Guide de déploiement de Microsoft Global Secure Access pour Microsoft Entra Private Access

Microsoft Global Secure Access converge les contrôles d’accès réseau, d’identité et de point de terminaison pour sécuriser l’accès à n’importe quelle application ou ressource à partir de n’importe quel emplacement, appareil ou identité. Il active et orchestre la gestion des stratégies d’accès pour les employés de l’entreprise. Vous pouvez surveiller et ajuster en continu, en temps réel, l’accès utilisateur à vos applications privées, aux applications SaaS (Software-as-a-Service) et aux points de terminaison Microsoft. La surveillance et l’ajustement continus vous aident à répondre de manière appropriée aux modifications au niveau des autorisations et des risques au fur et à mesure qu’elles se produisent.

Microsoft Entra Private Access vous permet de remplacer votre VPN d’entreprise. Il fournit à vos utilisateurs d’entreprise un accès macro-segmenté aux applications d’entreprise que vous contrôlez avec des stratégies d’accès conditionnel. Il vous aide à :

• Fournissez un accès point à point de Confiance zéro aux applications privées avec tous les ports et protocoles. Cette approche empêche les acteurs malveillants d’effectuer des analyses de mouvement latéral ou de port sur votre réseau d’entreprise.
• Exiger l’authentification multifacteur lorsque les utilisateurs se connectent à des applications privées.
• Tunnelez des données sur le vaste réseau privé global de Microsoft pour optimiser les communications réseau sécurisées.

Les conseils de cet article vous aident à tester et déployer Microsoft Entra Private Access dans votre environnement de production lors de la phase d’exécution de votre déploiement. Le guide de déploiement de Microsoft Global Secure Access fournit des conseils pour lancer, planifier, exécuter, surveiller et clôturer votre projet de déploiement Global Secure Access.

Identifier et planifier les cas d’usage clés

Le remplacement VPN est le scénario principal de Microsoft Entra Private Access. Vous pouvez avoir d’autres cas d’usage dans ce scénario pour votre déploiement. Par exemple, vous devrez peut-être :

• Appliquez des stratégies d’accès conditionnel pour contrôler les utilisateurs et les groupes avant de se connecter à des applications privées.
• Configurez l’authentification multifacteur en tant qu’exigence de se connecter à n’importe quelle application privée.
• Activez un déploiement par phases qui évolue vers une approche de confiance nulle au fil du temps pour vos applications TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) -based.
• Utilisez un nom de domaine complet (FQDN) pour vous connecter à des réseaux virtuels qui chevauchent ou dupliquer des plages d’adresses IP pour configurer l’accès aux environnements éphémères.
• Privileged Identifier Management (PIM) pour configurer la segmentation de destination pour l’accès privilégié.

Après avoir compris les fonctionnalités dont vous avez besoin dans vos cas d’usage, créez un inventaire pour associer vos utilisateurs et groupes à ces fonctionnalités. Envisagez d’utiliser la fonctionnalité Accès rapide pour dupliquer initialement vos fonctionnalités VPN afin de pouvoir tester la connectivité et supprimer votre VPN. Utilisez ensuite la découverte d’applications pour identifier les segments d’application auxquels vos utilisateurs se connectent afin de pouvoir sécuriser la connectivité à des adresses IP, des noms de domaine complets et des ports spécifiques.

Tester et déployer Microsoft Entra Private Access

À ce stade, vous avez terminé les étapes de lancement et de plan de votre projet de déploiement SASE (Secure Access Service Edge). Vous comprenez ce que vous devez implémenter pour qui. Vous avez défini les utilisateurs à activer dans chaque vague. Vous avez une planification pour le déploiement de chaque vague. Vous avez satisfait aux exigences de licence . Vous êtes prêt à activer Microsoft Entra Private Access.

1. Créez des communications des utilisateurs finaux pour définir les attentes et fournir un chemin d’escalade.
2. Créez un plan de restauration qui définit les circonstances et procédures pour lesquelles vous supprimez le client Global Secure Access d’un appareil utilisateur ou désactivez le profil de transfert de trafic.
3. Créer un groupe Microsoft Entra qui inclut vos utilisateurs pilotes.
4. Activez le profil de transfert de trafic Microsoft Entra Private Access et attribuez votre groupe pilote. Affecter des utilisateurs et des groupes à des profils de transfert de trafic.
5. Provisionnez des serveurs ou des machines virtuelles qui ont un accès en ligne de vue à vos applications pour fonctionner en tant que connecteurs, fournissant une connectivité sortante aux applications pour vos utilisateurs. Envisagez des scénarios d’équilibrage de charge et des exigences de capacité pour des performances acceptables. Configurez des connecteurs pour Accès privé Microsoft Entra sur chaque machine de connecteur.
6. Si vous disposez d’un inventaire des applications d’entreprise, configurer l’accès par application à l’aide d’applications d’accès sécurisé global. Sinon, configurez l’accès rapide pour l’accès global sécurisé.
7. Communiquez les attentes à votre groupe pilote.
8. Déployez le client Accès sécurisé global pour Windows sur les appareils pour que votre groupe pilote teste.
9. Créez des stratégies d’accès conditionnel selon vos exigences de sécurité, et appliquez-les à votre groupe d'essai lorsque ces utilisateurs se connectent à vos applications Global Secure Access Enterprise publiées.
10. Faites tester votre configuration par vos utilisateurs pilotes.
11. Si nécessaire, mettez à jour votre configuration et retestez. Si nécessaire, lancez le plan de retour en arrière.
12. Si nécessaire, itérer les modifications apportées à votre plan de déploiement et de communication des utilisateurs finaux.

Configurer l’accès par application

Pour optimiser la valeur de votre déploiement Microsoft Entra Private Access, vous devez passer de l’accès rapide à l’accès par application. Vous pouvez utiliser fonctionnalité de découverte d’applications pour créer rapidement des applications d’accès sécurisé global à partir de segments d’application auxquels vos utilisateurs accèdent. Vous pouvez également utiliser applications Global Secure Access Enterprise pour les créer manuellement, ou vous pouvez utiliser powerShell pour automatiser la création.

1. Créez l’application et limitez-la à tous les utilisateurs affectés à l’accès rapide (recommandé) ou à tous les utilisateurs qui doivent accéder à l’application spécifique.
2. Ajoutez au moins un segment d’application à l’application. Vous n’avez pas besoin d’ajouter tous les segments d’application en même temps. Vous préférez peut-être les ajouter lentement afin de pouvoir valider le flux de trafic pour chaque segment.
3. Notez que le trafic vers ces segments d’application n’apparaît plus dans Accès rapide. Utilisez l’accès rapide pour identifier les segments d’application que vous devez configurer en tant qu’applications d’accès sécurisé global.
4. Continuez à créer des applications d’accès sécurisé global jusqu’à ce qu’aucun segment d’application n’apparaisse dans Accès rapide.
5. Désactivez l’accès rapide.

Une fois votre pilote terminé, vous devez disposer d’un processus reproductible et comprendre comment procéder à chaque vague d’utilisateurs dans votre déploiement de production.

1. Identifiez les groupes qui contiennent votre vague d’utilisateurs.
2. Informez votre équipe de support technique de la vague planifiée et de ses utilisateurs inclus.
3. Envoyez des communications planifiées et préparées aux utilisateurs finaux.
4. Affectez les groupes au profil de transfert de trafic Microsoft Entra Private Access.
5. Déployez le client Global Secure Access sur les appareils pour les utilisateurs de cette vague.
6. Si nécessaire, déployez davantage de connecteurs de réseau privé et créez des applications d’entreprise d’accès sécurisé global.
7. Si nécessaire, créez des stratégies d’accès conditionnel à appliquer aux utilisateurs de la vague lorsqu’ils se connectent à ces applications.
8. Mettez à jour votre configuration. Effectuez un nouveau test pour résoudre les problèmes, en cas de besoin, initiez le plan de retour en arrière.
9. Si nécessaire, itérer les modifications apportées à votre plan de déploiement et de communication des utilisateurs finaux.

Étapes suivantes

• Découvrez comment accélérer votre transition vers un modèle de sécurité Confiance Zéro avec Microsoft Entra Suite et la plateforme d’opérations de sécurité unifiées de Microsoft
• Présentation du guide de déploiement de Microsoft Global Secure Access
• guide de déploiement de Microsoft Global Secure Access pour Microsoft Traffic
• Guide de déploiement de Microsoft Global Secure Access pour Microsoft Entra Internet Access
• Simuler une connectivité réseau distante à l’aide de la passerelle de réseau virtuel Azure - Accès sécurisé global
• Simuler une connectivité réseau distante à l’aide d’Azure vWAN - Global Secure Access