Freigeben über

Bereitstellungsleitfaden für den globalen sicheren Zugriff von Microsoft für Microsoft Entra Internet Access

  • Artikel

Microsoft Global Secure Access vereint Netzwerk-, Identitäts- und Endpunktzugriffssteuerungen für den sicheren Zugriff auf jede App oder Ressource von jedem Standort, Gerät oder jeder Identität aus. Sie ermöglicht und koordiniert die Zugriffsrichtlinienverwaltung für Unternehmensmitarbeiter. Sie können den Benutzerzugriff auf Ihre privaten Apps, SaaS-Apps (Software-as-a-Service) und Microsoft-Endpunkte kontinuierlich überwachen und in Echtzeit anpassen. Diese Lösung hilft Ihnen, entsprechend auf Änderungen auf Berechtigungs- und Risikostufen zu reagieren, sobald sie auftreten.

Mit Microsoft Entra Internet Access können Sie den Internetzugriff für Unternehmensbenutzer mit verwalteten Geräten steuern und verwalten, wenn sie lokal oder remote arbeiten. Dies hilft Ihnen bei:

  • Schützen Sie Ihre Unternehmensbenutzer und verwalteten Geräte vor bösartigem Internetdatenverkehr und Schadsoftwareinfektion.
  • Verhindern Sie, dass Benutzer auf Websites basierend auf Webkategorie oder vollqualifiziertem Domänennamen zugreifen.
  • Sammeln Sie Internetnutzungsdaten für Berichte und Supportuntersuchungen.

Die Anleitung in diesem Artikel hilft Ihnen, Microsoft Entra Internet Access in Ihrer Produktionsumgebung zu testen und zu implementieren. In der Einführung in den Bereitstellungsleitfaden für den globalen sicheren Zugriff von Microsoft finden Sie Anleitungen zum Initiieren, Planen, Ausführen, Überwachen und Abschließen Ihres Projekts zur Bereitstellung des globalen sicheren Zugriffs.

Identifizieren und Planen von wichtigen Anwendungsfällen

Bevor Sie Microsoft Entra Internet Access aktivieren, planen Sie, was sie für Sie tun soll. Verstehen Sie Anwendungsfälle, z. B. die folgenden, um zu entscheiden, welche Features bereitgestellt werden sollen.

  • Definieren Sie eine Basisrichtlinie, die für den gesamten Internet-Datenverkehr gilt, der über den Dienst weitergeleitet wird.
  • Verhindern, dass bestimmte Benutzer und Gruppen verwaltete Geräte verwenden, um nach Kategorie (z. B. Alkohol und Tabak oder Soziale Medien) auf Websites zuzugreifen. Microsoft Entra Internet Access bietet mehr als 60 Kategorien, aus denen Sie auswählen können.
  • Verhindern, dass Benutzer und Gruppen verwaltete Geräte verwenden, um auf bestimmte vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDN) zuzugreifen.
  • Konfigurieren Sie Außerkraftsetzungsrichtlinien, damit Gruppen von Benutzern auf Websites zugreifen können, die Ihre Webfilterregeln andernfalls blockieren würden.
  • Erweitern Sie die Funktionen von Microsoft Entra Internet Access auf gesamte Netzwerke, einschließlich Geräten, die nicht den Global Secure Access-Client ausführen.

Nachdem Sie die erforderlichen Funktionen in Ihren Anwendungsfällen verstanden haben, erstellen Sie einen Bestand, um Ihre Benutzer und Gruppen diesen Funktionen zuzuordnen. Verstehen, welche Benutzer und Gruppen den Zugriff auf welche Webkategorien und FQDNs blockieren oder zulassen sollen. Schließen Sie die Regelpriorisierung für jede Benutzergruppe ein.

Testen und Bereitstellen von Microsoft Entra Internet Access

An diesem Punkt haben Sie die Initiierungs- und Planungsphasen Ihres Secure Access Services Edge (SASE)-Bereitstellungsprojekts abgeschlossen. Sie wissen, was Sie für wen implementieren müssen. Sie haben definiert, welche Benutzer in jeder Welle aktiviert werden sollen. Sie haben einen Zeitplan für die Bereitstellung der einzelnen Wellen eingerichtet. Sie erfüllen die Lizenzanforderungen. Sie sind bereit, Microsoft Entra Internet Access zu aktivieren.

  1. Schließen Sie die Voraussetzungen für den globalen sicheren Zugriff ab.
  2. Erstellen einer Microsoft Entra-Gruppe, die Ihre Pilotbenutzer umfasst.
  3. Aktivieren Sie die Weiterleitungsprofile für Microsoft Entra Internet Access- und Microsoft-Datenverkehr. Weisen Sie Ihre Pilotgruppe jedem Profil zu.

Anmerkung

Microsoft-Datenverkehr ist eine Teilmenge des Internetdatenverkehrs, der über ein eigenes dediziertes Tunnelgateway verfügt. Um eine optimale Leistung zu erzielen, aktivieren Sie Microsoft-Datenverkehr mit dem Internet Access-Datenverkehrsprofil.

  1. Erstellen Sie die Kommunikation mit Endnutzern, um Erwartungen festzulegen und einen Eskalationspfad bereitzustellen.

  2. Erstellen Sie einen Rollback-Plan, der die Umstände und Verfahren für das Entfernen des Global Secure Access-Clients von einem Benutzergerät definiert oder das Verkehrsweiterleitungsprofil deaktiviert.

  3. Endbenutzerkommunikation senden.

  4. Stellen Sie den Global Secure Access-Client für Windows auf Geräten bereit, damit Ihre Pilotgruppe den Client testen kann.

  5. Konfigurieren Sie Remotenetzwerke mithilfe von vWAN oder VNG, sofern im Bereich.

  6. Konfigurieren Sie Webinhaltsfilterrichtlinien, um Kategorien oder FQDNs basierend auf den Anwendungsfällen zuzulassen oder zu blockieren, die Sie während der Planung definiert haben.

    • Block nach Kategorie: Definieren einer Regel, die eine von vielen vordefinierten verwalteten Kategorien blockiert
    • Blockierung nach FQDN: Definieren Sie eine Regel, die einen von Ihnen angegebenen FQDN blockiert.
    • Außerkraftsetzung: Definieren Sie eine Regel, die eine(n) von Ihnen angegebene(n) Webkategorie oder FQDN zulässt.

  7. Erstellen Sie Sicherheitsprofile, die Ihre Richtlinien für Webinhaltsfilterung basierend auf Ihrem Plan gruppieren und priorisieren.

    • Basisprofil: Verwenden Sie die Basisprofilfunktion, um Webinhaltsfilterrichtlinien zusammenzufassen, die standardmäßig auf alle Benutzer angewendet werden.
    • Sicherheitsprofile: Erstellen Von Sicherheitsprofilen zum Gruppieren von Webinhaltsfilterrichtlinien, die für eine Teilmenge von Benutzern gelten.

  8. Erstellen und verknüpfen Sie Conditional Access-Richtlinien, um Ihre Sicherheitsprofile auf Ihre Pilotgruppe anzuwenden. Für das standardmäßige Baseline-Profil ist keine bedingte Zugriffsrichtlinie erforderlich.

  9. Lassen Sie Ihre Pilotbenutzer Ihre Konfiguration testen.

  10. Bestätigen Sie Aktivität in den Datenverkehrsprotokollen für globalen sicheren Zugriff.

  11. Aktualisieren Sie Ihre Konfiguration, um probleme zu beheben und den Test zu wiederholen. Verwenden Sie bei Bedarf einen Rollbackplan.

  12. Durchlaufen Sie bei Bedarf Änderungen an den Mitteilungen für Endbenutzende und am Bereitstellungsplan.

Nach Abschluss des Pilotprojekts haben Sie einen wiederholbaren Prozess, um zu verstehen, wie Sie mit jeder Welle von Benutzern in Ihrem Produktiveinsatz fortfahren können.

  1. Identifizieren Sie die Gruppen, die Ihre Benutzerwelle enthalten.
  2. Benachrichtigen Sie das Supportteam über die geplante Welle und die enthaltenen benutzenden Personen.
  3. Senden Sie vorbereitete Endbenutzerkommunikation gemäß Ihrem Plan.
  4. Weisen Sie die Gruppen dem Microsoft Entra Internet Access-Profil für die Datenverkehrsweiterleitung zu.
  5. Stellen Sie den Client für globalen sicheren Zugriff auf den Geräten der Benutzenden in dieser Welle bereit.
  6. Erstellen und konfigurieren Sie bei Bedarf weitere Webinhaltsfilterrichtlinien, um Kategorien oder FQDNs basierend auf den Anwendungsfällen zuzulassen oder zu blockieren, die Sie in Ihrem Plan definiert haben.
  7. Erstellen Sie bei Bedarf weitere Sicherheitsprofile, die Ihre Webinhaltsfilterungsrichtlinien basierend auf Ihrem Plan gruppieren und priorisieren.
  8. Erstellen Sie Richtlinien für bedingten Zugriff, um neue Sicherheitsprofile auf die relevanten Gruppen in dieser Welle anzuwenden, oder fügen Sie die neuen Benutzergruppen vorhandenen Richtlinien für bedingten Zugriff für vorhandene Sicherheitsprofile hinzu.
  9. Aktualisieren Sie Ihre Konfiguration. Testen Sie es erneut, um Probleme zu beheben. Initiieren Sie bei Bedarf einen Rollbackplan.
  10. Durchlaufen Sie bei Bedarf Änderungen in den Mitteilungen für Endbenutzende und am Bereitstellungsplan.

Nächste Schritte