Udostępnij za pośrednictwem

Przewodnik dotyczący wdrażania Microsoft Secure Access Global dla Microsoft Traffic

  • Artykuł

Microsoft Global Secure Access łączy kontrolę dostępu do sieci, tożsamości oraz punktów końcowych, aby zapewnić bezpieczny dostęp do dowolnej aplikacji lub zasobu, z dowolnej lokalizacji, urządzenia lub tożsamości. Umożliwia ona i organizuje zarządzanie zasadami dostępu dla pracowników firmowych. Możesz stale monitorować i dostosowywać dostęp użytkowników w czasie rzeczywistym do prywatnych aplikacji, aplikacji SaaS (Software-as-a-Service) i punktów końcowych firmy Microsoft. Ciągłe monitorowanie i dostosowywanie pomaga odpowiednio reagować na zmiany na poziomie uprawnień i ryzyka w miarę ich występowania.

Profil przekazywania ruchu firmy Microsoft umożliwia kontrolowanie ruchu internetowego specyficznego dla punktów końcowych firmy Microsoft i zarządzanie nim nawet wtedy, gdy użytkownicy pracują z lokalizacji zdalnych. Ułatwia to:

  • Ochrona przed eksfiltracją danych.
  • Zmniejsz ryzyko kradzieży tokenów i ataków powtórkowych.
  • Korelowanie źródłowego adresu IP urządzenia z dziennikami aktywności w celu zwiększenia wydajności wyszukiwania zagrożeń.
  • Ułatw zarządzanie politykami dostępu bez listy adresów IP ruchu wychodzącego.

Wskazówki zawarte w tym artykule ułatwiają testowanie i wdrażanie profilu ruchu firmy Microsoft w środowisku produkcyjnym. wprowadzenie do przewodnika wdrażania globalnego bezpiecznego dostępu firmy Microsoft zawiera wskazówki dotyczące inicjowania, planowania, wykonywania, monitorowania i zamykania projektu wdrożenia globalnego bezpiecznego dostępu.

Identyfikowanie i planowanie kluczowych przypadków użycia

Przed włączeniem programu Microsoft Entra Secure Access Essentials określ, co chcesz zrobić. Poznaj przypadki użycia, aby zdecydować, które funkcje mają zostać wdrożone. Poniższa tabela zawiera zalecenia dotyczące konfiguracji opartych na przypadkach użycia.

Przypadek użycia Zalecana konfiguracja
Uniemożliwiaj użytkownikom i grupom używanie urządzeń zarządzanych do uzyskiwania dostępu do punktów końcowych platformy Microsoft 365 w innych dzierżawach. Konfigurowanie ogólnych ograniczeń dla dzierżawców.
Upewnij się, że użytkownicy łączą się i uwierzytelniają tylko za pomocą bezpiecznego tunelu globalnego bezpiecznego dostępu do sieci, aby zmniejszyć ryzyko kradzieży/odtwarzania tokenu dla platformy Microsoft 365 i wszystkich aplikacji dla przedsiębiorstw. Skonfiguruj sprawdzanie zgodności sieci w zasadach dostępu warunkowego.
Maksymalizuj sukces wyszukiwania zagrożeń i wydajność. Skonfiguruj przywracanie źródłowego adresu IP (wersja zapoznawcza) i Użyj wzbogaconych dzienników platformy Microsoft 365.

Po określeniu, które możliwości są wymagane w przypadku przypadków użycia, uwzględnij wdrożenie funkcji w implementacji.

Testowanie i wdrażanie profilu ruchu firmy Microsoft

W tym momencie ukończono etapy inicjowania i planowania projektu wdrożenia globalnego bezpiecznego dostępu. Rozumiesz, co należy zaimplementować dla kogo. Zdefiniowaliśmy użytkowników, którzy mają włączyć każdą falę. Masz harmonogram uruchomienia każdej fali. Spełniono wymagania dotyczące licencjonowania . Jesteś gotowy do włączenia profilu ruchu Microsoftu.

  1. Utwórz komunikację użytkownika końcowego, aby określić oczekiwania i zapewnić ścieżkę eskalacji.
  2. Utwórz plan wycofania, który definiuje okoliczności i procedury, gdy usuwasz klienta Global Secure Access z urządzenia użytkownika lub wyłączasz profil przekazywania ruchu.
  3. Utwórz grupę Microsoft Entra obejmującą użytkowników pilotażowych.
  4. Wyślij komunikację użytkownika końcowego.
  5. Włącz profil przekierowywania ruchu firmy Microsoft i przypisz grupę pilotażową do tego profilu.
  6. Jeśli planujesz zmaksymalizować powodzenie i wydajność w zakresie łowienia zagrożeń, skonfiguruj przywracanie adresu IP źródła.
  7. Utwórz zasady dostępu warunkowego, które wymagają sprawdzania zgodności sieci z dla grupy pilotażowej, jeśli jest to zaplanowany przypadek użycia.
  8. Skonfiguruj uniwersalne ograniczenia dzierżawy, jeśli jest to planowany przypadek użycia.
  9. Wdróż klienta Global Secure Access dla systemu Windows na urządzeniach dla grupy pilotażowej do testowania.
  10. Niech użytkownicy pilotażowi przetestują konfigurację.
  11. Wyświetl dzienniki logowania, aby upewnić się, że użytkownicy pilotażowi łączą się z punktami końcowymi firmy Microsoft przy użyciu globalnego bezpiecznego dostępu.
  12. Sprawdź zgodność z siecią, wstrzymując agenta globalnego bezpiecznego dostępu, a następnie próbując uzyskać dostęp do programu SharePoint.
  13. Sprawdź ograniczenia najemcy, próbując zalogować się do innego najemcy.
  14. Sprawdź przywracanie źródłowego adresu IP, porównując adres IP w dzienniku logowania pomyślnego połączenia z usługą SharePoint Online, gdy połączenie nawiązywane jest z włączonym agentem globalnego bezpiecznego dostępu oraz z wyłączonym, aby upewnić się, że są one takie same.

    Notatka

    Należy wyłączyć wszystkie zasady dostępu warunkowego, które wymuszają sprawdzanie zgodności sieci dla tej weryfikacji.

Zaktualizuj konfigurację, aby rozwiązać wszelkie problemy. Powtórz test. W razie potrzeby zaimplementuj plany wycofywania. Jeśli to konieczne, iteracyjnie modyfikuj zmiany w komunikacji z użytkownikiem końcowym oraz w planie wdrożenia.

Po zakończeniu pilotażu będziesz mieć powtarzalny proces umożliwiający kontynuowanie każdej fali użytkowników we wdrożeniu produkcyjnym.

  1. Zidentyfikuj grupy zawierające użytkowników fali.
  2. Powiadom zespół pomocy technicznej o harmonogramie fali i uwzględnionych użytkownikach.
  3. Wyślij komunikację użytkownika końcowego z platformy Wave.
  4. Przypisz grupy fali do profilu przekazywania ruchu firmy Microsoft.
  5. Wdróż globalnego klienta bezpiecznego dostępu na urządzeniach użytkowników platformy Wave.
  6. Utwórz lub zaktualizuj zasady dostępu warunkowego, aby wymusić wymagania dotyczące przypadków użycia w odpowiednich grupach fali.
  7. W razie potrzeby iteruj zmiany komunikacji i planu wdrożenia użytkownika końcowego.

Następne kroki