Bereitstellungsleitfaden für den globalen sicheren Zugriff von Microsoft für Microsoft-Datenverkehr

Der globale sichere Zugriff von Microsoft führt Netzwerk-, Identitäts- und Endpunktzugriffskontrollen zusammen, um sicheren Zugriff auf alle Anwendungen oder Ressourcen von jedem Standort, jedem Gerät oder jeder Identität zu gewährleisten. Sie ermöglicht und koordiniert die Zugriffsrichtlinienverwaltung für Unternehmensmitarbeiter. Sie können den Benutzerzugriff auf Ihre privaten Apps, SaaS-Apps (Software-as-a-Service) und Microsoft-Endpunkte kontinuierlich überwachen und in Echtzeit anpassen. Die kontinuierliche Überwachung und Anpassung hilft Ihnen, angemessen auf Änderungen der Berechtigungs- und Risikoniveaus zu reagieren, sobald sie auftreten.

Mit dem Microsoft-Datenverkehrsweiterleitungsprofil können Sie Internetdatenverkehr steuern und verwalten, der für Microsoft-Endpunkte spezifisch ist, auch wenn Benutzer von Remotestandorten aus arbeiten. Dies hilft Ihnen bei:

• Schutz vor Datenexfiltration.
• Verringern Sie das Risiko von Tokendiebstahl und Token-Replay-Angriffen.
• Korrelieren Sie die IP-Adresse der Gerätequelle mit Aktivitätsprotokollen, um die Effizienz der Bedrohungssuche zu verbessern.
• Erleichterte Verwaltung der Zugriffsrichtlinien ohne eine Liste von Ausgehenden IP-Adressen.

Die Anleitungen in diesem Artikel helfen Ihnen, das Microsoft-Datenverkehrsprofil in Ihrer Produktionsumgebung zu testen und bereitzustellen. In der Einführung in den Bereitstellungsleitfaden für den globalen sicheren Zugriff von Microsoft finden Sie Anleitungen zum Initiieren, Planen, Ausführen, Überwachen und Abschließen Ihres Projekts zur Bereitstellung des globalen sicheren Zugriffs.

Identifizieren und Planen von wichtigen Anwendungsfällen

Bevor Sie Microsoft Entra Secure Access Essentials aktivieren, bestimmen Sie, was sie für Sie tun soll. Verstehen Sie Ihre Anwendungsfälle, um zu entscheiden, welche Features bereitgestellt werden sollen. In der folgenden Tabelle werden Konfigurationen basierend auf Anwendungsfällen empfohlen.

Anwendungsfall	Empfohlene Konfiguration
Verhindern, dass Benutzer und Gruppen verwaltete Geräte verwenden, um auf Microsoft 365-Endpunkte in anderen Mandanten zuzugreifen.	Konfigurieren von universellen Mandanteneinschränkungen
Stellen Sie sicher, dass Benutzer nur mit dem sicheren Global Secure Access-Netzwerktunnel eine Verbindung herstellen und authentifizieren, um das Risiko von Tokendiebstahl/-wiedergabe für Microsoft 365 und alle Enterprise-Anwendungen zu reduzieren.	Konfigurieren kompatibler Netzwerküberprüfung in Richtlinien für bedingten Zugriff
Maximieren Sie Erfolg und Effizienz bei der Bedrohungssuche.	Konfigurieren der Wiederherstellung der Quell-IP-Adresse (Vorschau) und Verwenden angereicherter Microsoft 365-Protokolle

Nachdem Sie ermittelt haben, welche Funktionen Sie für Ihre Anwendungsfälle benötigen, schließen Sie die Featurebereitstellung in Ihre Implementierung ein.

Testen und Bereitstellen des Microsoft-Verkehrsprofils

An diesem Punkt haben Sie die Einleitungs- und Planungsphase Ihres Global Secure Access-Bereitstellungsprojekts abgeschlossen. Sie wissen, was Sie für wen implementieren müssen. Sie haben die Benutzer definiert, die in jeder Welle aktiviert werden sollen. Sie haben einen Zeitplan für die Bereitstellung der einzelnen Wellen eingerichtet. Sie erfüllen die Lizenzanforderungen. Sie sind bereit, das Microsoft-Datenverkehrsprofil zu aktivieren.

1. Erstellen Sie Mitteilungen für Endbenutzer, um Erwartungen festzulegen und einen Eskalationspfad bereitzustellen.
2. Erstellen Sie einen Rollback-Plan, der die Umstände und Verfahren für das Entfernen des Global Secure Access-Clients von einem Benutzergerät sowie für das Deaktivieren des Datenverkehrsweiterleitungsprofils definiert.
3. Erstellen einer Microsoft Entra-Gruppe, die Ihre Pilotbenutzer umfasst.
4. Senden Sie Mitteilungen an Endbenutzende.
5. Aktivieren Sie das Microsoft-Profil für die Datenverkehrsweiterleitung, und weisen Sie ihm die Pilotgruppe zu.
6. Wenn Sie beabsichtigen, den Erfolg und die Effizienz der Bedrohungssuche zu maximieren, konfigurieren Sie die Wiederherstellung der Quell-IP-Adresse.
7. Erstellen Sie Richtlinien für bedingten Zugriff, die Überprüfungen auf Netzwerkkonformität für Ihre Pilotgruppe erfordern, wenn es sich um einen geplanten Anwendungsfall handelt.
8. Konfigurieren Sie universelle Mandanteneinschränkungen, wenn es sich um einen geplanten Anwendungsfall handelt.
9. Stellen Sie den Global Secure Access-Client für Windows auf Geräten bereit, die von Ihrer Pilotgruppe getestet werden sollen.
10. Lassen Sie Ihre Pilotbenutzer Ihre Konfiguration testen.
11. Zeigen Sie Anmeldeprotokolle an, um sicherzustellen, dass Pilotbenutzer über globalen sicheren Zugriff eine Verbindung mit Microsoft-Endpunkten herstellen.
12. Prüfen Sie die Überprüfung auf Netzwerkkonformität, indem Sie den Agent für den globalen sicheren Zugriff anhalten und dann versuchen, auf SharePoint zuzugreifen.
13. Überprüfen Sie Mandanteneinschränkungen, indem Sie versuchen, sich bei einem anderen Mandanten anzumelden.
14. Überprüfen Sie die Wiederherstellung der Quell-IP-Adresse. Vergleichen Sie dazu die IP-Adresse im Anmeldeprotokoll einer erfolgreichen Verbindung mit SharePoint Online, wenn Sie eine Verbindung mit dem ausgeführten und dem deaktivierten Agent für globalen sicheren Zugriff herstellen, um sicherzustellen, dass sie identisch sind.

    Anmerkung

    Sie müssen alle Richtlinien für bedingten Zugriff deaktivieren, die die Überprüfung auf Netzwerkkonformität für diese Überprüfung erzwingen.

Aktualisieren Sie Ihre Konfiguration, um probleme zu beheben. Wiederholen Sie den Test. Implementieren Sie bei Bedarf Rollbackpläne. Nehmen Sie bei Bedarf Anpassungen an der Kommunikation mit den Endnutzern und dem Implementierungsplan vor.

Nachdem Sie Ihr Pilotprojekt abgeschlossen haben, besitzen Sie einen wiederholbaren Prozess, den Sie bei jeder Benutzerwelle in Ihrer Produktionsbereitstellung verwenden können.

1. Identifizieren Sie die Gruppen, die die Benutzer Ihrer Welle enthalten.
2. Benachrichtigen Sie Ihr Supportteam über den Zeitplan der Welle und die enthaltenen benutzenden Personen.
3. Senden Sie Mitteilungen zur Welle an Endbenutzende.
4. Weisen Sie die Gruppen der Welle dem Microsoft-Profil für die Datenverkehrsweiterleitung zu.
5. Stellen Sie den Client für globalen sicheren Zugriff auf den Geräten der Benutzenden der Welle bereit.
6. Erstellen oder aktualisieren Sie Richtlinien für bedingten Zugriff, um Ihre Anwendungsfallanforderungen für die relevanten Gruppen der Welle zu erzwingen.
7. Durchlaufen Sie bei Bedarf Änderungen an den Mitteilungen für Endbenutzende und am Bereitstellungsplan.

Nächste Schritte

• Erfahren Sie, wie Sie Ihren Übergang zu einem Zero Trust-Sicherheitsmodell mit der Microsoft Entra Suite und der einheitlichen Sicherheitsbetriebsplattform von Microsoft beschleunigen können.
• Einführung in die Bereitstellungsanleitung für den globalen sicheren Zugriff von Microsoft
• Bereitstellungsleitfaden für den globalen sicheren Zugriff von Microsoft für Microsoft Entra Private Access
• Bereitstellungsleitfaden für den globalen sicheren Zugriff von Microsoft für Microsoft Entra Internet Access
• Simulieren der Remotenetzwerkkonnektivität mithilfe eines Azure-VNet-Gateways: Globaler sicherer Zugriff
• Simulieren der Remotenetzwerkkonnektivität mithilfe von Azure vWAN: Globaler sicherer Zugriff