Bereitstellungsleitfaden für den globalen sicheren Zugriff von Microsoft für Microsoft Entra Private Access

Der globale sichere Zugriff von Microsoft führt Netzwerk-, Identitäts- und Endpunktzugriffskontrollen zusammen, um sicheren Zugriff auf alle Anwendungen oder Ressourcen von jedem Standort, jedem Gerät oder jeder Identität zu gewährleisten. Sie ermöglicht und koordiniert die Zugriffsrichtlinienverwaltung für Unternehmensmitarbeiter. Sie können den Benutzerzugriff auf Ihre privaten Apps, SaaS-Apps (Software-as-a-Service) und Microsoft-Endpunkte kontinuierlich überwachen und in Echtzeit anpassen. Die kontinuierliche Überwachung und Anpassung hilft Ihnen, angemessen auf Änderungen der Berechtigungs- und Risikostufen zu reagieren, sobald sie auftreten.

Mit Microsoft Entra Private Access können Sie Ihr Unternehmens-VPN ersetzen. Sie bietet Ihren Unternehmensbenutzern makro- und mikrosegmentierten Zugriff auf Unternehmensanwendungen, die Sie mit Richtlinien für bedingten Zugriff steuern. Dies hilft Ihnen bei:

• Stellen Sie Point-to-Point-Zugriff mit Zero Trust auf private Anwendungen unter Verwendung aller Ports und Protokolle bereit. Dieser Ansatz verhindert, dass Schadakteure seitliche Bewegungen im Netzwerk oder Port-Scans in Ihrem Unternehmensnetzwerk durchführen.
• Erfordern sie eine mehrstufige Authentifizierung, wenn Benutzer eine Verbindung mit privaten Anwendungen herstellen.
• Tunneln Sie Daten über das große globale private Netzwerk von Microsoft, um die sichere Netzwerkkommunikation zu maximieren.

Die Anleitung in diesem Artikel hilft Ihnen, Microsoft Entra Private Access in Ihrer Produktionsumgebung zu testen und bereitzustellen, wenn Sie mit der Ausführungsphase für die Bereitstellung beginnen. In der Einführung in den Bereitstellungsleitfaden für den globalen sicheren Zugriff von Microsoft finden Sie Anleitungen zum Initiieren, Planen, Ausführen, Überwachen und Abschließen Ihres Projekts zur Bereitstellung des globalen sicheren Zugriffs.

Identifizieren und Planen von wichtigen Anwendungsfällen

VPN-Ersatz ist das primäre Szenario für Microsoft Entra Private Access. Möglicherweise haben Sie andere Anwendungsfälle in diesem Szenario für Ihre Bereitstellung. Beispielsweise ist eventuell Folgendes erforderlich:

• Wenden Sie Richtlinien für bedingten Zugriff an, um Benutzer und Gruppen zu steuern, bevor sie eine Verbindung mit privaten Anwendungen herstellen.
• Konfigurieren Sie die mehrstufige Authentifizierung als Anforderung zum Herstellen einer Verbindung mit einer privaten App.
• Aktivieren einer stufenweisen Bereitstellung, bei der im Laufe der Zeit Zero Trust für Ihre TCP-Anwendungen (Transmission Control-Protokoll) und UDP-Anwendungen (User Datagram-Protokoll) eingeführt wird
• Verwenden Sie einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN), um eine Verbindung zu virtuellen Netzwerken herzustellen, deren IP-Adressbereiche sich überlappen oder duplizieren, um den Zugriff auf flüchtige Umgebungen zu konfigurieren.
• Privileged Identity Management (PIM) zum Konfigurieren der Zielsegmentierung für privilegierten Zugriff

Nachdem Sie die erforderlichen Funktionen in Ihren Anwendungsfällen verstanden haben, erstellen Sie einen Bestand, um Ihre Benutzer und Gruppen diesen Funktionen zuzuordnen. Planen Sie die Verwendung der Schnellzugriffsfunktion, um die VPN-Funktionalität anfangs zu duplizieren, damit Sie die Konnektivität testen und Ihr VPN entfernen können. Verwenden Sie dann Application Discovery, um die Anwendungssegmente zu identifizieren, mit denen Ihre Benutzer eine Verbindung herstellen, damit Sie dann die Verbindung zu bestimmten IP-Adressen, FQDNs und Ports sichern können.

Testen und Bereitstellen von Microsoft Entra Private Access

An diesem Punkt haben Sie die Einleitungs- und Planungsphase Ihres SASE-Bereitstellungsprojekts (Secure Access Service Edge) abgeschlossen. Sie wissen, was Sie für wen implementieren müssen. Sie haben die Benutzer definiert, die in jeder Welle aktiviert werden sollen. Sie haben einen Zeitplan für die Bereitstellung der einzelnen Wellen eingerichtet. Sie erfüllen die Lizenzanforderungen. Sie sind bereit, Microsoft Entra Private Access zu aktivieren.

1. Erstellen Sie Kommunikation für Endbenutzer, um Erwartungen zu setzen und einen Eskalationspfad bereitzustellen.
2. Erstellen Sie einen Rollbackplan, der die Umstände und Verfahren für das Entfernen des Global Secure Access-Clients von einem Benutzergerät definiert oder das Verkehrsweiterleitungsprofil deaktiviert.
3. Erstellen einer Microsoft Entra-Gruppe, die Ihre Pilotbenutzer umfasst.
4. Aktivieren Sie das Microsoft Entra Private Access-Profil für die Datenverkehrsweiterleitung, und weisen Sie die Pilotgruppe zu. Weisen Sie Benutzende und Gruppen zu Datenverkehrsweiterleitungsprofilen hinzu.
5. Stellen Sie Server oder virtuelle Maschinen bereit, die Direktzugriff auf Ihre Anwendungen haben, um als Verbindungsstellen zu fungieren und ausgehende Konnektivität zu Anwendungen für Ihre Benutzer bereitzustellen. Berücksichtigen Sie Lastenausgleichsszenarien und Kapazitätsanforderungen für eine akzeptable Leistung. Konfigurieren Sie Connectors für Microsoft Entra Private Access auf jedem Connectorcomputer.
6. Wenn Sie über einen Bestand an Unternehmensanwendungen verfügen, konfigurieren Sie App-basierten Zugriff mithilfe von Anwendungen für sicheren globalen Zugriff. Konfigurieren Sie andernfalls Schnellzugriff für globalen sicheren Zugriff.
7. Kommunizieren Sie Erwartungen an Ihre Pilotgruppe.
8. Stellen Sie den Global Secure Access-Client für Windows auf Geräten bereit, die von Ihrer Pilotgruppe getestet werden sollen.
9. Erstellen Sie Richtlinien für bedingten Zugriff gemäß Ihren Sicherheitsanforderungen, die für Ihre Pilotgruppe gelten sollen, wenn diese Benutzer eine Verbindung mit Ihren veröffentlichten Global Secure Access Enterprise-Anwendungen herstellen.
10. Lassen Sie Ihre Pilotbenutzer Ihre Konfiguration testen.
11. Aktualisieren Sie bei Bedarf Ihre Konfiguration, und testen Sie es erneut. Initiieren Sie bei Bedarf einen Rollbackplan.
12. Durchlaufen Sie bei Bedarf Änderungen an den Mitteilungen für Endbenutzende und am Bereitstellungsplan.

Konfigurieren des Zugriffs pro App

Um den Wert Ihrer Microsoft Entra Private Access-Bereitstellung zu maximieren, sollten Sie von Schnellzugriff zu App-Zugriff wechseln. Sie können Application Discovery Feature verwenden, um schnell globale Anwendungen für den sicheren Zugriff aus App-Segmenten zu erstellen, auf die Ihre Benutzer zugreifen. Sie können auch Global Secure Access Enterprise-Anwendungen verwenden, um sie manuell zu erstellen, oder Sie können PowerShell- verwenden, um die Erstellung zu automatisieren.

1. Erstellen Sie die Anwendung, und legen Sie sie entweder für alle Benutzenden fest, die dem Schnellzugriff zugewiesen sind (empfohlen), oder für alle Benutzende, die auf die jeweilige Anwendung zugreifen müssen.
2. Fügen Sie der Anwendung mindestens ein App-Segment hinzu. Sie müssen nicht alle App-Segmente gleichzeitig hinzufügen. Möglicherweise möchten Sie sie langsam hinzufügen, damit Sie den Datenverkehrsfluss für jedes Segment überprüfen können.
3. Beachten Sie, dass der Datenverkehr zu diesen App-Segmenten in Schnellzugriff nicht mehr angezeigt wird. Verwenden Sie den Schnellzugriff, um App-Segmente zu identifizieren, die Sie als globale Anwendungen für den sicheren Zugriff konfigurieren müssen.
4. Erstellen Sie weiterhin globale Anwendungen für den sicheren Zugriff, bis im Schnellzugriff keine App-Segmente angezeigt werden.
5. Schnellzugriff deaktivieren.

Nachdem Sie Ihr Pilotprojekt abgeschlossen haben, sollten Sie einen wiederholbaren Prozess besitzen und verstehen, wie Sie bei jeder Benutzerwelle in Ihrer Produktionsbereitstellung vorgehen.

1. Identifizieren Sie die Gruppen, die Ihre Benutzerwelle enthalten.
2. Benachrichtigen Sie Ihr Supportteam über die geplante Welle und die enthaltenen benutzenden Personen.
3. Senden Sie geplante und vorbereitete Mitteilungen an Endbenutzende.
4. Weisen Sie die Gruppen dem Microsoft Entra Private Access-Profil für die Datenverkehrsweiterleitung zu.
5. Stellen Sie den Client für globalen sicheren Zugriff auf den Geräten für die Benutzenden der Welle bereit.
6. Bei Bedarf stellen Sie weitere private Netzwerk-Connectors bereit und erstellen Sie mehr Global Secure Access Enterprise-Anwendungen.
7. Erstellen Sie bei Bedarf Richtlinien für bedingten Zugriff, die für die Benutzer der Welle gelten, wenn sie eine Verbindung mit diesen Anwendungen herstellen.
8. Aktualisieren Sie Ihre Konfiguration. Testen Sie erneut, um Probleme zu beheben; falls erforderlich, initiieren Sie einen Roll-Back-Plan.
9. Durchlaufen Sie bei Bedarf Änderungen an den Mitteilungen für Endbenutzende und am Bereitstellungsplan.

Nächste Schritte

• Erfahren Sie, wie Sie Ihren Übergang zu einem Zero Trust-Sicherheitsmodell mit Microsoft Entra Suite und der einheitlichen Sicherheitsplattform von Microsoft beschleunigen können.
• Einführung in die Bereitstellungsanleitung für den globalen sicheren Zugriff von Microsoft
• Bereitstellungsleitfaden für den globalen sicheren Zugriff von Microsoft für Microsoft-Datenverkehr
• Bereitstellungsleitfaden für den globalen sicheren Zugriff von Microsoft für Microsoft Entra Internet Access
• Simulieren der Remotenetzwerkkonnektivität mithilfe eines Azure-VNet-Gateways: Globaler sicherer Zugriff
• Simulieren der Remotenetzwerkkonnektivität mithilfe von Azure vWAN: Globaler sicherer Zugriff