Delen via

Implementatiehandleiding voor Microsoft Global Secure Access voor Microsoft Entra Private Access

  • Artikel

Microsoft Global Secure Access geconvergeerd netwerk-, identiteits- en eindpunttoegangsbeheer voor beveiligde toegang tot elke app of resource vanaf elke locatie, apparaat of identiteit. Hiermee kunt u toegangsbeleidsbeheer voor zakelijke werknemers inschakelen en organiseren. U kunt continu in realtime gebruikerstoegang tot uw privé-apps, SaaS-apps (Software-as-a-Service) en Microsoft-eindpunten bewaken en aanpassen. Continue bewaking en aanpassing helpt u om op de juiste wijze te reageren op wijzigingen op machtigings- en risiconiveau wanneer deze zich voordoen.

Met Microsoft Entra Private Access kunt u uw zakelijke VPN vervangen. Het biedt uw zakelijke gebruikers macro- en microsegmented toegang tot bedrijfstoepassingen die u met beleid voor voorwaardelijke toegang kunt beheren. Dit helpt u bij het volgende:

  • Geef Zero Trust end-tot-end-toegang tot privétoepassingen met alle poorten en protocollen. Deze aanpak voorkomt dat slechte actoren laterale verplaatsingen of poortscans op uw bedrijfsnetwerk uitvoeren.
  • Meervoudige verificatie vereisen wanneer gebruikers verbinding maken met privétoepassingen.
  • Tunnelgegevens via het enorme wereldwijde wide area-netwerk van Microsoft om beveiligde netwerkcommunicatie te maximaliseren.

De richtlijnen in dit artikel helpen u bij het testen en implementeren van Microsoft Entra Private Access in uw productieomgeving wanneer u de implementatieuitvoeringsfase invoert. Implementatiehandleiding voor Microsoft Global Secure Access bevat richtlijnen voor het initiëren, plannen, uitvoeren, bewaken en sluiten van uw global Secure Access-implementatieproject.

Belangrijke use cases identificeren en plannen

VPN-vervanging is het primaire scenario voor Microsoft Entra Private Access. Mogelijk hebt u andere use cases in dit scenario voor uw implementatie. U moet bijvoorbeeld het volgende doen:

  • Pas beleid voor voorwaardelijke toegang toe om gebruikers en groepen te beheren voordat ze verbinding maken met privétoepassingen.
  • Configureer meervoudige verificatie als vereiste om verbinding te maken met een privé-app.
  • Schakel een gefaseerde implementatie in die Zero Trust in de loop van de tijd benadert voor uw Transmission Control Protocol (TCP) en UDP (User Datagram Protocol) -based toepassingen.
  • Gebruik FQDN (Fully Qualified Domain Name) om verbinding te maken met virtuele netwerken die ip-adresbereiken overlappen of dupliceren om de toegang tot tijdelijke omgevingen te configureren.
  • Privileged Identify Management (PIM) voor het configureren van doelsegmentatie voor bevoegde toegang.

Nadat u inzicht hebt in de mogelijkheden die u nodig hebt in uw gebruiksvoorbeelden, maakt u een inventaris om uw gebruikers en groepen aan deze mogelijkheden te koppelen. Plan in eerste instantie de functionaliteit Snelle toegang te gebruiken om uw VPN-functionaliteit te dupliceren, zodat u de connectiviteit kunt testen en uw VPN kunt verwijderen. Gebruik vervolgens Application Discovery om de toepassingssegmenten te identificeren waarmee uw gebruikers verbinding maken, zodat u vervolgens verbinding kunt maken met specifieke IP-adressen, FQDN's en poorten.

Microsoft Entra Private Access testen en implementeren

Op dit moment hebt u de initieer- en planfasen van uw SASE-implementatieproject (Secure Access Service Edge) voltooid. U begrijpt wat u moet implementeren voor wie. U hebt de gebruikers gedefinieerd die in elke fase moeten worden ingeschakeld. U hebt een planning voor de implementatie van elke golf. u hebt voldaan aan licentievereisten. U kunt Microsoft Entra Private Access inschakelen.

  1. Maak communicatie van eindgebruikers om verwachtingen in te stellen en een escalatiepad te bieden.
  2. Maak een terugdraaiplan dat de omstandigheden en procedures definieert voor wanneer u global Secure Access-client van een gebruikersapparaat verwijdert of het doorsturen van verkeer uitschakelt.
  3. Maak een Microsoft Entra-groep met uw testgebruikers.
  4. Activeer het Microsoft Entra Private Access-profiel voor het doorsturen van verkeer en wijs uw testgroep toe. Gebruikers en groepen toewijzen aan profielen voor het doorsturen van verkeer.
  5. Richt servers of virtuele machines in die directe toegang hebben tot uw toepassingen om als connectors te functioneren, waardoor uitgaande connectiviteit naar toepassingen voor uw gebruikers wordt geboden. Overweeg taakverdelingsscenario's en capaciteitsvereisten voor acceptabele prestaties. Connectors configureren voor Microsoft Entra Private Access op elke connectormachine.
  6. Als u een inventaris van bedrijfstoepassingen hebt, per app-toegang configureren met behulp van Global Secure Access-toepassingen. Zo niet, snelle toegang configureren voor globale beveiligde toegang.
  7. Communiceer verwachtingen met uw pilotgroep.
  8. Implementeer de Global Secure Access-client voor Windows op apparaten om uw testgroep te testen.
  9. Maak beleid voor voorwaardelijke toegang volgens uw beveiligingsvereisten die moeten worden toegepast op uw testgroep wanneer deze gebruikers verbinding maken met uw gepubliceerde Global Secure Access Enterprise-toepassingen.
  10. Laat uw testgebruikers uw configuratie testen.
  11. Werk indien nodig uw configuratie bij en test opnieuw. Initieer indien nodig het terugdraaiplan.
  12. Iter indien nodig wijzigingen in uw communicatie- en implementatieplan voor eindgebruikers.

Toegang per app configureren

Als u de waarde van uw Microsoft Entra Private Access-implementatie wilt maximaliseren, moet u overstappen van Snelle toegang tot toegang per app. U kunt functie voor toepassingsdetectie gebruiken om snel globale Secure Access-toepassingen te maken op basis van app-segmenten die uw gebruikers openen. U kunt ook Global Secure Access Enterprise-toepassingen gebruiken om ze handmatig te maken, of u kunt PowerShell- gebruiken om het maken te automatiseren.

  1. Maak de toepassing en beperk deze tot alle gebruikers die zijn toegewezen aan Snelle toegang (aanbevolen) of alle gebruikers die toegang nodig hebben tot de specifieke toepassing.
  2. Voeg ten minste één app-segment toe aan de toepassing. U hoeft niet alle app-segmenten tegelijk toe te voegen. U kunt ze misschien liever langzaam toevoegen, zodat u de verkeersstroom voor elk segment kunt valideren.
  3. U ziet dat verkeer naar deze app-segmenten niet meer wordt weergegeven in Snelle toegang. Gebruik Snelle toegang om app-segmenten te identificeren die u moet configureren als globale Secure Access-toepassingen.
  4. Ga door met het maken van globale Secure Access-toepassingen totdat er geen app-segmenten worden weergegeven in Snelle toegang.
  5. Snelle toegang uitschakelen.

Nadat uw testfase is voltooid, moet u een herhaalbaar proces hebben en begrijpen hoe u kunt doorgaan met elke golf gebruikers in uw productie-implementatie.

  1. Identificeer de groepen die uw gebruikersgolf bevatten.
  2. Informeer uw supportteam over de geplande fase en de bijbehorende gebruikers.
  3. Verzend geplande en voorbereide communicatie van eindgebruikers.
  4. Wijs de groepen toe aan het microsoft Entra Private Access-profiel voor het doorsturen van verkeer.
  5. Implementeer de Global Secure Access Client op apparaten voor de gebruikers van de golf.
  6. Implementeer indien nodig meer privénetwerkconnectors en maak meer Global Secure Access Enterprise-toepassingen.
  7. Maak indien nodig beleid voor voorwaardelijke toegang om toe te passen op de gebruikers van de golf wanneer ze verbinding maken met deze toepassingen.
  8. Werk uw configuratie bij. Test opnieuw om problemen op te lossen, indien nodig, het terugdraaiplan initiëren.
  9. Iter indien nodig wijzigingen in uw communicatie- en implementatieplan voor eindgebruikers.

Volgende stappen