Partage via

Guide de déploiement de Microsoft Global Secure Access pour Microsoft Entra Internet Access

  • Article

Microsoft Global Secure Access converge les contrôles d’accès réseau, d’identité et de point de terminaison pour sécuriser l’accès à n’importe quelle application ou ressource à partir de n’importe quel emplacement, appareil ou identité. Il active et orchestre la gestion des stratégies d’accès pour les employés de l’entreprise. Vous pouvez surveiller et ajuster en continu, en temps réel, l’accès utilisateur à vos applications privées, aux applications SaaS (Software-as-a-Service) et aux points de terminaison Microsoft. Cette solution vous aide à répondre de manière appropriée aux modifications au niveau des autorisations et des risques au fur et à mesure qu’elles se produisent.

Avec Microsoft Entra Internet Access, vous pouvez contrôler et gérer l’accès Internet pour les utilisateurs d’entreprise avec des appareils gérés lorsqu’ils fonctionnent localement ou à distance. Il vous aide à :

  • Protégez vos utilisateurs d’entreprise et appareils gérés contre le trafic Internet malveillant et l’infection par les programmes malveillants.
  • Empêcher les utilisateurs d’accéder aux sites en fonction de la catégorie web ou du nom de domaine complet.
  • Collecter les données d’utilisation d’Internet pour les rapports et les enquêtes de support.

Les conseils de cet article vous aident à tester et déployer Microsoft Entra Internet Access dans votre environnement de production. Le guide de déploiement "Microsoft Global Secure Access" donne des conseils sur comment initier, planifier, exécuter, surveiller et finaliser votre projet de déploiement "Global Secure Access".

Identifier et planifier les cas d’usage clés

Avant d’activer Microsoft Entra Internet Access, planifiez ce que vous voulez faire pour vous. Comprendre les cas d’usage, tels que les suivants, pour déterminer les fonctionnalités à déployer.

  • Définissez une stratégie de base qui s’applique à tout le trafic d’accès Internet routé via le service.
  • Empêcher des utilisateurs et des groupes spécifiques d’utiliser des appareils gérés pour accéder aux sites web par catégorie (tels que l’alcool et le tabac ou les médias sociaux). Microsoft Entra Internet Access fournit plus de 60 catégories parmi lesquelles vous pouvez choisir.
  • Empêcher les utilisateurs et les groupes d’utiliser des appareils gérés pour accéder à des noms de domaine complets spécifiques (FQDN).
  • Configurez les stratégies de remplacement pour permettre aux groupes d’utilisateurs d’accéder aux sites que vos règles de filtrage web bloquent autrement.
  • Étendre les fonctionnalités de Microsoft Entra Internet Access à des réseaux entiers, y compris les appareils qui n’exécutent pas le client Global Secure Access

Après avoir compris les fonctionnalités dont vous avez besoin dans vos cas d’usage, créez un inventaire pour associer vos utilisateurs et groupes à ces fonctionnalités. Comprendre quels utilisateurs et groupes bloquer ou autoriser l'accès à quelles catégories de sites web et à quels FQDN. Inclure la hiérarchisation des règles pour chaque groupe d’utilisateurs.

Tester et déployer Microsoft Entra Internet Access

À ce stade, vous avez terminé les étapes de lancement et de planification de votre projet de déploiement SASE (Secure Access Services Edge). Vous comprenez ce que vous devez implémenter pour qui. Vous avez défini les utilisateurs à activer dans chaque vague. Vous avez une planification pour le déploiement de chaque vague. Vous avez satisfait aux exigences de licence . Vous êtes prêt à activer Microsoft Entra Internet Access.

  1. Remplissez les conditions préalables d’accès global sécurisé .
  2. Créer un groupe Microsoft Entra qui inclut vos utilisateurs pilotes.
  3. Activez les profils d’accès à Microsoft Entra Internet et de transfert de trafic Microsoft. Attribuez votre groupe pilote à chaque profil.

Note

Le trafic Microsoft est un sous-ensemble du trafic Internet qui possède sa propre passerelle de tunnel dédiée. Pour des performances optimales, activez Microsoft Traffic avec le profil de trafic Internet.

  1. Créez des communications des utilisateurs finaux pour définir les attentes et fournir un chemin d’escalade.

  2. Créez un plan de restauration qui définit les circonstances et procédures pour lesquelles vous supprimez le client Global Secure Access d’un appareil utilisateur ou désactivez le profil de transfert de trafic.

  3. Envoyer des communications des utilisateurs finaux.

  4. Déployez le client Accès sécurisé global pour Windows sur les appareils pour que votre groupe pilote teste.

  5. Configurez des réseaux distants en utilisant vWAN ou VNG si cela est applicable.

  6. Configurez stratégies de filtrage de contenu web pour autoriser ou bloquer des catégories ou des noms de domaine complets en fonction des cas d’usage que vous avez définis lors de la planification.

    • Bloquer par catégorie : définir une règle qui bloque l’une des nombreuses catégories managées prédéfinies
    • Bloquer par nom de domaine complet : définissez une règle qui bloque un nom de domaine complet que vous spécifiez
    • Remplacement : définir une règle qui autorise une catégorie web ou un nom de domaine complet que vous spécifiez

  7. Créez profils de sécurité qui regroupent et hiérarchisent vos stratégies de filtrage de contenu web en fonction de votre plan.

    • Profil de référence : utilisez la fonctionnalité de profil de référence pour regrouper les stratégies de filtrage de contenu web qui s’appliquent à tous les utilisateurs par défaut.
    • Profils de sécurité : créez des profils de sécurité pour regrouper les stratégies de filtrage de contenu web qui s’appliquent à un sous-ensemble d’utilisateurs.

  8. Créez et liez les stratégies d’accès conditionnel pour appliquer vos profils de sécurité à votre groupe pilote. Le profil de base de référence par défaut ne nécessite pas de stratégie d’accès conditionnel.

  9. Faites tester votre configuration par vos utilisateurs pilotes.

  10. Confirmez l’activité dans les journaux de trafic d’accès global sécurisé.

  11. Mettez à jour votre configuration pour résoudre les problèmes et répéter le test. Utilisez le plan de restauration si nécessaire.

  12. Si nécessaire, itérer les modifications apportées à votre plan de déploiement et de communication des utilisateurs finaux.

Une fois votre pilote terminé, vous disposez d’un processus reproductible pour comprendre comment procéder à chaque vague d’utilisateurs dans votre déploiement de production.

  1. Identifiez les groupes qui contiennent votre vague d’utilisateurs.
  2. Informez l’équipe de support technique de la vague planifiée et de ses utilisateurs inclus.
  3. Envoyez les communications préparées des utilisateurs finaux en fonction de votre plan.
  4. Affectez les groupes au profil d'acheminement du trafic Microsoft Entra Internet Access.
  5. Déployez le client Global Secure Access sur les appareils des utilisateurs de cette vague.
  6. Si nécessaire, créez et configurez davantage de stratégies de filtrage de contenu web pour autoriser ou bloquer des catégories ou des noms de domaine complets en fonction des cas d’usage que vous avez définis dans votre plan.
  7. Si nécessaire, créez des profils de sécurité supplémentaires qui regroupent et hiérarchisent vos stratégies de filtrage de contenu web en fonction de votre plan.
  8. Créez des stratégies d’accès conditionnel pour appliquer de nouveaux profils de sécurité aux groupes pertinents de cette vague ou ajoutez les nouveaux groupes d’utilisateurs aux stratégies d’accès conditionnel existantes pour les profils de sécurité existants.
  9. Mettez à jour votre configuration. Testez à nouveau pour résoudre les problèmes. Si nécessaire, lancez le plan de restauration.
  10. Si nécessaire, itérer les modifications apportées à votre plan de déploiement et de communication des utilisateurs finaux.

Étapes suivantes