Guida alla distribuzione di Microsoft Global Secure Access per Microsoft Traffic
Microsoft Global Secure Access converge i controlli di accesso alla rete, all'identità e agli endpoint per l'accesso sicuro a qualsiasi app o risorsa da qualsiasi posizione, dispositivo o identità. Consente e orchestra la gestione dei criteri di accesso per i dipendenti aziendali. È possibile monitorare e regolare continuamente, in tempo reale, l'accesso degli utenti alle app private, alle app SaaS (Software-as-a-Service) e agli endpoint Microsoft. Il monitoraggio continuo e la regolazione consentono di rispondere in modo appropriato alle modifiche a livello di autorizzazione e rischio man mano che si verificano.
Il profilo di inoltro del traffico Microsoft consente di controllare e gestire il traffico Internet specifico per gli endpoint Microsoft anche quando gli utenti lavorano da posizioni remote. Consente di:
- Protezione dall'esfiltrazione di dati.
- Ridurre il rischio di furto di token e attacchi di ripetizione.
- Correlare l'indirizzo IP dell'origine del dispositivo con i log attività per migliorare l'efficienza della ricerca delle minacce.
- Semplificare la gestione dei criteri di accesso senza un elenco di indirizzi IP in uscita.
Le indicazioni contenute in questo articolo consentono di testare e distribuire il profilo del traffico Microsoft nell'ambiente di produzione. Introduzione alla guida alla distribuzione di Microsoft Global Secure Access fornisce indicazioni su come avviare, pianificare, eseguire, monitorare e chiudere il progetto di distribuzione di Global Secure Access.
Identificare e pianificare i casi d'uso chiave
Prima di abilitare Microsoft Entra Secure Access Essentials, determinare cosa volete che faccia per voi. Comprendere i casi d'uso per decidere quali funzionalità distribuire. La tabella seguente consiglia le configurazioni in base ai casi d'uso.
Caso d'uso | Configurazione consigliata |
---|---|
Impedire a utenti e gruppi di usare dispositivi gestiti per accedere agli endpoint di Microsoft 365 in altri tenant. | Configurare le restrizioni universali del tenant. |
Assicurare che gli utenti si connettano e autentichino solo attraverso il tunnel di rete sicura di Global Secure Access per ridurre il rischio di furto o riproduzione di token per Microsoft 365 e di tutte le applicazioni aziendali. | Configurare una verifica di conformità della rete nei criteri di accesso condizionale. |
Ottimizzare il successo e l'efficienza della ricerca delle minacce. | Configurare il ripristino dell'indirizzo IP di origine (in anteprima) e usare i log arricchiti di Microsoft 365. |
Dopo aver stabilito quali funzionalità sono necessarie per i tuoi casi d'uso, assicurati di includere la distribuzione delle stesse nell'implementazione.
Testare e distribuire il profilo di traffico Microsoft
A questo punto, hai completato le fasi di avvio e pianificazione del tuo progetto di implementazione Global Secure Access. Si capisce cosa è necessario implementare per chi. Hai definito gli utenti da abilitare in ogni fase. È prevista una pianificazione per la distribuzione di ogni onda. Hai soddisfatto i requisiti di licenza . Sei pronto per abilitare il profilo di traffico Microsoft.
- Creare comunicazioni per gli utenti finali per impostare le aspettative e fornire una procedura di escalation.
- Creare un piano di rollback che definisce le circostanze e le procedure in cui si rimuove il client di accesso sicuro globale da un dispositivo utente o si disabilita il profilo di inoltro del traffico.
- Crea un gruppo Microsoft Entra che include gli utenti pilota.
- Inviare comunicazioni dell'utente finale.
- Abilitare il profilo Microsoft di inoltro del traffico e assegnarvi il gruppo pilota.
- Se hai intenzione di ottimizzare il successo e l'efficienza della caccia alle minacce, configura ripristino dell'IP di origine.
- Creare criteri di accesso condizionale che richiedono controlli di rete conformi e al fine di verificare il gruppo pilota se si tratta di un caso d'uso pianificato.
- Configurare restrizioni dei tenant universali per un utilizzo pianificato.
- Distribuire il client di accesso sicuro globale per Windows sui dispositivi del gruppo pilota per l'esecuzione di test.
- Chiedere agli utenti pilota di testare la configurazione.
- Visualizzare i log di accesso per assicurarsi che gli utenti pilota si connettano agli endpoint Microsoft usando l'accesso sicuro globale.
- Verificare la verifica della rete conforme sospendo l'agente di accesso sicuro globale e quindi tentando di accedere a SharePoint.
- Verificare le restrizioni del cliente tentando di accedere a un cliente diverso.
- Verificare il ripristino dell'indirizzo IP di origine confrontando l'indirizzo IP nel log di accesso di una connessione riuscita a SharePoint Online durante la connessione con l'agente Global Secure Access in esecuzione rispetto a quando è disabilitato, per garantire che siano identici.
Nota
È necessario disabilitare tutti i criteri di accesso condizionale che applicano la verifica di conformità della rete per la verifica.
Aggiornare la configurazione per risolvere eventuali problemi. Ripetere il test. Implementare piani di rollback, se necessario. Apportare iterazioni alle modifiche delle comunicazioni degli utenti finali e al piano di distribuzione, se necessario.
Dopo aver completato il progetto pilota, è disponibile un processo ripetibile per procedere con ogni ondata di utenti nella distribuzione di produzione.
- Identificare i gruppi che contengono gli utenti dell'onda.
- Notifica al team di supporto il programma dell'ondata e gli utenti inclusi.
- Invia le comunicazioni dell'onda all'utente finale.
- Assegnare i gruppi di onde al profilo Microsoft di inoltro del traffico.
- Distribuire il client di accesso sicuro globale nei dispositivi degli utenti dell'onda.
- Creare o aggiornare i criteri di accesso condizionale per applicare i requisiti dei casi d'uso nei gruppi pertinenti dell'onda.
- In base alle esigenze, apportate modifiche alle comunicazioni degli utenti finali e al piano di distribuzione.
Passaggi successivi
- Informazioni su come accelerare la transizione a un modello di sicurezza Zero Trust con Microsoft Entra Suite e la piattaforma unificata per le operazioni di sicurezza di Microsoft
- Introduzione alla Guida alla distribuzione di Microsoft Global Secure Access
- Guida alla distribuzione di Microsoft Global Secure Access per Microsoft Entra Private Access
- Guida alla distribuzione di Microsoft Global Secure Access per l'accesso a Internet di Microsoft Entra
- Simulare la connettività di rete remota con gateway di rete virtuale di Azure - Accesso sicuro globale
- Simulare la connettività di rete remota con la rete WAN virtuale di Azure - Accesso sicuro globale