Udostępnij za pośrednictwem

Wprowadzenie do przewodnika wdrażania globalnego bezpiecznego dostępu firmy Microsoft

  • Artykuł

Global Secure Access firmy Microsoft jest kluczowym składnikiem udanej strategii usługi brzegowej bezpiecznego dostępu (SASE). Zawiera Microsoft Entra Internet Access, Microsoft Entra Private Accessi Microsoft Traffic. Korzysta ona z rozległej sieci prywatnej firmy Microsoft i inwestycji w zasady dostępu warunkowego, aby ułatwić zabezpieczanie danych firmowych na poziomie sieci.

Poniżej przedstawiono kluczowe scenariusze wdrażania globalnego bezpiecznego dostępu:

  • Zastąp istniejące rozwiązania sieci VPN podejściem Zero Trust Network Access (ZTNA), które zapewnia bezpieczną łączność od punktu końcowego do aplikacji.
  • Zabezpiecz i monitoruj ruch sieci Microsoft dla pracowników na miejscu i zdalnych.
  • Zabezpieczanie i monitorowanie ruchu internetowego dla pracowników na miejscu i zdalnych.

Ten przewodnik wdrażania ułatwia planowanie i wdrażanie globalnego bezpiecznego dostępu firmy Microsoft. Aby uzyskać informacje o licencjonowaniu, zobacz omówienie licencjonowania globalnego bezpiecznego dostępu . Większość usług jest ogólnie dostępna, ale niektóre części usługi są dostępne w publicznej wersji zapoznawczej. ​

Przeprowadzanie weryfikacji koncepcji

Wykonaj dowód koncepcji (PoC), aby mieć pewność, że wybrane rozwiązanie zapewnia wymagane funkcje i łączność.

W zależności od możliwości, które planujesz wdrożyć w usłudze PoC dla globalnego bezpiecznego dostępu firmy Microsoft, potrzebujesz do siedmiu godzin. Upewnij się, że zostały spełnione wymagania dotyczące licencjonowania .

  • Konfigurowanie wymagań wstępnych: jedna godzina
  • Konfigurowanie produktu początkowego: 20 minut
  • Konfigurowanie sieci zdalnej: od 1 do 2 godzin
  • Wdrażanie i testowanie profilu ruchu firmy Microsoft: jedna godzina
  • Wdrażanie i testowanie programu Microsoft Entra Internet Access: jedna godzina
  • Wdrażanie i testowanie dostępu prywatnego firmy Microsoft Entra: jedna godzina
  • Zamknij weryfikację koncepcji: 30 minut

Inicjowanie projektu globalnego bezpiecznego dostępu

Inicjowanie projektu to pierwszy krok w każdym pomyślnym projekcie. Na początku inicjowania projektu podjęto decyzję o zaimplementowaniu globalnego bezpiecznego dostępu firmy Microsoft. Powodzenie projektu zależy od ciebie, aby zrozumieć wymagania, zdefiniować kryteria sukcesu i zapewnić odpowiednią komunikację. Pamiętaj, aby zarządzać oczekiwaniami, wynikami i obowiązkami.

Identyfikowanie wymagań biznesowych, wyników i kryteriów sukcesu

Zidentyfikuj wymagania biznesowe, wyniki i kryteria sukcesu, aby dokładnie wyjaśnić, co należy osiągnąć za pomocą kryteriów sukcesu. Na przykład:

  • Jaki jest kluczowy wynik potrzebny do osiągnięcia tego projektu?
  • Jak planujesz zastąpić sieć VPN?
  • Jak planujesz zabezpieczyć usługę Microsoft Traffic?
  • Jak planujesz zabezpieczyć ruch internetowy?

Po zidentyfikowaniu podstawowych scenariuszy zapoznaj się ze szczegółami:

  • Do których aplikacji użytkownicy muszą uzyskiwać dostęp?
  • Które witryny sieci Web wymagają kontroli dostępu?
  • Co to jest obowiązkowe i co jest opcjonalne?

Na tym etapie utwórz spis opisujący użytkowników, urządzenia i kluczowe aplikacje znajdujące się w zakresie. Aby zastąpić sieć VPN, zacznij od szybkiego dostępu, aby zidentyfikować prywatne aplikacje, do których użytkownicy muszą uzyskać dostęp, aby można było je zdefiniować w usłudze Microsoft Entra Private Access.

Definiowanie harmonogramu

Projekt jest sukcesem po osiągnięciu pożądanych wyników w ramach ograniczeń budżetowych i czasowych. Zidentyfikuj cele wyników według daty, kwartału lub roku. Współpracuj z uczestnikami projektu, aby zrozumieć konkretne kamienie milowe, które definiują cele wyników. Zdefiniuj wymagania dotyczące przeglądu i kryteria sukcesu dla każdego celu. Ponieważ globalny bezpieczny dostęp firmy Microsoft jest w ciągłym rozwoju, należy zamapować wymagania dotyczące etapów opracowywania funkcji.

Identyfikowanie uczestników projektu

Identyfikowanie i dokumentowanie uczestników projektu ZTNA, ról, obowiązków dla osób, które odgrywają rolę w projekcie ZTNA. Tytuły i role mogą się różnić od jednej organizacji do innej; jednak obszary własności są podobne. Rozważ role i obowiązki w poniższej tabeli i zidentyfikuj odpowiednie osoby biorące udział w projekcie. Dystrybuuj taką tabelę do liderów, uczestników projektu i zespołu.

Rola Odpowiedzialność
Sponsor Starszy lider przedsiębiorstwa z uprawnieniami do zatwierdzania i/lub przypisywania budżetu i zasobów. Łączy menedżerów i zespoły kierownicze. Twórca decyzji technicznych na potrzeby implementacji produktu i funkcji.
Użytkownicy końcowi Osoby, dla których implementujesz usługę. Może uczestniczyć w programie pilotażowym.
Menedżer pomocy technicznej IT Dostarcza informacje na temat możliwości wspierania proponowanych zmian.
Architekt tożsamości Definiuje sposób, w jaki zmiana jest zgodna z infrastrukturą zarządzania tożsamościami. Rozumie bieżące środowisko.
Właściciel firmy aplikacji Jest właścicielem aplikacji, których działanie może obejmować zarządzanie dostępem. Oferuje opinie na temat doświadczenia użytkownika.
Właściciele zabezpieczeń Potwierdza, że plan zmian spełnia wymagania dotyczące zabezpieczeń.
Menedżer sieci Nadzoruje funkcje sieci, wydajność, zabezpieczenia i ułatwienia dostępu.
Menedżer zgodności Zapewnia zgodność z wymaganiami firmowymi, branżowymi i rządowymi.
Menedżer programu technicznego Nadzoruje projekt, zarządza wymaganiami, koordynuje strumienie pracy i zapewnia przestrzeganie harmonogramu i budżetu. Ułatwia planowanie komunikacji i raporty.
Zespół SOC/CERT Potwierdza wymagania dotyczące dzienników i raportów z wyszukiwania zagrożeń.
Administrator dzierżawy Koordynuje właścicieli IT i zasoby techniczne odpowiedzialne za zmiany najemców Microsoft Entra w całym projekcie.
Zespół wdrożeniowy Wykonuje zadania wdrażania i konfiguracji.

Tworzenie wykresu RACI

Odpowiedzialne, Rozliczane, Konsultowane, Poinformowane (RACI) odnosi się do definicji roli i odpowiedzialności. W przypadku projektów międzyfunkcyjnych lub działowych oraz procesów, zdefiniuj i wyjaśnij role i obowiązki na wykresie RACI.

  1. Pobierz szablon RACI Global Secure Access Deployment Guide jako punkt wyjścia.
  2. Dopasuj role i obowiązki zgodnie z zasadami Odpowiedzialny, Rozliczalny, Konsultowany, Informowany do strumieni roboczych projektu.
  3. Rozprowadź wykres RACI wśród interesariuszy i upewnij się, że rozumieją przydziały.

Tworzenie planu komunikacji

Plan komunikacji pomaga odpowiednio, aktywnie i regularnie wchodzić w interakcje z uczestnikami projektu.

  • Podaj odpowiednie informacje o planach wdrażania i stanie projektu.
  • Zdefiniuj cel i częstotliwość komunikacji z poszczególnymi uczestnikami projektu na wykresie RACI.
  • Określ, kto tworzy i dystrybuuje komunikację wraz z mechanizmami udostępniania informacji. Na przykład menedżer komunikacji utrzymuje użytkowników końcowych na bieżąco z oczekującymi i bieżącymi zmianami za pomocą poczty e-mail oraz w wyznaczonej witrynie internetowej.
  • Dołącz informacje o zmianach w środowisku użytkownika oraz o tym, jak użytkownicy mogą uzyskać pomoc techniczną. Zapoznaj się z przykładowymi szablonami komunikacji użytkowników końcowych:

Tworzenie planu kontroli zmian

Plany mogą ulec zmianie, gdy zespół projektu zbiera informacje i szczegóły. Utwórz plan kontroli zmian, aby opisać interesariuszy:

  • zmienianie procesów żądań i procedur.
  • jak zrozumieć wpływ zmian.
  • obowiązki związane z przeglądem i zatwierdzeniem.
  • co się stanie, gdy zmiana wymaga więcej czasu lub środków.

Dobry plan kontroli zapewnia, że zespoły wiedzą, co zrobić, gdy zmiany są konieczne.

Tworzenie planu zamknięcia projektu

Każde zamknięcie projektu wymaga przeglądu po projekcie. Zidentyfikuj metryki i informacje do uwzględnienia w tym przeglądzie, aby można było regularnie zbierać odpowiednie dane w całym okresie istnienia projektu. Plan zamknięcia projektu ułatwia efektywne generowanie podsumowania lekcji.

Uzyskiwanie konsensusu uczestników projektu

Po zakończeniu zadań inicjowania projektu skontaktuj się z każdym uczestnikiem projektu, aby upewnić się, że plany spełniają ich konkretne potrzeby. Zapobiegaj nieporozumień i niespodzianiom w oficjalnym procesie zatwierdzania, który dokumentuje konsensus i pisemne zatwierdzenia. Zorganizuj spotkanie inaugurujące, które obejmuje zakres i szczegóły omówione w dokumentacji referencyjnej.

Planowanie projektu globalnego bezpiecznego dostępu

Tworzenie szczegółowego harmonogramu projektu

Utwórz szczegółowy harmonogram projektu z punktami milowymi zidentyfikowanymi w inicjacji projektu. Ustaw realistyczne oczekiwania z planami awaryjnymi, aby spełnić kluczowe kamienie milowe:

  • Weryfikacja koncepcji (PoC)
  • Data pilotażu
  • Data uruchomienia
  • Daty wpływające na dostarczanie
  • Zależności

Uwzględnij te informacje w harmonogramie projektu:

  • Szczegółowa struktura podziału pracy z datami, zależnościami i ścieżką krytyczną

    • Maksymalna liczba użytkowników do cięcia w każdej fali na podstawie oczekiwanego obciążenia obsługi
    • Ramy czasowe dla każdej fali wdrożenia (takiej jak przełączenie kolejnej fali każdego poniedziałku)
    • Określone grupy użytkowników w każdej fali wdrożenia (nie mogą przekraczać maksymalnej liczby)
    • Aplikacje, których użytkownicy wymagają (lub używają szybkiego dostępu)

  • Członkowie zespołu przypisani do każdego zadania

Tworzenie planu zarządzania ryzykiem

Utwórz plan zarządzania ryzykiem, aby przygotować się do sytuacji awaryjnych, które mogą mieć wpływ na daty i budżet.

  • Zidentyfikuj ścieżkę krytyczną i obowiązkowe wyniki klucza.
  • Rozumienie ryzyka związanego ze strumieniem pracy.
  • Dokumentowanie planów awaryjnych w celu utrzymania kierunku działań, gdy wystąpią sytuacje awaryjne.

Definiowanie kryteriów powodzenia wydajności

Zdefiniuj dopuszczalne metryki wydajności, aby obiektywnie przetestować i upewnić się, że wdrożenie zakończy się pomyślnie, a środowisko użytkownika mieści się w parametrach. Rozważ uwzględnienie następujących metryk.

Microsoft Entra Private Access

  • Czy wydajność sieci jest w ramach zdefiniowanych parametrów?

    • Panel Global Secure Access udostępnia wizualizacje ruchu sieciowego gromadzonego przez Microsoft Entra Private i Microsoft Entra Internet Access. Kompiluje dane z konfiguracji sieci, w tym urządzeń, użytkowników i dzierżaw.
    • Użyj Monitorowanie sieci w dziennikach usługi Azure Monitor do monitorowania i analizowania łączności sieciowej, kondycji obwodów usługi ExpressRoute oraz ruchu sieciowego w chmurze.

  • Czy zauważyliśmy wzrost opóźnienia podczas pilotażu? Czy masz wymagania dotyczące opóźnień specyficznych dla aplikacji?

  • Czy logowanie jednokrotne (SSO) do kluczowych aplikacji działa prawidłowo?

  • Rozważ uruchomienie ankiet dotyczących zadowolenia użytkowników i akceptacji użytkowników.

Ruch sieciowy Microsoft

  • Czy wydajność sieci jest w ramach zdefiniowanych parametrów?

    • Panel Global Secure Access udostępnia wizualizacje ruchu sieciowego gromadzonego przez Microsoft Entra Private i Microsoft Entra Internet Access. Kompiluje dane z konfiguracji sieci, w tym urządzeń, użytkowników i dzierżaw.
    • Użyj oceny sieci platformy Microsoft 365, aby przetworzyć zebrane metryki wydajności sieci w podgląd kondycji granic sieci przedsiębiorstwa.
    • Użyj testu łączności sieciowej Microsoft 365, aby zmierzyć łączność między Twoim urządzeniem a internetem, a następnie z siecią Microsoft.

  • Czy podczas pilotażu zauważyliśmy jakikolwiek wzrost opóźnienia?

  • Rozważ uruchomienie ankiety dotyczącej zadowolenia użytkowników.

  • Rozważ uruchomienie ankiety dotyczącej akceptacji użytkownika.

Microsoft Entra Internet Access

Planowanie scenariuszy wycofywania

Podczas pracy z wdrożeniem produkcyjnym i aktywnego zwiększania liczby użytkowników za pomocą przeglądarki Microsoft Security Service Edge możesz odkryć nieprzewidziane lub nietestowane scenariusze, które negatywnie wpływają na użytkowników końcowych. Planowanie negatywnego wpływu:

  • Zdefiniuj proces zgłaszania problemów przez użytkowników końcowych.
  • Zdefiniuj procedurę wycofywania wdrożenia dla określonych użytkowników lub grup lub wyłącz profil ruchu.
  • Zdefiniuj procedurę oceniania, co poszło nie tak, identyfikowania kroków korygowania i komunikowania się z uczestnikami projektu.
  • Przygotuj się do testowania nowych konfiguracji, zanim wdrożenia produkcyjne będą kontynuowane dla kolejnych grup użytkowników.

Wykonywanie planu projektu

Uzyskiwanie uprawnień

Upewnij się, że administratorzy korzystający z Global Secure Access mają przypisane odpowiednie role.

Przygotowywanie zespołu pomocy technicznej IT

Ustal, w jaki sposób użytkownicy uzyskują pomoc techniczną, gdy mają pytania lub problemy z łącznością. Opracuj dokumentację samoobsługową, aby zmniejszyć presję na zespół pomocy technicznej IT. Upewnij się, że zespół pomocy technicznej IT otrzymuje szkolenie na potrzeby gotowości do wdrożenia. Uwzględnij je w komunikacji z użytkownikami końcowymi, aby byli świadomi harmonogramów migracji fazowych, zespołów, których to dotyczy, oraz aplikacji objętych zakresem. Aby zapobiec nieporozumieniu w bazie użytkowników lub w ramach pomocy technicznej IT, ustanów proces obsługi i eskalacji żądań pomocy technicznej użytkowników.

Wdrażanie pilotażowe

Biorąc pod uwagę użytkowników, urządzenia i aplikacje w zakresie wdrożenia produkcyjnego, zacznij od małej, początkowej grupy testowej. Dostosuj proces komunikacji, wdrażania, testowania i obsługi wdrożenia etapowego. Przed rozpoczęciem przejrzyj i potwierdź, że masz wszystkie wymagania wstępne.

Upewnij się, że urządzenie jest zarejestrowane w Twojej dzierżawie. Postępuj zgodnie z wytycznymi w Planowanie wdrożenia urządzenia Microsoft Entra. Jeśli twoja organizacja korzysta z usługi Intune, postępuj zgodnie z wytycznymi w Zarządzanie i zabezpieczanie urządzeń w usłudze Intune.

Zalecenia dotyczące wymagań opcjonalnych

Zasoby w poniższej tabeli zawierają szczegółowe zadania planowania i wykonywania dla każdego opcjonalnego wymagania.

Wymaganie opcjonalne Zasób
Zabezpiecz dostęp do Microsoft Traffic. plan wdrożenia ruchu firmy Microsoft
Zastąp sieć VPN rozwiązaniem Zero Trust, aby chronić zasoby lokalne profilem ruchu dostępu prywatnego. plan wdrażania usługi Microsoft Entra Private Access
Zabezpiecz ruch internetowy za pomocą profilu ruchu Microsoft Entra Internet Access. Plan wdrożenia Microsoft Entra Internet Access

Pilotaż powinien obejmować kilku użytkowników (mniej niż 20), którzy mogą testować wymagane urządzenia i aplikacje w wymaganym zakresie. Po zidentyfikowaniu użytkowników pilotażowych przypisz je do profilów ruchu pojedynczo lub jako grupę (zalecane). Postępuj zgodnie ze szczegółowymi wskazówkami w Przypisywanie użytkowników i grup do profilów przekazywania ruchu.

Systematycznie przeanalizuj każdą zidentyfikowaną aplikację w zakresie działań. Upewnij się, że użytkownicy mogą nawiązywać połączenie zgodnie z przewidywaniami na wyznaczonych urządzeniach. Obserwowanie i dokumentowanie metryk kryteriów sukcesu w zakresie wydajności. Testowanie planów komunikacji i procesów. Dostosuj i wprowadzaj poprawki, aż osiągniesz pożądany efekt.

Po ukończeniu pilotażu i spełnieniu kryteriów sukcesu upewnij się, że zespół pomocy technicznej jest gotowy do następnych faz. Finalizuj procesy i komunikację. Przejdź do wdrożenia produkcyjnego.

Wdrażanie w środowisku produkcyjnym

Po zakończeniu wszystkich planów i testów wdrożenie powinno być powtarzalnym procesem z oczekiwanymi wynikami.

Aby uzyskać więcej informacji, zobacz odpowiednie wskazówki:

Powtarzaj wdrożenia falowe, dopóki nie ograniczysz wszystkich użytkowników do globalnego bezpiecznego dostępu firmy Microsoft. Jeśli używasz dostępu prywatnego firmy Microsoft Entra, wyłącza szybki dostęp i przekazuje cały ruch za pośrednictwem globalnych aplikacji bezpiecznego dostępu.

Planowanie dostępu awaryjnego

Gdy globalny bezpieczny dostęp nie działa, użytkownicy nie mogą uzyskiwać dostępu do zasobów zabezpieczonych przez kontrolę sieci zgodną ze standardem Global Secure Access. Skrypt GsaBreakglassEnforcement pozwala administratorom przedsiębiorstwa przełączać spełniające wymagania polityki dostępu warunkowego sieciowego na tryb wyłącznie raportowania. Skrypt tymczasowo umożliwia użytkownikom dostęp do tych zasobów bez globalnego bezpiecznego dostępu.

Po powrocie Global Secure Access użyj skryptu GsaBreakglassRecovery, aby włączyć wszystkie dotknięte polityki.

Dodatkowe zagadnienia

Monitorowanie i kontrolowanie projektu globalnego bezpiecznego dostępu

Monitorowanie i kontrolowanie projektu w celu zarządzania ryzykiem i identyfikowania problemów, które mogą wymagać odchylenia od planu. Utrzymuj projekt na właściwym torze i zapewnij dokładną oraz terminową komunikację z interesariuszami. Zawsze dokładnie wypełniaj wymagania, na czas i w budżecie.

Kluczowe cele tej fazy:

  • Monitorowanie postępu. Czy zadania zostały ukończone zgodnie z harmonogramem? Jeśli nie, dlaczego nie? Jak wrócić na właściwe tory?
  • Odkrywanie problemów Czy problemy pojawiają się (takie jak nieplanowana dostępność zasobów lub inne nieprzewidziane wyzwania)? Czy wymagane zmiany wymagały zmian w zamówieniach?
  • Monitorowanie wydajności. Czy zidentyfikowaliśmy nieodłączne nieefektywności w zdefiniowanych procesach? Kiedy monitorowanie ujawnia nieefektywność, jak dostosować podejście do projektu?
  • Potwierdzenie komunikacji. Czy uczestnicy projektu byli zadowoleni z częstotliwości komunikacji i poziomu szczegółowości? Jeśli nie, jak się dostosować?

Ustanów tygodniowy harmonogram i przegląd szczegółów projektu. Zwróć szczególną uwagę na krytyczne kamienie milowe. Generuj odpowiednią komunikację ze wszystkimi uczestnikami projektu i przechwyć dane dotyczące raportów zamknięcia projektu.

Zamknij projekt Global Secure Access

Gratulacje! Ukończono wdrożenie globalnego bezpiecznego dostępu firmy Microsoft. Związać luźne końce i zamknąć projekt:

  • Zbieraj opinie od uczestników projektu, aby dowiedzieć się, czy zespół spełnia oczekiwania i potrzeby.
  • Użyj danych zebranych podczas fazy realizacji (zgodnie z ustaleniami podczas inicjowania projektu), aby opracować wymagane elementy zamknięcia projektu. Na przykład ocena projektu, wyciągnięte wnioski i prezentacje po zakończeniu projektu.
  • Archiwizuj szczegóły projektu, aby uzyskać informacje na temat podobnych przyszłych projektów.

Następne kroki