Guida alla distribuzione di Microsoft Global Secure Access per Microsoft Entra Internet Access

Microsoft Global Secure Access converge i controlli di accesso alla rete, all'identità e agli endpoint per l'accesso sicuro a qualsiasi app o risorsa da qualsiasi posizione, dispositivo o identità. Consente e orchestra la gestione dei criteri di accesso per i dipendenti aziendali. È possibile monitorare e regolare continuamente, in tempo reale, l'accesso degli utenti alle app private, alle app SaaS (Software-as-a-Service) e agli endpoint Microsoft. Questa soluzione consente di rispondere in modo appropriato alle modifiche a livello di autorizzazione e rischio man mano che si verificano.

Con Microsoft Entra Internet Access è possibile controllare e gestire l'accesso a Internet per gli utenti aziendali con dispositivi gestiti quando lavorano in locale o in remoto. Consente di:

• Proteggere gli utenti aziendali e i dispositivi gestiti da traffico Internet dannoso e da infezioni da malware.
• Impedire agli utenti di accedere ai siti in base alla categoria del web o al nome di dominio completo.
• Raccogliere i dati sull'utilizzo di Internet per i report e le indagini di supporto.

Le linee guida contenute in questo articolo ti aiutano a testare e distribuire Microsoft Entra Internet Access nel tuo ambiente di produzione. Introduzione alla distribuzione di Microsoft Global Secure Access offre linee guida su come avviare, pianificare, eseguire, monitorare e chiudere il tuo progetto di distribuzione di Global Secure Access.

Identificare e pianificare i casi d'uso chiave

Prima di abilitare Microsoft Entra Internet Access, pianifica cosa vuoi che faccia per te. Comprendere i casi d'uso, ad esempio i seguenti, per decidere quali funzionalità distribuire.

• Definire un criterio di base che si applica a tutto il traffico di accesso a Internet instradato attraverso il servizio.
• Impedire a utenti e gruppi specifici di usare dispositivi gestiti per accedere ai siti Web per categoria (ad esempio Alcol e Tabacco o Social Media). Microsoft Entra Internet Access offre più di 60 categorie tra cui è possibile scegliere.
• Impedire agli utenti e ai gruppi di usare dispositivi gestiti per accedere a nomi di dominio completi (FQDN) specifici.
• Configurare i criteri di override per consentire ai gruppi di utenti di accedere ai siti che altrimenti verrebbero bloccati dalle regole di filtro Web.
• Estendere le funzionalità di Microsoft Entra Internet Access a intere reti, inclusi i dispositivi che non eseguono il client Di accesso sicuro globale
  • Simulare la connettività di rete remota usando un vWAN (Virtual Wide Area Network) remoto
  • Simulare la connettività di rete remota usando un gateway di rete virtuale di Azure (VNG)

Dopo aver compreso le funzionalità necessarie nei casi d'uso, creare un inventario per associare utenti e gruppi a queste funzionalità. Comprendere quali utenti e gruppi bloccare o a cui consentire l'accesso a quali categorie Web e FQDN. Includere la definizione delle priorità delle regole per ogni gruppo di utenti.

Testare e distribuire Microsoft Entra Internet Access

A questo punto, hai completato le fasi di avvio e pianificazione del tuo progetto di distribuzione Secure Access Services Edge (SASE). Si capisce cosa è necessario implementare per chi. Sono stati definiti gli utenti da abilitare in ogni onda. È prevista una pianificazione per la distribuzione di ogni onda. Hai soddisfatto i requisiti di licenza . Si è pronti per abilitare Microsoft Entra Internet Access.

1. Completare i prerequisiti di accesso globale sicuro .
2. Crea un gruppo Microsoft Entra che include gli utenti pilota.
3. Abilitare i profili di accesso a Internet di Microsoft Entra e di inoltro del traffico di Microsoft. Assegna il tuo gruppo pilota a ciascun profilo.

Nota

Il traffico Microsoft è un sottogruppo del traffico Internet con un gateway tunnel dedicato. Per ottenere prestazioni ottimali, abilitare Microsoft Traffic con il profilo di traffico di accesso a Internet.

1. Creare comunicazioni per gli utenti finali per impostare le aspettative e fornire una procedura di escalation.

2. Creare un piano di rollback che definisca le circostanze, e le procedure nel caso in cui si rimuova il client di Global Secure Access da un dispositivo utente o si disabiliti il profilo di inoltro del traffico di rete.

3. Inviare comunicazioni dell'utente finale.

4. Distribuire il client di accesso sicuro globale per Windows sui dispositivi del gruppo pilota per il test.

5. Configurare reti remote utilizzando vWAN o VNG se rientra nell'ambito.

6. Configurare criteri di filtro dei contenuti web per consentire o bloccare categorie o FQDN in base ai casi d'uso definiti durante la pianificazione.

   • Blocca per categoria: definire una regola che blocca una delle numerose categorie gestite predefinite
   • Blocca per FQDN: definire una regola che blocca un FQDN specificato
   • Override: definire una regola che consenta una categoria Web o un nome di dominio completo specificato

7. Crea profili di sicurezza che raggruppano e assegnano priorità ai criteri di filtro dei contenuti web in base al piano.

   • Profilo di base: usare la funzionalità Profilo di base per raggruppare i criteri di filtro dei contenuti Web che si applicano a tutti gli utenti per impostazione predefinita.
   • Profili di sicurezza: creare profili di sicurezza per raggruppare i criteri di filtro dei contenuti Web che si applicano a un subset di utenti.

8. Creare e collegare criteri di accesso condizionale per applicare i profili di sicurezza al gruppo pilota. Il profilo baseline predefinito non richiede criteri di accesso condizionale.

9. Chiedere agli utenti pilota di testare la configurazione.

10. Verificare l'attività nei log del traffico globale di accesso sicuro .

11. Aggiornare la configurazione per risolvere eventuali problemi e ripetere il test. Se necessario, usare il piano di rollback.

12. In base alle esigenze, iterare le modifiche alle comunicazioni degli utenti finali e al piano di distribuzione.

Al termine del progetto pilota, avrai a disposizione un processo ripetibile per comprendere come procedere con ciascun gruppo di utenti nella tua implementazione in produzione.

1. Identificare i gruppi che contengono la tua ondata di utenti.
2. Notificare il team di supporto dell'ondata programmata e degli utenti inclusi.
3. Inviare comunicazioni dell'utente finale preparate in base al piano.
4. Assegna i gruppi al profilo di inoltro del traffico di Microsoft Entra Internet Access.
5. Distribuire il client di Accesso Sicuro Globale sui dispositivi degli utenti di questa fase di implementazione.
6. Se necessario, creare e configurare più criteri di filtro del contenuto Web per consentire o bloccare categorie o FQDN in base ai casi d'uso definiti nel piano.
7. Se necessario, creare più profili di sicurezza che raggruppano e assegnano priorità ai criteri di filtro dei contenuti Web in base al piano.
8. Creare criteri di accesso condizionale per applicare nuovi profili di sicurezza ai gruppi pertinenti in questa fase o aggiungere i nuovi gruppi di utenti ai criteri di accesso condizionale esistenti per i profili di sicurezza esistenti.
9. Aggiornare la configurazione. Testare di nuovo per risolvere i problemi. Se necessario, avviare il piano di rollback.
10. A seconda delle necessità, apportare modifiche al piano di distribuzione e alle comunicazioni con gli utenti finali.

Passaggi successivi

• Informazioni su come accelerare la transizione a un modello di sicurezza Zero Trust con Microsoft Entra Suite e la piattaforma unificata per le operazioni di sicurezza di Microsoft
• Guida alla distribuzione di Microsoft Global Secure Access
• Guida alla Distribuzione di Microsoft Global Secure Access per Microsoft Entra Private Access
• Guida alla distribuzione di Microsoft Global Secure Access per Microsoft Traffic
• Simulare la connettività di rete remota con gateway di rete virtuale di Azure - Accesso sicuro globale
• Simulare la connettività di rete remota con la rete WAN virtuale di Azure - Accesso sicuro globale