Partilhar via

Guia de implantação do Microsoft Global Secure Access para Microsoft Traffic

  • Artigo

Microsoft Global Secure Access converge controles de acesso de rede, identidade e ponto final para acesso seguro a qualquer aplicativo ou recurso de qualquer local, dispositivo ou identidade. Ele permite e orquestra o gerenciamento de políticas de acesso para funcionários corporativos. Você pode monitorar e ajustar continuamente, em tempo real, o acesso do usuário aos seus aplicativos privados, aplicativos de Software como Serviço (SaaS) e pontos de extremidade da Microsoft. O monitoramento e o ajuste contínuos ajudam você a responder adequadamente às mudanças de permissão e nível de risco à medida que ocorrem.

O perfil de encaminhamento de tráfego da Microsoft permite controlar e gerenciar o tráfego da Internet específico para pontos de extremidade da Microsoft, mesmo quando os usuários trabalham em locais remotos. Ajuda-o a:

  • Proteja-se contra a exfiltração de dados.
  • Reduza o risco de roubo de tokens e ataques de repetição.
  • Correlacione o endereço IP de origem do dispositivo com os registros de atividades para melhorar a eficiência da caça a ameaças.
  • Facilite o gerenciamento de políticas de acesso sem uma lista de endereços IP de saída.

As diretrizes neste artigo ajudam você a testar e implantar o perfil de tráfego da Microsoft em seu ambiente de produção. introdução ao guia de implantação do Acesso Seguro Global da Microsoft fornece orientação sobre como iniciar, planejar, executar, monitorar e fechar seu projeto de implantação do Acesso Seguro Global.

Identificar e planejar os principais casos de uso

Antes de habilitar o Microsoft Entra Secure Access Essentials, determine o que você deseja que ele faça por você. Entenda seus casos de uso para decidir quais recursos implantar. A tabela a seguir recomenda configurações com base em casos de uso.

Caso de uso Configuração recomendada
Impeça que usuários e grupos usem dispositivos gerenciados para acessar pontos de extremidade do Microsoft 365 em outros locatários. Configure restrições universais de locatários.
Garanta que os usuários se conectem e se autentiquem somente com o túnel de rede seguro Global Secure Access para reduzir o risco de roubo/reprodução de token para o Microsoft 365 e todos os aplicativos corporativos. Configure verificação de rede compatível em políticas de Acesso Condicional.
Maximize o sucesso e a eficiência da caça a ameaças. Configure a restauração de IP de origem (Pré-visualização) e Use logs enriquecidos do Microsoft 365.

Depois de determinar quais recursos são necessários para seus casos de uso, inclua a implantação de recursos em sua implementação.

Testar e implantar o perfil de tráfego da Microsoft

Neste ponto, você concluiu os estágios de início e planejamento do seu projeto de implantação do Acesso Seguro Global. Você entende o que precisa implementar para quem. Você definiu os usuários a serem habilitados em cada onda. Você tem um cronograma para a implantação de cada onda. Cumpriu com os requisitos de licenciamento. Você está pronto para habilitar o perfil de tráfego da Microsoft.

  1. Crie comunicações com o usuário final para definir expectativas e fornecer um caminho de escalonamento.
  2. Crie um plano de reversão que defina as circunstâncias e os procedimentos para quando você remove o cliente Global Secure Access de um dispositivo de usuário ou desabilita o perfil de encaminhamento de tráfego.
  3. Crie um grupo do Microsoft Entra que inclua seus usuários piloto.
  4. Enviar comunicações ao utilizador final.
  5. Ative o perfil de encaminhamento de tráfego da Microsoft e atribua o seu grupo piloto a ele.
  6. Se você planeja maximizar o sucesso e a eficiência da caça a ameaças, configure restauração de IP de origem.
  7. Crie políticas de Acesso Condicional que exijam verificações de rede compatíveis com para o seu grupo piloto, caso seja um caso de uso planeado.
  8. Configure restrições universais de inquilino se for um caso de uso planeado.
  9. Implante o cliente Global Secure Access para Windows em dispositivos para seu grupo piloto testar.
  10. Peça aos usuários piloto que testem sua configuração.
  11. Veja os registos de início de sessão para garantir que os utilizadores piloto estejam a conectar-se aos endpoints da Microsoft utilizando o Global Secure Access.
  12. Verifique a verificação de rede compatível pausando o agente de Acesso Seguro Global e tentando acessar o SharePoint.
  13. Verifique as restrições de locatário tentando entrar em um locatário diferente.
  14. Verifique a restauração do IP de origem comparando o endereço IP no log de entrada de uma conexão bem-sucedida com o SharePoint Online ao se conectar com o agente Global Secure Access em execução versus desabilitado para garantir que eles sejam os mesmos.

    Observação

    Você deve desabilitar qualquer política de Acesso Condicional que imponha a verificação de rede compatível para essa verificação.

Atualize a configuração para resolver quaisquer problemas. Repita o teste. Implemente planos de reversão, se necessário. Itere as alterações nos planos de comunicação e implantação dos utilizadores finais, se necessário.

Depois de concluir o piloto, tem um processo repetível para prosseguir com cada vaga de utilizadores na sua implementação em produção.

  1. Identifique os grupos que contêm os usuários da sua onda.
  2. Notifique sua equipe de suporte sobre a programação da onda e seus usuários incluídos.
  3. Envie as comunicações do utilizador final da onda.
  4. Atribua os grupos da onda ao perfil de encaminhamento de tráfego da Microsoft.
  5. Implante o Global Secure Access Client nos dispositivos dos usuários da onda.
  6. Crie ou atualize políticas de Acesso Condicional para impor seus requisitos de caso de uso nos grupos relevantes da onda.
  7. Sempre que necessário, revise as suas comunicações ao utilizador final e o plano de implementação.

Próximos passos