Průvodce nasazením Microsoft Global Secure Access pro Microsoft Entra Internet Access

Microsoft Global Secure Access slučuje řízení přístupu k sítím, identitám a koncovým bodům pro bezpečný přístup k jakékoliv aplikaci nebo prostředku z jakéhokoliv umístění, zařízení nebo identity. Umožňuje a orchestruje správu zásad přístupu pro firemní zaměstnance. V reálném čase můžete nepřetržitě monitorovat a upravovat přístup uživatelů k vašim soukromým aplikacím, aplikacím SaaS (Software-as-a-Service) a koncovým bodům Microsoftu. Toto řešení vám pomůže správně reagovat na změny na úrovni oprávnění a rizika, když k nim dojde.

S aplikací Microsoft Entra Internet Access můžete řídit a spravovat přístup k internetu podnikovým uživatelům se spravovanými zařízeními, když pracují místně nebo vzdáleně. Pomůže vám:

• Chraňte podnikové uživatele a spravovaná zařízení před škodlivým internetovým provozem a napadením malwaru.
• Zastavte uživatelům přístup k webům na základě kategorie webu nebo plně kvalifikovaného názvu domény.
• Shromážděte data o používání internetu pro zprávy a podporu vyšetřování.

Pokyny v tomto článku vám pomůžou otestovat a nasadit Microsoft Entra Internet Access ve vašem produkčním prostředí. úvodní příručka pro nasazení globálního zabezpečeného přístupu od Microsoftu obsahuje pokyny k zahájení, plánování, spuštění, monitorování a zavření projektu nasazení globálního zabezpečeného přístupu.

Identifikace a plánování klíčových případů použití

Než povolíte Aplikaci Microsoft Entra Internet Access, naplánujte, co chcete udělat za vás. Seznamte se s případy použití, například následujícími, a rozhodněte se, které funkce se mají nasadit.

• Definujte základní zásadu, která se vztahuje na veškerý provoz internetového přístupu směrovaný přes službu.
• Zabraňte konkrétním uživatelům a skupinám v používání spravovaných zařízení pro přístup k webům podle kategorií (například alkohol a tabák nebo sociální média). Microsoft Entra Internet Access poskytuje více než 60 kategorií, ze kterých si můžete vybrat.
• Zabránit uživatelům a skupinám v používání spravovaných zařízení pro přístup ke konkrétním plně kvalifikovaným názvům domén (FQDN).
• Nastavte zásady pro překonání, aby umožnily skupinám uživatelů přístup ke stránkám, které by jinak blokovala pravidla filtrování webu.
• Rozšíření možností microsoft Entra Internet Access do celých sítí, včetně zařízení, která nepoužívají klienta globálního zabezpečeného přístupu
  • Simulace vzdáleného síťového připojení pomocí vzdálené virtuální sítě WAN (Virtual Wide Area Network)
  • Simulace vzdáleného síťového připojení pomocí brány virtuální sítě Azure (VNG)

Jakmile porozumíte možnostem, které v případech použití potřebujete, vytvořte inventář pro přidružení uživatelů a skupin k těmto možnostem. Zjistěte, kteří uživatelé a skupiny mají blokovat nebo povolit přístup ke kterým webovým kategoriím a plně kvalifikovaným názvům domén. Zahrňte stanovení priorit pravidel pro každou skupinu uživatelů.

Testování a nasazení aplikace Microsoft Entra Internet Access

V tomto okamžiku jste dokončili fáze zahájení a plánování projektu nasazení SASE (Secure Access Services Edge). Rozumíte tomu, co potřebujete implementovat pro koho. Určili jste, které uživatele povolit v každé vlně. Máte plán nasazení každé vlny. Splnili jste licenční požadavky . Jste připraveni povolit Microsoft Entra Internet Access.

1. Dokončete požadavky globálního zabezpečeného přístupu.
2. Vytvoření skupiny Microsoft Entra, která zahrnuje vaše pilotní uživatele.
3. Povolte profily přístupu k internetu Microsoft Entra a přesměrování provozu Microsoft. Přiřaďte pilotní skupinu ke každému profilu.

Poznámka

Provoz Microsoftu je podmnožinou internetového provozu, který má vlastní vyhrazenou bránu tunelu. Pokud chcete dosáhnout optimálního výkonu, povolte Microsoft Traffic s profilem internetového provozu.

1. Vytvořte komunikaci koncových uživatelů, která nastaví očekávání a poskytne cestu eskalace.

2. Vytvořte plán vrácení zpět, který definuje okolnosti a postupy, kdy z uživatelského zařízení odeberete klienta globálního zabezpečeného přístupu nebo zakážete profil předávání přenosů.

3. Odeslat komunikaci koncového uživatele

4. Nasaďte klienta Global Secure Access pro Windows na zařízeních, kde je pilotní skupina otestuje.

5. Nakonfigurujte vzdálené sítě pomocí vWAN nebo VNG, pokud jsou v rozsahu.

6. Nakonfigurujte zásady filtrování webového obsahu tak, aby povolovaly nebo blokovaly kategorie nebo plně kvalifikované názvy domén na základě případů použití, které jste definovali při plánování.

   • Blokovat podle kategorie: Definujte pravidlo, které blokuje jednu z mnoha předdefinovaných spravovaných kategorií.
   • Blokovat podle plně kvalifikovaného názvu domény: definujte pravidlo, které blokuje zadaný plně kvalifikovaný název domény.
   • Definujte pravidlo pro přepsání, které povoluje vámi zadanou webovou kategorii nebo plně kvalifikovaný název domény.

7. Vytvořte profily zabezpečení, které seskupují a upřednostňují zásady filtrování webového obsahu na základě vašeho plánu.

   • Profil směrného plánu: Pomocí funkce profilu směrného plánu můžete seskupit zásady filtrování webového obsahu, které se ve výchozím nastavení vztahují na všechny uživatele.
   • Profily zabezpečení: Vytvořte profily zabezpečení pro seskupování zásad filtrování webového obsahu, které se vztahují na podmnožinu uživatelů.

8. Vytvořte a propojte zásady podmíněného přístupu pro použití vašich profilů zabezpečení na pilotní skupinu. Výchozí základní profil nevyžaduje zásady podmíněného přístupu.

9. Požádejte pilotní uživatele, aby vaši konfiguraci otestovali.

10. Potvrďte aktivitu v protokolech globálního zabezpečeného přístupu.

11. Aktualizujte konfiguraci a vyřešte případné problémy a opakujte test. V případě potřeby použijte záložní plán.

12. Podle potřeby iterujte změny v plánu komunikace a nasazení koncového uživatele.

Po dokončení pilotního nasazení máte opakovatelný proces, abyste pochopili, jak pokračovat v každé vlně uživatelů v produkčním nasazení.

1. Identifikujte skupiny, které obsahují vaši vlnu uživatelů.
2. Upozorněte tým podpory na naplánovanou vlnu a její zahrnuté uživatele.
3. Pošlete připravenou komunikaci koncových uživatelů podle vašeho plánu.
4. Přiřaďte skupiny k profilu přesměrování provozu Microsoft Entra Internet Access.
5. Nasaďte globálního klienta zabezpečeného přístupu na zařízeních, která uživatelé v této vlně používají.
6. V případě potřeby vytvořte a nakonfigurujte další zásady filtrování webového obsahu tak, aby povolovaly nebo blokovaly kategorie nebo plně kvalifikované názvy domén na základě případů použití, které jste definovali v plánu.
7. V případě potřeby vytvořte další profily zabezpečení, které seskupují a upřednostňují zásady filtrování webového obsahu na základě vašeho plánu.
8. Vytvořte zásady podmíněného přístupu pro použití nových profilů zabezpečení u příslušných skupin v této vlně nebo přidejte nové skupiny uživatelů do stávajících zásad podmíněného přístupu pro existující profily zabezpečení.
9. Aktualizujte konfiguraci. Znovu otestujte a vyřešte problémy. V případě potřeby zahajte plán rollback (vrácení zpět).
10. Podle potřeby iterujte změny v plánu komunikace a nasazení koncového uživatele.

Další kroky

• Zjistěte, jak urychlit přechod na model zabezpečení nulové důvěryhodnosti s využitím sady Microsoft Entra Suite a sjednocené platformy pro provoz zabezpečení od Microsoftu
• Úvod do globálního průvodce nasazením zabezpečeného přístupu od Microsoftu
• Průvodce nasazením Microsoft Global Secure Access pro Microsoft Entra Private Access
• Průvodce nasazením služby Microsoft Global Secure Access pro Microsoft Traffic
• Simulace vzdáleného síťového připojení pomocí brány virtuální sítě Azure – Global Secure Access
• Simulujte vzdálené síťové připojení pomocí Azure vWAN – Global Secure Access
• úvod do globálního průvodce testováním konceptu zabezpečeného přístupu](gsa-poc-guidance-intro.md)
• pokyny k ověření konceptu globálního zabezpečení přístupu – Konfigurace privátního přístupu Microsoft Entra
• Pokyny k ověření konceptu globálního zabezpečení přístupu – Konfigurace Microsoft Entra Internet Access