|
|
 RSS-Feed
|
|
|
|
|
Tauche in frisch zubereitete Artikel ein, die Dir die Grundlagen sowie fortgeschrittene Konzepte von Microsoft Azure und Microsoft 365 näherbringen.
Profitiere von anschaulichen Schritt-für-Schritt-Anleitungen und den besten Methoden, um die vielfältigen Aufgaben und Strategien für den Einsatz der Microsoft Cloud zu beherrschen.
|
|
cloud microsoft-azure microsoft-365 cloud-sicherheit
|
|
Hinzugefügt am 01.06.2024 - 16:50:36
|
|
|
|
https://www.cloudkaffee.ch/
|
|
|
|
RSS-Feed - Einträge
|
|
|
|
|
|
|
|
Microsoft Entra Global Secure Access (GSA) stellt den sicheren Zugriff auf Microsoft 365 Dienste, Internet Ressourcen und private Applikationen über einen einheitlichen Client für Endgeräte und eine zentrale Konfiguration bereit. Fehlverhalten im Betrieb von Microsoft Entra Global Secure Access kann auf unterschiedlichen Ebenen entstehen: im Client, bei der Verarbeitung der Datenverkehrsweiterleitungsprofile, in der Namensauflösung, durch Proxy Konfigurationen oder im Zusammenspiel mit Authentifizierung und bedingter Zugriff. Das Troubleshooting von Microsoft Entra Global Secure Access erfordert daher eine Analyse der zugrunde liegenden Ursachen. Dieser Beitrag zeigt dazu Schritte auf Client Seite und im Microsoft Entra Admin Center und beschreibt, wie sich Ursachen identifizieren und beheben lassen. Neue Erkenntnisse aus der Praxis fliessen regelmässig in diesen Beitrag ein. Troubleshooting auf Client Seite Grundlegende Funktionsprüfung des Clients Client Status prüfen Status des Icons in der Taskleiste prüfen: Das Icon zeigt den aktuellen Status des Microsoft Entra Global Secure Access (GSA) Clients an. Im Normalzustand wird das Icon mit einem grünen Statusindikator dargestellt und zeigt beim Überfahren mit der Maus den Status Connected. Ist das Icon grau oder zeigt Disabled by your organization an: DNS Funktionalität sicherstellen Der Microsoft Entra Global Secure Access (GSA) Client verwendet die im Windows Netzwerkadapter konfigurierten DNS Server zur Namensauflösung. Eine funktionierende DNS Auflösung ist Voraussetzung, damit der Client FQDN basierten Datenverkehr korrekt erkennt und verarbeitet. Schlägt die Auflösung fehl, folgende Punkte zu prüfen: Dienste prüfen Die Dienste Global Secure Access Client Manager Service, Global Secure Access Engine Service, Global Secure Access Forwarding Profile Service und Global Secure Access Tunneling Service müssen im Status Gestartet sein. Der Status lässt sich über die Eingabeaufforderung prüfen: Jeder Dienst muss den Status STATE: 4 RUNNING zurückgeben. Ist ein Dienst gestoppt, lässt er sich über die Diensteverwaltung (services.msc) neu starten. Startet ein Dienst nicht, sollten die entsprechenden Ereignisse in der Ereignisanzeige > Windows-Protokolle > System geprüft werden. Netzwerkkonnektivität zu den Microsoft Entra Global Secure Access Endpunkten Die folgenden Endpunkte müssen über TCP Port 443 erreichbar sein, damit der Microsoft Entra Global Secure Access (GSA) Client Verbindungen aufbauen kann. Endpoint Verwendungszweck login.microsoftonline.com Entra ID Authentifizierung graph.microsoft.com Download Datenverkehrsweiterleitungsprofile *.globalsecureaccess.microsoft.com GSA Service Edge *.edgediagnostic.globalsecureaccess.microsoft.com Diagnostikendpunkte für Datenverkehrsweiterleitungsprofile Konnektivität testen (PowerShell): Diagnostic Endpunkte für Microsoft 365 und Private Access testen (PowerShell): Bei TcpTestSucceeded: False oder fehlgeschlagenem Zugriff auf die Diagnostic Endpunkte sollten folgende Punkte geprüft werden: Der Microsoft Entra Global Secure Access Dienst verwendet Anycast Netzwerke. Dadurch stehen keine statischen IP-Adressen pro Region bereit. Eine Einschränkung auf einzelne IP-Adressen oder Regionen ist daher nicht möglich. Für Firewall Regeln müssen die globalen Anycast IP Bereiche freigegeben werden. Die aktuellen Bereiche sind in der Microsoft Learn Dokumentation unter Anwesenheitspunkte und IP-Adressen in Global Secure Access – Global Secure Access | Microsoft Learn aufgeführt. Datenverkehrsweiterleitungsprofile überprüfen Microsoft Entra Global Secure Access (GSA) verwendet drei Datenverkehrsweiterleitungsprofile, die festlegen, welcher Netzwerkverkehr durch den Tunnel läuft: Profil Verwendung Microsoft 365 Exchange Online, SharePoint Online und weitere Microsoft 365 Dienste Private Access Zugriff auf interne Applikationen und Ressourcen Internet Access Allgemeiner Internetverkehr und Web Content Filtering Die Profile werden vom Microsoft Entra Global Secure Access (GSA) Client als JSON Dateien in der Windows Registry gespeichert und über Microsoft Graph bezogen. Der Registry Key ForwardingProfileTimestamp zeigt an, wann das Profil zuletzt vom Service aktualisiert wurde (UTC). Damit lässt sich prüfen, ob Änderungen aus den Microsoft Entra Global Secure Access Profilen bereits auf dem Client angekommen sind. Nach Änderungen benötigt der Client bis zu einer Stunde, um ein aktualisiertes Profil anzuwenden. Alternativ lässt sich der Status im Microsoft Entra Global Secure Access (GSA) Client prüfen:Microsoft Entra Global Secure Access Client > Rechtsklick auf das Symbol in der Taskleiste > Advanced Diagnostics > OverviewDas Feld Forwarding profile last checked zeigt an, wann der Client zuletzt beim Service nachgefragt hat (UTC). Ist kein Datenverkehrsweiterleitungsprofil vorhanden oder ist der Zeitstempel veraltet, sind folgende Punkte zu prüfen: Gerätestatus und Primary Refresh Token (PRT) Das Gerät muss Microsoft Entra joined oder Microsoft Entra hybrid joined sein. Dies ist die Voraussetzung für die Nutzung von Microsoft Entra Global Secure Access. Szenarien mit rein Microsoft Entra registered Geräten (BYOD) werden für Microsoft Entra Private Access in Public Preview unterstützt. Weitere Details unter: Microsoft Entra Private Access BYOD: Zugriff auf interne Ressourcen mit Entra Registered Geräten – cloudkaffee.ch Gerätestatus und Primary Refresh Token (PRT) prüfen: Relevante Felder in der Ausgabe: Attribut Erwarteter Wert Bedeutung AzureAdJoined Yes Gerät ist Microsoft Entra Joined DomainJoined Yes (bei Hybrid) Gerät ist Microsoft Entra Hybrid Joined AzureAdPrt Yes Primary Refresh Token vorhanden TenantId Tenant-GUID Zeigt den verbundenen Tenant Steht AzureAdPrt: NO, ist kein gültiges Primary Refresh Token (PRT) vorhanden und der Microsoft Entra Global Secure Access (GSA) Client kann sich nicht authentifizieren. Typische Ursachen sind ein nicht korrekt eingebundenes Gerät, fehlende Netzwerkverbindung zu den Microsoft Entra Authentifizierungsendpunkten oder bedingte Zugriffsrichtlinien, welche die Anmeldung blockieren. Proxy Konfiguration prüfen Ist ein Proxy konfiguriert, müssen die Microsoft Entra Global Secure Access Endpunkte als Ausnahmen definiert sein. Die erforderlichen Endpunkte und IP Bereiche sind im folgenden Microsoft Learn Artikel aufgeführt: Anwesenheitspunkte und IP-Adressen in Global Secure Access – Global Secure Access | Microsoft Learn Proxy Konfiguration prüfen: Advanced Diagnostics Tools Der Microsoft Entra Global Secure Access (GSA) Client stellt mit den Advanced Diagnostics Tools eine integrierte Analyseumgebung zur Verfügung. Diese ermöglicht die Überprüfung von Konnektivität, Policy Verarbeitung, DNS Verhalten sowie des tatsächlichen Netzwerkverkehrs direkt auf dem Client. Das Tool ist über das Symbol des Microsoft Entra Global Secure Access Clients in der Taskleiste erreichbar: Microsoft Entra Global Secure Access Client > Rechtsklick auf das Symbol in der Taskleiste > Advanced Diagnostics Die folgenden Abschnitte beschreiben die Funktionen des Tools und deren Einsatz im Troubleshooting. Health Check Der Health Check im Advanced Diagnostics Tool führt automatisierte Prüfungen zur Konnektivität und Funktion des Microsoft Entra Global Secure Access (GSA) Clients durch. Die einzelnen Prüfungen bauen teilweise aufeinander auf. Zuerst sollte der jeweils erste erkannte Fehler behoben werden, anschliessend kann die Auswertung über Refresh erneut ausgeführt werden. Forwarding Profile Im Register Forwarding profile werden alle aktiven Regeln des Microsoft Entra Global Secure Access (GSA) Clients angezeigt. Die Darstellung erfolgt gruppiert nach den Datenverkehrsweiterleitungsprofilen Microsoft 365, Private Access und Internet Access. Pro Regel sind die Zieladresse (IP oder FQDN), das Protokoll, der Port sowie die Aktion (Tunnel oder Bypass) ersichtlich. Mit dem Policy tester kann geprüft werden, welche Regel für ein bestimmtes Ziel angewendet wird. Nach Eingabe einer Zieladresse (FQDN oder IP) zeigt der Client an, ob der Datenverkehr getunnelt oder direkt weitergeleitet wird. Über Refresh details werden die angezeigten Daten aus dem Client Cache aktualisiert, falls sich das Datenverkehrsweiterleitungsprofil seit der letzten Anzeige geändert hat. Hostname Acquisition Im Register Hostname acquisition wird in Echtzeit angezeigt, welche FQDNs vom Microsoft Entra Global Secure Access (GSA) Client erfasst werden. Grundlage dafür sind die in den Datenverkehrsweiterleitungsprofilen definierten FQDN Regeln. Für jeden erfassten Hostnamen werden folgende Informationen angezeigt: Traffic Im Register Traffic wird in Echtzeit angezeigt, welche Verbindungen aufgebaut und wie diese verarbeitet werden. Zur Analyse kann die Erfassung gestartet und ein Szenario gezielt reproduziert werden: Für jede Verbindung stehen unter anderem folgende Informationen zur Verfügung: Die erfassten Daten können anschliessend als CSV Datei exportiert werden. Advanced Log Collection Die Advanced Log Collection ermöglicht die Erfassung detaillierter Diagnoseinformationen des Microsoft Entra Global Secure Access (GSA) Clients. Die aufgezeichneten Daten dienen der Analyse komplexer Szenarien und können für weiterführende Untersuchungen oder Support Cases verwendet werden. Ablauf: Die aufgezeichneten Daten werden als ZIP Datei unter C:Program FilesGlobal Secure Access ClientLogs gespeichert. Der Inhalt der ZIP Datei ist im folgenden Microsoft Learn Artikel beschrieben Problembehandlung des Global Secure Access Clients für Windows: Erweiterte Diagnose – Global Secure Access | Microsoft Learn Typische Inhalte der ZIP Datei: Ereignisanzeige analysieren Die Windows Ereignisanzeige stellt detaillierte Protokolle für den Microsoft Entra Global Secure Access (GSA) Client bereit. Die Protokolle sind unter folgendem Pfad verfügbar: Ereignisanzeige > Anwendungs- und Dienstprotokolle > Microsoft > Windows > Global Secure Access Client Es stehen zwei Log Typen zur Verfügung: TraceRT Analyse im Client Ab Version 2.24.117 enthält der Microsoft Entra Global Secure Access (GSA) Client ein eigenes Traceroute Tool zur Analyse von Verbindungswegen und Latenzen. Das Tool zeigt zusätzlich den Latenz Engpass im Verbindungsweg (RTT bottleneck) sowie den verwendeten Global Secure Access Edge Standort (PoP location).Speicherort: C:Program FilesGlobal Secure Access ClientGSATracertGsaTracert.exe Das Tool kann über verschiedene Parameter gesteuert werden: Troubleshooting im Microsoft Entra Admin Center Datenverkehrsprotokolle Die Datenverkehrsprotokolle zeigen den Netzwerkverkehr, der über den Microsoft Entra Global Secure Access (GSA) Dienst verarbeitet wurde. Sie ermöglichen die Analyse von Verbindungen und liefern Informationen zur Verarbeitung von Requests durch den GSA Dienst. Microsoft Entra Admin Center (https://entra.microsoft.com) > Global sicherer Zugriff > Überwachen > Datenverkehrsprotokolle Authentifizierung und bedingter Zugriff Die Microsoft Entra Anmeldeprotokolle ermöglichen die Analyse von Authentifizierungsereignissen. Sie liefern detaillierte Informationen zu erfolgreichen und fehlgeschlagenen Anmeldungen sowie zur Auswertung von bedingten Zugriffsrichtlinien. Die Anmeldeprotokolle sind im Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Überwachung und Integrität > Anmeldeprotokolle verfügbar: Netzwerkkonformität für bedingten Zugriff Damit der Netzwerkverkehr über Microsoft Entra Global Secure Access in den bedingten Zugriffsrichtlinien als Netzwerkkonform (Compliant Network) gilt, muss ZS Signalisierung aktiviert sein. Microsoft Entra Admin Center (https://entra.microsoft.com) > Global sicherer Zugriff > Einstellungen > Sitzungsverwaltung > Adaptiver Zugriff aufrufen und Conditional Access-Signalisierung für Microsoft Entra ID aktivieren. Fazit Microsoft Entra Global Secure Access stellt Diagnosewerkzeuge zur gezielten Analyse von unerwartetem Verhalten bereit. Typische Ursachen sind nicht erreichbare Endpunkte, inkonsistente Datenverkehrsweiterleitungsprofile, Probleme bei der Authentifizierung sowie fehlerhafte Proxy Konfigurationen. Die Advanced Diagnostics Tools sowie die Datenverkehrs- und Anmeldeprotokolle im Microsoft Entra Admin Center liefern die notwendigen Informationen, um Fehlerursachen einzugrenzen.
Der Beitrag Microsoft Entra Global Secure Access Troubleshooting Guide erschien zuerst auf cloudkaffee.ch
|
|
04.05.2026 - 16:34:49
|
|
https://www.cloudkaffee.ch/microsoft-azure/microsoft-entra-global-secure-access- ...
|
|
|
|
|
|
|
Microsoft Entra Backup and Recovery ist eine neue, nativ in Microsoft Entra integrierte Sicherungs- und Wiederherstellungsfunktion für Verzeichnisobjekte. Unterstützte Objekte werden automatisch einmal täglich gesichert und fünf Tage aufbewahrt (Sicherungshistorie). Aktuell befindet sich Microsoft Entra Backup and Recovery in Preview und hilft, unbeabsichtigte oder unerwünschte Änderungen an Identitätsobjekten, Richtlinien und Anwendungsobjekten schneller auf einen zuvor bekannten Zustand wiederherzustellen zu können. Fehlkonfigurationen an Benutzern, Gruppen, Anwendungen, Dienstprinzipalen oder Conditional Access Richtlinien wirken sich oft unmittelbar auf Anmeldung, Autorisierung und Betrieb aus. Microsoft Entra Backup and Recovery schliesst hier eine Lücke, weil der Dienst Entra Objekte direkt sichert, vergleicht und wiederherstellt. Wichtig zu wissen: Es handelt sich nicht um eine vollständige Sicherung des gesamten Mandanten, sondern um eine Wiederherstellungsfunktion für unterstützte Verzeichnisobjekte inklusive ihrer Attribute. In diesem Beitrag werden Voraussetzungen, Funktionsumfang sowie die Wiederherstellung mit Microsoft Entra Backup and Recovery im Detail gezeigt. Schritt für Schritt wird erläutert, welche Objekte gesichert werden, wie Differenzberichte erstellt werden und wie eine Wiederherstellung durchgeführt werden kann. Voraussetzungen und Lizenzierung Lizenzen Microsoft Entra Backup and Recovery erfordert die folgende Lizenz: Eine Übersicht der Microsoft Lizenzpakete mit ihren Features kann unter https://m365maps.com/ abgerufen werden. Rollen Für Konfiguration, Betrieb und Unterhalt sind folgende Rollen nach dem Prinzip der geringsten Berechtigungen vorgesehen. Rolle Berechtigung Entra Backup Administrator Alle Berechtigungen des Backup Reader sowie Starten von Wiederherstellungen aus Backups Entra Backup Reader Anzeigen von Backups, Erstellen von Differenzberichten, Anzeigen von Job Status und Vergleichen von Verzeichnisobjekten Zum Zeitpunkt der Erstellung dieses Beitrags sind die Rollen im Microsoft Entra Admin Center zwar vorhanden, zeigen in Tests jedoch noch keine Wirkung. Aktionen erfordern weiterhin höhere Berechtigungen, wie zum Beispiel Globaler Administrator. Was Microsoft Entra Backup and Recovery sichert Technische Eigenschaften Microsoft Entra Backup and Recovery erstellt automatisch einmal pro Tag ein Backup und hält diese fünf Tage vor. In der Praxis stehen damit fünf Wiederherstellungspunkte zur Verfügung. Die Sicherungen sind immutable und können weder verändert, gelöscht noch deaktiviert werden, auch nicht durch hochprivilegierte Administratoren oder Anwendungen. Unterstützte Objekte in Microsoft Entra Backup and Recovery Microsoft Entra Backup and Recovery sichert nicht den kompletten Mandanten. Der Umfang der gesicherten Objekte wird laufend erweitert und umfasst bereits zahlreiche Objekte in Microsoft Entra: Eine detaillierte und stets aktuelle Auflistung ist im Microsoft Learn Artikel unter Unterstützte Objekte und wiederherstellbare Eigenschaften in Microsoft Entra Backup and Recovery – Microsoft Entra | Microsoft Learn nachzulesen. Wichtige HinweiseFür on-premises synchronisierte Objekte bleibt das lokale Active Directory die Quellinstanz. Diese Objekte lassen sich nicht über Microsoft Entra Backup and Recovery in der Cloud wiederherstellen. Bei Benutzern und Authentifizierungsmethoden ist zu beachten, dass Passwörter nicht Bestandteil des Backups sind. Nach einer Wiederherstellung kann es erforderlich sein, Authentifizierungsmethoden neu zu registrieren und ein neues Passwort zu setzen. Wiederherstellung mit Microsoft Entra Backup and Recovery Für die Wiederherstellung stehen zwei Varianten zur Verfügung.Empfohlen wird die Wiederherstellung über einen Differenzbericht, da die geplanten Änderungen vor der Ausführung angezeigt und geprüft werden können.Alternativ kann ein Restore direkt aus einem Backup gestartet werden. Dieser ist schneller, zeigt die Änderungen jedoch nicht vorab im Detail. Wiederherstellung aus Differenzbericht Ein Differenzbericht vergleicht den aktuellen Zustand des Mandanten mit einer ausgewählten Sicherung und zeigt alle Änderungen seit diesem Zeitpunkt. Der Bericht dient als Vorschau vor einer Wiederherstellung. Ein Differenzbericht ist ein Punkt-in-Time Vergleich. Änderungen, die nach der Erstellung des Berichts im Mandanten vorgenommen werden, sind im Bericht nicht enthalten und werden bei der Wiederherstellung nicht berücksichtigt. Der Differenzbericht wird im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Sicherung und Wiederherstellung > Sicherungen erstellt. Sicherungszeitpunkt auswählen und Differenzbericht erstellen anklicken. Je nach Bedarf können alle Objekte (1) oder nur ausgewählte Objekte (2) in den Differenzbericht aufgenommen werden. Der Bericht wird mit Differenzbericht erstellen (3) gestartet. Der Fortschritt der Erstellung des Differenzberichts ist unter Differenzberichte sichtbar. Nach Abschluss den erstellten Differenzbericht auswählen. Filter (1) verwenden, um die gewünschten Objekte (2) zu filtern und zu prüfen. Anschliessend Wiederherstellen (3) auswählen.Hinweis: Wenn der Differenzbericht bereits mit einem Filter erstellt wurde, kann hier kein zusätzlicher Filter gesetzt werden. Für die Wiederherstellung stehen folgende Optionen zur Verfügung: Anschliessend den Vorgang mit Wiederherstellen (4) starten. Der Fortschritt und Status der Wiederherstellung sind unter Wiederherstellungsverlauf ersichtlich. Direkte Wiederherstellung aus Sicherung Bei der direkten Wiederherstellung wird kein Differenzbericht erstellt, sondern die ausgewählten Verzeichnisobjekte werden direkt aus einer Sicherung wiederhergestellt. Die Änderungen werden dabei ohne Vorschau angewendet. Die direkte Wiederherstellung aus einem Backup wird im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Sicherung und Wiederherstellung > Sicherungen durchgeführt. Sicherungszeitpunkt auswählen und Sicherung wiederherstellen anklicken. Hinweis auf die empfohlene Variante Differenzbericht mit Sicherung wiederherstellen überspringen. Folgende Optionen stehen für die Wiederherstellung zur Verfügung: Anschliessend Wiederherstellen (4) anklicken. Der Status der Wiederherstellung ist unter Wiederherstellungsverlauf sichtbar. Gut zu Wissen Warnmeldungen und Überwachung Microsoft Entra Backup and Recovery stellt im Bereich Übersicht aktuelle Statusinformationen bereit. Einschränkungen bei gelöschten Objekten Endgültig gelöschte Objekte können aktuell mit Microsoft Entra Backup and Recovery nicht wiederhergestellt werden. Fazit Microsoft Entra Backup and Recovery schliesst eine wichtige Lücke im Betrieb von Microsoft Entra, da Verzeichnisobjekte erstmals nativ in Microsoft Entra gesichert und wiederhergestellt werden können. Besonders bei unbeabsichtigten oder unerwünschten Änderungen an Benutzern, Gruppen, Anwendungen oder Conditional Access Richtlinien ermöglicht die Funktion eine schnelle Wiederherstellung. Der aktuelle Funktionsumfang ist noch begrenzt und wird laufend erweitert. Es handelt sich nicht um ein vollständiges Backup des Mandanten, sondern um die Wiederherstellung unterstützter Verzeichnisobjekte und deren Attribute.
Der Beitrag Microsoft Entra Backup and Recovery im Detail: Voraussetzungen, Sicherung und Wiederherstellung erschien zuerst auf cloudkaffee.ch
|
|
02.04.2026 - 03:00:00
|
|
https://www.cloudkaffee.ch/microsoft-365/microsoft-entra-backup-and-recovery/
|
|
|
|
|
|
|
Die Anbindung externer Benutzer an interne Ressourcen wurde bisher oft mit VPN umgesetzt. Dieser Ansatz schafft zwar Konnektivität, setzt jedoch nicht konsequent auf Zero Trust Prinzipien. Mit der Funktion für externen Benutzerzugriff in Microsoft Entra Global Secure Access wird es möglich, externe Identitäten in bestehende Microsoft Entra Private Access Konfigurationen einzubinden. Externe Benutzer verwenden ihre eigene Identität und ihr eigenes Gerät und wechseln im Global Secure Access Client gezielt in den Ressourcenmandanten. Beim Wechsel wird ein Private Access Tunnel aufgebaut, der ausschliesslich Zugriff auf definierte interne Anwendungen erlaubt. Microsoft Entra Private Access für externe Benutzer befindet sich zum Zeitpunkt der Erstellung in Public Preview. Dieser Beitrag zeigt die Voraussetzungen und die Konfiguration, um externen Benutzern mit Microsoft Entra Private Access einen sicheren Zugriff auf interne Ressourcen zu ermöglichen. Voraussetzungen und Lizenzierung Externe Benutzer im Ressourcenmandanten Externe Benutzer, die über Microsoft Entra Private Access auf interne Ressourcen zugreifen sollen, müssen im Ressourcenmandanten als Gastbenutzerobjekte vorhanden und entsprechend konfiguriert sein. Eine Schritt für Schritt Anleitung dazu ist im folgenden Microsoft Learn Artikel beschrieben: Schnellstart: Hinzufügen eines Gastbenutzers und Senden einer Einladung – Microsoft Entra External ID | Microsoft Learn Microsoft Entra Private Access im Ressourcenmandanten aktiviert Microsoft Entra Private Access ist im Ressourcenmandanten aktiviert und für mindestens eine interne Ressource veröffentlicht. Eine komplette Schritt für Schritt Anleitung ist im folgenden Link beschrieben: Microsoft Entra Private Access: sicherer Zugriff auf interne Ressourcen und Cloud-Dienste ohne VPN – cloudkaffee.ch Global Secure Access Client auf Gastgerät installiert Auf dem Gerät des externen Benutzers muss der Global Secure Access Client installiert sein. Die aktuelle Version steht im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Global Secure Access > Verbinden > Client Download zum Herunterladen bereit. Zusätzlich zur Installation des Global Secure Access Clients muss die Funktion für den externen Benutzerzugriff über den folgenden Registrierungsschlüssel auf dem Clientgerät aktiviert werden: Lizenzen Heimmandant Im Heimmandanten des externen Benutzers ist keine Microsoft Entra Private Access Lizenz erforderlich. Voraussetzung ist lediglich, dass der Mandant über Microsoft Entra ID Free oder höher verfügt. Diese Lizenz ist standardmässig in jedem Mandanten vorhanden. Ressourcenmandant Dem externen Benutzer muss im Ressourcenmandanten keine Microsoft Entra Private Access Lizenz zugewiesen werden. Massgeblich ist, dass Microsoft Entra Private Access im Ressourcenmandanten bereits lizenziert und für interne Benutzer konfiguriert ist. Für den externen Benutzer selbst ist somit weder im Heimmandanten noch im Ressourcenmandanten eine eigene Private Access Lizenz erforderlich. Rollen Um externen Benutzern Zugriff auf interne Ressourcen über Microsoft Entra Private Access zu gewähren, ist folgende Rolle nach dem Prinzip der geringsten Berechtigungen im Ressourcenmandanten geeignet: Rolle Berechtigung Global Secure Access-Administrator Verwalten von Global Secure Access Externe Benutzer einer internen Ressource zuweisen Damit ein externer Benutzer auf eine interne Ressource zugreifen kann, muss die entsprechende Anwendung im Ressourcenmandanten zugewiesen werden. Die Zuweisung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) > Globaler sicherer Zugriff > Anwendungen > Unternehmensanwendungen > interne Ressource auswählen. Benutzer und Gruppen > Benutzer/Gruppe hinzufügen anklicken und den externen Benutzer hinzufügen. Alternativ kann der externe Benutzer auch über eine Microsoft Entra Gruppe zugewiesen werden. Zugriff auf interne Ressource durch externen Benutzer Für den Zugriff auf eine interne Ressource kann der externe Benutzer im Global Secure Access Client den Mandanten wechseln. Global Secure Access Client (1) öffnen, Benutzerprofil (2) anklicken und es erscheinen alle Mandanten, in denen der Benutzer als Gast hinterlegt ist. Ressourcenmandant (3) auswählen. Nach kurzer Zeit ist die Verbindung zum Mandanten (1) aufgebaut und Microsoft Entra Private Access (2) verbunden. In den Advanced Diagnostics des Global Secure Access Clients wird angezeigt, welche Entra Private Access Regeln angewendet werden. Gut zu wissen Tunnelverhalten beim Mandantenwechsel Beim Wechsel in den Ressourcenmandanten werden bestehende Internet Access, Microsoft 365 und Microsoft Entra Tunnel zum Heimmandanten nicht beibehalten. Bestehende Sitzungen bleiben aktiv Beim Mandantenwechsel bleiben bestehende aktive Sitzungen zu Anwendungen im vorherigen Mandanten bestehen, beispielsweise RDP Verbindungen. Wird eine solche Verbindung jedoch getrennt oder neu gestartet, kann sie nicht erneut aufgebaut werden. Clientneustart bei Konfigurationsänderungen erforderlich Änderungen an Mandantenzuweisungen oder am Private Access Profil werden erst wirksam, nachdem der Global Secure Access Client neu gestartet wurde. Fazit Die Unterstützung externer Benutzer in Microsoft Entra Private Access ergänzt die bestehende Private Access Konfiguration im Ressourcenmandanten um einen Zugriffspfad für B2B-Gastzugriff. Der Zugriff erfolgt über den Global Secure Access Client durch den Wechsel in den Ressourcenmandanten und wird ausschliesslich auf veröffentlichte interne Anwendungen beschränkt. Damit lässt sich externer Zugriff ohne klassisches VPN umsetzen.
Der Beitrag Microsoft Entra Private Access: sicherer Zugriff für externe Benutzer auf interne Ressourcen erschien zuerst auf cloudkaffee.ch
|
|
07.03.2026 - 06:33:07
|
|
https://www.cloudkaffee.ch/microsoft-365/microsoft-entra-private-access-externe- ...
|
|
|
|
|
|
|
Bis anhin war der Zugriff auf interne Ressourcen über Microsoft Entra Private Access auf verwaltete Geräte beschränkt, die Microsoft Entra joined oder Microsoft Entra hybrid joined sein mussten. Mit der nun verfügbaren Bring Your Own Device (BYOD) Unterstützung in Microsoft Entra Private Access entfällt diese Einschränkung. Neu sind auch Microsoft Entra registered Geräte für den Zugriff auf interne Ressourcen über Microsoft Entra Private Access zugelassen. Bei der ersten Anmeldung über den Global Secure Access Client wird das Gerät im Tenant als Microsoft Entra registered registriert und als Geräteobjekt angelegt. Microsoft Entra registered Geräte unterstützen Microsoft Entra Private Access, jedoch nicht Microsoft Entra Internet Access. Bring Your Own Device (BYOD) in Microsoft Entra Private Access befindet sich aktuell in Public Preview. Voraussetzungen und Lizenzierung Profil für privaten Zugriff Für den Zugriff auf interne Ressourcen mit Bring Your Own Device (BYOD) ist Microsoft Entra Private Access erforderlich. Eine vollständige Anleitung zur Einrichtung von Microsoft Entra Private Access ist hier zu finden: Microsoft Entra Private Access: sicherer Zugriff auf interne Ressourcen und Cloud-Dienste ohne VPN – cloudkaffee.ch Global Secure Access Client Der Global Secure Access Client wird ab Version 2.26.108 benötigt.Die Clientsoftware steht im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Global Secure Access > Verbinden > Client Download zum Herunterladen zur Verfügung. Lizenzen Für BYOD in Microsoft Entra Private Access ist keine zusätzliche Lizenz erforderlich. Das Feature ist Bestandteil von Microsoft Entra Private Access und wird innerhalb dieser Lizenz genutzt. Rollen Für die Konfiguration der Datenverkehrsweiterleitungen sind folgende Rollen nach dem Prinzip der geringsten Berechtigungen geeignet: Rolle Berechtigung Global Secure Access-Administrator Einrichten und Verwalten von Global Secure Access Anwendungsadministrator Hinzufügen und Entfernen von Benutzern der Datenverkehrsweiterleitungsprofilen Microsoft Entra Private Access BYOD konfigurieren Konfiguration Datenverkehrsweiterleitung Für den Zugriff mit einem Bring Your Own Device (BYOD) Gerät auf interne Ressourcen ist die Zuweisung des Benutzers zum Profil für privaten Zugriff erforderlich. Microsoft Entra Admin Center (https://entra.microsoft.com) > Global Secure Access > Verbinden > Datenverkehrsweiterleitung > Profil für privaten Zugriff > Benutzer- und Gruppenzuweisungen Installation Global Secure Access Client Das Gerät benötigt den Global Secure Access Client ab Version 2.26.108 oder neuer. Die Clientsoftware steht im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Global Secure Access > Verbinden > Client Download zum Herunterladen bereit. Die heruntergeladene Datei GlobalSecureAccessClient.exe auf dem Gerät per Doppelklick starten und installieren. Der Installationsvorgang ist selbsterklärend. Verbindung mit Entra Private Access herstellen Beim ersten Start des Global Secure Access Clients erscheint die Aufforderung zur Anmeldung.Sign in auswählen. Anmeldedaten eingeben Wenn die Meldung „Anmelden bei allen Apps, Websites und Diensten auf diesem Gerät?“ erscheint, Ja auswählen. Dadurch wird das Gerät im Tenant registriert (1). Das Gerät ist registriert und nach einem Neustart ist Microsoft Entra Global Secure Access verbunden. Verbindungskontrolle Global Secure Access Client In der Übersicht des Global Secure Access Clients wird der Verbindungstyp Entra registered (1), die aktive Verbindung zu Microsoft Entra Private Access (2) sowie die aktuell genutzte Organisation (3) angezeigt. Geräteregistrierung Bei der erstmaligen Anmeldung mit einem Bring Your Own Device (BYOD) wird das Gerät im Tenant unter dem Benutzer als Microsoft Entra registered angelegt. Microsoft Entra Admin Center (https://admin.microsoft.com) > Entra ID > Benutzer > Benutzer auswählen > Geräte Fazit Microsoft Entra Private Access BYOD ermöglicht den Zugriff auf interne Ressourcen mit Microsoft Entra registered Geräten. Dadurch lassen sich BYOD Szenarien in eine bestehende Zero Trust Architektur integrieren, ohne separate VPN Lösungen betreiben zu müssen. Global Secure Access gewinnt dadurch an zusätzlicher Flexibilität und unterstützt moderne Arbeitsmodelle für einen sicheren Zugriff auf interne Ressourcen.
Der Beitrag Microsoft Entra Private Access BYOD: Zugriff auf interne Ressourcen mit Entra Registered Geräten erschien zuerst auf cloudkaffee.ch
|
|
13.02.2026 - 20:00:00
|
|
https://www.cloudkaffee.ch/microsoft-365/microsoft-entra-private-access-byod/
|
|
|
|
|
|
|
Intelligent Local Access (ILA) adressiert eine grundlegende Herausforderung von Microsoft Entra Global Secure Access: lokalen Netzwerkverkehr auch lokal zu behandeln. Microsoft Entra Global Secure Access leitet Datenverkehr basierend auf konfigurierten Datenverkehrsweiterleitungen über den cloudbasierten Security Service Edge (SSE), auch dann, wenn sich das Ziel im lokalen Netzwerk befindet. Dadurch werden Sicherheitsrichtlinien und Zugriffskontrollen jederzeit konsistent umgesetzt. Lokale Ressourcen wie Dateifreigaben oder Applikationen verlassen dadurch unnötig das lokale Netzwerk, obwohl eine direkte Verbindung möglich wäre. Durch den verlängerten Netzwerkpfad steigen die Latenzen und die Gesamtperformance des Zugriffs sinkt. Intelligent Local Access (ILA) verändert dieses Verhalten durch die dynamische Ermittlung des Netzwerkpfads. Der Global Secure Access Client erkennt, ob sich das Ziel im lokalen Netzwerk befindet, und leitet den Datenverkehr in diesem Fall direkt weiter, ohne Umweg über den cloudbasierten Security Service Edge (SSE). Der Global Secure Access Client bleibt dabei aktiv, wodurch Microsoft Entra ID weiterhin Identität, Gerätestatus und Richtlinien auswertet. Befindet sich das Ziel ausserhalb des lokalen Netzwerks, erfolgt der Zugriff weiterhin über Microsoft Entra Global Secure Access gemäss den definierten Traffic-Profilen. Dieser Beitrag zeigt die Umsetzung von Intelligent Local Access in Microsoft Entra Global Secure Access. Die Konfiguration von Privaten Netzwerken wird anhand eines Beispiels für den Zugriff auf einen Remote Desktop Session Host (RDSH) erläutert. Zum Zeitpunkt der Erstellung dieses Artikels stehen Private Netzwerke als Public Preview zur Verfügung. Das gezeigte Vorgehen lässt sich auf weitere lokale Ressourcen übertragen. Voraussetzungen und Lizenzierung Profil für privaten Zugriff Intelligent Local Access kommt in Szenarien zum Einsatz, in denen Microsoft Entra Private Access verwendet wird. Entsprechend ist ein konfiguriertes privates Zugriffsprofil in Global Secure Access erforderlich, um Ressourcen über Private Netzwerke zu definieren.Eine vollständige Anleitung zur Einrichtung von Microsoft Entra Private Access ist hier zu finden:Microsoft Entra Private Access: sicherer Zugriff auf interne Ressourcen und Cloud-Dienste ohne VPN – cloudkaffee.ch Lizenzen Für Intelligent Local Access (ILA) ist keine zusätzliche Lizenz erforderlich. Das Feature ist Bestandteil von Microsoft Entra Global Secure Access und wird in Verbindung mit Microsoft Entra Private Access eingesetzt. Rollen Um Intelligent Local Access (ILA) zu konfigurieren, ist folgende Rolle nach dem Prinzip der geringsten Berechtigungen geeignet: Rolle Berechtigung Global Secure Access-Administrator Erstellen und Verwaltung von Global Secure Access Intelligent Local Access aktivieren Bevor Intelligent Local Access (ILA) genutzt werden kann, muss Microsoft Entra Global Secure Access erkennen, ob sich das Zugriffsziel im lokalen Netzwerk befindet. Diese Erkennung erfolgt über die DNS-Namensauflösung und die daraus resultierende IP-Adresse. Löst ein für das Private Netzwerk definierter DNS-Server die Zieladresse auf und liegt die IP-Adresse innerhalb der konfigurierten IP-Adressdefinition, erkennt Microsoft Entra Global Secure Access das Ziel als lokal. Der Dienst leitet den Datenverkehr in diesem Fall direkt zum Ziel und umgeht den cloudbasierten Security Service Edge (SSE), während der Global Secure Access Client aktiv bleibt und Microsoft Entra ID weiterhin Identität und Richtlinien auswertet. Der Intelligent Local Access (ILA) erfordert die Konfiguration von Privaten Netzwerken im Microsoft Entra Admin Center. Microsoft Entra Admin Center (https://entra.microsoft.com) > Globaler sicherer Zugriff > Verbinden > Private Netzwerke > Privates Netzwerk hinzufügen Das private Netzwerk wie folgt konfigurieren: Konfiguration für das private Netzwerk mit Erstellen (7) abschliessen. Das private Netzwerk steht nun zur Verfügung. Global Secure Access ist nun in der Lage, lokale Ressourcen zu erkennen und den Datenverkehr direkt zum Ziel zu senden und umgeht den Umweg über den Security Service Edge (SSE). Datenfluss auf dem Client prüfen Mit der erweiterten Diagnose im Global Secure Access Client lässt sich der Datenfluss nachverfolgen. In diesem Beispiel erfolgt die Auswertung des Datenverkehrs für eine Remotedesktopverbindung zum Server cclvsrts001.int.cloudcoffee.ch. Global Secure Access Client starten > Troubleshooting > Collect advanced logs Im Register Traffic (1) den Filter (2) wie folgt setzen: Die Aufzeichnung des Datenverkehrs mit Start collecting (3) beginnen. Beim Herstellen der Verbindung zeigt sich, dass der Datenverkehr auf direktem Weg zum Server fliesst. Wenn die gleiche Verbindung nicht über Intelligent Local Access angesprochen werden kann, sieht dies in der Datenverkehrsaufzeichnung folgendermassen aus. Fazit Intelligent Local Access (ILA) erweitert Microsoft Entra Global Secure Access um eine gezielte Optimierung für lokale Zugriffsszenarien. Lokale Ressourcen bleiben lokal erreichbar, ohne auf die konsistente Auswertung von Identität, Gerätestatus und Richtlinien durch Microsoft Entra ID zu verzichten. Unnötige Umwege über den Security Service Edge werden vermieden, Latenzen reduziert und die Benutzererfahrung verbessert.
Der Beitrag Intelligent Local Access in Microsoft Entra Global Secure Access erschien zuerst auf cloudkaffee.ch
|
|
06.02.2026 - 16:00:00
|
|
https://www.cloudkaffee.ch/microsoft-365/intelligent-local-access-microsoft-entr ...
|
|
|
|
|
|
|
|
|
