Поделиться через

Руководство по развертыванию Microsoft Global Secure Access для Microsoft Traffic

  • Статья

Microsoft Global Secure Access объединяет управление доступом к сети, идентичности и конечным устройствам для безопасного доступа к любому приложению или ресурсу из любого местоположения, устройства или по любому удостоверению. Он включает и оркестрирует управление политиками доступа для корпоративных сотрудников. Вы можете постоянно отслеживать и настраивать в режиме реального времени доступ пользователей к частным приложениям, приложениям Software-as-Service (SaaS) и конечным точкам Майкрософт. Непрерывный мониторинг и корректировка помогают соответствующим образом реагировать на изменения на уровне разрешений и рисков по мере их возникновения.

Профиль пересылки трафика Майкрософт позволяет управлять интернет-трафиком, зависящим от конечных точек Майкрософт, даже если пользователи работают из удаленных расположений. Это поможет вам:

  • Защита от кражи данных.
  • Уменьшите риск кражи токенов и атак воспроизведения.
  • Сопоставляйте IP-адрес источника устройства с журналами действий для повышения эффективности поиска угроз.
  • Упрощение управления политиками доступа без списка IP-адресов исходящего трафика.

В этой статье описано, как протестировать и развернуть профиль трафика Майкрософт в рабочей среде. в руководстве по развертыванию Microsoft Global Secure Access приведены инструкции по инициированию, планированию, выполнению, мониторингу и закрытию проекта развертывания Global Secure Access.

Определение и планирование ключевых вариантов использования

Прежде чем включить Microsoft Entra Secure Access Essentials, определите, что вы хотите сделать для вас. Изучите варианты использования, чтобы решить, какие функции следует развернуть. В следующей таблице рекомендуется настроить конфигурации на основе вариантов использования.

Вариант использования Рекомендуемая конфигурация
Запретить пользователям и группам использовать управляемые устройства для доступа к конечным точкам Microsoft 365 в других клиентах. Настройка универсальных ограничений арендаторов.
Убедитесь, что пользователи подключаются и проходят проверку подлинности только с помощью безопасного сетевого туннеля глобального безопасного доступа, чтобы снизить риск кражи и воспроизведения маркеров для Microsoft 365 и всех корпоративных приложений. Настройте соответствующую проверку сети в политиках условного доступа.
Максимальное увеличение успеха и эффективности охоты на угрозы. Конфигурация восстановления исходного IP-адреса (предварительная версия) и использование обогащенных журналов Microsoft 365.

После определения возможностей, необходимых для вариантов использования, включите развертывание компонентов в реализацию.

Тестирование и развертывание профиля трафика Майкрософт

На этом этапе вы выполнили этапы запуска и планирования проекта развертывания Global Secure Access. Вы понимаете, что нужно реализовать для кого. Вы определили, каких пользователей нужно включить в каждую волну. У вас есть расписание развертывания каждой волны. Вы выполнили требования к лицензированию. Вы готовы включить профиль трафика Майкрософт.

  1. Создайте сообщения для конечных пользователей, чтобы определить ожидания и предоставить путь эскалации.
  2. Создайте план отката, определяющий обстоятельства и процедуры при удалении клиента Global Secure Access с пользовательского устройства или отключения профиля пересылки трафика.
  3. создание группы Microsoft Entra, включающую пилотных пользователей.
  4. Отправка сообщений конечных пользователей.
  5. Включите профиль пересылки трафика Майкрософт и назначьте ему пилотную группу.
  6. Если вы планируете максимально повысить эффективность и успешность поиска угроз, настройте функцию восстановления IP-адресов источника .
  7. Создайте политики условного доступа, требующие выполнения совместимых сетевых проверок для пилотной группы, если это запланированный сценарий использования.
  8. Настройте универсальные ограничения арендатора, если это планируемый сценарий использования.
  9. Разверните клиент Global Secure Access для Windows на устройствах для тестирования пилотной группы.
  10. Попросите пилотных пользователей протестировать вашу конфигурацию.
  11. Просмотрите журналы входа, чтобы убедиться, что пилотные пользователи подключаются к конечным точкам Майкрософт с помощью глобального безопасного доступа.
  12. Проверьте соответствие сети путем приостановки использования агента глобального безопасного доступа и попытки доступа к SharePoint.
  13. Проверьте ограничения арендатора, попытавшись войти в другого арендатора.
  14. Проверьте восстановление исходного состояния IP-адреса, сравнивая IP-адрес в журнале входа успешного подключения к SharePoint Online при подключении с агентом Глобального безопасного доступа при включенном и выключенном состоянии, чтобы убедиться, что они одинаковы.

    Заметка

    Необходимо отключить любую политику условного доступа, которая применяет соответствующую проверку сети для этой проверки.

Обновите конфигурацию, чтобы устранить любые проблемы. Повторите тест. При необходимости реализуйте планы отката. При необходимости вносите изменения в взаимодействие с конечными пользователями и план развертывания.

После завершения пилотного проекта у вас будет повторяющийся процесс, который будет продолжаться с каждой волной пользователей в рабочем развертывании.

  1. Определите группы, содержащие пользователей вашей волны.
  2. Уведомите свою службу поддержки о расписании и пользователях, включенных в волну.
  3. Отправьте коммуникации для конечных пользователей волны.
  4. Назначьте группы волны профилю пересылки трафика Microsoft.
  5. Разверните клиент глобального безопасного доступа на устройствах пользователей волны.
  6. Создайте или обновите политики условного доступа, чтобы применить требования к варианту использования в соответствующих группах волн.
  7. При необходимости выполните итерацию изменений в плане взаимодействия и развертывания конечных пользователей.

Дальнейшие действия