Partager via

Présentation du guide de déploiement de Microsoft Global Secure Access

  • Article

Microsoft Global Secure Access est un composant clé d’une stratégie de Service Edge d’Accès Sécurisé (SASE) réussie. Il propose Microsoft Entra Internet Access, Microsoft Entra Private Accesset Microsoft Traffic. Il utilise le vaste réseau privé de Microsoft et votre investissement dans les stratégies d’accès conditionnel pour vous aider à sécuriser vos données d’entreprise au niveau du réseau.

Voici les principaux scénarios de déploiement d’accès sécurisé global :

  • Remplacez les solutions VPN existantes par une approche d'accès réseau Zéro Confiance (ZTNA) qui assure une connectivité sécurisée de l'extrémité à l'application.
  • Sécurisez et surveillez le trafic Microsoft pour les employés sur site et distants.
  • Sécurisez et surveillez le trafic Internet pour les employés sur site et distants.

Ce guide de déploiement vous aide à planifier et à déployer Microsoft Global Secure Access. Consultez vue d’ensemble des licences d’accès sécurisé global pour obtenir des informations sur les licences. Bien que la plupart des services soient généralement disponibles (GA), certaines parties du service sont en préversion publique. ​

Effectuer une preuve de concept

Effectuez une preuve de concept (PoC) pour vous assurer que la solution que vous choisissez fournit les fonctionnalités et la connectivité dont vous avez besoin.

En fonction des fonctionnalités que vous envisagez de déployer dans un point de commande pour Microsoft Global Secure Access, vous avez besoin de sept heures maximum. Vérifiez que vous avez satisfait aux exigences de licence .

  • Configurer les prérequis : une heure
  • Configurer le produit initial : 20 minutes
  • Configurer le réseau distant : 1 à 2 heures
  • Déployer et tester le profil de trafic Microsoft : une heure
  • Déployer et tester Microsoft Entra Internet Access : une heure
  • Déployer et tester Microsoft Entra Private Access : une heure
  • Fermer POC : 30 minutes

Lancer votre projet Global Secure Access

L’initiation du projet est la première étape de tout projet réussi. Au début de l’initiation du projet, vous avez décidé d’implémenter Microsoft Global Secure Access. La réussite du projet dépend de vous pour comprendre les exigences, définir des critères de réussite et garantir les communications appropriées. Veillez à gérer les attentes, les résultats et les responsabilités.

Identifier les exigences métier, les résultats et les critères de réussite

Identifiez les exigences métier, les résultats et les critères de réussite pour clarifier exactement ce que vous devez accomplir avec les critères de réussite. Par exemple:

  • Quel est le résultat clé dont vous avez besoin pour réaliser ce projet ?
  • Comment envisagez-vous de remplacer votre VPN ?
  • Comment prévoyez-vous de sécuriser votre trafic Microsoft ?
  • Comment prévoyez-vous de sécuriser votre trafic Internet ?

Après avoir identifié les scénarios principaux, découvrez les détails suivants :

  • Quelles applications vos utilisateurs doivent-ils accéder ?
  • Quels sites web ont besoin d’un contrôle d’accès ?
  • Qu’est-ce qui est obligatoire et qu’est-ce qui est facultatif ?

Au cours de cette phase, créez un inventaire qui décrit les utilisateurs, les appareils et les applications clés qui sont dans le périmètre. Pour le remplacement du VPN, commencez par Accès rapide pour identifier les applications privées auxquelles vos utilisateurs doivent accéder afin de pouvoir les définir dans Microsoft Entra Private Access.

Définir la planification

Votre projet est un succès après avoir obtenu les résultats souhaités dans les contraintes budgétaires et temporelles. Identifiez les objectifs de résultat par date, trimestre ou année. Collaborez avec vos parties prenantes pour comprendre des jalons spécifiques qui définissent des objectifs de résultat. Définissez les exigences de révision et les critères de réussite pour chaque objectif. Étant donné que Microsoft Global Secure Access est en développement continu, mappez les exigences aux phases de développement des fonctionnalités.

Identifier les parties prenantes

Identifiez et documentez les parties prenantes, les rôles, les responsabilités des personnes qui jouent un rôle dans votre projet ZTNA. Les titres et les rôles peuvent différer d’une organisation à une autre ; toutefois, les zones de propriété sont similaires. Prenez en compte les rôles et responsabilités dans le tableau suivant et identifiez les parties prenantes correspondantes. Distribuez une telle table à la direction, aux parties prenantes et à votre équipe.

Rôle Responsabilité
Commanditaire Chef principal de l’entreprise disposant de l’autorité d’approuver et/ou d’attribuer un budget et des ressources. Connecte les responsables et les équipes de direction. Décideur technique pour l’implémentation de produits et de fonctionnalités.
Utilisateurs finaux Personnes pour lesquelles vous implémentez le service. Peut participer à un programme pilote.
Responsable du support informatique Fournit des avis sur la supportabilité des modifications proposées.
Architecte d’identité Définit la façon dont la modification s’aligne sur l’infrastructure de gestion des identités. Comprend l’environnement actuel.
Propriétaire de l’entreprise d’application Possède les applications concernées qui peuvent inclure la gestion des accès. Fournit un avis sur l’expérience utilisateur.
Propriétaires de sécurité Confirme que le plan de modification répond aux exigences de sécurité.
Gestionnaire de réseau Supervise les fonctionnalités réseau, les performances, la sécurité et l’accessibilité.
Gestionnaire de conformité Garantit la conformité aux exigences de l’entreprise, de l’industrie et du gouvernement.
Responsable du programme technique Supervise le projet, gère les exigences, coordonne les flux de travail et garantit l’adhésion à la planification et au budget. Facilite le plan de communication et les rapports.
Équipe SOC/CERT Confirme les exigences relatives au journal de repérage des menaces et aux rapports.
Administrateur locataire Coordonne les propriétaires informatiques et les ressources techniques responsables des modifications du client Microsoft Entra pendant toute la durée du projet.
Équipe de déploiement Effectue des tâches de déploiement et de configuration.

Créer un graphique RACI

Responsable, responsable, consulté, informé (RACI) fait référence aux définitions de rôle et de responsabilité. Pour les projets et les projets et processus inter-fonctionnels ou ministériels, définissez et précisez les rôles et responsabilités dans un graphique RACI.

  1. Téléchargez le modèle RACI Global Secure Access Deployment Guide comme point de départ.
  2. Affichez sur la carte les rôles Responsable, Agent, Consulté, Informé et leurs responsabilités aux flux de travail du projet.
  3. Distribuez le graphique RACI aux parties prenantes et assurez-vous qu’elles comprennent les affectations.

Créer un plan de communication

Un plan de communication vous aide à interagir de manière appropriée, proactive et régulièrement avec vos parties prenantes.

  • Fournissez des informations pertinentes sur les plans de déploiement et l’état du projet.
  • Définissez l’objectif et la fréquence des communications à chaque partie prenante dans le graphique RACI.
  • Déterminez qui crée et distribue des communications avec des mécanismes pour partager des informations. Par exemple, le gestionnaire de communications conserve les utilisateurs finaux à jour sur les modifications en attente et actuelles avec le courrier électronique et sur un site web désigné.
  • Incluez des informations sur les modifications apportées à l’expérience utilisateur et sur la façon dont les utilisateurs peuvent obtenir du support. Reportez-vous aux exemples de modèles de communication des utilisateurs finaux :

Créer un plan de contrôle des modifications

Les plans sont susceptibles de changer à mesure que l’équipe du projet recueille des informations et des détails. Créez un plan de gestion des changements pour décrire aux parties prenantes :

  • processus et procédures de demande de modification.
  • comment comprendre l’impact des modifications.
  • responsabilités en matière d’examen et d’approbation.
  • ce qui se passe lorsqu’un changement nécessite plus de temps ou de fonds.

Un bon plan de contrôle garantit que les équipes savent quoi faire quand des modifications sont nécessaires.

Créer un plan de fermeture de projet

Chaque fermeture de projet nécessite une révision post-projet. Identifiez les métriques et les informations à inclure dans cette révision afin de pouvoir collecter régulièrement les données correctes tout au long de la durée de vie du projet. Un plan de fermeture de projet vous permet de générer efficacement votre résumé des leçons apprises.

Obtenir le consensus des parties prenantes

Une fois vos tâches d’initiation de projet terminées, collaborez avec chaque partie prenante pour vous assurer que les plans répondent à leurs besoins spécifiques. Empêcher les malentendus et les surprises avec un processus d’approbation officiel qui documente les approbations consensus et écrites. Organisez une réunion de lancement qui couvre l’étendue et les détails de la documentation de référence.

Planifier votre projet Global Secure Access

Créer une planification détaillée du projet

Créez une planification détaillée du projet avec les jalons que vous avez identifiés lors de l’initiation du projet. Définissez des attentes réalistes avec des plans d’urgence pour répondre aux jalons clés :

  • Preuve de concept (PoC)
  • Date du pilote
  • Date de lancement
  • Dates qui affectent la livraison
  • Dépendances

Incluez ces informations dans la planification de votre projet :

  • Structure détaillée de la répartition des travaux avec des dates, des dépendances et un chemin critique

    • Nombre maximal d’utilisateurs à transférer dans chaque vague en fonction de la charge de support attendue
    • Délai d’exécution pour chaque vague de déploiement (par exemple, basculer une vague chaque lundi)
    • Groupes spécifiques d’utilisateurs dans chaque vague de déploiement (pas dépasser le nombre maximal)
    • Applications dont les utilisateurs ont besoin (ou utilisent Accès rapide)

  • Membres de l’équipe affectés à chaque tâche

Créer un plan de gestion des risques

Créez un plan de gestion des risques pour préparer les urgences susceptibles d’avoir un impact sur les dates et le budget.

  • Identifiez le chemin critique et les résultats clés obligatoires.
  • Comprendre les risques liés au flux de travail.
  • Documentez les plans de sauvegarde à suivre lorsque des urgences se produisent.

Définir les critères de réussite des performances

Définissez des métriques de performances acceptables pour tester objectivement et vérifier que votre déploiement réussit et que votre expérience utilisateur se trouve dans les paramètres. Envisagez d’inclure les métriques suivantes.

Accès privé Microsoft Entra

  • Les performances réseau sont-elles comprises dans vos paramètres définis ?

    • Le tableau de bord Global Secure Access vous fournit des visualisations du trafic réseau acquis par Microsoft Entra Private et Microsoft Entra Internet Access. Il compile des données à partir de configurations réseau, notamment des appareils, des utilisateurs et des locataires.
    • Utilisez Analyse du réseau dans les journaux Azure Monitor pour surveiller et analyser la connectivité réseau, l’intégrité du circuit ExpressRoute et le trafic réseau cloud.

  • Avez-vous remarqué une augmentation de la latence pendant le pilote ? Avez-vous des exigences de latence spécifiques à l’application ?

  • L’authentification unique (SSO) fonctionne-t-elle correctement pour vos applications clés ?

  • Envisagez d’exécuter des enquêtes sur la satisfaction des utilisateurs et l’acceptation des utilisateurs.

Trafic Microsoft

  • Les performances réseau sont-elles comprises dans vos paramètres définis ?

    • Le tableau de bord Global Secure Access vous fournit des visualisations du trafic réseau acquis par Microsoft Entra Private et Microsoft Entra Internet Access. Il compile des données à partir de configurations réseau, notamment des appareils, des utilisateurs et des locataires.
    • Utilisez l’évaluation réseau Microsoft 365 pour distiller un ensemble de mesures de performances réseau en un aperçu de l’état de santé du périmètre de votre réseau d’entreprise.
    • Utilisez le test de connectivité réseau Microsoft 365 pour mesurer la connectivité entre votre appareil et Internet, et depuis là, jusqu'au réseau de Microsoft.

  • Avez-vous remarqué une augmentation de la latence pendant le pilote ?

  • Envisagez d’exécuter une enquête sur la satisfaction des utilisateurs.

  • Envisagez d’exécuter une enquête d’acceptation des utilisateurs.

Accès Internet Microsoft Entra

Planifier les scénarios de repli

À mesure que vous travaillez dans votre déploiement de production et augmentez activement le nombre d’utilisateurs avec Security Service Edge de Microsoft, vous pouvez découvrir des scénarios imprévus ou non testés qui ont un impact négatif sur les utilisateurs finaux. Planifier l’impact négatif :

  • Définissez un processus permettant aux utilisateurs finaux de signaler des problèmes.
  • Définissez une procédure pour restaurer le déploiement pour des utilisateurs ou des groupes spécifiques ou désactiver le profil de trafic.
  • Définissez une procédure pour évaluer ce qui s’est passé, identifier les étapes de correction et communiquer avec les parties prenantes.
  • Préparez-vous à tester de nouvelles configurations avant de poursuivre le déploiement en production auprès des vagues suivantes d'utilisateurs.

Exécuter votre plan de projet

Obtenir des autorisations

Assurez-vous que les administrateurs qui interagissent avec Accès global sécurisé ont les rôles appropriés attribués.

Préparer votre équipe de support informatique

Déterminez comment les utilisateurs obtiennent du support lorsqu’ils ont des questions ou des problèmes de connectivité. Développez la documentation en libre-service pour réduire la pression sur votre équipe de support informatique. Assurez-vous que votre équipe de support informatique reçoit une formation pour la préparation du déploiement. Incluez-les dans les communications destinées aux utilisateurs finaux afin qu’ils connaissent les plannings de migration par phases, les équipes concernées et les applications incluses dans le périmètre. Pour éviter toute confusion dans la base d’utilisateurs ou dans le support informatique, établissez un processus de gestion et d’escalade des demandes de support utilisateur.

Effectuer un déploiement pilote

Compte tenu des utilisateurs, des appareils et des applications dans l’étendue de votre déploiement de production, commencez par un petit groupe de test initial. Ajustez le processus de communication, de déploiement, de test et de prise en charge de votre déploiement par phases. Avant de commencer, passez en revue et vérifiez que vous avez tous les prérequis en place.

Assurez l’enregistrement de l’appareil dans votre locataire. Suivez les instructions de Planifier votre déploiement d’appareils Microsoft Entra. Si votre organisation utilise Intune, suivez les instructions de Gérer et sécuriser des appareils dans Intune.

Recommandations pour les exigences facultatives

Les ressources du tableau suivant fournissent des tâches détaillées de planification et d’exécution pour chaque exigence facultative.

Exigence facultative Ressource
Sécuriser l’accès à votre trafic Microsoft. Plan de déploiement du trafic Microsoft
Remplacez votre VPN par une solution Confiance Zéro pour protéger les ressources locales par le profil de trafic d’accès privé. Microsoft Entra Private Access plan de déploiement
Sécurisez votre trafic Internet avec le profil de trafic Microsoft Entra Internet Access. Plan de déploiement Accès Internet Microsoft Entra

Votre pilote doit englober quelques utilisateurs (moins de 20) qui peuvent tester les appareils et applications nécessaires dans l’étendue. Une fois que vous avez identifié les utilisateurs pilotes, affectez-les aux profils de trafic individuellement ou en tant que groupe (recommandé). Suivez des instructions détaillées dans Affecter des utilisateurs et des groupes aux profils de transfert de trafic.

Travaillez systématiquement pour chaque application d’étendue identifiée. Assurez-vous que les utilisateurs peuvent se connecter sans problème sur les appareils prévus. Observez et documentez les métriques des critères de réussite des performances. Testez les plans et processus de communication. Ajuster et itérer selon les besoins.

Une fois le pilote terminé et satisfait aux critères de réussite, assurez-vous que l’équipe de support est prête pour les phases suivantes. Finalisez les processus et les communications. Passez au déploiement de production.

Déployer en production

Une fois que vous avez terminé tous les plans et tous les tests, le déploiement doit être un processus reproductible avec les résultats attendus.

Pour plus d’informations, consultez les conseils pertinents :

Répétez les déploiements par vague jusqu'à ce que vous migriez tous les utilisateurs vers Microsoft Global Secure Access. Si vous utilisez l’accès privé Microsoft Entra, il désactive l’accès rapide et transfère tout le trafic via des applications d’accès sécurisé global.

Planifier l’accès d’urgence

Lorsque Global Secure Access est hors service, les utilisateurs ne peuvent pas accéder aux ressources sécurisées par le contrôle de conformité réseau de Global Secure Access. Le script GsaBreakglassEnforcement permet aux administrateurs d’entreprise de basculer les stratégies d’accès conditionnel des réseaux compatibles activés en mode de rapport seul. Le script permet temporairement aux utilisateurs d’accéder à ces ressources sans accès sécurisé global.

Une fois l’accès global sécurisé rétabli, utilisez le script GsaBreakglassRecovery pour activer toutes les stratégies affectées.

À tout moment, utilisez le script ListGsaCompliantNetworkCaPolicies pour afficher toutes les stratégies d’autorité de certification réseau conformes et leur état.

Considérations supplémentaires

Surveiller et contrôler votre projet Global Secure Access

Surveillez et contrôlez votre projet pour gérer les risques et identifier les problèmes susceptibles de nécessiter un écart par rapport à votre plan. Suivez votre projet et assurez-vous des communications précises et opportunes aux parties prenantes. Remplissez toujours les exigences avec précision, à temps et dans le budget.

Objectifs clés de cette phase :

  • Surveillance de la progression. Les tâches se sont-elles terminées comme prévu ? Si ce n’est pas le cas, pourquoi ? Comment revenez-vous en piste ?
  • Découverte des problèmes. Les problèmes se sont-ils produits (tels que la disponibilité des ressources non planifiées ou d’autres défis imprévus) ? Les modifications requises nécessitent-ils des ordres de modification ?
  • Surveillance de l’efficacité. Avez-vous identifié des inefficacités inhérentes dans les processus définis ? Lorsque la surveillance révèle des inefficacités, comment ajustez-vous votre approche de projet ?
  • Confirmation des communications. Les parties prenantes étaient-elles satisfaites de votre fréquence de communication et de votre niveau de détail ? Si ce n’est pas le cas, comment ajuster ?

Établissez une planification hebdomadaire et une révision des détails du projet. Portez une attention particulière aux jalons critiques. Générez les communications appropriées à toutes les parties prenantes et capturez des données pour les rapports de fermeture de projet.

Fermer votre projet Global Secure Access

Félicitations! Vous avez terminé votre déploiement Microsoft Global Secure Access. Réglez les derniers détails puis terminez le projet.

  • Recueillez des commentaires des parties prenantes pour comprendre si l’équipe répond aux attentes et aux besoins.
  • Utilisez les données que vous avez collectées tout au long de la phase d’exécution (telles que définies lors de l’initiation du projet) pour développer les ressources de fermeture requises. Par exemple, l’évaluation du projet, les leçons apprises et les présentations post-mortem.
  • Archivez les détails du projet pour obtenir des informations de référence sur des projets futurs similaires.

Étapes suivantes