Udostępnij za pośrednictwem

Przewodnik wdrażania globalnego zabezpieczonego dostępu dla Microsoft Entra Internet Access

  • Artykuł

Microsoft Global Secure Access łączy kontrolę dostępu do sieci, tożsamości i punktów końcowych, zapewniając bezpieczny dostęp do dowolnej aplikacji lub zasobu z dowolnej lokalizacji, urządzenia czy tożsamości. Umożliwia ona i organizuje zarządzanie zasadami dostępu dla pracowników firmowych. Możesz stale monitorować i dostosowywać dostęp użytkowników w czasie rzeczywistym do prywatnych aplikacji, aplikacji SaaS (Software-as-a-Service) i punktów końcowych firmy Microsoft. To rozwiązanie ułatwia odpowiednie reagowanie na zmiany na poziomie uprawnień i ryzyka w miarę ich występowania.

Dzięki usłudze Microsoft Entra Internet Access możesz kontrolować dostęp do Internetu dla użytkowników przedsiębiorstwa z zarządzanymi urządzeniami i zarządzać nimi, gdy pracują lokalnie lub zdalnie. Ułatwia to:

  • Ochrona użytkowników przedsiębiorstwa i zarządzanych urządzeń przed złośliwym ruchem internetowym i infekcją złośliwego oprogramowania.
  • Uniemożliwia użytkownikom uzyskiwanie dostępu do witryn na podstawie kategorii sieci Web lub w pełni kwalifikowanej nazwy domeny.
  • Zbieranie danych dotyczących użytkowania internetu do raportów i wspierania badań.

Wskazówki zawarte w tym artykule ułatwiają testowanie i wdrażanie microsoft Entra Internet Access w środowisku produkcyjnym. wprowadzenie do przewodnika wdrażania globalnego bezpiecznego dostępu firmy Microsoft zawiera wskazówki dotyczące inicjowania, planowania, wykonywania, monitorowania i zamykania projektu wdrożenia globalnego bezpiecznego dostępu.

Identyfikowanie i planowanie kluczowych przypadków użycia

Przed włączeniem programu Microsoft Entra Internet Access zaplanuj, co chcesz zrobić dla Ciebie. Zapoznaj się z przypadkami użycia, takimi jak poniższe, aby zdecydować, które funkcje mają zostać wdrożone.

  • Zdefiniuj zasady punktu odniesienia, które mają zastosowanie do całego ruchu dostępu do Internetu kierowanego przez usługę.
  • Uniemożliwiaj określonym użytkownikom i grupom używanie zarządzanych urządzeń do uzyskiwania dostępu do witryn internetowych według kategorii (takich jak Alkohol i Tytoń lub Media społecznościowe). Program Microsoft Entra Internet Access oferuje ponad 60 kategorii, z których można wybrać.
  • Uniemożliwiaj użytkownikom i grupom używanie urządzeń zarządzanych do uzyskiwania dostępu do określonych w pełni kwalifikowanych nazw domen (FQDN).
  • Skonfiguruj zasady zastępowania, aby zezwolić grupom użytkowników na dostęp do witryn, które w przeciwnym razie będą blokowane przez reguły filtrowania sieci Web.
  • Rozszerzanie możliwości programu Microsoft Entra Internet Access do całych sieci, w tym urządzeń, które nie korzystają z klienta globalnego bezpiecznego dostępu

Po zrozumieniu możliwości, których potrzebujesz w swoich przypadkach użycia, utwórz spis, aby skojarzyć użytkowników i grupy z tymi możliwościami. Zrozum, którym użytkownikom i grupom należy blokować lub zezwalać na dostęp do określonych kategorii stron internetowych i pełnych domen (FQDN). Uwzględnij priorytetyzację reguł dla każdej grupy użytkowników.

Testowanie i wdrażanie programu Microsoft Entra Internet Access

Na tym etapie zakończono inicjowanie i planowanie etapów wdrażania programu Secure Access Services Edge (SASE). Rozumiesz, co należy zaimplementować dla kogo. Zdefiniowano użytkowników, którzy mają być włączeni w każdej fali. Masz harmonogram wdrożenia dla każdej fali. Spełniono wymagania dotyczące licencjonowania . Jesteś gotowy, aby włączyć Microsoft Entra Internet Access.

  1. Ukończ wymagania wstępne dotyczące globalnego bezpiecznego dostępu .
  2. Utwórz grupę Microsoft Entra dla użytkowników pilotażowych.
  3. Włącz profile dostępu do Internetu Microsoft Entra oraz profile przekazywania ruchu Microsoft. Przypisz grupę pilota do każdego profilu.

Notatka

Ruch firmy Microsoft to podzbiór ruchu internetowego, który ma własną dedykowaną bramę tunelu. Aby uzyskać optymalną wydajność, włącz usługę Microsoft Traffic z profilem ruchu z dostępem do Internetu.

  1. Utwórz komunikację użytkownika końcowego, aby określić oczekiwania i zapewnić ścieżkę eskalacji.

  2. Utwórz plan wycofania, który określa okoliczności i procedury, w których usuwasz klienta Global Secure Access z urządzenia użytkownika lub wyłączasz profil przekazywania ruchu.

  3. Wyślij komunikację użytkownika końcowego.

  4. Wdróż klienta Global Secure Access dla systemu Windows na urządzeniach, aby grupa pilotażowa mogła go przetestować.

  5. Skonfiguruj sieci zdalne za pomocą vWAN lub VNG, jeśli jest to w zakresie.

  6. Skonfiguruj zasady filtrowania zawartości internetowej zezwalać lub blokować kategorie lub nazwy FQDN na podstawie przypadków użycia zdefiniowanych podczas planowania.

    • Blokuj według kategorii: zdefiniuj regułę, która blokuje jedną ze wstępnie zdefiniowanych kategorii zarządzanych
    • Blokuj na podstawie nazwy FQDN: zdefiniuj regułę blokującą FQDN, który określisz.
    • Zastąpienie: zdefiniuj regułę, która zezwala na kategorię internetową lub nazwę FQDN określoną przez użytkownika.

  7. Utwórz profile zabezpieczeń , które grupują i priorytetyzują zasady filtrowania zawartości internetowej na podstawie planu.

    • Profil punktu odniesienia: użyj funkcji profilu punktu odniesienia, aby pogrupować zasady filtrowania zawartości internetowej, które mają zastosowanie domyślnie dla wszystkich użytkowników.
    • Profile zabezpieczeń: utwórz profile zabezpieczeń w celu grupowania zasad filtrowania zawartości internetowej, które mają zastosowanie do podzbioru użytkowników.

  8. Utwórz i połącz polityki dostępu warunkowego, aby zastosować te profile zabezpieczeń do grupy pilotażowej. Domyślny profil punktu odniesienia nie wymaga zasad dostępu warunkowego.

  9. Niech użytkownicy pilotażowi przetestują konfigurację.

  10. Potwierdź aktywność w dziennikach ruchu globalnego bezpiecznego dostępu .

  11. Zaktualizuj konfigurację, aby rozwiązać wszelkie problemy i powtórzyć test. W razie potrzeby użyj planu wycofania.

  12. W razie potrzeby iteruj zmiany komunikacji i planu wdrożenia użytkownika końcowego.

Po zakończeniu pilotażu dysponujesz powtarzalnym procesem, który pozwala zrozumieć, jak postępować z każdą grupą użytkowników we wdrożeniu produkcyjnym.

  1. Zidentyfikuj grupy zawierające falę użytkowników.
  2. Powiadom zespół wsparcia o zaplanowanej fali i uwzględnionych użytkownikach.
  3. Wyślij przygotowaną komunikację użytkownika końcowego zgodnie z planem.
  4. Przypisz grupy do profilu przekazywania ruchu internetowego usługi Microsoft Entra Internet Access.
  5. Wdróż globalnego klienta bezpiecznego dostępu na urządzeniach użytkowników w tej fali.
  6. W razie potrzeby utwórz i skonfiguruj więcej zasad filtrowania zawartości internetowej, aby zezwalać na kategorie lub blokować nazwy FQDN na podstawie przypadków użycia zdefiniowanych w planie.
  7. W razie potrzeby utwórz więcej profilów zabezpieczeń, które grupują i ustalają priorytety zasad filtrowania zawartości internetowej na podstawie planu.
  8. Utwórz zasady dostępu warunkowego, aby zastosować nowe profile zabezpieczeń do odpowiednich grup w tej fali lub dodać nowe grupy użytkowników do istniejących zasad dostępu warunkowego dla istniejących profilów zabezpieczeń.
  9. Zaktualizuj konfigurację. Ponownie przetestuj, aby rozwiązać problemy. W razie potrzeby zainicjuj plan wycofania.
  10. W razie potrzeby iteruj zmiany w komunikacji z użytkownikami końcowymi oraz w planie wdrożenia.

Następne kroki