Implementatiehandleiding voor Microsoft Global Secure Access voor Microsoft Entra Internet Access

Microsoft Global Secure Access geconvergeerd netwerk-, identiteits- en eindpunttoegangsbeheer voor beveiligde toegang tot elke app of resource vanaf elke locatie, apparaat of identiteit. Hiermee kunt u toegangsbeleidsbeheer voor zakelijke werknemers inschakelen en organiseren. U kunt continu in realtime gebruikerstoegang tot uw privé-apps, SaaS-apps (Software-as-a-Service) en Microsoft-eindpunten bewaken en aanpassen. Met deze oplossing kunt u op de juiste wijze reageren op wijzigingen op machtigings- en risiconiveau wanneer deze zich voordoen.

Met Microsoft Entra Internet Access kunt u internettoegang beheren en beheren voor zakelijke gebruikers met beheerde apparaten wanneer ze lokaal of op afstand werken. Dit helpt u bij het volgende:

• Bescherm uw zakelijke gebruikers en beheerde apparaten tegen schadelijk internetverkeer en malware-infectie.
• Verhinderen dat gebruikers toegang hebben tot sites op basis van webcategorie of volledig gekwalificeerde domeinnaam.
• Verzamel internetgebruiksgegevens voor rapporten en ondersteuningsonderzoeken.

De richtlijnen in dit artikel helpen u bij het testen en implementeren van Microsoft Entra Internet Access in uw productieomgeving. Implementatiehandleiding voor Microsoft Global Secure Access bevat richtlijnen voor het initiëren, plannen, uitvoeren, bewaken en sluiten van uw global Secure Access-implementatieproject.

Belangrijke use cases identificeren en plannen

Voordat u Microsoft Entra Internet Access inschakelt, moet u plannen wat u wilt doen. Inzicht in gebruiksvoorbeelden, zoals het volgende, om te bepalen welke functies moeten worden geïmplementeerd.

• Definieer een basislijnbeleid dat van toepassing is op al het internettoegangsverkeer dat via de service wordt gerouteerd.
• Voorkom dat specifieke gebruikers en groepen beheerde apparaten gebruiken om toegang te krijgen tot websites per categorie (zoals Alcohol en Tabak of Social Media). Microsoft Entra Internet Access biedt meer dan 60 categorieën waaruit u kunt kiezen.
• Voorkomen dat gebruikers en groepen beheerde apparaten gebruiken voor toegang tot specifieke FQDN's (Fully Qualified Domain Names).
• Configureer uitzonderingsbeleid om groepen gebruikers toegang te geven tot sites die uw webfilterregels anders zouden blokkeren.
• De mogelijkheden van Microsoft Entra Internet Access uitbreiden naar volledige netwerken, inclusief apparaten waarop de Global Secure Access-client niet wordt uitgevoerd
  • Externe netwerkconnectiviteit simuleren met behulp van een remote virtual wide-area network (vWAN)
  • Externe netwerkconnectiviteit simuleren met behulp van een virtuele Azure-netwerkgateway (VNG)

Nadat u inzicht hebt in de mogelijkheden die u nodig hebt in uw gebruiksvoorbeelden, maakt u een inventaris om uw gebruikers en groepen aan deze mogelijkheden te koppelen. Begrijpen welke gebruikers en groepen geblokkeerd of toegestaan moeten worden met betrekking tot toegang tot specifieke webcategorieën en FQDN's. Regel prioritering opnemen voor elke gebruikersgroep.

Microsoft Entra Internet Access testen en implementeren

Op dit moment hebt u de initiatie- en planningsfasen van uw SASE-implementatieproject (Secure Access Services Edge) voltooid. U begrijpt wat u moet implementeren voor wie. U hebt gedefinieerd welke gebruikers in elke golf ingeschakeld moeten worden. U hebt een planning voor de implementatie van elke golf. U hebt voldaan aan licentievereisten. U kunt Microsoft Entra Internet Access inschakelen.

1. Voltooi de algemene vereisten voor beveiligde toegang .
2. Maak een Microsoft Entra-groep met uw testgebruikers.
3. Schakel de profielen voor internettoegang van Microsoft Entra en doorsturen van Microsoft-verkeer in. Wijs uw pilotgroep toe aan elk profiel.

Notitie

Microsoft-verkeer is een subset van internetverkeer met een eigen toegewezen tunnelgateway. Voor optimale prestaties schakelt u Microsoft Traffic in met een profiel voor internettoegangsverkeer.

1. Maak communicatie van eindgebruikers om verwachtingen in te stellen en een escalatiepad te bieden.

2. Maak een terugdraaiplan dat de omstandigheden en procedures definieert voor wanneer u global Secure Access-client van een gebruikersapparaat verwijdert of het doorsturen van verkeer uitschakelt.

3. Communicatie van eindgebruikers verzenden.

4. Implementeer de Global Secure Access-client voor Windows op apparaten, zodat uw pilotgroep deze kan testen.

5. Configureer externe netwerken met vWAN- of VNG- indien toepasselijk.

6. Configureer beleidsregels voor het filteren van webinhoud om categorieën of FQDN's toe te staan of te blokkeren op basis van de gebruiksscenario's die u tijdens de planning hebt gedefinieerd.

   • Blokkeren op categorie: definieer een regel die een van de vele vooraf gedefinieerde, beheerde categorieën blokkeert
   • Blokkeren op FQDN: definieer een regel die een FQDN blokkeert die u opgeeft
   • Overschrijven: definieer een regel die een webcategorie of FQDN toestaat die u opgeeft

7. Maak beveiligingsprofielen die groeperen en prioriteit geven aan het filterbeleid voor webinhoud op basis van uw plan.

   • Basislijnprofiel: gebruik de functie Basislijnprofiel om beleidsregels voor het filteren van webinhoud te groeperen die standaard van toepassing zijn op alle gebruikers.
   • Beveiligingsprofielen: beveiligingsprofielen maken om beleidsregels voor het filteren van webinhoud te groeperen die van toepassing zijn op een subset van gebruikers.

8. Maak en koppel beleid voor voorwaardelijke toegang om uw beveiligingsprofielen toe te passen op uw testgroep. Voor het standaardbasislijnprofiel is geen beleid voor voorwaardelijke toegang vereist.

9. Laat uw testgebruikers uw configuratie testen.

10. Bevestig activiteit in de Global Secure Access Traffic logs.

11. Werk uw configuratie bij om eventuele problemen op te lossen en herhaal de test. Gebruik indien nodig een terugdraaiplan.

12. Iter indien nodig wijzigingen in uw communicatie- en implementatieplan voor eindgebruikers.

Nadat uw testfase is voltooid, hebt u een herhaalbaar proces om te begrijpen hoe u doorgaat met elke golf gebruikers in uw productie-implementatie.

1. Identificeer de groepen die uw gebruikersgolf bevatten.
2. Informeer het ondersteuningsteam van de geplande golf en de bijbehorende gebruikers.
3. Verzend voorbereide communicatie van eindgebruikers volgens uw plan.
4. Wijs de groepen toe aan het Microsoft Entra-profiel voor het doorsturen van verkeer voor internettoegang.
5. Implementeer de Global Secure Access-client op de apparaten van de gebruikers in deze golf.
6. Indien nodig maakt en configureert u meer beleidsregels voor het filteren van webinhoud om categorieën of FQDN's toe te staan of te blokkeren op basis van de gebruiksvoorbeelden die u in uw plan hebt gedefinieerd.
7. Maak indien nodig meer beveiligingsprofielen die groeperen en prioriteit geven aan het filterbeleid voor webinhoud op basis van uw plan.
8. Maak beleid voor voorwaardelijke toegang om nieuwe beveiligingsprofielen toe te passen op de relevante groepen in deze golf of voeg de nieuwe groepen gebruikers toe aan bestaand beleid voor voorwaardelijke toegang voor bestaande beveiligingsprofielen.
9. Werk uw configuratie bij. Test opnieuw om problemen op te lossen. Initieer indien nodig het terugdraaiplan.
10. Iter indien nodig wijzigingen in uw communicatie- en implementatieplan voor eindgebruikers.

Volgende stappen

• Meer informatie over het versnellen van uw overgang naar een Zero Trust-beveiligingsmodel met Microsoft Entra Suite en het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft
• Inleiding tot de implementatiehandleiding voor Microsoft Global Secure Access
• Microsoft Global Secure Access Implementatiehandleiding voor Microsoft Entra Private Access
• implementatiehandleiding voor Microsoft Global Secure Access voor Microsoft Traffic
• Externe netwerkconnectiviteit simuleren met behulp van Azure Virtual Network Gateway - Global Secure Access
• Externe netwerkconnectiviteit simuleren met behulp van Azure vWAN - Global Secure Access