Partilhar via

Guia de Implantação do Microsoft Global Secure Access para Microsoft Entra Private Access

  • Artigo

Microsoft Global Secure Access converge controles de acesso de rede, identidade e ponto final para acesso seguro a qualquer aplicativo ou recurso de qualquer local, dispositivo ou identidade. Ele permite e orquestra o gerenciamento de políticas de acesso para funcionários corporativos. Você pode monitorar e ajustar continuamente, em tempo real, o acesso do usuário aos seus aplicativos privados, aplicativos de Software como Serviço (SaaS) e pontos de extremidade da Microsoft. O monitoramento e o ajuste contínuos ajudam você a responder adequadamente às mudanças de permissão e nível de risco à medida que ocorrem.

O Microsoft Entra Private Access permite que você substitua sua VPN corporativa. Ele fornece aos usuários corporativos acesso macro e microssegmentado a aplicativos corporativos que você controla com políticas de Acesso Condicional. Ajuda a:

  • Forneça acesso ponto a ponto Zero Trust a aplicativos privados com todas as portas e protocolos. Essa abordagem evita que agentes mal-intencionados façam movimentos laterais ou varreduras de porta em sua rede corporativa.
  • Exigir autenticação multifator quando os usuários se conectarem a aplicativos privados.
  • Encaminhe dados pela vasta rede global privada de longa distância da Microsoft para maximizar comunicacões seguras na rede.

As diretrizes neste artigo ajudam você a testar e implantar de acesso privado do Microsoft Entra em seu ambiente de produção à medida que você entra na fase de execução da implantação. introdução ao guia de implantação do Acesso Seguro Global da Microsoft fornece orientação sobre como iniciar, planejar, executar, monitorar e fechar seu projeto de implantação do Acesso Seguro Global.

Identificar e planejar os principais casos de uso

A substituição da VPN é o cenário principal para o Microsoft Entra Private Access. Você pode ter outros casos de uso dentro deste cenário na sua implementação. Por exemplo, talvez seja necessário:

  • Aplique políticas de Acesso Condicional para controlar usuários e grupos antes que eles se conectem a aplicativos privados.
  • Configure a autenticação multifator como um requisito para se conectar a qualquer aplicativo privado.
  • Habilite uma implantação em fases que se aproxime do Zero Trust ao longo do tempo para seus aplicativos de -based TCP (Transmission Control Protocol) e UDP (User Datagram Protocol).
  • Use FQDN (nome de domínio totalmente qualificado) para se conectar a redes virtuais que se sobrepõem ou duplicam intervalos de endereços IP para configurar o acesso a ambientes efêmeros.
  • Gestão de Identidade com Privilégios (PIM) para configurar a segmentação de destino para acesso privilegiado.

Depois de entender os recursos necessários em seus casos de uso, crie um inventário para associar seus usuários e grupos a esses recursos. Planeje usar a funcionalidade de Acesso Rápido para duplicar sua funcionalidade VPN inicialmente para que você possa testar a conectividade e remover sua VPN. Em seguida, use o Application Discovery para identificar os segmentos de aplicativos aos quais seus usuários se conectam para que você possa proteger a conectividade com endereços IP, FQDNs e portas específicos.

Testar e implantar o Microsoft Entra Private Access

Neste ponto, você concluiu os estágios de início e planejamento do seu projeto de implantação SASE (Secure Access Service Edge). Você entende o que precisa implementar para quem. Você definiu os usuários a serem habilitados em cada onda. Você tem um cronograma para a implantação de cada onda. Você atendeu aos requisitos de licenciamento. Você está pronto para habilitar o Microsoft Entra Private Access.

  1. Crie comunicações com o usuário final para definir expectativas e fornecer um caminho de escalonamento.
  2. Crie um plano de reversão que defina as circunstâncias e os procedimentos para quando você remove o cliente Global Secure Access de um dispositivo de usuário ou desabilita o perfil de encaminhamento de tráfego.
  3. Crie um grupo do Microsoft Entra que inclua seus usuários piloto.
  4. Habilite o perfil de encaminhamento de tráfego do Microsoft Entra Private Access e atribua seu grupo piloto. Atribua utilizadores e grupos a perfis de encaminhamento de tráfego.
  5. Provisione servidores ou máquinas virtuais que tenham acesso de linha de visão aos seus aplicativos para funcionar como conectores, fornecendo conectividade de saída para aplicativos para seus usuários. Considere cenários de balanceamento de carga e requisitos de capacidade para um desempenho aceitável. Configurar conectores para o Microsoft Entra Private Access em cada máquina conectora.
  6. Se tiveres um inventário de aplicações corporativas, configura o acesso às aplicações individualmente usando as aplicações de Acesso Seguro Global. Caso contrário, configurar o Acesso Rápido para Acesso Seguro Global.
  7. Comunique as expectativas ao seu grupo piloto.
  8. Implante o cliente Global Secure Access para Windows em dispositivos para seu grupo piloto testar.
  9. Crie políticas de Acesso Condicional de acordo com seus requisitos de segurança para aplicar ao seu grupo piloto quando esses usuários se conectarem aos aplicativos Global Secure Access Enterprise publicados.
  10. Peça aos usuários piloto que testem sua configuração.
  11. Se necessário, atualize sua configuração e teste novamente. Se necessário, inicie o plano de reversão.
  12. Conforme necessário, itere as alterações nas comunicações e no plano de implantação do utilizador final.

Configurar o acesso por aplicativo

Para maximizar o valor da sua implantação do Microsoft Entra Private Access, você deve fazer a transição do Acesso Rápido para o acesso por aplicativo. Você pode usar os recursos de Descoberta de Aplicações para criar rapidamente aplicações de Acesso Seguro Global a partir dos segmentos de aplicações que os seus utilizadores acedem. Você também pode usar os aplicativos Global Secure Access Enterprise para criá-los manualmente ou pode usar o PowerShell para automatizar a criação.

  1. Crie o aplicativo e faça o escopo dele para todos os usuários atribuídos ao Acesso Rápido (recomendado) ou para todos os usuários que precisam acessar o aplicativo específico.
  2. Adicione pelo menos um segmento de aplicativo ao aplicativo. Não é necessário adicionar todos os segmentos de aplicativos ao mesmo tempo. Você pode preferir adicioná-los lentamente para que possa validar o fluxo de tráfego para cada segmento.
  3. Observe que o tráfego para esses segmentos de aplicativos não aparece mais no Acesso Rápido. Use o Acesso Rápido para identificar segmentos de aplicativos que você precisa configurar como aplicativos de Acesso Seguro Global.
  4. Continue a criar aplicativos de Acesso Seguro Global até que nenhum segmento de aplicativo apareça no Acesso Rápido.
  5. Desative o Acesso Rápido.

Após a conclusão do piloto, você deve ter um processo repetível e entender como proceder com cada onda de usuários em sua implantação de produção.

  1. Identifique os grupos que contêm sua onda de usuários.
  2. Notifique sua equipe de suporte sobre a onda programada e seus usuários incluídos.
  3. Envie comunicações planejadas e preparadas para o usuário final.
  4. Atribua os grupos ao perfil de encaminhamento de tráfego do Microsoft Entra Private Access.
  5. Implante o Global Secure Access Client em dispositivos para os usuários da onda.
  6. Se necessário, implante mais conectores de rede privada e crie mais aplicativos Global Secure Access Enterprise.
  7. Se necessário, crie políticas de Acesso Condicional para aplicar aos usuários da onda quando eles se conectarem a esses aplicativos.
  8. Atualize a sua configuração. Teste novamente para resolver problemas, se necessário, inicie o plano de reversão.
  9. Conforme necessário, realize alterações nas comunicações do utilizador final e no plano de implementação.

Próximos passos