Delen via

Implementatiehandleiding voor Microsoft Global Secure Access voor Microsoft Traffic

  • Artikel

Microsoft Global Secure Access geconvergeerd netwerk-, identiteits- en eindpunttoegangsbeheer voor beveiligde toegang tot elke app of resource vanaf elke locatie, apparaat of identiteit. Hiermee kunt u toegangsbeleidsbeheer voor zakelijke werknemers inschakelen en organiseren. U kunt continu in realtime gebruikerstoegang tot uw privé-apps, SaaS-apps (Software-as-a-Service) en Microsoft-eindpunten bewaken en aanpassen. Continue bewaking en aanpassing helpt u om op de juiste wijze te reageren op wijzigingen op machtigings- en risiconiveau wanneer deze zich voordoen.

Met het microsoft-profiel voor het doorsturen van verkeer kunt u internetverkeer beheren en beheren dat specifiek is voor Microsoft-eindpunten, zelfs wanneer gebruikers vanaf externe locaties werken. Dit helpt u bij het volgende:

  • Bescherming tegen gegevensexfiltratie.
  • Verminder het risico op tokendiefstal en herhalingsaanvallen.
  • Correleert het IP-adres van de apparaatbron met activiteitenlogboeken om de efficiëntie van het opsporen van bedreigingen te verbeteren.
  • Beheer van toegangsbeleid vergemakkelijken zonder een lijst met uitgaande IP-adressen.

De richtlijnen in dit artikel helpen u bij het testen en implementeren van het Microsoft-verkeersprofiel in uw productieomgeving. Implementatiehandleiding voor Microsoft Global Secure Access bevat richtlijnen voor het initiëren, plannen, uitvoeren, bewaken en sluiten van uw global Secure Access-implementatieproject.

Belangrijke use cases identificeren en plannen

Voordat u Microsoft Entra Secure Access Essentials inschakelt, moet u bepalen wat u wilt doen. Inzicht in uw gebruiksvoorbeelden om te bepalen welke functies u wilt implementeren. In de volgende tabel worden configuraties aanbevolen op basis van use cases.

Gebruikssituatie Aanbevolen configuratie
Voorkomen dat gebruikers en groepen beheerde apparaten gebruiken voor toegang tot Microsoft 365-eindpunten in andere tenants. Configureer universele tenantbeperkingen.
Zorg ervoor dat gebruikers alleen verbinding maken en verifiëren met de beveiligde netwerktunnel van Global Secure Access om het risico op diefstal/herhaling van tokens voor Microsoft 365 en alle Bedrijfstoepassingen te verminderen. Configureer compatibele netwerkcontrole in beleid voor voorwaardelijke toegang.
Maximaliseer het succes en de efficiëntie van het opsporen van bedreigingen. Configureer bron-IP-herstel (preview) en Verrijkte Microsoft 365-logboekengebruiken.

Nadat u hebt bepaald welke mogelijkheden u nodig hebt voor uw gebruiksscenario's, moet u de implementatie van functies in uw implementatie opnemen.

Microsoft-verkeerprofiel testen en implementeren

Op dit moment hebt u de initieer- en planfasen van uw global Secure Access-implementatieproject voltooid. U begrijpt wat u moet implementeren voor wie. U hebt de gebruikers gedefinieerd die in elke golf moeten worden ingeschakeld. U hebt een schema voor de implementatie van elke golf. U hebt voldaan aan de vereisten voor licentie . U bent klaar om het profiel voor Microsoft-verkeer in te schakelen.

  1. Maak communicatie van eindgebruikers om verwachtingen in te stellen en een escalatiepad te bieden.
  2. Maak een terugdraaiplan dat de omstandigheden en procedures definieert voor wanneer u global Secure Access-client van een gebruikersapparaat verwijdert of het doorsturen van verkeer uitschakelt.
  3. Maak een Microsoft Entra-groep met uw testgebruikers.
  4. Communicatie van eindgebruikers verzenden.
  5. Schakel het Microsoft-profiel voor het doorsturen van verkeer in en wijs vervolgens uw testgroep eraan toe.
  6. Als u van plan bent om het succes en de efficiëntie van het opsporen van bedreigingen te maximaliseren, configureert u bron-IP-herstel.
  7. Maak beleid voor voorwaardelijke toegang waarvoor compatibel netwerk is vereist controleert op uw testgroep als dit een geplande use-case is.
  8. Configureer universele tenantbeperkingen als dit een geplande use-case is.
  9. Rol de Global Secure Access-client voor Windows uit op apparaten om te testen met uw testgroep.
  10. Laat uw testgebruikers uw configuratie testen.
  11. Bekijk aanmeldingslogboeken om ervoor te zorgen dat pilotgebruikers verbinding maken met Microsoft-eindpunten met behulp van Global Secure Access.
  12. Controleer de compatibele netwerkcontrole door de Global Secure Access-agent te onderbreken en vervolgens toegang te krijgen tot SharePoint.
  13. Controleer tenantbeperkingen door u aan te melden bij een andere tenant.
  14. Controleer het herstel van de bron-IP door het IP-adres in het aanmeldingslogboek van een geslaagde verbinding met SharePoint Online te vergelijken, zowel wanneer de Global Secure Access-agent actief is als wanneer deze uitgeschakeld is, om te controleren of ze hetzelfde zijn.

    Notitie

    U moet beleid voor voorwaardelijke toegang uitschakelen waarmee de compatibele netwerkcontrole voor deze verificatie wordt afgedwongen.

Werk uw configuratie bij om eventuele problemen op te lossen. Herhaal de test. Implementeer indien nodig terugdraaiplannen. Iter indien nodig wijzigingen in uw communicatie- en implementatieplan voor eindgebruikers.

Nadat u de testfase hebt voltooid, hebt u een herhaalbaar proces om door te gaan met elke golf gebruikers in uw productie-implementatie.

  1. Identificeer de groepen die de gebruikers van uw groep bevatten.
  2. Informeer uw ondersteuningsteam over de planning van de golf en de bijbehorende gebruikers.
  3. Verzend de eindgebruikerscommunicatie over de wave.
  4. Wijs de groepen van de golf toe aan het Microsoft verkeer-doorstuurprofiel.
  5. Implementeer de Global Secure Access Client op de apparaten van de gebruikers in de uitrolgolf.
  6. Beleid voor voorwaardelijke toegang maken of bijwerken om uw vereisten voor het gebruiksscenario af te dwingen voor de relevante groepen.
  7. Iter indien nodig wijzigingen in uw communicatie- en implementatieplan voor eindgebruikers.

Volgende stappen