Guide de déploiement de Microsoft Global Secure Access pour le trafic Microsoft
Microsoft Global Secure Access converge les contrôles d’accès réseau, d’identité et de point de terminaison pour sécuriser l’accès à n’importe quelle application ou ressource à partir de n’importe quel emplacement, appareil ou identité. Il active et orchestre la gestion des stratégies d’accès pour les employés de l’entreprise. Vous pouvez surveiller et ajuster en continu, en temps réel, l’accès utilisateur à vos applications privées, aux applications SaaS (Software-as-a-Service) et aux points de terminaison Microsoft. La surveillance et l’ajustement continus vous aident à répondre de manière appropriée aux modifications au niveau des autorisations et des risques au fur et à mesure qu’elles se produisent.
Le profil de transfert de trafic Microsoft vous permet de contrôler et de gérer le trafic Internet spécifique aux points de terminaison Microsoft, même lorsque les utilisateurs travaillent à partir d’emplacements distants. Il vous aide à :
- Protégez-vous contre l’exfiltration des données.
- Réduisez les risques de vol de jetons et d’attaques par rejeu.
- Mettre en corrélation l’adresse IP source de l’appareil avec les journaux d’activité pour améliorer l’efficacité de la chasse aux menaces.
- Faciliter la gestion des stratégies d’accès sans liste d’adresses IP de sortie.
Les conseils de cet article vous aident à tester et déployer le profil de trafic Microsoft dans votre environnement de production. Guide de déploiement Microsoft Global Secure Access fournit des conseils sur la manière de lancer, planifier, exécuter, surveiller et clôturer votre projet de déploiement Global Secure Access.
Identifier et planifier les cas d’usage clés
Avant d’activer Microsoft Entra Secure Access Essentials, déterminez ce que vous souhaitez faire pour vous. Comprenez vos cas d’usage pour déterminer les fonctionnalités à déployer. Le tableau suivant recommande les configurations en fonction des cas d’usage.
| Cas d'utilisation | Configuration recommandée |
|---|---|
| Empêcher les utilisateurs et les groupes d’utiliser des appareils gérés pour accéder aux points de terminaison Microsoft 365 dans d’autres locataires. | Configurer des restrictions de locataire universelles. |
| Assurez-vous que les utilisateurs se connectent et s’authentifient uniquement avec le tunnel réseau sécurisé Global Secure Access pour réduire le risque de vol/relecture de jetons pour Microsoft 365 et toutes les applications d’entreprise. | Configurez la vérification de conformité du réseau dans les stratégies d'accès conditionnel. |
| Optimiser le succès et l’efficacité de la chasse aux menaces. | Configurez la restauration de l’IP source (préversion) et Utilisez les journaux Microsoft 365 enrichis. |
Après avoir déterminé les fonctionnalités dont vous avez besoin pour vos cas d’usage, incluez le déploiement de fonctionnalités dans votre implémentation.
Tester et déployer le profil de trafic Microsoft
À ce stade, vous avez terminé les étapes de lancement et de plan de votre projet de déploiement Global Secure Access. Vous comprenez ce que vous devez implémenter pour qui. Vous avez défini les utilisateurs à activer dans chaque vague. Vous avez une planification pour le déploiement de chaque vague. Vous avez satisfait aux exigences de licence . Vous êtes prêt à activer le profil de trafic Microsoft.
- Créez des communications des utilisateurs finaux pour définir les attentes et fournir un chemin d’escalade.
- Créez un plan de restauration qui définit les circonstances et procédures pour lesquelles vous supprimez le client Global Secure Access d’un appareil utilisateur ou désactivez le profil de transfert de trafic.
- Créer un groupe Microsoft Entra qui inclut vos utilisateurs pilotes.
- Envoyer des communications des utilisateurs finaux.
- Activez le profil de transfert de trafic Microsoft et affectez-lui votre groupe pilote.
- Si vous envisagez d’optimiser la réussite et l’efficacité de la chasse aux menaces, configurez Restauration de l’IP source.
- Créez des stratégies d’accès conditionnel qui nécessitent des vérifications de réseau conformes et pour votre groupe pilote dans le cadre d'un cas d'usage planifié.
- Configurez les restrictions de locataire universelles s’il s’agit d’un cas d’utilisation planifié.
- Déployez le client Accès sécurisé global pour Windows sur les appareils pour que votre groupe pilote teste.
- Faites tester votre configuration par vos utilisateurs pilotes.
- Affichez les journaux de connexion pour vous assurer que les utilisateurs pilotes se connectent aux points de terminaison Microsoft à l’aide de Global Secure Access.
- Vérifiez la vérification du réseau conforme en interrompant l’agent Global Secure Access, puis en essayant d’accéder à SharePoint.
- Vérifiez les restrictions de locataire en essayant de vous connecter à un autre locataire.
- Vérifiez la restauration de l’adresse IP source en comparant l’adresse IP dans le journal de connexion d’une connexion réussie à SharePoint Online lors de la connexion avec l’agent Global Secure Access en cours d’exécution et désactivée pour vous assurer qu’elles sont identiques.
Remarque
Vous devez désactiver toute stratégie d'accès conditionnel qui impose la vérification du réseau certifié conforme pour ce contrôle.
Mettez à jour votre configuration pour résoudre les problèmes. Répétez le test. Implémentez des plans de retour arrière si nécessaire. Modifiez vos communications aux utilisateurs finaux et votre plan de déploiement si nécessaire.
Une fois votre pilote terminé, vous disposez d’un processus reproductible pour poursuivre chaque vague d’utilisateurs dans votre déploiement de production.
- Identifiez les groupes qui contiennent les utilisateurs de votre vague.
- Informez votre équipe de support technique du programme de la vague de lancement et de ses utilisateurs inclus.
- Envoyez les communications aux utilisateurs finaux de la vague de lancement.
- Assignez les groupes des vagues au profil de transfert de trafic de Microsoft.
- Déployez le client Global Secure Access sur les appareils des utilisateurs de la vague.
- Créez ou mettez à jour des stratégies d’accès conditionnel pour appliquer les exigences de votre cas d’utilisation aux groupes concernés par la vague de lancement.
- Si nécessaire, itérer les modifications apportées à votre plan de déploiement et de communication des utilisateurs finaux.
Étapes suivantes
- Découvrez comment accélérer votre transition vers un modèle de sécurité Confiance Zéro avec Microsoft Entra Suite et la plateforme d’opérations de sécurité unifiées de Microsoft
- Présentation du guide de déploiement de Microsoft Global Secure Access
- Guide de déploiement de Microsoft Global Secure Access pour microsoft Entra Private Access
- Guide de déploiement de Microsoft Global Secure Access pour Microsoft Entra Internet Access
- Simuler une connectivité réseau distante à l’aide de la passerelle de réseau virtuel Azure - Accès sécurisé global
- Simuler une connectivité réseau distante à l’aide d’Azure vWAN - Global Secure Access