Compartir a través de

Guía de implementación para el Acceso Seguro Global de Microsoft Entra a Internet

  • Artículo

Microsoft Global Secure Access converge los controles de acceso de red, identidad y punto de conexión para el acceso seguro a cualquier aplicación o recurso desde cualquier ubicación, dispositivo o identidad. Habilita y organiza la administración de directivas de acceso para empleados corporativos. Puede supervisar y ajustar continuamente, en tiempo real, el acceso de los usuarios a las aplicaciones privadas, las aplicaciones software como servicio (SaaS) y los puntos de conexión de Microsoft. Esta solución le ayuda a responder adecuadamente a los cambios de nivel de riesgo y permisos a medida que se producen.

Con Microsoft Entra Internet Access, puede controlar y administrar el acceso a Internet para los usuarios empresariales con dispositivos administrados cuando trabajan de forma local o remota. Esto le permitirá realizar lo siguiente:

  • Proteja a los usuarios empresariales y a los dispositivos administrados contra el tráfico malintencionado de Internet y la infección de malware.
  • Impida que los usuarios accedan a sitios basados en la categoría web o el nombre de dominio completo.
  • Recopile datos de uso de Internet para informes y investigaciones de soporte técnico.

Las instrucciones de este artículo le ayudarán a probar e implementar Microsoft Entra Internet Access en el entorno de producción. Guía de implementación de Acceso Seguro Global de Microsoft proporciona orientaciones sobre cómo iniciar, planificar, ejecutar, supervisar y cerrar el proyecto de implementación de Acceso Seguro Global.

Identificación y planeamiento de casos de uso clave

Antes de habilitar Microsoft Entra Internet Access, planee lo que quiere que haga por usted. Comprenda los casos de uso, como los siguientes, para decidir qué características implementar.

  • Defina una directiva de línea de base que se aplique a todo el tráfico de acceso a Internet enrutado a través del servicio.
  • Impedir que usuarios y grupos específicos usen dispositivos administrados para acceder a sitios web por categoría (como Alcohol y Tabaco o Redes Sociales). Microsoft Entra Internet Access proporciona más de 60 categorías de las que puede elegir.
  • Impedir que los usuarios y grupos usen dispositivos administrados para acceder a nombres de dominio completos específicos (FQDN).
  • Configure políticas de anulación para permitir que grupos de usuarios accedan a sitios que, de otro modo, las reglas de filtrado web bloquearían.
  • Ampliar las funcionalidades de Microsoft Entra Internet Access a redes completas, incluidos los dispositivos que no ejecutan el cliente de Acceso seguro global

Después de comprender las funcionalidades que necesita en los casos de uso, cree un inventario para asociar los usuarios y grupos con estas funcionalidades. Comprenda a qué usuarios y grupos bloquear o permitir el acceso a determinadas categorías web y FQDN. Incluir priorización de reglas para cada grupo de usuarios.

Prueba e implementación de Microsoft Entra Internet Access

En este momento, completó las fases de inicio y planeamiento del proyecto de implementación de Secure Access Services Edge (SASE). Entiendes lo que tienes que implementar para quién. Ha definido qué usuarios se habilitarán en cada oleada. Tiene un cronograma para el despliegue de cada oleada. Ha cumplido los requisitos de licencia. Está listo para habilitar Microsoft Entra Internet Access.

  1. Complete los requisitos previos de acceso global seguro .
  2. Crear un grupo de Microsoft Entra que incluya a los usuarios piloto.
  3. Habilite el acceso a Internet de Microsoft Entra y los perfiles de reenvío de tráfico de Microsoft. Asigne el grupo piloto a cada perfil.

Nota

El tráfico de Microsoft es un subconjunto del tráfico de Internet que tiene su propia puerta de enlace de túnel dedicada. Para obtener un rendimiento óptimo, habilite Microsoft Traffic con el perfil de tráfico de acceso a Internet.

  1. Cree comunicaciones de usuario final para establecer expectativas y proporcionar una ruta de escalación.

  2. Cree un plan de reversión que defina las circunstancias y procedimientos para cuando quite el cliente de acceso seguro global de un dispositivo de usuario o deshabilite el perfil de reenvío de tráfico.

  3. Enviar comunicaciones de usuario final.

  4. Implemente el cliente de acceso seguro global de para Windows en dispositivos para que el grupo piloto lo pruebe.

  5. Configure redes remotas mediante vWAN o VNG si está dentro del alcance.

  6. Configure directivas de filtrado de contenido web para permitir o bloquear categorías o FQDN en función de los casos de uso definidos durante la planificación.

    • Bloquear por categoría: defina una regla que bloquee una de muchas categorías administradas predefinidas.
    • Bloquear por FQDN: defina una regla que bloquee un FQDN que especifique.
    • Redefinición: defina una regla que permita una categoría web o un FQDN que usted especifique.

  7. Cree perfiles de seguridad que agrupan y priorizan las directivas de filtrado de contenido web en función del plan.

    • Perfil de línea base: use la característica Perfil de línea base para agrupar directivas de filtrado de contenido web que se aplican a todos los usuarios de forma predeterminada.
    • Perfiles de seguridad: cree perfiles de seguridad para agrupar directivas de filtrado de contenido web que se aplican a un subconjunto de usuarios.

  8. Cree y vincule directivas de acceso condicional para aplicar sus perfiles de seguridad al grupo piloto. El perfil de línea base predeterminado no requiere una directiva de acceso condicional.

  9. Haz que los usuarios piloto prueben tu configuración.

  10. Confirme la actividad en los registros de tráfico de acceso global seguro.

  11. Actualice la configuración para solucionar cualquier problema y repetir la prueba. Use el plan de reversión si es necesario.

  12. Según sea necesario, itere los cambios en las comunicaciones con el usuario final y en el plan de implementación.

Una vez completado el piloto, tiene un proceso repetible para comprender cómo proceder con cada grupo de usuarios durante su despliegue en producción.

  1. Identifique los grupos que contienen la oleada de usuarios.
  2. Notifique al equipo de soporte técnico del lanzamiento programado y los usuarios que incluye.
  3. Envíe comunicaciones de usuario final preparadas según su plan.
  4. Asigne los grupos al perfil de reenvío de tráfico del Acceso a Internet de Microsoft Entra.
  5. Implemente el cliente de acceso seguro global en los dispositivos de los usuarios de esta oleada.
  6. Si es necesario, cree y configure más directivas de filtrado de contenido web para permitir o bloquear categorías o FQDN en función de los casos de uso definidos en el plan.
  7. Si es necesario, cree más perfiles de seguridad que agrupan y priorizan las directivas de filtrado de contenido web en función del plan.
  8. Cree directivas de acceso condicional para aplicar nuevos perfiles de seguridad a los grupos pertinentes en esta oleada o agregue los nuevos grupos de usuarios a las directivas de acceso condicional existentes para los perfiles de seguridad existentes.
  9. Actualice la configuración. Vuelva a probar para solucionar problemas. Si es necesario, inicie el plan de reversión.
  10. Según sea necesario, repita los cambios en las comunicaciones con el usuario final y en el plan de implementación.

Pasos siguientes