Introdução ao Guia de Implantação do Microsoft Global Secure Access
Microsoft Global Secure Access é um componente fundamental de uma estratégia bem-sucedida de Secure Access Service Edge (SASE). Possui Microsoft Entra Internet Access, Microsoft Entra Private Accesse Microsoft Traffic. Ele usa a vasta rede privada de longa distância da Microsoft e seu investimento em políticas de Acesso Condicional para ajudá-lo a proteger seus dados corporativos no nível da rede.
Aqui estão os principais cenários de implantação do Acesso Seguro Global:
- Substitua as soluções VPN existentes por uma abordagem Zero Trust Network Access (ZTNA) que fornece conectividade segura do ponto de extremidade para o aplicativo.
- Proteja e monitore o tráfego da Microsoft para funcionários locais e remotos.
- Proteja e monitore o tráfego da Internet para funcionários locais e remotos.
Este Guia de Implantação ajuda você a planejar e implantar o Microsoft Global Secure Access. Consulte a visão geral sobre licenciamento do Global Secure Access para obter informações sobre licenciamento. Embora a maioria dos serviços esteja geralmente disponível (GA), algumas partes do serviço estão em pré-visualização pública.
Realizar uma prova de conceito
Realize uma Prova de Conceito (PoC) para garantir que a solução escolhida forneça as funcionalidades e a conectividade necessárias.
Dependendo dos recursos que você planeja implantar em uma PoC para o Microsoft Global Secure Access, você precisa de até sete horas. Certifique-se de que cumpriu os requisitos de licenciamento.
- Configurar pré-requisitos: Uma hora
- Configurar o produto inicial: 20 minutos
- Configurar rede remota: 1 a 2 horas
- Implantar e testar o perfil do Microsoft Traffic: Uma hora
- Implantar e testar o Microsoft Entra Internet Access: Uma hora
- Implantar e testar o Microsoft Entra Private Access: Uma hora
- Fechar PoC: 30 minutos
Inicie seu projeto de Acesso Seguro Global
O início do projeto é o primeiro passo para qualquer projeto bem-sucedido. No início do início do projeto, você decidiu implementar o Microsoft Global Secure Access. O sucesso do projeto depende de você para entender os requisitos, definir critérios de sucesso e garantir comunicações apropriadas. Certifique-se de gerenciar expectativas, resultados e responsabilidades.
Identificar requisitos de negócios, resultados e critérios de sucesso
Identifique os requisitos de negócios, os resultados e os critérios de sucesso para esclarecer exatamente o que você precisa realizar com os critérios de sucesso. Por exemplo:
- Qual é o principal resultado que você precisa que este projeto alcance?
- Como você planeja substituir sua VPN?
- Como planeia proteger o seu Tráfego Microsoft?
- Como planeia proteger o seu tráfego na Internet?
Depois de identificar os cenários principais, mergulhe nos detalhes:
- Quais aplicativos seus usuários precisam acessar?
- Quais sites precisam de controle de acesso?
- O que é obrigatório e o que é opcional?
Durante essa etapa, crie um inventário que descreva usuários, dispositivos e aplicativos principais no escopo. Para substituição de VPN, comece com Acesso Rápido para identificar os aplicativos privados que seus usuários precisam acessar para que você possa defini-los no Microsoft Entra Private Access.
Definir o cronograma
Seu projeto é um sucesso depois que você atinge os resultados desejados dentro das restrições de orçamento e tempo. Identifique as metas de resultados por data, trimestre ou ano. Trabalhe com as partes interessadas para entender marcos específicos que definem metas de resultados. Definir requisitos de revisão e critérios de sucesso para cada objetivo. Como o Microsoft Global Secure Access está em desenvolvimento contínuo, mapeie os requisitos para apresentar estágios de desenvolvimento.
Identificar as partes interessadas
Identifique e documente as partes interessadas, papéis e responsabilidades das pessoas que desempenham um papel em seu projeto ZTNA. Os títulos e funções podem diferir de uma organização para outra; no entanto, as áreas de propriedade são semelhantes. Considere as funções e responsabilidades na tabela a seguir e identifique as partes interessadas correspondentes. Distribua essa tabela para a liderança, partes interessadas e sua equipe.
| Funções | Responsabilidade |
|---|---|
| Patrocinador | Líder sênior da empresa com autoridade para aprovar e/ou atribuir orçamento e recursos. Conecta gerentes e equipes executivas. Decisor técnico para implementação de produtos e funcionalidades. |
| Utilizadores finais | Pessoas para quem você implementa o serviço. Pode participar num programa piloto. |
| Gerente de suporte de TI | Fornece informações sobre a capacidade de suporte à mudança proposta. |
| Arquiteto de identidade | Define como a alteração se alinha com a infraestrutura de gerenciamento de identidades. Compreende o ambiente atual. |
| Proprietário do negócio de aplicativos | É responsável por aplicações afetadas que podem incluir gestão de acesso. Fornece informações sobre a experiência do usuário. |
| Proprietários de segurança | Confirma que o plano de alteração atende aos requisitos de segurança. |
| Gestor de rede | Supervisiona a funcionalidade, o desempenho, a segurança e a acessibilidade da rede. |
| Gerente de Conformidade | Garante a conformidade com os requisitos corporativos, industriais e governamentais. |
| Gestor técnico do programa | Supervisiona o projeto, gerencia requisitos, coordena fluxos de trabalho e garante o cumprimento do cronograma e orçamento. Facilita o plano de comunicação e relatórios. |
| Equipa SOC/CERT | Confirma os requisitos para registo e relatório de caça a ameaças. |
| Administrador de inquilinos | Coordena os proprietários de TI e os recursos técnicos responsáveis pelas alterações de inquilino do Microsoft Entra ao longo do projeto. |
| Equipe de implantação | Executa tarefas de implantação e configuração. |
Criar um gráfico RACI
Responsável, Responsável, Consultado, Informado (RACI) refere-se às definições de papel e responsabilidade. Para projetos e processos multifuncionais ou departamentais, defina e esclareça funções e responsabilidades em um gráfico RACI.
- Baixe o modelo RACI do Global Secure Access Deployment Guide como ponto de partida.
- Mapeie as funções e responsabilidades de Responsável, Responsabilizado, Consultado e Informado para os fluxos de trabalho do projeto.
- Distribua o gráfico RACI para as partes interessadas e certifique-se de que elas entendam as atribuições.
Criar plano de comunicação
Um plano de comunicação ajuda-o a interagir de forma adequada, proativa e regular com as partes interessadas.
- Forneça informações relevantes sobre planos de implantação e status do projeto.
- Definir o objetivo e a frequência das comunicações para cada parte interessada no gráfico RACI.
- Determine quem cria e distribui comunicações juntamente com mecanismos para compartilhar informações. Por exemplo, o gerente de comunicações mantém os usuários finais atualizados sobre alterações pendentes e atuais com e-mail e em um site designado.
- Inclua informações sobre alterações na experiência do usuário e como os usuários podem obter suporte. Consulte exemplos de modelos de comunicação com o usuário final:
Criar plano de controle de alterações
Os planos estão sujeitos a alterações à medida que a equipe do projeto reúne informações e detalhes. Crie um plano de controle de alterações para descrever às partes interessadas:
- alterar processos e procedimentos de solicitação.
- Como entender o impacto da mudança.
- responsabilidades pela revisão e aprovação.
- o que acontece quando uma mudança requer mais tempo ou fundos.
Um bom plano de controle garante que as equipes saibam o que fazer quando mudanças são necessárias.
Criar plano de encerramento do projeto
Todo encerramento de projeto requer uma revisão pós-projeto. Identifique as métricas e informações a serem incluídas nesta revisão para que você possa coletar regularmente os dados corretos ao longo da vida útil do projeto. Um plano de encerramento de projeto ajuda-o a gerar eficientemente o seu Resumo das Lições Aprendidas.
Obter o consenso das partes interessadas
Depois de concluir as tarefas de iniciação do projeto, trabalhe com cada parte interessada para garantir que os planos atendam às suas necessidades específicas. Evite mal-entendidos e surpresas com um processo de aprovação oficial que documenta consensos e aprovações por escrito. Realize uma reunião inicial que abranja o escopo e os detalhes na documentação de referência.
Planeje seu projeto Global Secure Access
Criar cronograma de projeto detalhado
Crie um cronograma de projeto detalhado com as etapas que você identificou no início do projeto. Defina expectativas realistas com planos de contingência para cumprir os principais marcos:
- Prova de Conceito (PoC)
- Data do teste piloto
- Data de lançamento
- Datas que afetam a entrega
- Dependências
Inclua estas informações no cronograma do projeto:
Estrutura de detalhamento do trabalho com datas, dependências e caminho crítico
- Número máximo de usuários a serem cortados em cada onda com base na carga de suporte esperada
- Prazo para cada onda de implantação (como cortar uma onda todas as segundas-feiras)
- Grupos específicos de utilizadores em cada vaga de implantação (não exceder o número máximo)
- Aplicações que os utilizadores necessitam (ou utilizam o Acesso Rápido)
Membros da equipa atribuídos a cada tarefa
Criar plano de gestão de riscos
Crie um plano de gestão de riscos para se preparar para contingências que possam afetar as datas e o orçamento.
- Identificar caminho crítico e resultados-chave obrigatórios.
- Compreender os riscos do fluxo de trabalho.
- Documentar planos de backup para manter-se no caminho certo quando ocorrerem contingências.
Definir critérios de sucesso de desempenho
Defina métricas de desempenho aceitáveis para testar objetivamente e garantir que sua implantação seja bem-sucedida e que sua experiência do usuário esteja dentro dos parâmetros. Considere incluir as seguintes métricas.
Acesso privado do Microsoft Entra
O desempenho da rede está dentro dos parâmetros definidos?
- O painel Global Secure Access fornece visualizações do tráfego de rede que o Microsoft Entra Private e o Microsoft Entra Internet Access adquirem. Ele compila dados de configurações de rede, incluindo dispositivos, usuários e locatários.
- Use o Monitoramento de Rede nos registos do Azure Monitor para monitorizar e analisar a conectividade de rede, a integridade do circuito de ExpressRoute e o tráfego de rede na nuvem.
Notou um aumento da latência durante o piloto? Você tem requisitos de latência específicos do aplicativo?
O Single Sign On (SSO) para seus principais aplicativos está funcionando corretamente?
Considere a realização de pesquisas de satisfação e aceitação do usuário.
Tráfego da Microsoft
O desempenho da rede está dentro dos parâmetros definidos?
- O painel Global Secure Access fornece visualizações do tráfego de rede que o Microsoft Entra Private e o Microsoft Entra Internet Access adquirem. Ele compila dados de configurações de rede, incluindo dispositivos, usuários e locatários.
- Use a avaliação de rede do Microsoft 365 para sintetizar um conjunto de métricas de desempenho de rede num instantâneo da saúde do perímetro da rede corporativa.
- Use o teste de conectividade de rede do Microsoft 365 para medir a conectividade entre o seu dispositivo e a internet e, a partir daí, com a rede da Microsoft.
Notou algum aumento de latência durante o piloto?
Considere a realização de uma pesquisa de satisfação do usuário.
Considere a realização de uma pesquisa de aceitação do usuário.
Acesso à Internet Microsoft Entra
O desempenho da rede está dentro dos parâmetros definidos?
- Use Monitorização de Rede nos registos do Azure Monitor para monitorizar a conectividade de rede, a saúde dos circuitos de ExpressRoute e analisar o tráfego de rede na nuvem.
- Use Speedtest de Ookla - O Teste Global de Velocidade de Banda Larga.
- Use Teste de Velocidade da Internet - Meça o Desempenho da Rede | Cloudflare.
O bloqueio e a filtragem de tráfego funcionam como você espera?
Considere a realização de pesquisas de satisfação e aceitação do usuário.
Planejar cenários de reversão
À medida que você trabalha em sua implantação de produção e aumenta ativamente o número de usuários com o Security Service Edge da Microsoft, você pode descobrir cenários imprevistos ou não testados que afetam negativamente os usuários finais. Plano para o impacto negativo:
- Defina um processo para que os usuários finais relatem problemas.
- Defina um procedimento para reverter a implantação para usuários ou grupos específicos ou desabilitar o perfil de tráfego.
- Defina um procedimento para avaliar o que deu errado, identifique as etapas de correção e comunique às partes interessadas.
- Prepare-se para testar novas configurações antes que a implantação de produção continue para as ondas subsequentes de usuários.
Execute o seu plano de projeto
Obter permissões
Certifique-se de que os administradores que interagem com Acesso Seguro Global tenham atribuídas as funções corretas.
Prepare sua equipe de suporte de TI
Determine como os usuários obtêm suporte quando têm dúvidas ou problemas de conectividade. Desenvolva documentação de autoatendimento para reduzir a pressão sobre sua equipe de suporte de TI. Certifique-se de que sua equipe de suporte de TI receba treinamento para prontidão de implantação. Inclua-os nas comunicações com os usuários finais para que eles conheçam os cronogramas de migração em fases, as equipes afetadas e os aplicativos no escopo. Para evitar confusão na base de usuários ou no Suporte de TI, estabeleça um processo para lidar e escalar solicitações de suporte ao usuário.
Executar uma implantação piloto
Considerando os usuários, dispositivos e aplicativos no escopo de sua implantação de produção, comece com um pequeno grupo de teste inicial. Ajuste o processo de comunicações, implantação, teste e suporte para a sua implementação faseada. Antes de começar, reveja e confirme que tem todos os pré-requisitos colocados.
Garanta que o registo do dispositivo está na sua entidade. Siga as diretrizes em Planeie a implantação do dispositivo Microsoft Entra. Se a sua organização utiliza o Intune, siga as diretrizes em Gerir e proteger dispositivos no Intune.
Recomendações para requisitos opcionais
Os recursos na tabela a seguir fornecem tarefas detalhadas de planejamento e execução para cada requisito opcional.
| Requisito facultativo | Recurso |
|---|---|
| Acesso seguro ao seu Microsoft Traffic. | Plano de implantação de tráfego da Microsoft |
| Substitua sua VPN por uma solução Zero Trust para proteger recursos locais com o perfil de tráfego de Acesso Privado. | Plano de implantação do Microsoft Entra Private Access |
| Proteja o seu tráfego de Internet com o perfil de tráfego Microsoft Entra Internet Access. | Plano de implantação do Microsoft Entra Internet Access |
O seu piloto deve incluir alguns utilizadores (menos de 20) que possam testar os dispositivos e aplicações necessários dentro do âmbito. Depois de identificar os usuários piloto, atribua-os aos perfis de tráfego individualmente ou em grupo (recomendado). Siga as orientações detalhadas em Atribuir utilizadores e grupos a perfis de encaminhamento de tráfego.
Trabalhar sistematicamente em cada aplicação identificada no âmbito. Certifique-se de que os utilizadores possam se conectar conforme o esperado em dispositivos abrangidos. Observe e documente as métricas dos critérios de sucesso de desempenho. Testar planos e processos de comunicação. Ajuste e itere conforme necessário.
Depois que o piloto for concluído e atender aos critérios de sucesso, certifique-se de que a equipe de suporte esteja pronta para as próximas fases. Finalizar processos e comunicações. Avance para a implantação em produção.
Implantar na produção
Depois de concluir todos os planos e testes, a implantação deve ser um processo repetível com os resultados esperados.
Para mais informações, consulte as orientações relevantes:
- Guia de implantação do Microsoft Global Secure Access para o Microsoft Traffic
- Guia de implantação do Microsoft Global Secure Access para o Microsoft Entra Internet Access
- Guia de implantação do Microsoft Global Secure Access para o Microsoft Entra Private Access
Repita as implantações em fases até migrar todos os utilizadores para o Microsoft Global Secure Access. Se você estiver usando o acesso privado do Microsoft Entra, ele desativará o Acesso Rápido e encaminhará todo o tráfego por meio de aplicativos de Acesso Seguro Global.
Plano de acesso de emergência
Quando o Acesso Seguro Global está inativo, os usuários não podem acessar os recursos que a verificação de rede compatível com Acesso Seguro Global protege. O script GsaBreakglassEnforcement possibilita aos administradores empresariais alternar as políticas de Acesso Condicional da rede compatível habilitada para o modo apenas de relatório. O script permite temporariamente que os usuários acessem esses recursos sem o Global Secure Access.
Depois do retorno do Acesso Seguro Global, use o script GsaBreakglassRecovery para ativar todas as políticas afetadas.
Considerações adicionais
- Siga as orientações em Atribuir utilizadores e grupos a perfis de encaminhamento de tráfego para cancelar a atribuição de utilizadores aos perfis de encaminhamento de tráfego.
- Siga as orientações em Como ativar e gerir o tráfego da Microsoft para desativar perfis de tráfego problemáticos.
- Siga as orientações em Como configurar o acesso por aplicativo usando os aplicativos de Acesso Seguro Global para desatribuir utilizadores e grupos de segmentos de aplicativos problemáticos e as suas respetivas políticas de acesso condicional.
Monitorize e controle o seu projeto Global Secure Access
Monitore e controle seu projeto para gerenciar riscos e identificar problemas que possam exigir desvio do seu plano. Mantenha seu projeto no caminho certo e garanta comunicações precisas e oportunas às partes interessadas. Preencha sempre os requisitos com precisão, dentro do prazo e do orçamento.
Principais objetivos desta fase:
- Acompanhamento dos progressos. As tarefas foram concluídas conforme programado? Em caso negativo, por que razão? Como voltar aos trilhos?
- Descoberta de problemas. Surgiram problemas (como disponibilidade de recursos não planeada ou outros desafios imprevistos)? As alterações necessárias exigiram ordens de alteração?
- Monitorização da eficiência. Identificou ineficiências inerentes a processos definidos? Quando o monitoramento revela ineficiências, como você ajusta sua abordagem de projeto?
- Confirmação das comunicações. As partes interessadas ficaram satisfeitas com a sua frequência de comunicação e nível de detalhe? Em caso negativo, como ajustar-se?
Estabeleça cronograma semanal e revisão de detalhes do projeto. Preste muita atenção aos marcos críticos. Gere comunicações apropriadas para todas as partes interessadas e capture dados para relatórios de encerramento de projeto.
Feche seu projeto de Acesso Seguro Global
Parabéns;! Você concluiu a implantação do Microsoft Global Secure Access. Resolva as questões pendentes e feche o projeto.
- Colete feedback das partes interessadas para entender se a equipe atendeu às expectativas e necessidades.
- Use os dados coletados durante a fase de execução (conforme definido durante o início do projeto) para desenvolver os ativos de encerramento necessários. Por exemplo, avaliação de projetos, lições aprendidas e apresentações post mortem.
- Arquivar detalhes do projeto para referência em projetos futuros semelhantes.
Próximos passos
- Saiba como acelerar a transição para um modelo de segurança Zero Trust com o Microsoft Entra Suite e a plataforma unificada de operações de segurança da Microsoft
- Guia de implantação do Microsoft Global Secure Access para o Microsoft Traffic
- Guia de Implantação do Microsoft Global Secure Access para o Microsoft Entra Internet Access
- Guia de Implantação do Microsoft Global Secure Access para o Microsoft Entra Private Access
- Simular a conectividade de rede remota usando o Gateway de Rede Virtual do Azure - Global Secure Access
- Simule a conectividade de rede remota usando o Azure vWAN - Global Secure Access