Udostępnij za pośrednictwem

Przewodnik wdrożenia usługi Microsoft Global Secure Access dla Microsoft Entra Private Access

  • Artykuł

Microsoft Global Secure Access łączy kontrolę dostępu do sieci, tożsamości i punktu końcowego, aby zapewnić bezpieczny dostęp do dowolnej aplikacji lub zasobu z dowolnej lokalizacji, urządzenia lub tożsamości. Umożliwia ona i organizuje zarządzanie zasadami dostępu dla pracowników firmowych. Możesz stale monitorować i dostosowywać dostęp użytkowników w czasie rzeczywistym do prywatnych aplikacji, aplikacji SaaS (Software-as-a-Service) i punktów końcowych firmy Microsoft. Ciągłe monitorowanie i dostosowywanie pomaga odpowiednio reagować na zmiany na poziomie uprawnień i ryzyka w miarę ich występowania.

Usługa Microsoft Entra Private Access umożliwia zastąpienie firmowej sieci VPN. Zapewnia ona użytkownikom przedsiębiorstwa dostęp do aplikacji firmowych, które są sterowane za pomocą zasad dostępu warunkowego, oraz dostępu mikrosegmentowanego. Ułatwia to:

  • Zapewnij dostęp w modelu Zero-Trust do prywatnych aplikacji, z obsługą wszystkich portów i protokołów. Takie podejście uniemożliwia złym dostępom ruch boczny lub skanowanie portów w sieci firmowej.
  • Wymagaj uwierzytelniania wieloskładnikowego, gdy użytkownicy nawiązują połączenie z aplikacjami prywatnymi.
  • Tuneluj dane za pośrednictwem rozległej globalnej sieci prywatnej firmy Microsoft, aby zmaksymalizować bezpieczną komunikację sieciową.

Wskazówki zawarte w tym artykule ułatwiają testowanie i wdrażanie dostępu prywatnego firmy Microsoft Entra w środowisku produkcyjnym podczas wprowadzania fazy wykonywania wdrożenia. wprowadzenie do przewodnika wdrażania globalnego bezpiecznego dostępu firmy Microsoft zawiera wskazówki dotyczące inicjowania, planowania, wykonywania, monitorowania i zamykania projektu wdrożenia globalnego bezpiecznego dostępu.

Identyfikowanie i planowanie kluczowych przypadków użycia

Zastąpienie sieci VPN jest podstawowym scenariuszem dla usługi Microsoft Entra Private Access. W tym scenariuszu mogą istnieć inne przypadki użycia dla wdrożenia. Na przykład możesz potrzebować:

  • Stosowanie zasad dostępu warunkowego w celu kontrolowania użytkowników i grup przed nawiązaniem połączenia z aplikacjami prywatnymi.
  • Skonfiguruj uwierzytelnianie wieloskładnikowe jako wymaganie nawiązania połączenia z dowolną aplikacją prywatną.
  • Włącz etapowe wdrażanie, które z czasem zbliża się do koncepcji Zero Trust dla aplikacji działających z protokołami Transmission Control Protocol (TCP) i User Datagram Protocol (UDP) -based.
  • Użyj w pełni kwalifikowanej nazwy domeny (FQDN), aby połączyć się z sieciami wirtualnymi, których zakresy adresów IP są nakładające się lub zduplikowane, w celu skonfigurowania dostępu do środowisk efemerycznych.
  • Privileged Identify Management (PIM) w celu skonfigurowania segmentacji docelowej na potrzeby uprzywilejowanego dostępu.

Po zrozumieniu możliwości, których potrzebujesz w swoich przypadkach użycia, utwórz spis, aby skojarzyć użytkowników i grupy z tymi możliwościami. Zaplanuj użycie funkcji szybkiego dostępu, aby początkowo zduplikować funkcjonalność sieci VPN, aby można było przetestować łączność i usunąć sieć VPN. Następnie użyj funkcji odnajdywania aplikacji, aby zidentyfikować segmenty aplikacji, z którymi użytkownicy nawiązują połączenie, dzięki czemu można zabezpieczyć łączność z określonymi adresami IP, nazwami FQDN i portami.

Testowanie i wdrażanie dostępu prywatnego firmy Microsoft Entra

W tym momencie ukończono etapy inicjowania i planowania projektu wdrażania usługi Secure Access Service Edge (SASE). Rozumiesz, co należy zaimplementować dla kogo. Zdefiniowałeś użytkowników do włączenia w każdej fali. Masz harmonogram wdrożenia każdej fali. Spełniono wymagania dotyczące licencjonowania . Jesteś gotowy, aby włączyć prywatny dostęp Microsoft Entra.

  1. Utwórz komunikację użytkownika końcowego, aby określić oczekiwania i zapewnić ścieżkę eskalacji.
  2. Utwórz plan wycofania, który definiuje okoliczności i procedury usuwania klienta Global Secure Access z urządzenia użytkownika lub wyłączenia profilu przekazywania ruchu.
  3. Utwórz grupę Microsoft Entra, która obejmuje użytkowników pilotażowych.
  4. Włącz profil przekierowywania ruchu firmy Microsoft Entra Private Access i przypisz swoją grupę pilotażową. Przypisz użytkowników i grupy do profilów przekazywania ruchu.
  5. Aprowizuj serwery lub maszyny wirtualne, które mają bezpośredni dostęp do aplikacji, do pełnienia roli łączników, zapewniając łączność wychodzącą do aplikacji dla użytkowników. Rozważ scenariusze równoważenia obciążenia i wymagania dotyczące pojemności, aby uzyskać akceptowalną wydajność. Skonfiguruj łączniki dla usługi Microsoft Entra Private Access na każdej maszynie łącznika.
  6. Jeśli masz spis aplikacji przedsiębiorstwa, skonfiguruj dostęp do aplikacji przy użyciu aplikacji Global Secure Access. Jeśli nie, skonfiguruj funkcję szybkiego dostępu do Global Secure Access.
  7. Przekaż oczekiwania grupie pilotażowej.
  8. Wdróż globalnego klienta dostępu bezpiecznego dla systemu Windows na urządzeniach pilotażowych, aby grupa pilotażowa mogła przetestować.
  9. Utwórz zasady dostępu warunkowego zgodnie z wymaganiami dotyczącymi zabezpieczeń, które mają zostać zastosowane do grupy pilotażowej, gdy ci użytkownicy łączą się z opublikowanymi aplikacjami Global Secure Access Enterprise.
  10. Użytkownicy pilotażowi przetestujcie konfigurację.
  11. W razie potrzeby zaktualizuj konfigurację i ponownie przetestuj. W razie potrzeby zainicjuj plan wycofania.
  12. W razie potrzeby iteruj zmiany komunikacji i planu wdrożenia użytkownika końcowego.

Skonfiguruj dostęp dla każdej aplikacji

Aby zmaksymalizować wartość wdrożenia usługi Microsoft Entra Private Access, należy przejść z funkcji Szybki dostęp do dostępu dla aplikacji. Funkcja Application Discovery umożliwia szybkie tworzenie aplikacji Global Secure Access z segmentów aplikacji, do których użytkownicy uzyskują dostęp. Możesz również użyć aplikacji Global Secure Access Enterprise, aby utworzyć je ręcznie, lub użyć programu PowerShell do automatyzacji tworzenia.

  1. Utwórz aplikację i określ jej zakres dla wszystkich użytkowników przypisanych do funkcji Szybki dostęp (zalecane) lub wszystkich użytkowników, którzy muszą uzyskać dostęp do określonej aplikacji.
  2. Dodaj co najmniej jeden segment do aplikacji. Nie musisz jednocześnie dodawać wszystkich segmentów aplikacji. Wolisz je powoli dodawać, aby można było zweryfikować przepływ ruchu dla każdego segmentu.
  3. Zwróć uwagę, że ruch do tych segmentów aplikacji nie pojawia się już w sekcji Szybki dostęp. Użyj funkcji Szybki dostęp, aby zidentyfikować segmenty aplikacji, które należy skonfigurować jako globalne aplikacje bezpiecznego dostępu.
  4. Kontynuuj tworzenie globalnych aplikacji bezpiecznego dostępu, dopóki nie pojawią się żadne segmenty aplikacji w obszarze Szybki dostęp.
  5. Wyłącz szybki dostęp.

Po zakończeniu pilotażu należy mieć powtarzalny proces i zrozumieć, jak kontynuować każdą falę użytkowników we wdrożeniu produkcyjnym.

  1. Zidentyfikuj grupy, które zawierają określoną kohortę użytkowników.
  2. Powiadom zespół wsparcia o zaplanowanej fali i użytkownikach, którzy zostali włączeni.
  3. Wyślij zaplanowaną i przygotowaną komunikację użytkownika końcowego.
  4. Przypisz grupy do profilu przekazywania ruchu prywatnego w usłudze Microsoft Entra Private Access.
  5. Wdróż globalnego klienta bezpiecznego dostępu na urządzeniach dla użytkowników fali.
  6. W razie potrzeby wdróż więcej łączników sieci prywatnych i utwórz więcej aplikacji globalnego bezpiecznego dostępu dla przedsiębiorstw.
  7. W razie potrzeby utwórz zasady dostępu warunkowego, aby zastosować je do użytkowników fali podczas nawiązywania połączenia z tymi aplikacjami.
  8. Zaktualizuj konfigurację. Ponownie przetestuj, aby rozwiązać problemy, w razie potrzeby zainicjuj plan wycofania.
  9. W razie potrzeby iteruj zmiany komunikacji i planu wdrożenia użytkownika końcowego.

Następne kroki