Freigeben über

Einführung in das Bereitstellungshandbuch für den globalen sicheren Zugriff von Microsoft

  • Artikel

Microsoft Global Secure Access ist eine wichtige Komponente einer erfolgreichen SasE-Strategie (Secure Access Service Edge). Es verfügt über Microsoft Entra Internet Access, Microsoft Entra Private Access und Microsoft Traffic. Es verwendet das große private Fernnetz von Microsoft und Ihre Investition in Richtlinien für bedingten Zugriff, um Ihre Unternehmensdaten auf Netzwerkebene zu sichern.

Hier sind die wichtigsten Global Secure Access-Bereitstellungsszenarien:

  • Ersetzen Sie vorhandene VPN-Lösungen durch einen Zero Trust Network Access (ZTNA)-Ansatz, der sichere Konnektivität von Endpunkt zu Anwendung bietet.
  • Sichern und Überwachen des Microsoft-Datenverkehrs für Mitarbeitende vor Ort und Remotemitarbeitende.
  • Sichern und Überwachen des Internetdatenverkehrs für Mitarbeitende vor Ort und Remotemitarbeitende.

Dieser Bereitstellungsleitfaden hilft Ihnen beim Planen und Bereitstellen des globalen sicheren Zugriffs von Microsoft. Informationen zur Lizenzierung finden Sie unter Übersicht über die Lizenzierung für Global Secure Access. Während die meisten Dienste allgemein verfügbar sind (GA), befinden sich einige Teile des Diensts in der öffentlichen Vorschau. ​

Durchführen eines Proof of Concept

Führen Sie einen Proof of Concept (PoC) durch, um sicherzustellen, dass die von Ihnen ausgewählte Lösung die erforderlichen Features und Konnektivität bereitstellt.

Je nachdem, welche Funktionen Sie in einem PoC für den globalen sicheren Zugriff von Microsoft bereitstellen möchten, benötigen Sie bis zu sieben Stunden. Stellen Sie sicher, dass Sie die Lizenzierungsanforderungen erfüllen.

  • Konfigurieren der Voraussetzungen: eine Stunde
  • Konfigurieren des ersten Produkts: 20 Minuten
  • Konfigurieren des Remotenetzwerks: 1 bis 2 Stunden
  • Bereitstellen und Testen des Microsoft Traffic-Profils: Eine Stunde
  • Bereitstellen und Testen von Microsoft Entra Internet Access: Eine Stunde
  • Bereitstellen und Testen von Microsoft Entra Private Access: Eine Stunde
  • PoC abschließen: 30 Minuten

Initiieren Sie Ihr globales Projekt für sicheren Zugriff

Projektinitiierung ist der erste Schritt in jedem erfolgreichen Projekt. Am Anfang der Projektinitiierung haben Sie beschlossen, Microsoft Global Secure Access zu implementieren. Der Projekterfolg hängt davon ab, dass Sie die Anforderungen verstehen, Erfolgskriterien definieren und eine angemessene Kommunikation sicherstellen. Achten Sie darauf, Erwartungen, Ergebnisse und Verantwortlichkeiten zu verwalten.

Identifizieren von Geschäftsanforderungen, Ergebnissen und Erfolgskriterien

Identifizieren Sie Geschäftsanforderungen, Ergebnisse und Erfolgskriterien, um genau zu klären, was Sie mit Erfolgskriterien erreichen müssen. Beispiel:

  • Was ist das wichtigste Ergebnis, das Sie für dieses Projekt benötigen?
  • Wie planen Sie, Ihr VPN zu ersetzen?
  • Wie planen Sie, Ihren Microsoft-Datenverkehr zu sichern?
  • Wie planen Sie, Ihren Internetdatenverkehr zu sichern?

Nachdem Sie die primären Szenarien identifiziert haben, tauchen Sie in die Details ein:

  • Auf welche Anwendungen müssen Ihre Benutzer zugreifen?
  • Welche Websites benötigen Zugriffssteuerung?
  • Was ist obligatorisch und was ist optional?

Erstellen Sie in dieser Phase eine Bestandsaufnahme, die Benutzende, Geräte und wichtige Anwendungen innerhalb des Gültigkeitsbereichs beschreibt. Beginnen Sie für den VPN-Ersatz mit dem Schnellzugriff, um die privaten Anwendungen zu identifizieren, auf die Ihre Benutzer zugreifen müssen, damit Sie sie in Microsoft Entra Private Access definieren können.

Definieren Sie den Zeitplan

Ihr Projekt ist ein Erfolg, nachdem Sie die gewünschten Ergebnisse innerhalb von Budget- und Zeitbeschränkungen erzielt haben. Identifizieren Sie Ergebnisziele nach Datum, Quartal oder Jahr. Arbeiten Sie mit Ihren Projektbeteiligten zusammen, um bestimmte Meilensteine zu verstehen, die Ergebnisziele definieren. Definieren Sie die Überprüfungsanforderungen und Erfolgskriterien für jedes Ziel. Da sich Microsoft Global Secure Access in kontinuierlicher Entwicklung befindet, ordnen Sie die Anforderungen den Entwicklungsphasen der Funktionen zu.

Identifizieren von Projektbeteiligten

Identifizieren und dokumentieren Sie Projektbeteiligte, Rollen, Verantwortlichkeiten für Personen, die eine Rolle in Ihrem ZTNA-Projekt spielen. Titel und Rollen können sich von einer Organisation zu einer anderen unterscheiden. Die Besitzbereiche sind jedoch ähnlich. Berücksichtigen Sie die Rollen und Zuständigkeiten in der folgenden Tabelle, und identifizieren Sie die entsprechenden Projektbeteiligten. Verteilen Sie eine solche Tabelle an Führungskräfte, Projektbeteiligte und Ihr Team.

Rolle Verantwortung
Projektsponsor Leitender Unternehmensleiter mit Autorität zum Genehmigen und/oder Zuweisen von Budget und Ressourcen. Verbindet Manager und Führungskräfteteams. Technischer Entscheidungsträger für die Implementierung von Produkten und Funktionen.
Endbenutzer Personen, für die Sie den Dienst implementieren. Kann an einem Pilotprogramm teilnehmen.
IT-Support-Leiter Gibt Feedback zur Unterstützbarkeit der vorgeschlagenen Änderung.
Identitätsarchitekt Definiert, wie die Änderung mit der Identitätsverwaltungsinfrastruktur übereinstimmt. Versteht die aktuelle Umgebung.
Geschäftsbesitzer einer Anwendung Besitzt betroffene Anwendungen, die die Zugriffsverwaltung umfassen können. Liefert Eingaben zur Benutzererfahrung.
Sicherheitsbesitzer Bestätigt, dass der Änderungsplan Sicherheitsanforderungen erfüllt.
Netzwerk-Manager Überwacht Netzwerkfunktionen, Leistung, Sicherheit und Barrierefreiheit.
Compliance-Manager Stellt die Einhaltung von Unternehmens-, Branchen- und behördlichen Anforderungen sicher.
Technischer Programmleiter Überwacht das Projekt, verwaltet Anforderungen, koordiniert Arbeitsströme und stellt die Einhaltung von Zeitplan und Budget sicher. Erleichtert Kommunikationspläne und Berichte.
SOC/CERT-Team Bestätigt die Protokoll- und Berichterstellungsanforderungen für die Bedrohungssuche.
Mandantenadministrator Koordiniert IT-Besitzer und technische Ressourcen, die für Microsoft Entra-Mandantenänderungen im gesamten Projekt verantwortlich sind.
Bereitstellungsteam Führt Bereitstellungs- und Konfigurationsaufgaben aus.

Erstellen Sie ein RACI-Diagramm

Verantwortlich, Rechenschaftspflichtig, Konsultiert, Informiert (RACI) bezieht sich auf Rollen- und Verantwortungsdefinitionen. Für projekt- und funktionsübergreifende oder abteilungsübergreifende Projekte und Prozesse definieren und klären Sie Rollen und Zuständigkeiten in einem RACI-Diagramm.

  1. Laden Sie die Vorlage Global Secure Access Deployment Guide RACI als Ausgangspunkt herunter.
  2. Ordnen Sie die Rollen „Verantwortlich“, „Rechenschaftspflichtig“, „Konsultiert“, „Informiert“ und die Verantwortlichkeiten den Projektarbeitsstreams zu.
  3. Verteilen Sie das RACI-Diagramm an die Projektbeteiligten und stellen Sie sicher, dass sie die Rollen und Zuständigkeiten verstehen.

Kommunikationsplan erstellen

Ein Kommunikationsplan hilft Ihnen, angemessen, proaktiv und regelmäßig mit Ihren Projektbeteiligten zu interagieren.

  • Stellen Sie relevante Informationen zu Bereitstellungsplänen und zum Projektstatus bereit.
  • Definieren Sie den Zweck und die Häufigkeit der Kommunikation mit den einzelnen Beteiligten im RACI-Diagramm.
  • Bestimmen Sie, wer die Kommunikation erstellt und verteilt sowie Mechanismen festlegt, um Informationen zu teilen. Beispielsweise hält der Kommunikationsmanager Endbenutzer über ausstehende und aktuelle Änderungen mit E-Mail und auf einer bestimmten Website auf dem neuesten Stand.
  • Fügen Sie Informationen zu Änderungen an der Benutzeroberfläche hinzu und wie Benutzer Support erhalten können. Verweisen Sie auf die Beispiele für Endbenutzer-Kommunikationsvorlagen:

Erstellen eines Änderungskontrollplans

Pläne können sich ändern, wenn das Projektteam Informationen und Details sammelt. Erstellen Sie einen Änderungskontrollplan, um diesen den Stakeholdern zu beschreiben.

  • Änderungsantragsprozesse und -verfahren.
  • wie Sie die Auswirkungen von Änderungen verstehen.
  • Verantwortlichkeiten für die Überprüfung und Genehmigung.
  • Was geschieht, wenn eine Änderung mehr Zeit oder Mittel erfordert.

Ein guter Kontrollplan stellt sicher, dass Teams wissen, was sie tun müssen, wenn Änderungen erforderlich sind.

Projektabschlussplan erstellen

Jeder Projektabschluss erfordert eine Überprüfung nach dem Projekt. Identifizieren Sie die Metriken und Informationen, die in diese Überprüfung einbezogen werden sollen, damit Sie die richtigen Daten während der gesamten Projektlebensdauer regelmäßig sammeln können. Ein Projektabschlussplan hilft Ihnen dabei, Ihre Lernzusammenfassung effizient zu generieren.

Konsens unter den Interessengruppen erzielen

Nachdem Sie Ihre Projektinitiierungsaufgaben abgeschlossen haben, arbeiten Sie mit jedem Projektbeteiligten zusammen, um sicherzustellen, dass Pläne ihren spezifischen Anforderungen entsprechen. Verhindern Sie Missverständnisse und Überraschungen mit einem offiziellen Genehmigungsprozess, der Konsens und schriftliche Genehmigungen dokumentiert. Halten Sie eine Kick-off-Besprechung ab, die den Umfang und die Details in der Referenzdokumentation abdeckt.

Planen Sie Ihr globales Projekt für sicheren Zugriff

Erstellen eines detaillierten Projektplans

Erstellen Sie einen detaillierten Projektplan mit den Meilensteinen, die Sie in der Projektinitiierung identifiziert haben. Setzen Sie realistische Erwartungen an Notfallpläne, um wichtige Meilensteine zu erfüllen:

  • Machbarkeitsnachweis (PoC)
  • Pilotdatum
  • Startdatum
  • Datumsangaben, die sich auf die Lieferung auswirken
  • Abhängigkeiten

Fügen Sie diese Informationen in den Projektplan ein:

  • Detaillierter Projektstrukturplan mit Datumsangaben, Abhängigkeiten und kritischem Pfad

    • Maximale Anzahl von Benutzenden, die basierend auf der erwarteten Unterstützungsbelastung in jeder Welle per Cutover migriert werden sollen
    • Zeitrahmen für jede Bereitstellungswelle (z. B. Cutover für eine Welle jeden Montag)
    • Bestimmte Benutzergruppen in jeder Bereitstellungswelle (ohne die Höchstzahl zu überschreiten)
    • Apps, die Benutzer benötigen (oder Den Schnellzugriff verwenden)

  • Der jeweiligen Aufgabe zugewiesene Teammitglieder

Erstellen eines Risikomanagementplans

Erstellen Sie einen Risikomanagementplan, um sich auf Notfalls vorzubereiten, die sich auf Termine und Budget auswirken könnten.

  • Identifizieren Sie kritischen Pfad und obligatorische Schlüsselergebnisse.
  • Grundlegendes zu den Risiken in Arbeitsabläufen.
  • Pläne zur Datensicherung von Dokumenten, um bei Notfällen auf Kurs zu bleiben.

Definieren von Leistungserfolgskriterien

Definieren Sie akzeptable Leistungsmetriken, um die Bereitstellung objektiv zu testen und sicherzustellen, dass Ihre Bereitstellung erfolgreich ist und sich die Benutzeroberfläche innerhalb von Parametern befindet. Berücksichtigen Sie die Einbeziehung der folgenden Metriken.

Microsoft Entra Private Access

  • Ist die Netzwerkleistung innerhalb Ihrer definierten Parameter?

    • Das Global Secure Access-Dashboard bietet Ihnen Visualisierungen des Netzwerkverkehrs, den Microsoft Entra Private und Microsoft Entra Internet Access erfassen. Es sammelt Daten aus Netzwerkkonfigurationen, einschließlich Geräten, Benutzenden und Mandanten.
    • Verwenden Sie Netzwerküberwachung in Azure Monitor-Protokollen, um Netzwerkkonnektivität, ExpressRoute-Verbindungsintegrität und Cloud-Netzwerkdatenverkehr zu überwachen und zu analysieren.

  • Haben Sie während des Pilotprojekts eine Erhöhung der Latenz festgestellt? Haben Sie appspezifische Latenzanforderungen?

  • Funktioniert einmaliges Anmelden (Single Sign-On, SSO) für Ihre wichtigsten Anwendungen ordnungsgemäß?

  • Erwägen Sie die Ausführung von Benutzerzufriedenheits- und Benutzerakzeptanzumfragen.

Microsoft-Datenverkehr

  • Ist die Netzwerkleistung innerhalb Ihrer definierten Parameter?

    • Das Global Secure Access-Dashboard liefert Ihnen Visualisierungen des Netzwerkdatenverkehrs, den Microsoft Entra Private und Microsoft Entra Internet Access erfassen. Es sammelt Daten aus Netzwerkkonfigurationen, einschließlich Geräten, Benutzenden und Mandanten.
    • Verwenden Sie das Microsoft 365-Netzwerkbewertungstool, um eine Gesamtübersicht der Netzwerkleistungsmetriken in eine Momentaufnahme der Integrität des Netzwerkperimeters Ihres Unternehmens zu destillieren.
    • Verwenden Sie den Microsoft 365-Netzwerkkonnektivitätstest, um die Konnektivität zwischen Ihrem Gerät und dem Internet und von dort zum Microsoft-Netzwerk zu messen.

  • Haben Sie während des Pilotprojekts eine Latenzerhöhung festgestellt?

  • Erwägen Sie die Ausführung einer Umfrage zur Benutzerzufriedenheit.

  • Erwägen Sie die Ausführung einer Benutzerakzeptanzumfrage.

Microsoft Entra Internet Access

Plan für Rollbackszenarien

Während Sie Ihre Produktionsbereitstellung umsetzen und die Anzahl der Benutzer mit dem Microsoft Security Service Edge aktiv erhöhen, können Sie unerwartete oder ungetestete Szenarien entdecken, die sich negativ auf Endanwender auswirken. Plan für negative Auswirkungen:

  • Definieren Sie einen Prozess für Endbenutzer, um Probleme zu melden.
  • Definieren Sie eine Prozedur zum Zurücksetzen der Bereitstellung für bestimmte Benutzer oder Gruppen, oder deaktivieren Sie das Datenverkehrsprofil.
  • Definieren Sie ein Verfahren, um zu bewerten, was schief gelaufen ist, identifizieren Sie Abhilfemaßnahmen und kommunizieren Sie diese an die Stakeholder.
  • Bereiten Sie sich darauf vor, neue Konfigurationen zu testen, bevor die Produktionsbereitstellung in weiteren Wellen von Benutzenden fortgesetzt wird.

Projektplan ausführen

Berechtigungen einholen

Stellen Sie sicher, dass Administratoren, die mit Global Secure Access interagieren, die richtigen Rollen zugewiesen bekommen haben.

Bereiten Sie Ihr IT-Supportteam vor

Bestimmen Sie, wie Benutzer Unterstützung erhalten, wenn sie Fragen oder Konnektivitätsprobleme haben. Entwickeln Sie Self-Service-Dokumentation, um den Druck auf Ihr IT-Supportteam zu reduzieren. Stellen Sie sicher, dass Ihr IT-Supportteam Schulungen zur Bereitstellungsbereitschaft erhält. Fügen Sie sie in die Endbenutzerkommunikation ein, damit phasenweise Migrationszeitpläne, betroffene Teams und Anwendungen im Gültigkeitsbereich bekannt sind. Um Verwirrung in der Benutzerbasis oder innerhalb des IT-Supports zu vermeiden, richten Sie einen Prozess zum Behandeln und Eskalieren von Benutzersupportanfragen ein.

Eine Pilotbereitstellung durchführen

Angesichts der Benutzer, Geräte und Anwendungen im Bereich Ihrer Produktionsbereitstellung beginnen Sie mit einer kleinen, anfänglichen Testgruppe. Verfeinern Sie den Prozess der Kommunikation, der Bereitstellung, der Tests und der Unterstützung für die schrittweise Einführung. Bevor Sie beginnen, überprüfen und bestätigen Sie, dass alle Voraussetzungen vorhanden sind.

Stellen Sie sicher, dass die Geräte in Ihrem Mandanten registriert werden. Befolgen Sie die Richtlinien unter Planen Sie Ihre Microsoft Entra-Gerätebereitstellung. Wenn Ihre Organisation Intune verwendet, befolgen Sie die Richtlinien in Verwalten und Sichern von Geräten in Intune.

Empfehlungen für optionale Anforderungen

Die Ressourcen in der folgenden Tabelle enthalten detaillierte Planungs- und Ausführungsaufgaben für jede optionale Anforderung.

Optionale Anforderung Ressource
Sicherer Zugriff auf Ihren Microsoft-Datenverkehr. Bereitstellungsplan für Microsoft-Netzwerkdatenverkehr
Ersetzen Sie Ihr VPN durch eine Zero Trust-Lösung, um lokale Ressourcen durch das Private Access-Datenverkehrsprofil zu schützen. Bereitstellungsplan für Microsoft Entra Private Access
Sichern Sie Ihren Internetdatenverkehr mit dem Microsoft Entra Internet Access-Datenverkehrsprofil. Bereitstellungsplan für Microsoft Entra Internet Access

Ihr Pilotprojekt sollte einige Benutzer (weniger als 20) umfassen, die erforderliche Geräte und Anwendungen im Bereich testen können. Nachdem Sie Pilotbenutzer identifiziert haben, weisen Sie sie entweder einzeln oder, was empfohlen wird, als Gruppe den Verkehrsprofilen zu. Befolgen Sie die ausführliche Anleitung unter Zuweisen von Benutzern und Benutzerinnen sowie Gruppen zu Datenverkehrsweiterleitungsprofilen.

Arbeiten Sie systematisch jede erkannte relevante Anwendung durch. Stellen Sie sicher, dass Benutzer auf Geräten innerhalb des geplanten Bereichs wie erwartet eine Verbindung herstellen können. Beobachten und dokumentieren Sie leistungsbezogene Erfolgskriterien. Testen Sie Kommunikationspläne und -prozesse. Optimieren und iterieren Sie nach Bedarf.

Stellen Sie nach Abschluss des Pilotprojekts und der Erfüllung der Erfolgskriterien sicher, dass das Supportteam für die nächsten Phasen bereit ist. Schließen Sie Prozesse und Kommunikation ab. Fahren Sie mit der Produktionsbereitstellung fort.

Bereitstellen für die Produktion

Nachdem Sie alle Pläne und Tests abgeschlossen haben, sollte die Bereitstellung ein wiederholbarer Prozess mit erwarteten Ergebnissen sein.

Weitere Informationen finden Sie in den relevanten Anleitungen:

Wiederholen Sie Wellenbereitstellungen, bis Sie alle Benutzenden per Cutover zu Microsoft Global Secure Access migriert haben. Wenn Sie den privaten Zugriff von Microsoft Entra verwenden, wird der Schnellzugriff deaktiviert und der gesamte Datenverkehr über globale Anwendungen für den sicheren Zugriff weitergeleitet.

Plan für Notfallzugang

Wenn der Global Secure Access ausfällt, können Benutzer nicht auf Ressourcen zugreifen, die von der Global Secure Access-konformen Netzüberprüfung gesichert werden. Mit dem GsaBreakglassEnforcementSkript können Unternehmensadministratoren aktivierte konforme Richtlinien für bedingten Netzwerkzugriff in den reinen Berichtsmodus versetzen. Das Skript ermöglicht Benutzern vorübergehend den Zugriff auf diese Ressourcen ohne globalen sicheren Zugriff.

Nachdem der globale sichere Zugriff wieder aktiviert wurde, verwenden Sie das GsaBreakglassRecoverySkript, um alle betroffenen Richtlinien zu aktivieren.

Weitere Überlegungen

Überwachen und Steuern Ihres Global Secure Access-Projekt

Überwachen und steuern Sie Ihr Projekt, um Risiken zu verwalten und Probleme zu identifizieren, die möglicherweise eine Abweichung von Ihrem Plan erfordern. Halten Sie Ihr Projekt auf dem Laufenden, und stellen Sie eine genaue und zeitnahe Kommunikation mit den Projektbeteiligten sicher. Erfüllen Sie die Anforderungen immer genau, rechtzeitig und innerhalb des Budgets.

Hauptziele dieser Phase:

  • Fortschrittsüberwachung. Wurden Vorgänge wie geplant abgeschlossen? Wenn nicht, warum nicht? Wie kommen Sie wieder auf den Weg?
  • Erkennung von Problemen. Sind Probleme aufgetreten (z. B. nicht geplante Ressourcenverfügbarkeit oder andere unvorhergesehene Herausforderungen)? Mussten erforderliche Änderungen zu Änderungsaufträgen führen?
  • Effizienzüberwachung. Haben Sie inhärente Ineffizienzen in definierten Prozessen identifiziert? Wie optimieren Sie ihren Projektansatz, wenn die Überwachung Ineffizienzen anzeigt?
  • Bestätigung der Kommunikation. Waren die Projektbeteiligten zufrieden mit Ihrer Kommunikationshäufigkeit und Detailebene? Falls nicht, wie passen Sie sich an?

Richten Sie eine wöchentliche Überprüfung des Zeitplans und der Projektdetails ein. Achten Sie auf kritische Meilensteine. Generieren Sie geeignete Kommunikation für alle Projektbeteiligten, und erfassen Sie Daten für Projektabschlussberichte.

Schließen Ihres Global Secure Access-Projekts

Glückwunsch! Sie haben Ihre Microsoft Global Secure Access-Bereitstellung abgeschlossen. Klärung offener Punkte und Projektabschluss:

  • Sammeln Sie Feedback von Projektbeteiligten, um zu verstehen, ob das Team Erwartungen und Anforderungen erfüllt hat.
  • Verwenden Sie die Daten, die Sie während der gesamten Ausführungsphase gesammelt haben (wie bei der Projektinitiierung definiert), um die erforderlichen Abschlussressourcen zu entwickeln. Beispiel: Projektbewertung, gelernte Lektionen und Post-Mortem-Präsentationen.
  • Archivieren Sie Projektdetails als Referenz für ähnliche zukünftige Projekte.

Nächste Schritte