Sdílet prostřednictvím

Úvod do průvodce nasazením Microsoft Global Secure Access.

  • Článek

Microsoft Global Secure Access je klíčovou součástí úspěšné strategie Secure Access Service Edge (SASE). Nabízí Microsoft Entra Internet Access, Microsoft Entra Private Accessa Microsoft Traffic. Využívá rozsáhlou privátní síť a vaše investice do zásad podmíněného přístupu od Microsoftu, které vám pomůžou zabezpečit podniková data na úrovni sítě.

Tady jsou klíčové scénáře nasazení globálního zabezpečeného přístupu:

  • Stávající řešení VPN nahraďte přístupem Zero Trust Network Access (ZTNA), který zabezpečuje připojení od koncového bodu k aplikaci.
  • Zabezpečujte a monitorujte provoz Microsoftu pro místní a vzdálené zaměstnance.
  • Zabezpečte a monitorujte internetový provoz pro místní i vzdálené zaměstnance.

Tento průvodce nasazením vám pomůže naplánovat a nasadit globální zabezpečený přístup Microsoftu. Informace o licencování najdete v přehledu globálního zabezpečeného přístupu . I když je většina služeb obecně dostupná (GA), některé části služby jsou ve verzi Public Preview. ​

Testování konceptu

Proveďte testování konceptu (PoC), abyste zajistili, že vámi zvolené řešení poskytuje požadované funkce a možnosti připojení.

V závislosti na tom, které možnosti plánujete nasadit v PoC pro globální zabezpečený přístup Microsoftu, potřebujete až sedm hodin. Ujistěte se, že jste splnili licenční požadavky .

  • Konfigurace požadavků: Jedna hodina
  • Konfigurace počátečního produktu: 20 minut
  • Konfigurace vzdálené sítě: 1 až 2 hodiny
  • Nasazení a testování profilu Microsoft Traffic: Jedna hodina
  • Nasazení a testování aplikace Microsoft Entra Internet Access: jedna hodina
  • Nasazení a testování privátního přístupu Microsoft Entra: Jedna hodina
  • Zavřít PoC: 30 minut

Zahájení projektu globálního zabezpečeného přístupu

Inicializace projektu je prvním krokem v každém úspěšném projektu. Na začátku zahájení projektu jste se rozhodli implementovat globální zabezpečený přístup Microsoftu. Úspěch projektu závisí na vás, abyste porozuměli požadavkům, definovali kritéria úspěchu a zajistili odpovídající komunikaci. Nezapomeňte spravovat očekávání, výsledky a zodpovědnosti.

Identifikace obchodních požadavků, výsledků a kritérií úspěchu

Identifikujte obchodní požadavky, výsledky a kritéria úspěchu, abyste přesně vysvětlili, co potřebujete k dosažení kritérií úspěchu. Například:

  • Jaký je klíčový výsledek, kterého potřebujete k dosažení tohoto projektu?
  • Jak plánujete nahradit síť VPN?
  • Jak plánujete zabezpečit provoz Microsoftu?
  • Jak plánujete zabezpečit internetový provoz?

Po identifikaci primárních scénářů si projděte podrobnosti:

  • Ke kterým aplikacím potřebují uživatelé přístup?
  • Které weby potřebují řízení přístupu?
  • Co je povinné a co je volitelné?

Během této fáze vytvořte inventář, který popisuje uživatele, zařízení a klíčové aplikace v oboru. Pokud chcete nahradit síť VPN, začněte rychlým přístupem, abyste identifikovali soukromé aplikace, ke kterým uživatelé potřebují přístup, abyste je mohli definovat v privátním přístupu Microsoft Entra.

Definování plánu

Projekt je úspěšný po dosažení požadovaných výsledků v rámci rozpočtových a časových omezení. Identifikujte výsledné cíle podle data, čtvrtletí nebo roku. Spolupracujte se zúčastněnými stranami a seznamte se s konkrétními milníky, které definují cíle výsledků. Definujte požadavky na kontrolu a kritéria úspěchu pro každý cíl. Vzhledem k tomu, že globální zabezpečený přístup Microsoftu se neustále vyvíjí, mapují se požadavky na fáze vývoje funkcí.

Identifikace zúčastněných stran

Identifikujte a zdokumentujte zúčastněné strany, role a zodpovědnosti pro osoby, které hrají roli ve vašem projektu ZTNA. Názvy a role se můžou lišit od jedné organizace od druhé; oblasti vlastnictví jsou však podobné. Vezměte v úvahu role a zodpovědnosti v následující tabulce a identifikujte odpovídající zúčastněné strany. Distribuujte takovou tabulku vedení, zúčastněným stranám a vašemu týmu.

Role Odpovědnost
Sponzor Vedoucí vedoucí organizace s oprávněním schválit a/nebo přiřadit rozpočet a zdroje Spojuje manažery a vedoucí týmy. Technický rozhodovací nástroj pro implementaci produktů a funkcí
Koncoví uživatelé Lidé, pro které službu implementujete. Může se účastnit pilotního programu.
Správce podpory IT Poskytuje zpětnou vazbu k schůdnosti navržené změny.
Architekt identity Definuje, jak se změna shoduje s infrastrukturou správy identit. Rozumí aktuálnímu prostředí.
Vlastník firmy aplikace Vlastní dotčené aplikace, které mohou zahrnovat správu přístupu. Poskytuje vstup do uživatelského prostředí.
Vlastníci zabezpečení Potvrdí, že plán změn splňuje požadavky na zabezpečení.
Správce sítě Dohlíží na síťové funkce, výkon, zabezpečení a přístupnost.
Správce dodržování předpisů Zajišťuje soulad s podnikovými, průmyslovými a vládními požadavky.
Technický programový manažer Dohlíží na projekt, spravuje požadavky, koordinuje pracovní proudy a zajišťuje dodržování plánu a rozpočtu. Usnadňuje komunikační plán a zprávy.
Tým SOC/CERT Potvrzuje požadavky na protokol a sestavy pro proaktivní vyhledávání hrozeb.
Správce tenanta Koordinuje vlastníky IT a technické zdroje zodpovědné za změny tenanta Microsoft Entra v celém projektu.
Nasazovací tým Provádí úlohy nasazení a konfigurace.

Vytvoření grafu RACI

Odpovědné, zodpovědné, konzultované, informované (RACI) odkazuje na definice rolí a odpovědností. V případě projektů a projektů a procesů napříč funkcemi nebo oddělení definujete a objasníte role a zodpovědnosti v grafu RACI.

  1. Stáhněte si šablonu RACI pro průvodce nasazením globálního zabezpečeného přístupu jako výchozí bod.
  2. Namapujte role a odpovědnosti Responsible, Accountable, Consulted, Informed na pracovní toky projektu.
  3. Distribuujte diagram RACI zúčastněným stranám a zajistěte, aby porozuměli přiřazením.

Vytvoření komunikačního plánu

Komunikační plán vám pomůže správně, proaktivně a pravidelně komunikovat se zúčastněnými stranami.

  • Zadejte relevantní informace o plánech nasazení a stavu projektu.
  • Definujte účel a frekvenci komunikace s jednotlivými zúčastněnými stranami v grafu RACI.
  • Určete, kdo vytváří a distribuuje komunikaci spolu s mechanismy sdílení informací. Správce komunikace například udržuje koncové uživatele aktuální o čekajících a aktuálních změnách e-mailem a na určeném webu.
  • Uveďte informace o změnách uživatelského prostředí a o tom, jak můžou uživatelé získat podporu. Projděte si ukázkové šablony komunikace koncových uživatelů:

Vytvoření plánu řízení změn

Plány se můžou měnit, protože projektový tým shromažďuje informace a podrobnosti. Vytvořte plán řízení změn, který popíše zúčastněným stranám:

  • procesy a postupy žádosti o změnu.
  • jak porozumět dopadu změn.
  • odpovědnost za kontrolu a schválení.
  • co se stane, když změna vyžaduje více času nebo prostředků.

Dobrý plán řízení zajišťuje, aby týmy věděly, co dělat, když jsou potřeba změny.

Vytvoření plánu uzavření projektu

Každé uzavření projektu vyžaduje závěrečné vyhodnocení projektu. Identifikujte metriky a informace, které se mají zahrnout do této kontroly, abyste mohli pravidelně shromažďovat správná data po celou dobu životnosti projektu. Plán uzavření projektu vám pomůže efektivně vytvořit váš souhrn získaných poznatků.

Získání konsensu účastníků

Po dokončení úkolů zahájení projektu spolupracujte s jednotlivými zúčastněnými stranami, abyste zajistili, že plány splňují jejich konkrétní potřeby. Zabraňte nedorozuměním a překvapením díky oficiálnímu schvalovacímu procesu, který dokumentuje konsensus a písemné schválení. Zahajte úvodní schůzku, která se zabývá rozsahem a podrobnostmi v referenční dokumentaci.

Plánování projektu globálního zabezpečeného přístupu

Vytvoření podrobného plánu projektu

Vytvořte podrobný plán projektu s milníky, které jste identifikovali při zahájení projektu. Nastavení realistických očekávání pomocí plánů nepředvídaných událostí pro splnění klíčových milníků:

  • Testování konceptu (PoC)
  • Datum pilotního nasazení
  • Datum spuštění
  • Data, která ovlivňují doručení
  • Závislosti

Do plánu projektu uveďte tyto informace:

  • Podrobná struktura rozpisu práce s daty, závislostmi a kritickou cestou

    • Maximální počet uživatelů, kteří mají být převedeni v každé vlně na základě očekávaného zatížení podpory
    • Časový rámec pro každou vlnu nasazení (například proříznout vlnu každé pondělí)
    • Konkrétní skupiny uživatelů v každé vlně nasazení (nesmí překročit maximální počet)
    • Aplikace, které uživatelé vyžadují (nebo používají Rychlý přístup)

  • Členové týmu přiřazení k jednotlivým úkolům

Vytvoření plánu řízení rizik

Vytvořte plán řízení rizik, který se připraví na nepředvídané události, které by mohly mít vliv na data a rozpočet.

  • Identifikujte kritickou cestu a povinné klíčové výsledky.
  • Pochopte rizika pracovních proudů.
  • Záložní plány pro dokumenty, abychom zůstali na správné cestě, když nastanou nečekané situace.

Definování kritérií úspěšnosti výkonu

Definujte přijatelné metriky výkonu pro objektivní testování a zajistěte, aby vaše nasazení proběhlo úspěšně a uživatelské prostředí bylo v rámci parametrů. Zvažte zahrnutí následujících metrik.

Privátní přístup Microsoft Entra

  • Je výkon sítě v rámci definovaných parametrů?

    • Řídicí panel Global Secure Access poskytuje vizualizace síťového provozu, které získávají Microsoft Entra Private a Microsoft Entra Internet Access. Zkompiluje data z konfigurací sítě, včetně zařízení, uživatelů a tenantů.
    • Použijte Monitorování sítě v protokolech služby Azure Monitor pro monitorování a analýzu síťového připojení, stavu okruhu ExpressRoute a cloudového síťového provozu.

  • Všimli jste si zvýšení latence během pilotního nasazení? Máte požadavky na latenci specifické pro aplikace?

  • Funguje jednotné přihlašování k vašim klíčovým aplikacím správně?

  • Zvažte spuštění průzkumů spokojenosti uživatelů a přijetí uživatelů.

Provoz Microsoftu

  • Je výkon sítě v rámci definovaných parametrů?

    • Řídicí panel Global Secure Access poskytuje vizualizace síťového provozu, které získávají Microsoft Entra Private a Microsoft Entra Internet Access. Zkompiluje data z konfigurací sítě, včetně zařízení, uživatelů a tenantů.
    • Pomocí posouzení sítě Microsoft 365 destilujte souhrnné metriky výkonu sítě do přehledného snímku stavu obvodové sítě vašeho podniku.
    • Pomocí testu připojení k síti Microsoft 365 můžete měřit připojení mezi vaším zařízením a internetem a odtud do sítě Microsoftu.

  • Všimli jste si během pilotního nasazení nějaké zvýšení latence?

  • Zvažte spuštění průzkumu spokojenosti uživatelů.

  • Zvažte spuštění průzkumu přijetí uživatelem.

Microsoft Entra Přístup k Internetu

Plánování scénářů vrácení zpět

Při práci s produkčním nasazením a aktivním zvýšením počtu uživatelů s Microsoftem Security Service Edge můžete zjistit neočekávané nebo neotestované scénáře, které negativně ovlivňují koncové uživatele. Plánování negativního dopadu:

  • Definujte proces pro koncové uživatele, který bude hlásit problémy.
  • Definujte postup pro vrácení nasazení pro konkrétní uživatele nebo skupiny nebo zakažte profil provozu.
  • Definujte postup pro vyhodnocení toho, co se nepovedlo, identifikujte nápravné kroky a komunikujte se zúčastněnými stranami.
  • Připravte se na otestování nových konfigurací před produkčním nasazením, které pokračuje v následných vlnách uživatelů.

Provedení plánu projektu

Získání oprávnění

Ujistěte se, že správci, kteří pracují s globálního zabezpečeného přístupu mají přiřazené správné role.

Příprava týmu podpory IT

Zjistěte, jak uživatelé získají podporu, když mají dotazy nebo problémy s připojením. Vypracujte samoobslužnou dokumentaci, aby se snížil tlak na váš tým podpory IT. Ujistěte se, že tým podpory IT obdrží školení pro připravenost nasazení. Zahrňte je do komunikace koncových uživatelů, aby znali plány fázovaných migrací, ovlivněné týmy a aplikace v oboru. Pokud chcete zabránit nejasnostem v uživatelské bázi nebo v rámci podpory IT, vytvořte proces pro zpracování a eskalaci žádostí o podporu uživatelů.

Provedení pilotního nasazení

Vzhledem k uživatelům, zařízením a aplikacím v rozsahu pro vaše produkční nasazení začněte s malou testovací skupinou. Doladěte proces komunikace, nasazení, testování a podpory vaší fázové implementace. Než začnete, zkontrolujte a ověřte, že máte splněny všechny předpoklady.

Zajistěte registraci zařízení ve vaší organizaci. Řiďte se pokyny v Naplánujte nasazení zařízení Microsoft Entra. Pokud vaše organizace používá Intune, postupujte podle pokynů v tématu Správa a zabezpečení zařízení v Intune.

Doporučení pro volitelné požadavky

Zdroje v následující tabulce poskytují podrobné úlohy plánování a provádění pro každý volitelný požadavek.

Nepovinný požadavek Zdroj
Zabezpečte přístup k microsoft Trafficu. Plán nasazení datového provozu Microsoftu
Nahraďte svou síť VPN řešením nulové důvěryhodnosti, které chrání místní prostředky pomocí profilu provozu privátního přístupu. Plán nasazení Microsoft Entra Private Access
Zabezpečte svůj internetový provoz pomocí profilu provozu Microsoft Entra Internet Access. Plán nasazení Microsoft Entra Internet Access

Pilotní nasazení by mělo zahrnovat několik uživatelů (méně než 20), kteří můžou testovat požadovaná zařízení a aplikace v oboru. Jakmile identifikujete pilotní uživatele, přiřaďte je k profilům provozu jednotlivě nebo jako skupina (doporučeno). Postupujte podle podrobných pokynů v Přiřazení uživatelů a skupin k profilům směrování provozu.

Systematicky propracujte každou identifikovanou aplikaci v oboru. Ujistěte se, že se uživatelé mohou připojit očekávaným způsobem na relevantních zařízeních. Sledujte a zdokumentujte metriky kritérií úspěšnosti výkonu. Otestujte plány a procesy komunikace. Vylaďte a iterujte podle potřeby.

Po dokončení pilotního nasazení a splnění kritérií úspěchu se ujistěte, že je tým podpory připravený na další fáze. Dokončete procesy a komunikaci. Přejděte k produkčnímu nasazení.

Nasazení do produkčního prostředí

Po dokončení všech plánů a testů by nasazení mělo být opakovatelný proces s očekávanými výsledky.

Další informace najdete v příslušných doprovodných materiálech:

Opakujte vlnová nasazení, dokud nepřevedete všechny uživatele na Microsoft Global Secure Access. Pokud používáte privátní přístup Microsoft Entra, zakáže rychlý přístup a přesměruje veškerý provoz prostřednictvím aplikací globálního zabezpečeného přístupu.

Plánování nouzového přístupu

Když je Global Secure Access mimo provoz, uživatelé nemohou získat přístup k prostředkům, které chrání kontrola sítě jím zajištěná. Skript GsaBreakglassEnforcement umožňuje podnikovým správcům přepnout povolené zásady podmíněného přístupu kompatibilní se sítí do režimu pouze pro hlášení. Skript dočasně umožňuje uživatelům přístup k těmto prostředkům bez globálního zabezpečeného přístupu.

Jakmile bude Globální zabezpečený přístup obnoven, použijte skript GsaBreakglassRecovery k zapnutí všech ovlivněných zásad.

Další důležité informace

Monitorování a řízení projektu globálního zabezpečeného přístupu

Monitorujte a kontrolujte projekt, abyste mohli řídit rizika a identifikovat problémy, které by mohly vyžadovat odchylku od plánu. Udržujte svůj projekt v přehledu a zajistěte přesnou a včasnou komunikaci se zúčastněnými stranami. Vždy přesně vyplňujte požadavky, včas a v rámci rozpočtu.

Klíčové cíle této fáze:

  • Sledování průběhu Dokončily se úkoly podle plánu? Pokud ne, proč ne? Jak se vrátíte zpět na stopu?
  • Zjišťování problémů Došlo k problémům (například neplánovaná dostupnost prostředků nebo jiné nepředvídatelné problémy)? Vyžadovaly požadované změny příkazy změn?
  • Monitorování efektivity Identifikovali jste v definovaných procesech vnitřní neekicienci? Když monitorování odhalí neekicienci, jak vyladit přístup k projektu?
  • Potvrzení komunikace. Byli účastníci spokojení s vaší frekvencí komunikace a úrovní podrobností? Pokud ne, jak se přizpůsobujete?

Vytvořte týdenní plán a kontrolu podrobností projektu. Věnujte pozornost kritickým milníkům. Vytvořte odpovídající komunikaci všem zúčastněným stranám a sbírejte data pro závěrečné zprávy o projektu.

Zavření projektu globálního zabezpečeného přístupu

Blahopřejeme! Dokončili jste nasazení globálního zabezpečeného přístupu Microsoftu. Spojte volné konce a zavřete projekt:

  • Shromážděte zpětnou vazbu od zúčastněných stran, abyste pochopili, jestli tým splnil očekávání a potřeby.
  • Pomocí dat, která jste shromáždili v průběhu fáze provádění (jak je definováno během inicializace projektu), použijte k vývoji požadovaných prostředků uzavření. Například hodnocení projektů, získané poznatky a prezentace po ukončení projektu.
  • Archivovat podrobnosti projektu pro referenci na podobné budoucí projekty.

Další kroky