connectors muss mit einem Konto angemeldet werden, welches die Rolle Application Administrator zugewiesen hat.
Der Application Connector Proxy ist fertig installiert.
Die sichere Verbindung zwischen dem internen Netzwerk und Microsoft Azure ist nun eingerichtet und wird mit Status Active angezeigt.
Konfiguration Quick Access
Quick Access ermöglicht einen sicheren Zugriff auf interne Ressourcen.
Dieser Blogpost beleuchtet die Konfiguration für den Zugriff auf Remote Desktop Services (RDS) und SMB-Dateifreigaben in eine lokalen Active Directory Domäne.
Anwendungseinstellungen
Für Quick Access wird eine Enterprise Application erstellt.
Diese wird in zwei Schritten konfiguriert.
- Name der Anwendung eingeben, z.B. int.cloudcoffee.ch
- Connectorgruppe auswählen, in die der Application Connector Proxy Zugriff auf die Ressourcen erhält
- Save klicken
- Enterprise Application mit Edit application settings aufrufen
Die Anwendungseinstellungen werden über die bekannten Einstellungsmöglichkeiten einer Enterprise Application vorgenommen.
Speziell zu erwähnen sind hier folgende Konfigurationseinstellungen:
- Users and groups
Benutzer und Gruppen festlegen, die Zugriff auf diese Enterprise Application erhalten - Conditional Access
Quick Access unterstützt als Enterprise Application den bedingten Microsoft Entra Zugriff
Remote Desktop Services (RDS)
Der Zugriff auf Remote Desktop Services (RDS), z.B. auf Remote Desktop Session Collections, benötigt eine funktionierende FQDN Abfrage. Die Konfiguration dazu wird in Quick Access durchgeführt.
Global Secure Access > Applications > Quick Access
- Add Quick Access application segment anklicken
- Destinationstyp Fully qualified domain name auswählen
- FQDN des Zielservers angeben, z.B. ein Microsoft Remote Desktop Connection Broker
- Port 3389 (Remote Desktop Protocol) und 443 (HTTPS) eingeben
Mehrere Ports Kommagetrennt eingegeben - Apply klicken
- Save klicken
Die Konfiguration für den Zugriff auf die Remote Desktop Services (RDS) ist erstellt.
SMB-Dateifreigaben
Die Verbindungen auf SMB-Dateifreigaben erfolgen über den Fully qualified domain name (FQDN) des Dateiservers. Die Konfiguration dazu wird in Quick Access durchgeführt.
Global Secure Access > Applications > Quick Access
- Add Quick Access application segment anklicken
- Destinationstyp Fully qualified domain name auswählen
- FQDN des Dateiservers angeben
- Port 445 verwenden (Server Message Block)
- Apply klicken
- Save klicken
Die Konfiguration für den Zugriff auf SMB-Dateifreigaben ist erstellt.
Onboard Clientsoftware
Client für Windows 10 / Windows 11
Clientsoftware herunterladen
Clientsoftware für Windows 10 oder Windows 11 herunterladen
Global Secure Access > Connect > Client Download
Die Clientsoftware kann mit Microsoft Intune oder manuell installiert werden.
Bereitstellung der Clientsoftware mit Microsoft Intune
Die heruntergeladene Datei GlobalSecureAccessClient.exe muss in das Format *.intunewin konvertiert werden. Dafür wir das Microsoft Win32 Content Prep Tool verwendet, das hier heruntergeladen werden kann: https://github.com/microsoft/Microsoft-Win32-Content-Prep-Tool/blob/master/IntuneWinAppUtil.exe
Das Microsoft Win32 Content Prep Tools benötigt zwei Dateiordner:
- C:\Temp\GSA
- C:\Temp\GSA\Client
Die Datei IntuneWinAppUtil.exe in das Verzeichnis C:\Temp\GSA verschieben.
Die Datei GlobalSecureAccessClient.exe in das Verzeichnis C:\Temp\GSA\Client verschieben.
PowerShell öffnen, in das Verzeichnis C:\Temp\GSA wechseln und IntuneWinAppUtil.exe ausführen.
1 2 | cd C:\Temp\GSA .\IntuneWinAppUtil.exe |
Parameter mit folgenden Werten ausfüllen:
- Please specify the source folder: C:\Temp\GSA\Client
- Please specify the setup file: GlobalSecureAccessClient.exe
- Please specify the output folder: C:\Temp\GSA\Client
- Do you want to specify catalog folder (Y/N)? N
Die Datei GlobalSecureAccessClient.intunewin wird erstellt.
Nach kurzer Zeit steht GlobalSecureAccessClient.intunewin unter C:\Temp\GSA\Client zur Verfügung.
Anmeldung am Microsoft Intune admin center (https://endpoint.microsoft.com)
Apps > Windows > Add > Windows app (Win32) auswählen.
App information
Vorgängig erstellte Datei GlobalSecureAccessClient.intunewin hochladen. Weitere Angaben zur Applikation nach eigenen Richtlinien ausfüllen.
Program
Installations- und Deinstallationsoptionen angeben:
- Install command GlobalSecureAccessClient.exe /install /quiet
- Uninstall command GlobalSecureAccessClient.exe /uninstall /quiet
Requirements
Systemvoraussetzungen für GlobalSecureAccessClient.exe festlegen.
- Operating system architecture: 64-bit
- Minimum operating system: Windows 10 22H2
Detection rules
Die erfolgreiche Installation von GlobalSecureAccessClient.exe mit folgenden Parametern prüfen:
- Rules format Manually configure detection rules
- Rule type File
- Path C:\Program Files\Global Secure Access Client\
- File or Folder GlobalSecureAccessClient.exe
- Detection method File or folder exists
Dependencies und Supersedence
Diese Angaben überspringen, da sie momentan nicht benötigt werden.
Assignments
Gemäss eigenen Bedürfnissen ausfüllen.
Einstellungen zum Abschluss prüfen und App mit Create erstellen.
Die App GlobalSecureAccessClient steht wenig später zum Rollout bereit.
Installation Clientsoftware manuell
Die Installation der heruntergeladenen Datei GlobalSecureAccessClient.exe mit Doppelklick starten.
Install klicken
Die Installation beginnt.
Die Installation ist wenig später erfolgreich abgeschlossen.
Anmeldung an Global Secure Access
Global Secure Access startet nach der Anmeldung am Gerät automatisch (1) und startet den Anmeldebildschirm (2).
Die erfolgreiche Anmeldung an Global Secure Access wird in der Taskleiste mit einem grünen Hacken angezeigt.
Client für iOS
Für iOS ist ein Client als Preview verfügbar.
Der frühzeitige Zugang zum Client kann mit dem nachfolgenden Link beantragt werden: iOS Client (Preview).
Client für MacOS
Für MacOS ist ein Client als Preview verfügbar.
Der frühzeitige Zugang zum Client kann mit dem nachfolgenden Link beantragt werden: MacOS Client (Preview).
Funktionskontrolle
In den untenstehenden Beispielen wird die Domäne int.cloudcoffee.ch verwendet. Diese Domäne ist privat und ist nicht öffentlich erreichbar.
Nslookup
Die FQDN Abfrage des Servers cclvsrlb001.int.cloudcoffee.ch wird mit der IP-Adresse 6.6.0.3 aufgelöst. Diese IP-Adresse stammt aus dem Entra Private Access IP-Range. Der Datenverkehr wird entsprechend über Global Secure Access zum Server im internen Netzwerk geroutet.
1 | nslookup cclvsrlb001.int.cloudcoffee.ch |
Remote Desktop Services (RDS)
Auf die Remote Desktop Services kann wie aus dem internen Netzwerk gewohnt zugegriffen werden. Es benötigt keine Anpassung an den Verbindungsinformationen.
Beispiel:
Zugriff auf Microsoft Remote Desktop Web Access (https://cclvsrlb001.int.cloudcoffee.ch/rdweb)
Zugriff mit Remotedesktopverbindungen (mstsc.exe)
SMB-Dateifreigabe
SMB-Dateifreigaben werden über den UNC-Pfad verbunden, z.B. \\cclvsrdc001.int.cloudcoffee.ch\Daten
Fehlersuche und Fehlerbehebung
Die Log- und Diagnosemöglichkeiten für Global Secure Access sind im Beitrag Microsoft Entra Internet Access – Fehlersuche und Fehlerbehebung detaillierter beschrieben.
Gut zu wissen
Application Proxy Connector
Ungenutzte Application Proxy Connectors werden als inaktiv angezeigt und nach 10 Tagen Inaktivität aus Microsoft Global Secure Access entfernt. Dabei wird der Application Proxy Connector auf dem Windows Server nicht automatisch entfernt.
Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!