Поделиться через

Введение в руководстве по развертыванию глобального безопасного доступа Microsoft

  • Статья

Microsoft Global Secure Access является ключевым компонентом успешной стратегии Secure Access Service Edge (SASE). В его состав входят Microsoft Entra Internet Access, Microsoft Entra Private Accessи Microsoft Traffic. В нем используется обширная частная широкая сеть Майкрософт и ваши инвестиции в политики условного доступа для защиты корпоративных данных на уровне сети.

Ниже приведены ключевые сценарии развертывания Глобального безопасного доступа:

  • Замените существующие решения VPN подходом (ZTNA), который обеспечивает безопасное подключение от конечной точки к приложению.
  • Защита и мониторинг трафика Майкрософт для локальных и удаленных сотрудников.
  • Осуществление защиты и мониторинга интернет-трафика для сотрудников на месте и удаленных.

Это руководство по развертыванию поможет вам спланировать и развернуть Глобальный безопасный доступ Майкрософт. Дополнительные сведения о лицензировании см. в обзоре лицензирования Global Secure Access. Хотя большая часть служб общедоступна( общедоступная версия), некоторые части службы находятся в общедоступной предварительной версии. ​

Проведение проверки концепции

Выполните подтверждение концепции (PoC), чтобы убедиться, что выбранное решение предоставляет необходимые функции и подключение.

В зависимости от возможностей, которые планируется развернуть в PoC для Microsoft Global Secure Access, вам потребуется до семи часов. Убедитесь, что выполнены требования к лицензированию .

  • Настройка необходимых компонентов: один час
  • Настройка начального продукта: 20 минут
  • Настройка удаленной сети: от 1 до 2 часов
  • Развертывание и проверка профиля трафика Майкрософт: один час
  • Развертывание и проверка Microsoft Entra Internet Access: один час
  • Развертывание и проверка закрытого доступа Microsoft Entra: один час
  • Закрытие PoC: 30 минут

Запуск проекта глобального безопасного доступа

Запуск проекта — это первый шаг в любом успешном проекте. В начале запуска проекта вы решили реализовать Microsoft Global Secure Access. Успех проекта зависит от того, чтобы понять требования, определить критерии успешности и обеспечить соответствующую связь. Обязательно управляйте ожиданиями, результатами и обязанностями.

Определение бизнес-требований, результатов и критериев успешности

Определите бизнес-требования, результаты и критерии успешности, чтобы точно определить, что необходимо выполнить с критериями успешности. Например:

  • Какой ключевой результат требуется для достижения этого проекта?
  • Как вы планируете заменить VPN?
  • Как вы планируете защитить ваш трафик Майкрософт?
  • Как вы планируете защитить интернет-трафик?

После определения основных сценариев подробно рассмотрим следующие сведения:

  • Какие приложения нужны пользователям?
  • Какие веб-сайты нуждаются в управлении доступом?
  • Что обязательно, а что необязательно?

На этом этапе создайте перечень, описывающий находящихся в области охвата пользователей, устройства и ключевые приложения. Для замены VPN начните с быстрого доступа, чтобы определить частные приложения, к которым пользователи должны получить доступ, чтобы их можно было определить в Microsoft Entra Private Access.

Определение расписания

Проект является успехом после достижения требуемых результатов в пределах бюджета и ограничений времени. Определите цели результатов по дате, кварталу или году. Обратитесь к заинтересованным лицам, чтобы понять конкретные вехи, определяющие цели результатов. Определите требования проверки и критерии успешности для каждой цели. Так как Microsoft Global Secure Access находится в непрерывной разработке, требования сопоставляются с этапами разработки функций.

Определение заинтересованных лиц

Определение и документирование заинтересованных лиц, ролей, обязанностей для людей, которые играют роль в проекте ZTNA. Названия и роли могут отличаться от одной организации к другой; тем не менее, области владения похожи. Рассмотрим роли и обязанности в следующей таблице и определите соответствующих заинтересованных лиц. Распределите такую таблицу руководству, заинтересованным лицам и вашей команде.

Роль Ответственность
Спонсор Старший руководитель предприятия с полномочиями на утверждение и (или) назначение бюджета и ресурсов. Подключает руководителей и исполнительных групп. Техническое средство принятия решений для реализации продуктов и функций.
Конечные пользователи Люди, для которых вы реализуете службу. Может участвовать в пилотной программе.
Диспетчер поддержки ИТ-отдела Предоставляет входные данные о предлагаемой поддержке изменений.
Архитектор идентичности Определяет, как изменение соответствует инфраструктуре управления удостоверениями. Понимает текущую среду.
Владелец бизнеса по разработке приложений Владеет затронутыми приложениями, которые могут включать управление доступом. Предоставляет отзывы о пользовательском опыте.
Владельцы безопасности Подтверждает, что план изменений соответствует требованиям безопасности.
Диспетчер сети Контролирует функции сети, производительность, безопасность и доступность.
Диспетчер соответствия требованиям Обеспечивает соответствие корпоративным, отраслевым и государственным требованиям.
Технический менеджер программ Контролирует проект, управляет требованиями, координирует рабочие потоки и обеспечивает соблюдение расписания и бюджета. Упрощает план коммуникации и отчеты.
Команда SOC/CERT Подтверждает требования к журналу и отчету по поиску угроз.
Администратор арендатора Координирует ИТ-владельцев и технические ресурсы, ответственные за изменения клиента Microsoft Entra во всем проекте.
Команда развертывания Выполняет задачи развертывания и настройки.

Создание диаграммы RACI

Ответственный, подотчетный, консультируемый, информируемый (RACI) относятся к определениям ролей и ответственности. Для проектов и кроссфункциональных проектов и процессов, определите и уточните роли и обязанности в диаграмме RACI.

  1. Скачайте шаблон RACI для Руководства по внедрению глобального безопасного доступа в качестве отправной точки.
  2. Сопоставьте роли и обязанности ответственных, консультируемых, информируемых с рабочими потоками проекта.
  3. Распределите диаграмму RACI заинтересованным лицам и убедитесь, что они понимают назначения.

Создание плана обмена данными

План коммуникации помогает вам правильно, упреждающе и регулярно взаимодействовать с заинтересованными лицами.

  • Укажите соответствующие сведения о планах развертывания и состоянии проекта.
  • Определите назначение и частоту обмена данными с каждым заинтересованным лицами на диаграмме RACI.
  • Определите, кто создает и распределяет обмен данными вместе с механизмами для обмена информацией. Например, диспетчер коммуникаций держит конечных пользователей в курсе ожидающих и текущих изменений с помощью электронной почты и на указанном веб-сайте.
  • Включите сведения об изменениях в пользовательском интерфейсе и о том, как пользователи могут получить поддержку. Ознакомьтесь с примерами шаблонов взаимодействия конечных пользователей:

Создание плана управления изменениями

Планы могут изменяться по мере того, как команда проекта собирает информацию и детали. Создайте план управления изменениями, чтобы описать заинтересованным лицам:

  • процессы и процедуры обработки запросов на изменения.
  • как понять влияние на изменение.
  • обязанности по проверке и утверждению.
  • что происходит, когда изменение требует больше времени или средств.

Хороший план управления гарантирует, что команды знают, что делать при необходимости.

Создание плана закрытия проекта

Для каждого закрытия проекта требуется обзор после завершения проекта. Определите метрики и сведения, которые необходимо включить в эту проверку, чтобы вы могли регулярно собирать правильные данные на протяжении всего времени существования проекта. План закрытия проекта помогает эффективно создавать сводку по урокам.

Получение консенсуса заинтересованных лиц

После завершения задач запуска проекта обратитесь к каждому заинтересованным лицам, чтобы убедиться, что планы соответствуют конкретным потребностям. Избежание недоразумений и неожиданных ситуаций с помощью официального процесса согласования, который документирует консенсус и письменные утверждения. Проведите стартовое собрание, которое рассматривает объем и подробности, представленные в справочной документации.

Планирование проекта глобального безопасного доступа

Создание подробного расписания проекта

Создайте подробное расписание проекта с вехами, которые вы определили в запуске проекта. Задайте реалистичные ожидания с планами на непредвиденные случаи для удовлетворения ключевых вех:

  • Подтверждение концепции (PoC)
  • Дата пилотного проекта
  • Дата запуска
  • Даты, влияющие на доставку
  • Зависимости

Включите эти сведения в расписание проекта:

  • Подробная структура разбивки работы с датами, зависимостями и критически важным путем

    • Максимальное количество пользователей, которые нужно сократить на каждой волне на основе ожидаемой нагрузки на поддержку
    • Временные рамки для каждой волны развертывания (например, переключение на новую волну каждый понедельник)
    • Определенные группы пользователей в каждой волне развертывания (не превышают максимальное число)
    • Приложения, которые нужны пользователям (или используйте быстрый доступ)

  • Участники группы, закреплённые за каждой задачей

Создание плана управления рисками

Создайте план управления рисками для подготовки к непредвиденным ситуациям, которые могут повлиять на даты и бюджет.

  • Определите критический путь и обязательные ключевые результаты.
  • Понимание рисков рабочего потока.
  • Задокументируйте планы резервного копирования для поддержания порядка при возникновении непредвиденных обстоятельств.

Определение критериев успешности оценки производительности

Определите допустимые метрики производительности для объективного тестирования и убедитесь, что развертывание выполнено успешно, а взаимодействие с пользователем находится в параметрах. Рассмотрите возможность включения следующих метрик.

Частный доступ Microsoft Entra

  • Соответствует ли производительность сети вашим заданным параметрам?

    • Панель мониторинга глобального безопасного доступа предоставляет визуализации сетевого трафика, который получает Microsoft Entra Private и Microsoft Entra Internet Access. Он компилирует данные из конфигураций сети, включая устройства, пользователей и клиентов.
    • Используйте Мониторинг сетевой активности в журналах Azure Monitor для анализа сетевого подключения, состояния каналов ExpressRoute и облачного сетевого трафика.

  • Вы заметили увеличение задержки во время пилотного проекта? У вас есть требования к задержке для конкретного приложения?

  • Работает ли единый вход в ключевые приложения?

  • Рассмотрите возможность выполнения опросов удовлетворенности пользователей и принятия пользователей.

Трафик Майкрософт

  • Соответствует ли производительность сети вашим заданным параметрам?

    • Панель мониторинга глобального безопасного доступа предоставляет визуализации сетевого трафика, который получает Microsoft Entra Private и Microsoft Entra Internet Access. Он компилирует данные из конфигураций сети, включая устройства, пользователей и клиентов.
    • Используйте оценку сети Microsoft 365 для преобразования показателей производительности сети в моментальный снимок состояния сети на границе предприятия.
    • Используйте тест сетевого подключения Microsoft 365 для измерения подключения между устройством и Интернетом, а также оттуда к сети Майкрософт.

  • Вы заметили увеличение задержки во время пилотного проекта?

  • Рассмотрите возможность выполнения опроса удовлетворенности пользователей.

  • Рассмотрите возможность выполнения опроса принятия пользователем.

Microsoft Entra Internet Access

План сценариев отката

При работе с рабочим развертыванием и активном увеличении числа пользователей с помощью Microsoft Security Service Edge можно обнаружить непредвиденные или непроверенные сценарии, которые негативно влияют на конечных пользователей. Планирование негативного влияния:

  • Определите процесс для конечных пользователей, чтобы сообщить о проблемах.
  • Определите процедуру для отката развертывания для определенных пользователей или групп или отключения профиля трафика.
  • Определите процедуру для оценки того, что произошло неправильно, определите действия по исправлению и сообщите заинтересованным лицам.
  • Подготовьтесь к тестированию новых конфигураций до развертывания в рабочей среде, прежде чем развертывание будет продолжено на последующие группы пользователей.

Выполнение плана проекта

Получение разрешений

Убедитесь, что администраторам, взаимодействующим с Global Secure Access, назначены нужные роли.

Подготовьте вашу команду IT поддержки

Определите, как пользователи получают поддержку при наличии вопросов или проблем с подключением. Разработка документации по самообслуживанию для снижения давления на ит-службу поддержки. Убедитесь, что ваша ит-служба поддержки получает обучение для готовности к развертыванию. Включите их в сообщения конечных пользователей, чтобы они знали поэтапное расписание миграции, затронутые команды и приложения в области. Чтобы предотвратить путаницу в пользовательской базе или в ИТ-поддержке, создайте процесс обработки и эскалации запросов на поддержку пользователей.

Выполнение пилотного развертывания

Учитывая пользователей, устройства и приложения, охваченные вашим производственным развертыванием, начните с небольшой начальной тестовой группы. Точно настройте процесс взаимодействия, развертывания, тестирования и поддержки вашего поэтапного развертывания. Перед началом работы просмотрите и подтвердите, что все необходимые компоненты находятся на месте.

Убедитесь, что регистрация устройства в вашем арендаторе. Следуйте инструкциям, приведенным в разделе Планирование развертывания устройства Microsoft Entra. Если ваша организация использует Intune, следуйте инструкциям в управлении и защите устройств в Intune.

Рекомендации по необязательным требованиям

Ресурсы в следующей таблице предоставляют подробные задачи планирования и выполнения для каждого необязательного требования.

Необязательное требование Ресурс
Безопасный доступ к вашему Microsoft Traffic. план развертывания трафика Майкрософт
Замените VPN решением нулевого доверия для защиты локальных ресурсов профилем трафика приватного доступа. план развертывания Microsoft Entra для конфиденциального доступа
Защитите интернет-трафик с помощью профиля трафика Microsoft Entra Internet Access. план развертывания Microsoft Entra Internet Access

Пилотный проект должен охватывать несколько пользователей (менее 20), которые могут тестировать необходимые устройства и приложения в области. После идентификации пилотных пользователей назначьте их профилям трафика отдельно или в качестве группы (рекомендуется). Следуйте подробным инструкциям в Назначение пользователей и групп профилям пересылки трафика.

Систематически прорабатывайте каждое определённое в пределах области приложение. Убедитесь, что пользователи могут подключаться как ожидалось на устройствах в рамках предусмотренной области. Наблюдайте и задокументируйте метрики показателей успешности производительности. Тестирование планов и процессов связи. Настраивайте и совершенствуйте по мере необходимости.

После завершения пилотного проекта и выполнения условий успеха убедитесь, что группа поддержки готова к следующим этапам. Завершение процессов и коммуникаций. Перейдите к промышленному развертыванию.

Развертывание в рабочей среде

После завершения всех планов и тестов развертывание должно быть повторяемым процессом с ожидаемыми результатами.

Дополнительные сведения см. в соответствующих рекомендациях.

Повторяйте развертывания волн, пока все пользователи не будут переведены на Microsoft Global Secure Access. Если вы используете частный доступ Microsoft Entra, он отключает быстрый доступ и пересылает весь трафик через приложения global Secure Access.

Планирование аварийного доступа

При отключении Глобальной системы безопасного доступа пользователи не могут получить доступ к ресурсам, защищённым проверкой сети этой системы. Скрипт GsaBreakglassEnforcement позволяет администраторам предприятия переключать соответствующие политики условного доступа сети в режим только для отчетов. Скрипт временно позволяет пользователям получать доступ к этим ресурсам без глобального безопасного доступа.

После возврата глобального безопасного доступа используйте скрипт GsaBreakglassRecovery для включения всех затронутых политик.

Дополнительные рекомендации

Мониторинг и управление проектом глобального безопасного доступа

Отслеживайте и управляйте проектом для управления рисками и выявления проблем, которые могут потребовать отклонения от плана. Следите за проектом и обеспечивайте точную и своевременную связь с заинтересованными лицами. Всегда заполнять требования точно, вовремя и в рамках бюджета.

Ключевые цели этого этапа:

  • Мониторинг хода выполнения. Выполнялись ли задачи по расписанию? Если нет, почему нет? Как вернуться на трассу?
  • Обнаружение проблем. Возникли ли проблемы (например, незапланированная доступность ресурсов или другие непредвиденные проблемы)? Были ли требуемые изменения причиной необходимости оформления заказов на изменения?
  • Мониторинг эффективности. Вы выявили присущие неэффективности в существующих процессах? Когда мониторинг показывает неэффективность, как настроить подход к проекту?
  • Подтверждение связи. Были ли заинтересованные лица довольны частотой ваших коммуникаций и уровнем детализации? Если нет, то как вы корректируете это?

Создание еженедельного расписания и проверки сведений о проекте. Обратите внимание на критические вехи. Создайте соответствующую связь со всеми заинтересованными лицами и зафиксируйте данные для отчетов о закрытии проекта.

Закройте проект глобального безопасного доступа

Поздравляю! Вы завершили развертывание Microsoft Global Secure Access. Уладить все оставшиеся вопросы и закрыть проект.

  • Соберите отзывы заинтересованных лиц, чтобы понять, соответствует ли команда ожиданиям и потребностям.
  • Используйте данные, собранные на протяжении всего этапа выполнения (как это было определено на этапе инициирования проекта), для разработки необходимых активов для закрытия. Например, оценка проектов, извлеченные уроки и ретроспективные презентации.
  • Архивируйте сведения о проекте для справки по аналогичным будущим проектам.

Дальнейшие действия