Delen via

Inleiding tot de implementatiehandleiding voor Microsoft Global Secure Access

  • Artikel

Microsoft Global Secure Access is een belangrijk onderdeel van een geslaagde strategie voor Secure Access Service Edge (SASE). Het beschikt over Microsoft Entra Internet Access, Microsoft Entra Private Accessen Microsoft Traffic. Het maakt gebruik van het enorme private wide area-netwerk van Microsoft en uw investering in beleid voor voorwaardelijke toegang om u te helpen uw bedrijfsgegevens op netwerkniveau te beveiligen.

Dit zijn de belangrijkste globale implementatiescenario's voor beveiligde toegang:

  • Vervang bestaande VPN-oplossingen door een Zero Trust Network Access (ZTNA) die beveiligde connectiviteit biedt van eindpunt naar toepassing.
  • Beveilig en bewaak Microsoft Traffic voor on-site en externe werknemers.
  • Internetverkeer beveiligen en bewaken voor on-site en externe werknemers.

Deze implementatiehandleiding helpt u bij het plannen en implementeren van Microsoft Global Secure Access. Zie Global Secure Access-licentieoverzicht voor licentiegegevens. Hoewel de meeste services algemeen beschikbaar zijn (GA), zijn sommige onderdelen van de service in openbare preview. ​

Een haalbaarheidsstudie uitvoeren

Voer een Proof of Concept (PoC) uit om ervoor te zorgen dat de oplossing die u kiest de functies en connectiviteit biedt die u nodig hebt.

Afhankelijk van de mogelijkheden die u wilt implementeren in een PoC voor Microsoft Global Secure Access, hebt u maximaal zeven uur nodig. Zorg ervoor dat u voldoet aan de vergunningsvereisten.

  • Vereisten configureren: ongeveer een uur
  • Eerste product configureren: 20 minuten
  • Extern netwerk configureren: 1 tot 2 uur
  • Microsoft Traffic-profiel implementeren en testen: één uur
  • Microsoft Entra Internet Access implementeren en testen: één uur
  • Microsoft Entra Private Access implementeren en testen: één uur
  • PoC sluiten: 30 minuten

Uw global Secure Access-project initiëren

Projectinitiatie is de eerste stap in een succesvol project. Aan het begin van het project hebt u besloten Microsoft Global Secure Access te implementeren. Het succes van het project is afhankelijk van u om inzicht te hebben in vereisten, succescriteria te definiëren en de juiste communicatie te garanderen. Zorg ervoor dat u verwachtingen, resultaten en verantwoordelijkheden beheert.

Bedrijfsvereisten, resultaten en succescriteria identificeren

Identificeer bedrijfsvereisten, resultaten en succescriteria om precies te verduidelijken wat u moet bereiken met succescriteria. Bijvoorbeeld:

  • Wat is het belangrijkste resultaat dat u nodig hebt om dit project te bereiken?
  • Hoe wilt u uw VPN vervangen?
  • Hoe wilt u uw Microsoft-verkeer beveiligen?
  • Hoe wilt u uw internetverkeer beveiligen?

Nadat u de primaire scenario's hebt geïdentificeerd, gaat u dieper in op de details:

  • Welke toepassingen hebben uw gebruikers nodig om toegang te krijgen?
  • Welke websites hebben toegangsbeheer nodig?
  • Wat is verplicht en wat is optioneel?

Maak tijdens deze fase een inventaris waarin gebruikers, apparaten en belangrijke toepassingen binnen het bereik worden beschreven. Voor VPN-vervanging begint u met Snelle toegang om de privétoepassingen te identificeren waartoe uw gebruikers toegang nodig hebben, zodat u ze kunt definiëren in Microsoft Entra Private Access.

De planning definiëren

Uw project is een succes nadat u binnen budget- en tijdsbeperkingen gewenste resultaten hebt behaald. Resultatendoelen identificeren op datum, kwartaal of jaar. Werk samen met uw belanghebbenden om specifieke mijlpalen te begrijpen die resultatendoelen definiëren. Definieer beoordelingsvereisten en succescriteria voor elk doel. Omdat Microsoft Global Secure Access continu in ontwikkeling is, koppel vereisten aan ontwikkelingsstadia van functies.

Belanghebbenden identificeren

Identificeer en documenteer belanghebbenden, rollen, verantwoordelijkheden voor personen die een rol spelen in uw ZTNA-project. Titels en rollen kunnen verschillen van de ene organisatie naar de andere; de eigendomsgebieden zijn echter vergelijkbaar. Houd rekening met de rollen en verantwoordelijkheden in de volgende tabel en identificeer de bijbehorende belanghebbenden. Distribueer een dergelijke tabel naar leiderschap, belanghebbenden en uw team.

Rol Verantwoordelijkheid
Sponsor Senior leider van het bedrijf met de bevoegdheid om het budget en middelen goed te keuren en toe te wijzen. Verbindt managers en leidinggevenden. Technische beslisser voor product- en functie-implementatie.
Eindgebruikers Personen voor wie u de service implementeert. Kan deelnemen aan een pilotprogramma.
IT-ondersteuningsmanager Biedt input over voorgestelde ondersteuning voor wijzigingen.
Identiteitsarchitect Definieert hoe de wijziging overeenkomt met de infrastructuur voor identiteitsbeheer. Begrijpt de huidige omgeving.
Eigenaar van toepassingsbedrijf Is eigenaar van de betrokken toepassingen die toegangsbeheer kunnen bevatten. Biedt input over de gebruikerservaring.
Beveiligingseigenaren Bevestigt dat het wijzigingsplan voldoet aan de beveiligingsvereisten.
Netwerkbeheerder Houdt toezicht op de netwerkfunctionaliteit, prestaties, beveiliging en toegankelijkheid.
Compliance Manager Zorgt voor naleving van bedrijfs-, branche- en overheidsvereisten.
Technisch programmamanager Houdt toezicht op het project, beheert vereisten, coördineert werkstromen en zorgt voor naleving van planning en budget. Vereenvoudigt het communicatieplan en de rapporten.
SOC/CERT-team Bevestigt de vereisten voor het logboek en de rapportage van bedreigingsopsporing.
Tenantbeheerder Coördineert IT-eigenaren en technische resources die verantwoordelijk zijn voor wijzigingen in de Microsoft Entra-tenant in het hele project.
Implementatieteam Voert implementatie- en configuratietaken uit.

Een RACI-grafiek maken

Verantwoordelijke, aansprakelijke, geraadpleegd, geïnformeerd (RACI) verwijst naar definities van rollen en verantwoordelijkheden. Voor project- en functie- of afdelingsprojecten en -processen definieert en verduidelijkt u rollen en verantwoordelijkheden in een RACI-grafiek.

  1. Download de RACI-sjabloon Global Secure Access Deployment Guide als uitgangspunt.
  2. Wijs de verantwoordelijke, aansprakelijke, geraadpleegde, geïnformeerde rollen en verantwoordelijkheden toe aan projectwerkstromen.
  3. Distribueer de RACI-grafiek naar belanghebbenden en zorg ervoor dat ze de toewijzingen begrijpen.

Communicatieplan maken

Met een communicatieplan kunt u op de juiste wijze, proactief en regelmatig communiceren met uw belanghebbenden.

  • Geef relevante informatie op over implementatieplannen en projectstatus.
  • Definieer het doel en de frequentie van communicatie voor elke belanghebbende in de RACI-grafiek.
  • Bepaal wie communicatie maakt en distribueert, samen met mechanismen om informatie te delen. De communicatiemanager houdt bijvoorbeeld eindgebruikers up-to-date over in behandeling zijnde en actuele wijzigingen met e-mail en op een aangewezen website.
  • Neem informatie op over wijzigingen in de gebruikerservaring en hoe gebruikers ondersteuning kunnen krijgen. Raadpleeg voorbeeldcommunicatiesjablonen voor eindgebruikers:

Wijzigingsbeheerplan maken

Plannen kunnen worden gewijzigd wanneer het projectteam informatie en details verzamelt. Maak een wijzigingsbeheerplan om aan belanghebbenden te beschrijven:

  • wijzigingsaanvraagprocessen en -procedures.
  • hoe u de impact van wijzigingen begrijpt.
  • Verantwoordelijkheden voor beoordeling en goedkeuring.
  • wat er gebeurt wanneer voor een wijziging meer tijd of geld nodig is.

Een goed controleplan zorgt ervoor dat teams weten wat ze moeten doen wanneer er wijzigingen nodig zijn.

Projectsluitingsplan maken

Elke projectsluiting vereist een beoordeling na het project. Identificeer de metrische gegevens en informatie die u in deze beoordeling wilt opnemen, zodat u regelmatig de juiste gegevens gedurende de levensduur van het project kunt verzamelen. Met een projectsluitingsplan kunt u efficiënt uw samenvatting van de lessen geleerd genereren.

Consensus van belanghebbenden verkrijgen

Nadat u de projectinitiatietaken hebt voltooid, moet u met elke belanghebbende samenwerken om ervoor te zorgen dat plannen aan hun specifieke behoeften voldoen. Voorkom misverstanden en verrassingen met een officieel goedkeuringsproces dat consensus en schriftelijke goedkeuringen documenteert. Houd een kick-offvergadering die de omvang en details in de referentiedocumentatie behandelt.

Uw global Secure Access-project plannen

Gedetailleerde projectplanning maken

Maak een gedetailleerd projectschema met de mijlpalen die u hebt geïdentificeerd in projectinitiatie. Stel realistische verwachtingen in met onvoorziene plannen om te voldoen aan de belangrijkste mijlpalen:

  • Proof of Concept (PoC)
  • Testdatum
  • Startdatum
  • Datums die van invloed zijn op levering
  • Afhankelijkheden

Neem deze informatie op in uw projectplanning:

  • Gedetailleerde structuur voor uitsplitsing van werk met datums, afhankelijkheden en kritiek pad

    • Maximaal aantal gebruikers dat bij elke golf wordt overgezet op basis van de verwachte ondersteuningsbelasting.
    • Tijdsbestek voor elke implementatiegolf (zoals het overschakelen van een golf elke maandag)
    • Specifieke groepen gebruikers in elke implementatiegolf (om het maximum aantal niet te overschrijden)
    • Apps die gebruikers nodig hebben (of snelle toegang gebruiken)

  • Teamleden die aan elke taak zijn toegewezen

Plan voor risicobeheer maken

Maak een plan voor risicobeheer om u voor te bereiden op onvoorziene gebeurtenissen die van invloed kunnen zijn op datums en budgetten.

  • Identificeer het kritieke pad en de verplichte sleutelresultaten.
  • Inzicht in risico's van werkstromen.
  • Document reserveplannen om op schema te blijven bij het optreden van contingenties.

Criteria voor succes van prestaties definiëren

Definieer acceptabele metrische prestatiegegevens om objectief te testen en ervoor te zorgen dat uw implementatie is geslaagd en dat uw gebruikerservaring binnen parameters valt. Overweeg de volgende metrische gegevens op te nemen.

Microsoft Entra Private Access

  • Zijn de netwerkprestaties binnen uw gedefinieerde parameters?

    • Het Global Secure Access-dashboard biedt u visualisaties van netwerkverkeer die microsoft Entra Private en Microsoft Entra Internet Access verkrijgen. Het compileert gegevens uit netwerkconfiguraties, waaronder apparaten, gebruikers en tenants.
    • Gebruik Netwerkbewaking in Azure Monitor-logboeken om netwerkconnectiviteit, expressRoute-circuitstatus en cloudnetwerkverkeer te bewaken en te analyseren.

  • Hebt u een toename van de latentie opgemerkt tijdens de pilot? Hebt u app-specifieke latentievereisten?

  • Werkt eenmalige aanmelding (SSO) correct voor uw belangrijkste toepassingen?

  • Overweeg het uitvoeren van enquêtes voor gebruikerstevredenheid en gebruikersacceptatie.

Microsoft-verkeer

  • Zijn de netwerkprestaties binnen uw gedefinieerde parameters?

    • Het Global Secure Access-dashboard biedt u visualisaties van netwerkverkeer die microsoft Entra Private en Microsoft Entra Internet Access verkrijgen. Het compileert gegevens uit netwerkconfiguraties, waaronder apparaten, gebruikers en tenants.
    • Gebruik de Microsoft 365-netwerkevaluatie om een aggregatie van metrische netwerkprestaties te destilleren in een momentopname van de perimeterstatus van uw bedrijfsnetwerk.
    • Gebruik de Microsoft 365-netwerkconnectiviteitstest om de connectiviteit tussen uw apparaat en internet te meten, en van daaruit naar het netwerk van Microsoft.

  • Zag u een latentieverhoging tijdens de pilot?

  • Overweeg om een gebruikerstevredenheidsenquête uit te voeren.

  • Overweeg om een gebruikersacceptatie-enquête uit te voeren.

Microsoft Entra Internet Access

Plannen voor terugdraaiscenario's

Wanneer u uw productie-implementatie doorloopt en het aantal gebruikers met Security Service Edge van Microsoft actief verhoogt, kunt u onverwachte of niet-geteste scenario's ontdekken die negatieve gevolgen hebben voor eindgebruikers. Plan voor negatieve gevolgen:

  • Definieer een proces voor eindgebruikers om problemen te melden.
  • Definieer een procedure voor het terugdraaien van de implementatie voor specifieke gebruikers of groepen of schakel het verkeersprofiel uit.
  • Definieer een procedure om te evalueren wat er mis is gegaan, herstelstappen te identificeren en te communiceren met belanghebbenden.
  • Bereid u voor op het testen van nieuwe configuraties voordat de productie-implementatie verdergaat naar de volgende gebruikersgroepen.

Uw projectplan uitvoeren

Machtigingen verkrijgen

Zorg ervoor dat beheerders die communiceren met Global Secure Access de juiste rollen hebben toegewezen.

Uw IT-ondersteuningsteam voorbereiden

Bepaal hoe gebruikers ondersteuning krijgen wanneer ze vragen of verbindingsproblemen hebben. Ontwikkel selfservicedocumentatie om de druk op uw IT-ondersteuningsteam te verminderen. Zorg ervoor dat uw IT-ondersteuningsteam training ontvangt voor implementatiegereedheid. Neem ze op in de communicatie van eindgebruikers, zodat ze gefaseerde migratieschema's, betrokken teams en toepassingen binnen het bereik kennen. Als u verwarring in de gebruikersbasis of in IT-ondersteuning wilt voorkomen, moet u een proces instellen voor het afhandelen en escaleren van aanvragen voor gebruikersondersteuning.

Een testimplementatie uitvoeren

Gezien de gebruikers, apparaten en toepassingen die binnen het bereik van uw productie-implementatie vallen, begint u met een kleine, eerste testgroep. Verfijn het communicatieproces, de implementatie, het testen en de ondersteuning voor uw gefaseerde implementatie. Voordat u begint, controleert en bevestigt u dat aan alle vereisten is voldaan.

Zorg ervoor dat het apparaat wordt geregistreerd in uw tenant. Volg de richtlijnen in De implementatie van uw Microsoft Entra-apparaat plannen. Als uw organisatie Gebruikmaakt van Intune, volgt u de richtlijnen in Apparaten beheren en beveiligen in Intune.

Aanbevelingen voor optionele vereisten

De resources in de volgende tabel bieden gedetailleerde plannings- en uitvoeringstaken voor elke optionele vereiste.

Aanbevolen optie Hulpbron
Beveiligde toegang tot uw Microsoft-verkeer garanderen. implementatieplan voor Microsoft-verkeer
Vervang uw VPN door een Zero Trust-oplossing om on-premises resources te beveiligen met het verkeersprofiel voor privétoegang. Microsoft Entra Private Access-implementatieplan
Beveilig uw internetverkeer met het Microsoft Entra Internet Access-verkeersprofiel. Microsoft Entra Internet Access-implementatieplan

Uw pilot moet een aantal gebruikers (minder dan 20) omvatten die vereiste apparaten en toepassingen binnen de scope kunnen testen. Nadat u pilootgebruikers hebt geïdentificeerd, wijst u deze toe aan de verkeersprofielen afzonderlijk of als een groep (aanbevolen). Volg gedetailleerde richtlijnen in Gebruikers en groepen toewijzen aan profielen voor het doorsturen van verkeer.

Werk systematisch door elke geïdentificeerde toepassing binnen de reikwijdte. Zorg ervoor dat gebruikers verbinding kunnen maken zoals verwacht op apparaten binnen het bereik. Metrische gegevens over succescriteria voor prestaties observeren en documenteren. Test communicatieplannen en -processen. Verfijn en itereer indien nodig.

Nadat de testfase is voltooid en aan succescriteria voldoet, moet u ervoor zorgen dat het ondersteuningsteam klaar is voor de volgende fasen. Processen en communicatie voltooien. Ga verder met de productie-implementatie.

Implementeren in productie

Nadat u alle plannen en tests hebt voltooid, moet de implementatie een herhaalbaar proces met verwachte resultaten zijn.

Zie de relevante richtlijnen voor meer informatie:

Herhaal het uitrollen in fasen totdat u alle gebruikers hebt overgezet naar Microsoft Global Secure Access. Als u Persoonlijke toegang van Microsoft Entra gebruikt, wordt Snelle toegang uitgeschakeld en wordt al het verkeer doorgestuurd via global Secure Access-toepassingen.

Plan voor toegang tot noodgevallen

Wanneer Global Secure Access niet werkt, kunnen gebruikers geen toegang krijgen tot middelen die beveiligd zijn door de Global Secure Access-conforme netwerkcontrole. Met het GsaBreakglassEnforcement-script kunnen ondernemingsbeheerders het ingeschakelde beleid voor voorwaardelijke toegang voor het netwerk overschakelen naar de modus Alleen-rapporteren. Met het script kunnen gebruikers tijdelijk toegang krijgen tot deze resources zonder globale beveiligde toegang.

Nadat Global Secure Access terug is, gebruikt u het GsaBreakglassRecoveryscript om alle betrokken beleidsregels in te schakelen.

Aanvullende overwegingen

Uw Global Secure Access-project bewaken en beheren

Bewaak en beheer uw project om risico's te beheren en problemen te identificeren die mogelijk afwijking van uw plan vereisen. Houd uw project op schema en zorg voor nauwkeurige en tijdige communicatie met belanghebbenden. Voldoen altijd nauwkeurig aan de vereisten, op tijd en binnen het budget.

Belangrijkste doelstellingen van deze fase:

  • Voortgangsbewaking. Zijn taken voltooid zoals gepland? Zo niet, waarom niet? Hoe kom je weer op schema?
  • Ontdekken van problemen. Zijn er problemen bijgekomen (zoals niet-geplande beschikbaarheid van resources of andere onvoorziene uitdagingen)? Waren wijzigingsorders noodzakelijk door de vereiste wijzigingen?
  • Efficiëntiebewaking. Hebt u inherente inefficiënties in gedefinieerde processen geïdentificeerd? Hoe kunt u uw projectbenadering aanpassen wanneer de bewaking inefficiënties aangeeft?
  • Bevestiging van communicatie. Waren belanghebbenden tevreden met uw communicatiefrequentie en detailniveau? Zo niet, hoe past u zich aan?

Stel wekelijkse planning en projectdetailbeoordeling in. Let goed op kritieke mijlpalen. Genereer de juiste communicatie voor alle belanghebbenden en leg gegevens vast voor projectsluitingsrapporten.

Uw Global Secure Access-project sluiten

Gefeliciteerd! U hebt de implementatie van Microsoft Global Secure Access voltooid. Maak losse uiteinden vast en sluit het project:

  • Verzamel feedback van belanghebbenden om te begrijpen of het team aan verwachtingen en behoeften voldoet.
  • Gebruik de gegevens die u tijdens de uitvoeringsfase hebt verzameld (zoals gedefinieerd tijdens de projectinitiatiefase) om de vereiste afsluitingsdocumenten te ontwikkelen. Bijvoorbeeld projectevaluatie, geleerde lessen en post-mortempresentaties.
  • Projectdetails archiveren ter referentie over vergelijkbare toekomstige projecten.

Volgende stappen