Compartir a través de

Guía de implementación de acceso seguro global de Microsoft para Acceso privado de Microsoft Entra

  • Artículo

Microsoft Global Secure Access converge los controles de acceso de red, identidad y punto de conexión para el acceso seguro a cualquier aplicación o recurso desde cualquier ubicación, dispositivo o identidad. Habilita y organiza la administración de directivas de acceso para empleados corporativos. Puede supervisar y ajustar continuamente, en tiempo real, el acceso de los usuarios a las aplicaciones privadas, las aplicaciones software como servicio (SaaS) y los puntos de conexión de Microsoft. La supervisión continua y el ajuste le ayudan a responder adecuadamente a los cambios de nivel de riesgo y permisos a medida que se producen.

Microsoft Entra Private Access le permite reemplazar la VPN corporativa. Proporciona a los usuarios empresariales acceso macro y microsegmentado a aplicaciones corporativas que controla con directivas de acceso condicional. Te ayuda a:

  • Proporcione acceso de punto a punto de confianza cero a aplicaciones privadas con todos los puertos y protocolos. Este enfoque impide que los actores malintencionados realicen movimiento lateral o escaneos de puertos en su red corporativa.
  • Requerir autenticación multifactor cuando los usuarios se conectan a aplicaciones privadas.
  • Tunelizar los datos a través de la extensa red de área privada global de Microsoft para maximizar las comunicaciones de red seguras.

La guía de este artículo le ayuda a probar e implementar Microsoft Entra Private Access en el entorno de producción cuando usted entra en la fase de ejecución de la implementación. La guía de implementación de Global Secure Access de Microsoft proporciona instrucciones sobre cómo iniciar, planificar, ejecutar, supervisar y cerrar el proyecto de implementación de Global Secure Access.

Identificación y planeamiento de casos de uso clave

El reemplazo de VPN es el escenario principal de Microsoft Entra Private Access. Es posible que tenga otros casos de uso dentro de este escenario para su implementación. Por ejemplo, podría ser necesario:

  • Aplique directivas de acceso condicional para controlar usuarios y grupos antes de conectarse a aplicaciones privadas.
  • Configure la autenticación multifactor como requisito para conectarse a cualquier aplicación privada.
  • Habilite una implementación por fases que se acerque a Confianza Cero a lo largo del tiempo para las aplicaciones del Protocolo de Control de Transmisión (TCP) y el Protocolo de Datagramas de Usuario (UDP) -based.
  • Use el nombre de dominio completo (FQDN) para conectarse a redes virtuales que superpongan o dupliquen intervalos de direcciones IP para configurar el acceso a entornos efímeros.
  • Privileged Identify Management (PIM) para configurar la segmentación de destino para el acceso con privilegios.

Después de comprender las funcionalidades que necesita en los casos de uso, cree un inventario para asociar los usuarios y grupos con estas funcionalidades. Planee usar la funcionalidad de acceso rápido para duplicar inicialmente la funcionalidad de VPN para que pueda probar la conectividad y quitar la VPN. A continuación, use Detección de aplicaciones para identificar los segmentos de aplicación a los que se conectan los usuarios para que pueda proteger la conectividad a direcciones IP específicas, FQDN y puertos.

Prueba e implementación de Microsoft Entra Private Access

En este momento, completó las fases de inicio y planeamiento del proyecto de implementación de Secure Access Service Edge (SASE). Usted comprende qué necesita implementar y para quién. Ha definido los usuarios que se activarán en cada oleada. Tienes un cronograma para el despliegue de cada oleada. Ha cumplido los requisitos de licencia. Está listo para habilitar Microsoft Entra Private Access.

  1. Cree comunicaciones de usuario final para establecer expectativas y proporcionar una ruta de escalación.
  2. Cree un plan de reversión que defina las circunstancias y procedimientos para cuando quite el cliente de acceso seguro global de un dispositivo de usuario o deshabilite el perfil de reenvío de tráfico.
  3. Crear un grupo de Microsoft Entra que incluya a los usuarios piloto.
  4. Habilite el perfil de reenvío de tráfico Microsoft Entra Private Access y asigne su grupo piloto. Asignación de usuarios y grupos a perfiles de reenvío de tráfico.
  5. Aprovisione servidores o máquinas virtuales que tengan acceso directo a las aplicaciones para que funcionen como conectores, brindando conectividad de salida a las aplicaciones para los usuarios. Considere los escenarios de equilibrio de carga y los requisitos de capacidad para un rendimiento aceptable. Configurar conectores para el acceso privado de Microsoft Entra en cada máquina del conector.
  6. Si tiene un inventario de aplicaciones empresariales, configure el acceso por aplicación mediante aplicaciones de Acceso Seguro Global. Si no es así, configure el Acceso rápido para el Acceso global seguro.
  7. Comunique las expectativas al grupo piloto.
  8. Implemente el cliente de acceso seguro global de para Windows en dispositivos para que el grupo piloto lo pruebe.
  9. Cree directivas de acceso condicional de acuerdo con sus requisitos de seguridad para aplicarlas a su grupo piloto cuando estos usuarios se conecten a sus aplicaciones empresariales de Acceso global seguro publicadas.
  10. Haz que tus usuarios piloto prueben tu configuración.
  11. Si es necesario, actualice la configuración y vuelva a probar. Si es necesario, inicie el plan de reversión.
  12. Según sea necesario, repita los cambios en las comunicaciones con el usuario final y en el plan de implementación.

Configuración del acceso por aplicación

Para maximizar el valor de la implementación de Microsoft Entra Private Access, debe pasar del acceso rápido al acceso por aplicación. Puede usar característica de detección de aplicaciones para crear rápidamente aplicaciones de acceso seguro global a partir de segmentos de aplicaciones a los que acceden los usuarios. También puede usar aplicaciones empresariales de Acceso global seguro para crearlas manualmente, o puede usar PowerShell para automatizar la creación.

  1. Cree la aplicación y consígnela a todos los usuarios asignados al acceso rápido (recomendado) o a todos los usuarios que necesiten acceder a la aplicación específica.
  2. Agregue al menos un segmento de aplicación a la aplicación. No es necesario agregar todos los segmentos de la aplicación al mismo tiempo. Es posible que prefiera agregarlas lentamente para que pueda validar el flujo de tráfico para cada segmento.
  3. Observe que el tráfico a estos segmentos de aplicación ya no aparece en Acceso rápido. Use Acceso rápido para identificar los segmentos de la aplicación que necesita configurar como aplicaciones de acceso seguro global.
  4. Continúe con la creación de aplicaciones de acceso seguro global hasta que no aparezca ningún segmento de aplicación en Acceso rápido.
  5. Deshabilite el acceso rápido.

Una vez completado el piloto, debe contar con un proceso repetible y comprender cómo avanzar con cada ola de usuarios en el despliegue de producción.

  1. Identifique los grupos que contienen la oleada de usuarios.
  2. Notifique a su equipo de soporte técnico del lanzamiento programado y los usuarios que incluye.
  3. Enviar comunicaciones de usuario final planeadas y preparadas.
  4. Asigne los grupos al perfil de reenvío de tráfico de Acceso privado de Microsoft Entra.
  5. Implemente el cliente de acceso seguro global en dispositivos para los usuarios del lanzamiento.
  6. Si es necesario, implemente más conectores de red privada y cree más aplicaciones empresariales de acceso seguro global.
  7. Si es necesario, cree directivas de acceso condicional para aplicarlas a los usuarios de la oleada cuando se conectan a estas aplicaciones.
  8. Actualice la configuración. Vuelva a probar para solucionar problemas, si es necesario, inicie el plan de reversión.
  9. Según sea necesario, repita los cambios en las comunicaciones con el usuario final y en el plan de implementación.

Pasos siguientes