Guia de Implantação do Microsoft Global Secure Access para o Microsoft Entra Internet Access

Microsoft Global Secure Access converge controles de acesso de rede, identidade e ponto final para acesso seguro a qualquer aplicativo ou recurso de qualquer local, dispositivo ou identidade. Ele permite e orquestra o gerenciamento de políticas de acesso para funcionários corporativos. Você pode monitorar e ajustar continuamente, em tempo real, o acesso do usuário aos seus aplicativos privados, aplicativos de Software como Serviço (SaaS) e pontos de extremidade da Microsoft. Esta solução ajuda-o a responder adequadamente às alterações de permissão e nível de risco à medida que ocorrem.

Com o Microsoft Entra Internet Access, você pode controlar e gerenciar o acesso à Internet para usuários corporativos com dispositivos gerenciados quando eles trabalham local ou remotamente. Ajuda a:

• Proteja os seus utilizadores empresariais e dispositivos geridos contra tráfego malicioso da Internet e infeção por malware.
• Impeça os utilizadores de aceder a sites com base em categoria web ou nome de domínio totalmente qualificado.
• Colete dados de uso da Internet para relatórios e investigações de suporte.

As diretrizes neste artigo ajudam você a testar e implantar Microsoft Entra Internet Access em seu ambiente de produção. introdução ao guia de implantação do Acesso Seguro Global da Microsoft fornece orientação sobre como iniciar, planejar, executar, monitorar e fechar seu projeto de implantação do Acesso Seguro Global.

Identificar e planejar os principais casos de uso

Antes de habilitar o Microsoft Entra Internet Access, planeje o que você deseja que ele faça por você. Entenda os casos de uso, como os seguintes, para decidir quais recursos implantar.

• Defina uma política de linha de base que se aplique a todo o tráfego de acesso à Internet roteado através do serviço.
• Impedir que utilizadores e grupos específicos utilizem dispositivos geridos para aceder a Web sites por categoria (como Álcool e Tabaco ou Redes Sociais). O Microsoft Entra Internet Access fornece mais de 60 categorias entre as quais você pode escolher.
• Impeça que usuários e grupos usem dispositivos gerenciados para acessar FQDN (nomes de domínio totalmente qualificados) específicos.
• Configure políticas de substituição para permitir que grupos de usuários acessem sites que, de outra forma, suas regras de filtragem da Web bloqueariam.
• Estenda os recursos do Microsoft Entra Internet Access para redes inteiras, incluindo dispositivos que não estão executando o cliente Global Secure Access
  • Simule a conectividade de rede remota usando uma rede virtual remota de área ampla (vWAN)
  • Simule a conectividade de rede remota usando um gateway de rede virtual (VNG) do Azure

Depois de entender os recursos necessários em seus casos de uso, crie um inventário para associar seus usuários e grupos a esses recursos. Entender quais usuários e grupos bloquear ou permitir acesso a quais categorias da Web e FQDNs. Inclua a priorização de regras para cada grupo de usuários.

Testar e implantar o Microsoft Entra Internet Access

Neste ponto, você concluiu os estágios de início e planejamento do seu projeto de implantação SASE (Secure Access Services Edge). Você entende o que precisa implementar para quem. Você definiu quais usuários habilitar em cada onda. Você tem um cronograma para a implantação de cada onda. Cumpriu os requisitos de licenciamento. Você está pronto para habilitar o Microsoft Entra Internet Access.

1. Preencha os pré-requisitos do Global Secure Access .
2. Crie um grupo do Microsoft Entra que inclua seus usuários piloto.
3. Habilite o acesso à Internet do Microsoft Entra e os perfis de encaminhamento de tráfego da Microsoft. Atribua seu grupo piloto a cada perfil.

Observação

O tráfego da Microsoft é um subconjunto do tráfego da Internet que tem seu próprio gateway de túnel dedicado. Para um desempenho ideal, habilite o Microsoft Traffic com o perfil de tráfego de acesso à Internet.

1. Crie comunicações com o usuário final para definir expectativas e fornecer um caminho de escalonamento.

2. Crie um plano de reversão que defina as circunstâncias e os procedimentos para quando você remove o cliente Global Secure Access de um dispositivo de usuário ou desabilita o perfil de encaminhamento de tráfego.

3. Enviar comunicações ao utilizador final.

4. Implante o cliente Global Secure Access para Windows em dispositivos para seu grupo piloto testar.

5. Configure redes remotas usando vWAN ou VNG, caso esteja no escopo.

6. Configure políticas de filtragem de conteúdo da Web para permitir ou bloquear categorias ou FQDNs com base nos casos de uso definidos durante o planejamento.

   • Bloquear por categoria: defina uma regra que bloqueie uma das muitas categorias gerenciadas predefinidas
   • Bloquear por FQDN: defina uma regra que bloqueie um FQDN especificado
   • Substituição: defina uma regra que permita uma categoria da Web ou FQDN especificado

7. Crie perfis de segurança que agrupem e priorizem as suas políticas de filtragem de conteúdo da web com base no plano.

   • Perfil da linha de base: use o recurso Perfil da linha de base para agrupar políticas de filtragem de conteúdo da Web que se aplicam a todos os usuários por padrão.
   • Perfis de segurança: crie perfis de segurança para agrupar políticas de filtragem de conteúdo da Web que se aplicam a um subconjunto de usuários.

8. Crie e vincule políticas de Acesso Condicional para aplicar seus perfis de segurança ao seu grupo piloto. O perfil de linha de base padrão não requer uma política de acesso condicional.

9. Peça aos usuários piloto que testem sua configuração.

10. Confirme a atividade nos logs de tráfego do Global Secure Access .

11. Atualize a configuração para resolver quaisquer problemas e repita o teste. Use o plano de reversão, se necessário.

12. Conforme necessário, repita as alterações no plano de comunicação e implementação para o utilizador final.

Depois que o piloto for concluído, você terá um processo repetível para entender como proceder com cada onda de usuários em sua implantação de produção.

1. Identifique os grupos que contêm sua onda de usuários.
2. Notifique a equipe de suporte sobre a onda programada e seus usuários incluídos.
3. Envie comunicações preparadas para o utilizador final de acordo com o seu plano.
4. Atribua os grupos ao perfil de encaminhamento de tráfego do Microsoft Entra Internet Access.
5. Implante o Global Secure Access Client nos dispositivos dos utilizadores desta vaga.
6. Se necessário, crie e configure mais políticas de filtragem de conteúdo da Web para permitir ou bloquear categorias ou FQDNs com base nos casos de uso definidos em seu plano.
7. Se necessário, crie mais perfis de segurança que agrupem e priorizem suas políticas de filtragem de conteúdo da Web com base no seu plano.
8. Crie políticas de Acesso Condicional para aplicar novos perfis de segurança aos grupos relevantes nesta onda ou adicione os novos grupos de utilizadores às políticas de Acesso Condicional existentes para perfis de segurança existentes.
9. Atualize a sua configuração. Teste novamente para resolver problemas. Se necessário, inicie o plano de reversão.
10. Conforme necessário, reitere as alterações nas comunicações ao utilizador final e no plano de implementação.

Próximos passos

• Saiba como acelerar a transição para um modelo de segurança Zero Trust com o Microsoft Entra Suite e a plataforma unificada de operações de segurança da Microsoft
• Introdução ao Guia de Implantação do Microsoft Global Secure Access
• Guia de Implantação do Microsoft Global Secure Access para o Microsoft Entra Private Access
• Guia de implantação do Microsoft Global Secure Access para o Microsoft Traffic
• Simular a conectividade de rede remota usando o Gateway de Rede Virtual do Azure - Global Secure Access
• Simule a conectividade de rede remota usando o Azure vWAN - Global Secure Access