Compartir a través de

Introducción a la Guía de implementación de acceso seguro global de Microsoft

  • Artículo

Microsoft Global Secure Access es un componente clave de una estrategia exitosa de Perímetro de servicio de acceso seguro (SASE). Incluye Microsoft Entra Internet Access, Microsoft Entra Private Accessy Microsoft Traffic. Usa la amplia red de área extensa privada de Microsoft y su inversión en directivas de acceso condicional para ayudarle a proteger los datos corporativos en el nivel de red.

Estos son los escenarios clave de implementación de acceso seguro global:

  • Reemplace las soluciones VPN existentes por un enfoque de acceso a red de confianza cero (ZTNA) que proporciona conectividad segura desde el punto de conexión a la aplicación.
  • Proteja y supervise el tráfico de Microsoft para empleados in situ y remotos.
  • Proteja y supervise el tráfico de Internet para empleados remotos y en el sitio.

Esta guía de implementación le ayuda a planear e implementar Microsoft Global Secure Access. Consulte Descripción General de Licencias de Global Secure Access para obtener información sobre licencias. Aunque la mayoría de los servicios están disponibles con carácter general (GA), algunas partes del servicio están en versión preliminar pública. ​

Realizar una prueba de concepto

Realice una prueba de concepto (PoC) para asegurarse de que la solución que elija proporciona las características y la conectividad que necesita.

En función de las funcionalidades que planee implementar en una PoC para Microsoft Global Secure Access, necesita hasta siete horas. Asegúrese de que ha cumplido los requisitos de licencia de .

  • Configurar requisitos previos: Una hora
  • Configurar el producto inicial: 20 minutos
  • Configuración de la red remota: de 1 a 2 horas
  • Implementación y prueba del perfil de tráfico de Microsoft: una hora
  • Implementación y prueba de Microsoft Entra Internet Access: una hora
  • Implementación y prueba de Microsoft Entra Private Access: una hora
  • Cerrar POC: 30 minutos

Inicio del proyecto de Acceso seguro global

El inicio del proyecto es el primer paso de un proyecto exitoso. Al inicio del proyecto, decidiste implementar Microsoft Global Secure Access. El éxito del proyecto depende de conocer los requisitos, definir criterios de éxito y garantizar las comunicaciones adecuadas. Asegúrese de administrar las expectativas, los resultados y las responsabilidades.

Identificar los requisitos empresariales, los resultados y los criterios de éxito

Identifique los requisitos empresariales, los resultados y los criterios de éxito para aclarar exactamente lo que necesita lograr con los criterios de éxito. Por ejemplo:

  • ¿Cuál es el resultado clave que necesita para lograr este proyecto?
  • ¿Cómo planea reemplazar la VPN?
  • ¿Cómo planea proteger el tráfico de Microsoft?
  • ¿Cómo planea proteger el tráfico de Internet?

Después de identificar los escenarios principales, profundice en los detalles:

  • ¿A qué aplicaciones necesitan acceder los usuarios?
  • ¿Qué sitios web necesitan control de acceso?
  • ¿Qué es obligatorio y qué es opcional?

Durante esta fase, cree un inventario que describa usuarios, dispositivos y aplicaciones clave en el ámbito. Para el reemplazo de VPN, comience con Acceso rápido para identificar las aplicaciones privadas a las que los usuarios necesitan acceder para que pueda definirlas en Microsoft Entra Private Access.

Definición de la programación

El proyecto es un éxito después de lograr los resultados deseados dentro de las restricciones de presupuesto y tiempo. Identifique los objetivos de resultados por fecha, trimestre o año. Trabaje con las partes interesadas para comprender los hitos específicos que definen los objetivos de los resultados. Defina los requisitos de revisión y los criterios de éxito para cada objetivo. Dado que Microsoft Global Secure Access está en desarrollo continuo, asigne los requisitos a las fases de desarrollo de características.

Identificación de las partes interesadas

Identifique y documente las partes interesadas, los roles y las responsabilidades de las personas que desempeñan un papel en el proyecto ZTNA. Los títulos y roles pueden diferir de una organización a otra; sin embargo, las áreas de propiedad son similares. Tenga en cuenta los roles y responsabilidades de la tabla siguiente e identifique las partes interesadas correspondientes. Distribuya esta mesa a la dirección, a las partes interesadas y a su equipo.

Rol Responsabilidad
Patrocinador Líder sénior de la empresa con autoridad para aprobar o asignar presupuesto y recursos. Conecta administradores y equipos ejecutivos. Responsable técnico de la toma de decisiones para la implementación de productos y características.
Usuarios finales Personas para las que implemente el servicio. Puede participar en un programa piloto.
Administrador de soporte técnico de TI Proporciona información sobre la compatibilidad de cambios propuesta.
Arquitecto de identidades Define cómo se alinea el cambio con la infraestructura de administración de identidades. Comprende el entorno actual.
Propietario de la empresa de la aplicación Posee aplicaciones afectadas que pueden incluir la administración de acceso. Proporciona información sobre la experiencia del usuario.
Responsables de seguridad Confirma que el plan de cambio cumple los requisitos de seguridad.
Administrador de red Supervisa la funcionalidad de red, el rendimiento, la seguridad y la accesibilidad.
Administrador de cumplimiento Garantiza el cumplimiento de los requisitos corporativos, del sector y gubernamentales.
Administrador de programas técnicos Supervisa el proyecto, administra los requisitos, coordina los flujos de trabajo y garantiza el cumplimiento de la programación y el presupuesto. Facilita el plan de comunicación y los informes.
Equipo de SOC/CERT Confirma los requisitos del registro de búsqueda de amenazas y del informe.
Administrador de inquilinos Coordina los propietarios de TI y los recursos técnicos responsables de los cambios de inquilino de Microsoft Entra en todo el proyecto.
Equipo de implementación Realiza tareas de implementación y configuración.

Creación de un gráfico RACI

Responsable, Encargado, Consultado, Informado (RACI) hace referencia a las definiciones de roles y responsabilidades. En el caso de proyectos y procesos interfuncionales o departamentales, defina y aclare roles y responsabilidades en un gráfico de RACI.

  1. Descargue la plantilla RACI Guía de implantación de acceso seguro global como punto de partida.
  2. Asigne las funciones y responsabilidades de Responsable, Contable, Consultado, Informado a los flujos de trabajo del proyecto.
  3. Distribuya el gráfico de RACI a las partes interesadas y asegúrese de que entienden las asignaciones.

Creación de un plan de comunicaciones

Un plan de comunicaciones le ayuda a interactuar de forma adecuada, proactiva e periódica con las partes interesadas.

  • Proporcione información relevante sobre los planes de implementación y el estado del proyecto.
  • Defina el propósito y la frecuencia de las comunicaciones a cada parte interesada en el gráfico RACI.
  • Determine quién crea y distribuye las comunicaciones junto con mecanismos para compartir información. Por ejemplo, el administrador de comunicaciones mantiene actualizados a los usuarios finales los cambios pendientes y actuales con el correo electrónico y en un sitio web designado.
  • Incluya información sobre los cambios en la experiencia del usuario y cómo los usuarios pueden obtener soporte técnico. Consulte plantillas de comunicación de usuario final de ejemplo:

Creación de un plan de control de cambios

Los planes están sujetos a cambios a medida que el equipo del proyecto recopila información y detalles. Cree un plan de control de cambios para describir a las partes interesadas:

  • procesos y procedimientos de solicitud de cambio.
  • cómo comprender el impacto en los cambios.
  • responsabilidades de revisión y aprobación.
  • lo que sucede cuando un cambio requiere más tiempo o fondos.

Un buen plan de control garantiza que los equipos sepan qué hacer cuando se necesitan cambios.

Creación de un plan de cierre de proyectos

Cada cierre de proyecto requiere una revisión posterior al proyecto. Identifique las métricas y la información que se van a incluir en esta revisión para que pueda recopilar periódicamente los datos correctos durante toda la duración del proyecto. Un plan de cierre de proyectos le ayuda a generar eficazmente el resumen de lecciones aprendidas.

Obtención del consenso de partes interesadas

Después de completar las tareas de iniciación del proyecto, trabaje con cada parte interesada para asegurarse de que los planes satisfacen sus necesidades específicas. Evite malentendidos y sorpresas con un proceso de aprobación oficial que documente el consenso y las aprobaciones escritas. Mantenga una reunión de inicio que abarque el ámbito y los detalles de la documentación de referencia.

Planeamiento del proyecto de acceso seguro global

Creación de una programación detallada del proyecto

Cree una programación de proyecto detallada con los hitos que identificó en el inicio del proyecto. Establezca expectativas realistas con planes de contingencia para cumplir los hitos clave:

  • Prueba de concepto (PoC)
  • Fecha del piloto
  • Fecha de inicio
  • Fechas que afectan a la entrega
  • Dependencias

Incluya esta información en la programación del proyecto:

  • Estructura detallada del desglose del trabajo con fechas, dependencias y ruta de acceso crítica

    • Número máximo de usuarios que deberán transferirse en cada lanzamiento en función de la carga de soporte prevista
    • Período de tiempo para cada lanzamiento de implementación (por ejemplo, realizar la transición de un lanzamiento cada lunes)
    • Grupos específicos de usuarios en cada oleada de implementación (no superar el número máximo)
    • Aplicaciones que los usuarios requieren (o usan acceso rápido)

  • Miembros del equipo asignados a cada tarea

Creación de un plan de administración de riesgos

Cree un plan de administración de riesgos para prepararse para las contingencias que podrían afectar a las fechas y el presupuesto.

  • Identifique la ruta de acceso crítica y los resultados clave obligatorios.
  • Comprender los riesgos del flujo de trabajo.
  • Documente los planes de respaldo para mantenerse en el buen camino cuando ocurran contingencias.

Definición de criterios de éxito de rendimiento

Defina métricas de rendimiento aceptables para probar objetivamente y asegurarse de que la implementación es correcta y la experiencia del usuario está dentro de los parámetros. Considere la posibilidad de incluir las métricas siguientes.

Acceso privado de Microsoft Entra

  • ¿El rendimiento de la red está dentro de los parámetros definidos?

    • El panel de control Acceso Seguro Global te proporciona visualizaciones del tráfico de red que recogen Microsoft Entra Private y Microsoft Entra Internet Access. Compila datos de configuraciones de red, incluidos dispositivos, usuarios e inquilinos.
    • Utilice Supervisión de red en los registros de Azure Monitor para supervisar y analizar la conectividad de red, el estado del circuito ExpressRoute y el tráfico de red en el entorno de la nube.

  • ¿Ha observado un aumento de la latencia durante el piloto? ¿Tiene requisitos de latencia específicos de la aplicación?

  • ¿El inicio de sesión único (SSO) funciona correctamente en las aplicaciones clave?

  • Considere la posibilidad de ejecutar encuestas de satisfacción del usuario y aceptación de usuarios.

Tráfico de Microsoft

  • ¿El rendimiento de la red está dentro de los parámetros definidos?

    • El panel de control de Acceso Seguro Global proporciona visualizaciones del tráfico de red que Microsoft Entra Private y Microsoft Entra Internet Access recopilan. Compila datos de configuraciones de red, incluidos dispositivos, usuarios e inquilinos.
    • Utilice la herramienta de evaluación de la red de Microsoft 365 para convertir un conjunto de métricas de rendimiento de la red en una instantánea del estado perimetral de la red empresarial.
    • Usa la prueba de conectividad de red de Microsoft 365 para medir la conectividad entre tu dispositivo e Internet, y desde allí a la red de Microsoft.

  • ¿Ha observado algún aumento de latencia durante el piloto?

  • Considere la posibilidad de ejecutar una encuesta de satisfacción del usuario.

  • Considere la posibilidad de ejecutar una encuesta de aceptación del usuario.

Acceso a Internet de Microsoft Entra

Planear escenarios de reversión

A medida que trabaje a través de la implementación de producción y aumente activamente el número de usuarios con Security Service Edge de Microsoft, es posible que detecte escenarios imprevistos o no probados que afecten negativamente a los usuarios finales. Planear el impacto negativo:

  • Defina un proceso para que los usuarios finales notifiquen problemas.
  • Defina un procedimiento para revertir la implementación de usuarios o grupos específicos o deshabilitar el perfil de tráfico.
  • Defina un procedimiento para evaluar lo que ha ido mal, identifique los pasos de corrección y comunique a las partes interesadas.
  • Prepárese para probar nuevas configuraciones antes de que la implementación de producción continúe con las siguientes oleadas de usuarios.

Ejecución del plan del proyecto

Obtención de permisos

Asegúrese de que los administradores que interactúan con acceso seguro global tengan asignados los roles correctos .

Preparar el equipo de soporte técnico de TI

Determine cómo los usuarios reciben soporte técnico cuando tienen preguntas o problemas de conectividad. Desarrolle documentación de autoservicio para reducir la presión en el equipo de soporte técnico de TI. Asegúrese de que el equipo de soporte técnico de TI recibe entrenamiento para la preparación de la implementación. Inclúyelos en las comunicaciones del usuario final para que conozcan las programaciones de migración por fases, los equipos afectados y las aplicaciones dentro del ámbito. Para evitar confusiones en la base de usuarios o en el soporte técnico de TI, establezca un proceso para controlar y escalar las solicitudes de soporte técnico del usuario.

Realizar una implementación piloto

Dados los usuarios, dispositivos y aplicaciones en el ámbito de la implementación de producción, comience con un grupo de pruebas inicial pequeño. Ajuste el proceso de comunicaciones, implementación, pruebas y soporte durante la implementación por fases. Antes de iniciar, revise y confirme que tiene en vigor todos los requisitos previos y.

Asegúrese de que el dispositivo está registrado en su inquilino. Siga las directrices indicadas en Planificación de la implementación de su dispositivo Microsoft Entra. Si su organización usa Intune, siga las instrucciones de Administrar y proteger dispositivos en Intune.

Recomendaciones para los requisitos opcionales

Los recursos de la tabla siguiente proporcionan tareas detalladas de planeación y ejecución para cada requisito opcional.

Requisito opcional Recurso
Asegúrese de poder acceder a Microsoft Traffic. Plan de implementación de tráfico de Microsoft
Reemplace la VPN por una solución de confianza cero para proteger los recursos locales con el perfil de tráfico de acceso privado. Plan de implementación de acceso privado de Microsoft Entra
Proteja el tráfico de Internet con el perfil de tráfico de Acceso a Internet de Microsoft Entra. Plan de implementación del Acceso a Internet de Microsoft Entra

El piloto debe abarcar unos pocos usuarios (menos de 20) que puedan probar los dispositivos y aplicaciones necesarios dentro del ámbito. Después de identificar a los usuarios piloto, asígnelos a los perfiles de tráfico individualmente o como grupo (recomendado). Siga la guía detallada en Asignar usuarios y grupos a los perfiles de reenvío de tráfico.

Trabaje sistemáticamente en cada una de las aplicaciones identificadas en el ámbito de aplicación. Asegúrese de que los usuarios puedan conectarse como se espera en los dispositivos incluidos en el ámbito de aplicación. Observe y documente las métricas de criterios de éxito de rendimiento. Probar los procesos y los planes de comunicaciones. Realice los ajustes necesarios.

Una vez que el piloto se complete y cumpla los criterios de éxito, asegúrese de que el equipo de soporte técnico esté listo para las siguientes fases. Finalizar procesos y comunicaciones. Proceda a la implementación en producción.

Implementar en producción

Después de completar todos los planes y pruebas, la implementación debe ser un proceso repetible con los resultados esperados.

Para obtener más información, consulte las instrucciones pertinentes:

Repita las implementaciones de oleadas hasta migrar a todos los usuarios a Microsoft Global Secure Access. Si usa el acceso privado de Microsoft Entra, deshabilita el acceso rápido y reenvía todo el tráfico a través de aplicaciones de acceso seguro global.

Planear el acceso de emergencia

Cuando el acceso seguro global está inactivo, los usuarios no pueden acceder a los recursos que protege la comprobación de red compatible con el acceso seguro global. El script de GsaBreakglassEnforcement permite a los administradores de empresa cambiar las directivas de acceso condicional de red compatibles habilitadas al modo de solo informe. El script permite temporalmente a los usuarios acceder a esos recursos sin acceso seguro global.

Después de volver a proteger el acceso global seguro, use el script de GsaBreakglassRecovery para activar todas las directivas afectadas.

En cualquier momento, use el script de ListGsaCompliantNetworkCaPolicies para ver todas las directivas de CA de red compatibles y su estado.

Consideraciones adicionales

Supervisión y control del proyecto de acceso seguro global

Supervise y controle el proyecto para administrar los riesgos e identificar los problemas que podrían requerir la desviación del plan. Mantenga su proyecto en marcha y asegúrese de comunicaciones precisas y oportunas con las partes interesadas. Completar siempre los requisitos con precisión, a tiempo y dentro del presupuesto.

Objetivos clave de esta fase:

  • Supervisión del progreso. ¿Se completaron las tareas según lo programado? Si no es así, ¿por qué no? ¿Cómo vuelves a la pista?
  • Problemas de detección. ¿Han surgido problemas, como la disponibilidad de recursos no planificados u otros desafíos imprevistos? ¿Los cambios necesarios necesitaban pedidos de cambio?
  • Supervisión de la eficiencia. ¿Ha identificado las ineficiencias inherentes en los procesos definidos? Cuando la supervisión revela ineficacias, ¿cómo se ajusta el enfoque del proyecto?
  • Confirmación de comunicaciones. ¿Las partes interesadas estaban contentas con su frecuencia de comunicación y nivel de detalle? Si no es así, ¿cómo se ajusta?

Establezca la programación semanal y la revisión detallada del proyecto. Preste mucha atención a los hitos críticos. Generar comunicaciones adecuadas a todas las partes interesadas y capturar datos para los informes de cierre de proyectos.

Cierre el proyecto de Acceso seguro global

¡Felicidades! Ha completado la implementación de Acceso seguro global de Microsoft. Atar cabos sueltos y cerrar el proyecto.

  • Recopile comentarios de las partes interesadas para comprender si el equipo cumple las expectativas y las necesidades.
  • Use los datos que recopiló durante la fase de ejecución (tal como se define durante la iniciación del proyecto) para desarrollar los recursos de cierre necesarios. Por ejemplo, la evaluación del proyecto, las lecciones aprendidas y las presentaciones retrospectivas.
  • Archivar los detalles del proyecto para referencia en proyectos futuros similares.

Pasos siguientes