Mit Microsoft Entra Private Access erhält der Anwender von überall auf der Welt sicheren Zugang ins interne Netzwerk und zu cloudbasierten Diensten. Einrichtung und Unterhalt von (komplexen) VPN Verbindungen gehören damit der Vergangenheit an. Microsoft Entra Private Access ist Teil von Microsoft Global Secure Access, die eine Reihe von Produkten für die Identitäts- und Netzwerkzugriffssicherheit umfasst. Der Dienst basiert auf dem SASE-Framework (Secure Access Service Edge), das WAN-Funktionen und Zero-Trust-Network-Access (ZTNA) in einer cloudbasierten Plattform kombiniert.
Dieser Blog Artikel zeigt die Konfigurationschritte für Microsoft Entra Private Access für die Verwendung von lokalen Ressourcen wie Remote Desktop Services (RDS) oder SMB-Dateifreigaben.
Microsoft Entra Private Access ist zum Zeitpunkt des Erstellens dieses Beitrages in der Preview Phase. Dieser Artikel wird kontinuierlich aktualisiert.
Voraussetzungen und Lizenzierung
Lizenzen
Während der Preview Phase ist eine Microsoft Entra ID P1 Lizenz vorausgesetzt. Zum Zeitpunkt des Erstellens dieses Beitrages ist noch nicht bekannt, welche Lizenzen, Pläne oder AddOns nach globaler Verfügbarkeit von Microsoft Entra Private Access notwendig sind.
Rollen
Das Einrichten und Verwalten von Microsoft Entra Private Access setzt die Rolle Global Secure Access Administrator voraus.
Das Registrieren des Application Proxy Connectors setzt die Rolle Application Administrator voraus.
Geräte
Folgende Voraussetzungen gelten für die Geräte:
- Betriebssystem Windows 10 oder Windows 11
Frühzeitiger Zugang für iOS und MacOS als Private Preview verfügbar, Android ist in Planung. - Der Client muss Microsoft Entra joined oder Microsoft Entra hybrid joined sein
Microsoft Entra registered wird nicht unterstützt
Onboard Microsoft Entra Private Access
Aktivierung Microsoft Entra Private Access
In den Datenverkehrsweiterleitungen wird Microsoft Entra Private Access aktiviert.
Private access profile unter Global Secure Access > Connect > Traffic forwarding aktivieren
Installation Application Proxy Connector
Microsoft Entra Private Access benötigt ein Application Proxy Connector auf einem lokalen Windows Server und stellt damit die Verbindung aus dem internen Netzwerk zu Microsoft Entra sicher.
Der Application Proxy Connector unter Global Secure Access > Connect > Connectors > Download connector service > Accept terms & Download herunterladen.
Die heruntergeladene Datei AADApplicationProxyConnectorInstaller.exe auf den Windows Server 2016 oder höher kopieren. Der Application Proxy Connector muss auf einem Server installiert werden, der Zugriff auf alle internen Anwendungen hat, die veröffentlicht werden sollen.
Installation mit Install starten
Die Installation wird durchgeführt.
Für die Registrierung des Application Proxy Connectors muss mit einem Konto angemeldet werden, welches die Rolle Application Administrator zugewiesen hat.
Der Application Connector Proxy ist fertig installiert.
Die sichere Verbindung zwischen dem internen Netzwerk und Microsoft Azure ist nun eingerichtet und wird mit Status Active angezeigt.
Konfiguration Quick Access
Quick Access ermöglicht einen sicheren Zugriff auf interne Ressourcen.
Dieser Blogpost beleuchtet die Konfiguration für den Zugriff auf Remote Desktop Services (RDS) und SMB-Dateifreigaben in eine lokalen Active Directory Domäne.
Anwendungseinstellungen
Für Quick Access wird eine Enterprise Application erstellt.
Diese wird in zwei Schritten konfiguriert.
- Name der Anwendung eingeben, z.B. int.cloudcoffee.ch
- Connectorgruppe auswählen, in die der Application Connector Proxy Zugriff auf die Ressourcen erhält
- Save klicken
- Enterprise Application mit Edit application settings aufrufen
Die Anwendungseinstellungen werden über die bekannten Einstellungsmöglichkeiten einer Enterprise Application vorgenommen.
Speziell zu erwähnen sind hier folgende Konfigurationseinstellungen:
- Users and groups
Benutzer und Gruppen festlegen, die Zugriff auf diese Enterprise Application erhalten - Conditional Access
Quick Access unterstützt als Enterprise Application den bedingten Microsoft Entra Zugriff
Remote Desktop Services (RDS)
Der Zugriff auf Remote Desktop Services (RDS), z.B. auf Remote Desktop Session Collections, benötigt eine funktionierende FQDN Abfrage. Die Konfiguration dazu wird in Quick Access durchgeführt.
Global Secure Access > Applications > Quick Access
- Add Quick Access application segment anklicken
- Destinationstyp Fully qualified domain name auswählen
- FQDN des Zielservers angeben, z.B. ein Microsoft Remote Desktop Connection Broker
- Port 3389 (Remote Desktop Protocol) und 443 (HTTPS) eingeben
Mehrere Ports Kommagetrennt eingegeben - Apply klicken
- Save klicken
Die Konfiguration für den Zugriff auf die Remote Desktop Services (RDS) ist erstellt.
SMB-Dateifreigaben
Die Verbindungen auf SMB-Dateifreigaben erfolgen über den Fully qualified domain name (FQDN) des Dateiservers. Die Konfiguration dazu wird in Quick Access durchgeführt.
Global Secure Access > Applications > Quick Access
- Add Quick Access application segment anklicken
- Destinationstyp Fully qualified domain name auswählen
- FQDN des Dateiservers angeben
- Port 445 verwenden (Server Message Block)
- Apply klicken
- Save klicken
Die Konfiguration für den Zugriff auf SMB-Dateifreigaben ist erstellt.
Onboard Client
Client für Windows 10 / Windows 11
Clientsoftware herunterladen
Clientsoftware für Windows 10 oder Windows 11 herunterladen
Global Secure Access > Devices > Clients > Download client
Bereitstellung der Clientsoftware mit Microsoft Intune
Die heruntergeladene Datei GlobalSecureAccessClient.exe muss in das Format *.IntuneWin konvertiert werden. Eine Anleitung dazu ist hier zu finden (Englisch): Deploying .exe Applications with Microsoft Endpoint Manager | Practical365
Anmeldung am Microsoft Intune admin center (https://endpoint.microsoft.com)
Apps > Windows > Add öffnen
App Type Windows app (Win32) auswählen
Vorgängig erstellte *.IntuneWin Datei (GlobalSecureAccessClient.intunewin) hochladen. Weitere Angaben zur Applikation nach eigenen Richtlinien ausfüllen.
Einstellungen zum Abschluss prüfen und App mit Create erstellen.
Die App GlobalSecureAccessClient steht wenig später zum Rollout bereit.
Installation Clientsoftware manuell
Die Installation der heruntergeladenen Datei GlobalSecureAccessClient.exe mit Doppelklick starten.
Install klicken
Die Installation beginnt.
Die Installation ist wenig später erfolgreich abgeschlossen.
Anmeldung an Global Secure Access
Global Secure Access startet nach der Anmeldung am Gerät automatisch (1) und startet den Anmeldebildschirm (2).
Die erfolgreiche Anmeldung an Global Secure Access wird in der Taskleiste mit einem grünen Hacken angezeigt.
Client für Android
Für Android ist ein Client geplant, jedoch noch nicht verfügbar.
Client für iOS
Für iOS ist ein Client als Private Preview verfügbar.
Der frühzeitige Zugang zum Client kann mit dem nachfolgenden Link beantragt werden: iOS Client (Privat Preview).
Client für MacOS
Für MacOS ist ein Client als Private Preview verfügbar.
Der frühzeitige Zugang zum Client kann mit dem nachfolgenden Link beantragt werden: MacOS Client (Privat Preview).
Funktionskontrolle
In den untenstehenden Beispielen wird die Domäne int.cloudcoffee.ch verwendet. Diese Domäne ist privat und ist nicht öffentlich erreichbar.
Nslookup
Die FQDN Abfrage des Servers cclvsrlb001.int.cloudcoffee.ch wird mit der IP-Adresse 6.6.0.3 aufgelöst. Diese IP-Adresse stammt aus dem Entra Private Access IP-Range. Der Datenverkehr wird entsprechend über Global Secure Access zum Server im internen Netzwerk geroutet.
1 | nslookup cclvsrlb001.int.cloudcoffee.ch |
Remote Desktop Services (RDS)
Auf die Remote Desktop Services kann wie aus dem internen Netzwerk gewohnt zugegriffen werden. Es benötigt keine Anpassung an den Verbindungsinformationen.
Beispiel:
Zugriff auf Microsoft Remote Desktop Web Access (https://cclvsrlb001.int.cloudcoffee.ch/rdweb)
Zugriff mit Remotedesktopverbindungen (mstsc.exe)
SMB-Dateifreigabe
SMB-Dateifreigaben werden über den UNC-Pfad verbunden, z.B. \\cclvsrdc001.int.cloudcoffee.ch\Daten
Fehlersuche und Fehlerbehebung
Entra Portal
Die Log- und Diagnosemöglichkeiten für Global Secure Access im Microsoft Entra Portal sind in der Preview noch dürftig. Der Dienst befindet sich in der Preview Phase und die Diagnosemöglichkeiten werden stetig ausgebaut und verbessert.
Datenverkehrsprotokoll
Es benötigt bis zu 15 Minuten, bis der Datenverkehr protokolliert angezeigt wird. Auch gibt es immer mal wieder Zugriffsfehler auf das Protokoll, die jeweils wenig später behoben sind.
Global Secure Access > Monitor > Traffic logs
Gerät
Auf dem Gerät sind bereits in der Preview Version diverse Diagnose Tools zur Fehlersuche vorhanden.
Collect Logs
In Collect Logs werden verschiedene Logs über Verkehrsprotokolle, Auditprotokolle und Netzwerkverkehr gesammelt.
Client Checker
Der Client Checker führt ein Script aus und prüft sämtliche Komponenten, welche für einen funktionsfähigen Client notwendig sind.
Connection Diagnostics
Connection Diagnostics zeigt in Echtzeit den Verbindungszustand zwischen dem Gerät und Global Secure Access für alle relevanten Dienste (Flows, Hostname Acquisition, Services und Channels) an.
Gut zu wissen
Application Proxy Connector
Ungenutzte Application Proxy Connectors werden als inaktiv angezeigt und nach 10 Tagen Inaktivität aus Microsoft Global Secure Access entfernt. Dabei wird der Application Proxy Connector auf dem Windows Server nicht automatisch entfernt.
Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.