Cos’è Microsoft Entra Private Access?
Microsoft Entra Private Access è parte della soluzione Security Service Edge (SSE) di Microsoft. Questa tecnologia permette agli utenti di connettersi in modo sicuro alle risorse private e alle applicazioni, riducendo la complessità operativa e i rischi associati alle VPN legacy.
Funzionalità Principali
Accesso Sicuro e Granulare:
Permette di specificare i nomi di dominio e gli indirizzi IP considerati privati, gestendo l’accesso degli utenti alle risorse interne.
Utilizza un modello Zero Trust per garantire che ogni accesso sia verificato e sicuro.
Sostituzione delle VPN Tradizionali:
Elimina la necessità delle VPN tradizionali, riducendo la complessità e migliorando la sicurezza.
Consente un accesso remoto sicuro senza configurazioni VPN complesse.
Integrazione con Microsoft Entra e Accesso Condizionale:
Si integra perfettamente con Microsoft Entra e le politiche di accesso condizionale, permettendo un controllo granulare degli accessi.
Le politiche di accesso condizionale possono essere applicate per garantire che solo gli utenti autorizzati possano accedere alle risorse interne.
Esperienza Utente Migliorata:
Offre un’esperienza di accesso coerente e rapida, migliorando la produttività degli utenti.
Gli utenti possono accedere alle risorse interne da qualsiasi dispositivo e rete, senza interruzioni.
Sicurezza Avanzata:
Utilizza tecnologie avanzate per proteggere le risorse interne, riducendo il rischio di accessi non autorizzati
La segmentazione granulare delle applicazioni migliora ulteriormente la sicurezza, limitando l’esposizione alle minacce.
Vantaggi per le Aziende
Riduzione dei Costi Operativi: Eliminando la necessità di VPN tradizionali, le aziende possono ridurre i costi operativi e la complessità della gestione delle reti.
Maggiore Flessibilità: Gli utenti possono accedere alle risorse interne da qualsiasi luogo, migliorando la flessibilità e la produttività.
Sicurezza Potenziata: L’integrazione con le politiche di accesso condizionale e il modello Zero Trust garantiscono un accesso sicuro e verificato.
Licenza Necessaria
Ruoli necessari
La configurazione e la gestione di Microsoft Entra Private Access richiede il ruolo di Global Secure Access Administrator.
La registrazione di Application Proxy Connector richiede il ruolo di Application Administrator.
Dispositivi/Sistemi compatibili
Windows 10, Windows 11 (i dispositivi devono essere Entra Joined oppure Entra Hybrid Joined)
Android
iOS e MacOS (ancora in anteprima privata)Dispositivi/Sistemi compatibili
Attivazione Entra Private Access
Come prima cosa và attivato l'inoltro del traffico per cui è necessario accedere al Microsoft Entra Admin Center
Abilitare il profilo di accesso privato come da immagine sotto
Installazione Application Proxy Connector
Microsoft Entra Private Access richiede l'installazione di un Application Proxy Connector su un server Windows (2016 o superiore) locale per stabilire una connessione sicura dalla rete interna a Microsoft Entra
Scaricare il client dell' Application Proxy Connector da Global Secure Access > Connect > Connectors > Download connector service > Accept terms & Download.
Installare AADApplicationProxyConnectorInstaller.exe su Windows Server designato.
Application Proxy Connector dev'essere installato su un server che abbia accesso a tutte le applicazioni interne da pubblicare; per completare l'installazione verrà richiesto di eseguire login con le credenziali di un utente che ha il ruolo di Application Administrator.
Completata l'installazione vedrete apparire sul portale il server con lo status di "Active"
I connettori proxy di applicazioni non utilizzati vengono contrassegnati come inattivi e rimossi da Microsoft Global Secure Access dopo 10 giorni di inattività.
Quick Access
Se volete configurare l'accesso a servizi che saranno comuni per tutti gli utenti, potete usare l'enterprise application generata automaticamente; io non la userò in quanto voglio una configurazione più granulare andando a creare un Enterprise Application per ogni servizio che dovranno raggiungere gli utenti.
Enterprise Application
Andrò a creare l'accesso ad un file server creando un enterprise application da Global Secure Access > Applications > Enterprise Application > New Application
Come nome metterò Private Access - File Server e sceglierò come Connector Group quello generato dopo l'installazione dell'application proxy connector
Nella sezione Application Segment aggiungerò il nome FQDN del mio file server, la porta utilizzata e il protocollo.
Esempio:
Fully qualified domain name
fserver.contoso.local
Porta 445
Protocollo TCP
Andando ad aprire l'enterprise application appena creata si dovrà andare ad assegnare gli utentigruppi per abilitarli all'accesso.
Nel mio caso ho creato un gruppo di sicurezza su EntraID associandolo all'enterprise application, così da gestirlo a livello di gruppo di sicurezza e non a permesso di enterprise application
La configurazione portale Entra Admin Center è completata.
Installazione Client
Andando su Global Secure Access > Connect > Client Download troverete i vari client per i vostri device.
Per l'installazione su Windows bisognerà avere i permessi di amministratore locale della macchina
CONCLUSIONI
Microsoft Entra Private Access rappresenta un passo avanti significativo nella protezione delle risorse aziendali on-premises e nel cloud. Con un approccio basato sull’identità e i principi di Zero Trust, questa soluzione offre una sicurezza avanzata e una maggiore efficienza operativa, rendendola una scelta ideale per le aziende moderne.
Nei prossimi giorni posterò la guida su come distribuire il client windows tramite Intune così da centralizzare la distribuzione e soprattuto bypassare il limite di avere i permessi di amministratore locale della macchina.
STAY TUNED
