Introduzione alla guida alla distribuzione di Microsoft Global Secure Access
microsoft Global Secure Access è un componente chiave di una strategia di Secure Access Service Edge (SASE). Offre Microsoft Entra Internet Access, Microsoft Entra Private Accesse Microsoft Traffic. Usa la vasta rete geografica privata di Microsoft e il tuo investimento nei criteri di accesso condizionale di Microsoft per proteggere i dati aziendali a livello di rete.
Ecco i principali scenari di distribuzione di Accesso sicuro globale:
- Sostituire le soluzioni VPN esistenti con un approccio Zero Trust Network Access (ZTNA) che fornisce connettività sicura dall'endpoint all'applicazione.
- Proteggere e monitorare il traffico Microsoft per i dipendenti in loco e remoti.
- Proteggere e monitorare il traffico Internet per i dipendenti remoti e sul sito.
Questa guida alla distribuzione consente di pianificare e distribuire Microsoft Global Secure Access. Per informazioni sulle licenze, vedere panoramica delle licenze di Global Secure Access. Anche se la maggior parte dei servizi è disponibile a livello generale, alcune parti del servizio sono in anteprima pubblica.
Eseguire una prova di concetto
Eseguire una prova di concetto (PoC) per garantire che la soluzione scelta fornisca le funzionalità e la connettività di cui hai bisogno.
A seconda delle funzionalità che si prevede di distribuire in un progetto pilota per Microsoft Global Secure Access, possono essere necessarie fino a sette ore. Assicurarsi di aver soddisfatto i requisiti di licenza .
- Configurare i prerequisiti: un'ora
- Configurare il prodotto iniziale: 20 minuti
- Configurare la rete remota: da 1 a 2 ore
- Distribuire e testare un profilo di traffico Microsoft: un'ora
- Distribuire e testare Microsoft Entra Internet Access: un'ora
- Distribuire e testare l'accesso privato Microsoft Entra: un'ora
- Chiudi PoC: 30 minuti
Avviare il progetto Global Secure Access
L'avvio del progetto è il primo passaggio in qualsiasi progetto riuscito. All'inizio dell'avvio del progetto si è deciso di implementare Microsoft Global Secure Access. Il successo del progetto dipende da te: comprendere i requisiti, definire i criteri di successo e garantire una comunicazione adeguata. Assicurarsi di gestire aspettative, risultati e responsabilità.
Identificare i requisiti aziendali, i risultati e i criteri di successo
Identificare i requisiti aziendali, i risultati e i criteri di successo per chiarire esattamente ciò che è necessario eseguire con i criteri di successo. Per esempio:
- Qual è il risultato chiave necessario per ottenere questo progetto?
- Come si prevede di sostituire la VPN?
- Come intendi proteggere il tuo traffico Microsoft?
- Come si prevede di proteggere il traffico Internet?
Dopo aver identificato gli scenari principali, esaminare i dettagli:
- A quali applicazioni devono accedere i tuoi utenti?
- Quali siti Web necessitano del controllo di accesso?
- Che cos'è obbligatorio e cosa è facoltativo?
Durante questa fase, creare un inventario che descrive utenti, dispositivi e applicazioni chiave nell'ambito. Per la sostituzione della VPN, iniziare con Accesso rapido per identificare le applicazioni private a cui gli utenti devono accedere in modo da poterle definire in Microsoft Entra Private Access.
Definire la pianificazione
Il progetto è un successo dopo aver ottenuto i risultati desiderati entro i vincoli di budget e tempo. Identificare gli obiettivi dei risultati per data, trimestre o anno. Collaborare con gli stakeholder per comprendere i traguardi specifici che definiscono gli obiettivi dei risultati. Definire i requisiti di revisione e i criteri di successo per ogni obiettivo. Poiché Microsoft Global Secure Access è in fase di sviluppo continuo, mappare i requisiti alle fasi di sviluppo delle funzionalità.
Identificare i portatori di interesse
Identificare e documentare gli stakeholder, i ruoli e le responsabilità per le persone che svolgono attività nel progetto ZTNA. I titoli e i ruoli possono variare da un'organizzazione a un'altra; Tuttavia, le aree di proprietà sono simili. Prendere in considerazione i ruoli e le responsabilità nella tabella seguente e identificare gli stakeholder corrispondenti. Distribuisci una tabella di questo tipo alla leadership, agli stakeholder e al tuo team.
| Ruolo | Responsabilità |
|---|---|
| Sponsor | Leader aziendale con autorità per approvare e/o assegnare budget e risorse. Connette manager e team esecutivi. Decision maker tecnico per l'implementazione di prodotti e funzionalità. |
| Utenti finali | Persone per cui si implementa il servizio. Può partecipare a un programma pilota. |
| Responsabile del supporto IT | Fornisce input sulla possibilità di supporto delle modifiche proposte. |
| Architetto di identità | Definisce il modo in cui la modifica è allineata all'infrastruttura di gestione delle identità. Comprende l'ambiente attuale. |
| Proprietario dell'azienda dell'applicazione | Possiede applicazioni coinvolte che potrebbero includere la gestione degli accessi. Fornisce input sull'esperienza utente. |
| Responsabili della sicurezza | Conferma che il piano di modifica soddisfa i requisiti di sicurezza. |
| Gestione rete | Supervisiona le funzionalità di rete, le prestazioni, la sicurezza e l'accessibilità. |
| Responsabile della Conformità | Garantisce la conformità ai requisiti aziendali, del settore e del governo. |
| Responsabile Tecnico del Programma | Supervisiona il progetto, gestisce i requisiti, coordina i flussi di lavoro e garantisce la conformità alla pianificazione e al budget. Facilita il piano di comunicazione e i report. |
| Team SOC/CERT | Conferma i requisiti del log di ricerca delle minacce e dei report. |
| Amministratore del tenant | Coordina i proprietari IT e le risorse tecniche responsabili delle modifiche del tenant di Microsoft Entra in tutto il progetto. |
| Team di implementazione | Esegue attività di distribuzione e configurazione. |
Creare un grafico RACI
Responsabile, responsabile, consultato, informato (RACI) si riferisce alle definizioni di ruolo e responsabilità. Per progetti e processi interfunzionali o di reparto, definire e chiarire ruoli e responsabilità in uno schema RACI.
- Scaricare il modello RACI Global Secure Access Deployment Guide come punto di partenza.
- Eseguire la mappatura dei ruoli e responsabilità di Responsabile, Referente, Consultato e Informato nei flussi di lavoro del progetto.
- Distribuire il grafico RACI agli stakeholder e assicurarsi che comprendano le assegnazioni.
Creare un piano di comunicazione
Un piano di comunicazione consente di interagire in modo appropriato, proattivo e regolare con gli stakeholder.
- Fornire informazioni rilevanti sui piani di distribuzione e sullo stato del progetto.
- Definire lo scopo e la frequenza delle comunicazioni a ogni stakeholder nel grafico RACI.
- Determinare chi crea e distribuisce le comunicazioni insieme ai meccanismi per condividere le informazioni. Ad esempio, il responsabile delle comunicazioni mantiene gli utenti finali aggiornati in caso di modifiche in sospeso e correnti con posta elettronica e in un sito Web designato.
- Includere informazioni sulle modifiche apportate all'esperienza utente e su come gli utenti possono ottenere supporto. Fare riferimento ai modelli di comunicazione dell'utente finale di esempio:
Creare un piano di controllo delle modifiche
I piani sono soggetti a modifiche quando il team del progetto raccoglie informazioni e dettagli. Creare un piano di gestione delle modifiche per descrivere agli stakeholder:
- processi e procedure delle richieste di modifica.
- come comprendere l'impatto sulle modifiche.
- responsabilità per la revisione e l'approvazione.
- cosa accade quando una modifica richiede più tempo o fondi.
Un buon piano di controllo garantisce che i team sappiano cosa fare quando sono necessarie modifiche.
Creare un piano di chiusura del progetto
Ogni chiusura del progetto richiede una revisione post-progetto. Identificare le metriche e le informazioni da includere in questa revisione in modo da poter raccogliere regolarmente i dati corretti per tutta la durata del progetto. Un piano di chiusura del progetto consente di generare in modo efficiente il riepilogo delle lezioni apprese.
Ottenere il consenso degli stakeholder
Dopo aver completato le attività di avvio del progetto, collaborare con ogni stakeholder per assicurarsi che i piani soddisfino le proprie esigenze specifiche. Evitare malintesi e sorprese con un processo di approvazione ufficiale che documenta il consenso e le approvazioni scritte. Tenere una riunione di inizio che copre l'ambito e i dettagli nella documentazione di riferimento.
Pianificare il progetto Global Secure Access
Creare una pianificazione dettagliata del progetto
Creare una pianificazione dettagliata del progetto con le attività cardine identificate nell'avvio del progetto. Impostare aspettative realistiche con piani di emergenza per soddisfare le attività cardine principali:
- Prova di concetto (PoC)
- Data di prova
- Data di avvio
- Le date che influiscono sulla consegna
- Dipendenze
Includere queste informazioni nella pianificazione del progetto:
Struttura dettagliata della suddivisione del lavoro con date, dipendenze e percorso critico
- Numero massimo di utenti da tagliare in ogni onda in base al carico di supporto previsto
- Intervallo di tempo per ogni fase di distribuzione (ad esempio eseguire un passaggio ogni lunedì)
- Gruppi specifici di utenti in ogni fase di distribuzione (non per superare il numero massimo)
- App che gli utenti richiedono (o usano Accesso rapido)
Membri del team assegnati a ogni attività
Creare un piano di gestione dei rischi
Creare un piano di gestione dei rischi per prepararsi per le contingenze che potrebbero influire sulle date e sul budget.
- Identificare il percorso critico e i risultati chiave obbligatori.
- Comprendere i rischi del flusso di lavoro.
- Pianifica il backup dei documenti per rimanere sulla buona strada quando si verificano imprevisti.
Definire i criteri di successo delle prestazioni
Definire metriche di prestazioni accettabili per testare in modo obiettivo e assicurarsi che la distribuzione abbia esito positivo e che l'esperienza utente si trova all'interno dei parametri. Prendere in considerazione l'inclusione delle metriche seguenti.
Accesso privato di Microsoft Entra
Le prestazioni della rete rientrano nei parametri definiti?
- Il dashboard di accesso sicuro globale consente di visualizzare il traffico di rete acquisito da Microsoft Entra Private e Microsoft Entra Internet Access. Compila i dati dalle configurazioni di rete, inclusi dispositivi, utenti e locatari.
- Usare Monitoraggio della Rete nei log di Monitoraggio di Azure per monitorare e analizzare la connettività di rete, l'integrità del circuito ExpressRoute e il traffico di rete cloud.
Si è notato un aumento della latenza durante il progetto pilota? Sono previsti requisiti di latenza specifici dell'app?
L'accesso Single Sign-On (SSO) alle applicazioni chiave funziona correttamente?
Valutare la possibilità di eseguire sondaggi di soddisfazione degli utenti e accettazione degli utenti.
Traffico Microsoft
Le prestazioni della rete rientrano nei parametri definiti?
- Il dashboard di accesso sicuro globale consente di visualizzare il traffico di rete acquisito da Microsoft Entra Private e Microsoft Entra Internet Access. Compila i dati dalle configurazioni di rete, inclusi dispositivi, utenti e locatari.
- Utilizzare la valutazione della rete di Microsoft 365 per trasformare un insieme delle metriche delle prestazioni di rete in uno snapshot delle condizioni del perimetro della rete aziendale.
- Utilizza il test di connettività di rete di Microsoft 365 per misurare la connettività tra il dispositivo e internet e da lì alla rete Microsoft.
Si è notato un aumento della latenza durante il progetto pilota?
Prendere in considerazione l'esecuzione di un sondaggio sulla soddisfazione degli utenti.
Prendere in considerazione l'esecuzione di un sondaggio di accettazione utente.
Microsoft Entra Internet Access
Le prestazioni della rete rientrano nei parametri definiti?
- Usare Monitoraggio di rete nei log di Monitoraggio di Azure per monitorare la connettività di rete, l'integrità dei circuiti ExpressRoute e analizzare il traffico di rete nel cloud.
- Usare Speedtest di Ookla - Il test globale della velocità della banda larga.
- Utilizza il Test di velocità Internet - Misura le prestazioni di rete | Cloudflare.
Il blocco e il filtro del traffico funzionano come previsto?
Valutare la possibilità di eseguire sondaggi di soddisfazione degli utenti e accettazione degli utenti.
Pianificare scenari di rollback
Mentre si lavora alla distribuzione di produzione e si aumenta attivamente il numero di utenti con il Security Service Edge di Microsoft, è possibile individuare scenari imprevisti o non verificati che influiscono negativamente sugli utenti finali. Pianificare per un impatto negativo:
- Definire un processo per gli utenti finali per segnalare i problemi.
- Definire una procedura per annullare la distribuzione per utenti o gruppi specifici o disabilitare il profilo di traffico.
- Definire una procedura per valutare il problema, identificare i passaggi di correzione e comunicare con gli stakeholder.
- Prepararsi a testare le nuove configurazioni prima che l'implementazione in produzione continui con le ondate successive di utenti.
Eseguire il piano di progetto
Ottenere le autorizzazioni
Assicurarsi che agli amministratori che interagiscono con Global Secure Access siano assegnati i ruoli corretti .
Preparare il team di supporto IT
Determinare il modo in cui gli utenti ottengono supporto quando hanno domande o problemi di connettività. Sviluppare la documentazione self-service per ridurre la pressione sul team di supporto IT. Assicurati che il tuo team di supporto IT riceva la formazione necessaria per essere pronti al deployment. Includerli nelle comunicazioni degli utenti finali in modo che siano a conoscenza di pianificazioni di migrazione scaglionate, team coinvolti e applicazioni incluse. Per evitare confusione nella base utente o nel supporto IT, stabilire un processo per gestire ed inoltrare le richieste di supporto degli utenti.
Eseguire un'implementazione pilota
Data la portata di utenti, dispositivi e applicazioni per la vostra distribuzione in produzione, iniziate con un piccolo gruppo di test iniziale. Ottimizza il processo delle comunicazioni, distribuzione, test e supporto per il tuo roll-out graduale. Prima di iniziare, esamina e conferma di disporre di tutti i prerequisiti .
Assicurarsi che il dispositivo sia registrato nel tenant. Segui le linee guida in Pianifica la distribuzione del dispositivo Microsoft Entra. Se l'organizzazione usa Intune, seguire le linee guida in Gestire e proteggere i dispositivi in Intune.
Raccomandazioni per i requisiti facoltativi
Le risorse nella tabella seguente forniscono attività di pianificazione ed esecuzione dettagliate per ogni requisito facoltativo.
| Requisito facoltativo | Risorsa |
|---|---|
| Proteggi l'accesso al traffico Microsoft. | piano di distribuzione del traffico di Microsoft |
| Sostituire la VPN con una soluzione Zero Trust per proteggere le risorse locali con il profilo del traffico di accesso privato. | piano di distribuzione di Microsoft Entra Private Access |
| Proteggere il traffico Internet con il profilo di traffico di Microsoft Entra Internet Access. | piano di implementazione di Microsoft Entra Internet Access |
Il progetto pilota deve includere alcuni utenti (meno di 20) che possono testare i dispositivi e le applicazioni necessari nell'ambito. Dopo aver identificato gli utenti pilota, assegnarli ai profili di traffico singolarmente o come gruppo (scelta consigliata). Seguire le indicazioni dettagliate in Assegnare utenti e gruppi ai profili di inoltro del traffico.
Lavorare sistematicamente su ciascuna applicazione di ambito identificato. Assicurarsi che gli utenti possano connettersi come previsto sui dispositivi previsti. Osservare e documentare le metriche dei criteri di successo delle prestazioni. Testare piani e processi di comunicazione. Affinare ed eseguire iterazioni in base alle necessità.
Al termine del progetto pilota e se vengono soddisfatti i criteri di successo, assicurarsi che il team di supporto sia pronto per le fasi successive. Finalizzare processi e comunicazioni. Procedere all'implementazione in produzione.
Distribuire nell'ambiente di produzione
Dopo aver completato tutti i piani e i test, la distribuzione deve essere un processo ripetibile con i risultati previsti.
Per altre informazioni, vedere le indicazioni pertinenti:
- Guida alla distribuzione di Microsoft Global Secure Access per Microsoft Traffic
- guida alla distribuzione di Microsoft Global Secure Access per Microsoft Entra Internet Access
- Guida alla distribuzione di Microsoft Global Secure Access per Microsoft Entra Private Access
Ripetere le distribuzioni wave fino a quando non vengono trasferiti tutti gli utenti a Microsoft Global Secure Access. Se si utilizza Microsoft Entra Private Access, l'accesso rapido viene disabilitato e tutto il traffico viene inoltrato tramite le applicazioni Global Secure Access.
Pianificare l'accesso di emergenza
Quando Global Secure Access è non operativo, gli utenti non possono accedere alle risorse che il controllo di conformità della rete protegge. Lo script GsaBreakglassEnforcement consente agli amministratori aziendali di modificare le politiche di accesso condizionale di rete compatibili attualmente abilitate in modalità solo report. Lo script consente temporaneamente agli utenti di accedere a tali risorse senza accesso sicuro globale.
Dopo il ripristino dell'accesso sicuro globale, usare lo script GsaBreakglassRecovery per attivare tutti i criteri interessati.
Considerazioni aggiuntive
- Seguire le indicazioni in Assegnare utenti e gruppi ai profili di inoltro del traffico per rimuovere gli utenti dai profili di traffico.
- Seguire le indicazioni in Come abilitare e gestire il traffico Microsoft per disabilitare i profili di traffico problematici.
- Seguire le indicazioni riportate in Come configurare l'accesso per app usando le applicazioni di accesso sicuro globale per annullare l'assegnazione di utenti e gruppi da segmenti di app problematici e i rispettivi criteri di accesso condizionale.
Monitorare e controllare il progetto Global Secure Access
Monitorare e controllare il progetto per gestire i rischi e identificare i problemi che potrebbero richiedere deviazioni dal piano. Tenere traccia del progetto e garantire comunicazioni accurate e tempestive agli stakeholder. Sempre completare i requisiti in modo accurato, puntuale e all'interno del budget.
Obiettivi chiave di questa fase:
- Monitoraggio dello stato di avanzamento. Le attività sono completate come pianificate? In caso contrario, perché no? Come si torna sulla giusta strada?
- Individuazione dei problemi. Sono sorti problemi, come ad esempio una disponibilità inaspettata di risorse o altre sfide impreviste? Le modifiche necessarie richiedono ordini di modifica?
- Monitoraggio dell'efficienza. Sono state identificate inefficienze intrinseche nei processi definiti? Quando il monitoraggio rivela inefficienze, come si ottimizza l'approccio al progetto?
- Conferma delle comunicazioni. I portatori di interesse erano soddisfatti della frequenza della comunicazione e del livello di dettaglio? In caso contrario, come si regola?
Stabilire la pianificazione settimanale e la revisione dei dettagli del progetto. Prestare particolare attenzione ai traguardi critici. Generare comunicazioni appropriate a tutti gli stakeholder e acquisire i dati per i report di chiusura del progetto.
Chiudere il progetto Global Secure Access
Felicitazioni! La distribuzione di Microsoft Global Secure Access è stata completata. Sistemare le questioni in sospeso e chiudere il progetto.
- Raccogliere feedback dagli stakeholder per capire se il team soddisfa le aspettative e le esigenze.
- Utilizzare i dati raccolti nel corso dell'esecuzione (come definito durante l'avvio del progetto) per sviluppare gli asset richiesti per la chiusura. Ad esempio, valutazione del progetto, lezioni apprese e presentazioni post-mortem.
- Archiviare i dettagli del progetto per riferimento su progetti futuri simili.
Passaggi successivi
- Informazioni su come accelerare la transizione a un modello di sicurezza Zero Trust con Microsoft Entra Suite e la piattaforma unificata per le operazioni di sicurezza di Microsoft
- Guida alla distribuzione di Microsoft Global Secure Access per Microsoft Traffic
- Guida alla distribuzione globale di Microsoft Secure Access per Microsoft Entra Internet Access
- Guida alla Distribuzione Globale di Microsoft Secure Access per Microsoft Entra Private Access
- Simulare la connettività di rete remota con gateway di rete virtuale di Azure - Accesso sicuro globale
- Simulare la connettività di rete remota con la rete WAN virtuale di Azure - Accesso sicuro globale