Поделиться через

Руководство по развертыванию Глобального безопасного доступа Майкрософт для приватного доступа Microsoft Entra

  • Статья

Microsoft Global Secure Access объединяет элементы управления доступом к сети, идентификации и конечным точкам для обеспечения безопасного доступа к любому приложению или ресурсу из любой точки, с любого устройства или идентификации. Он включает и оркестрирует управление политиками доступа для корпоративных сотрудников. Вы можете постоянно отслеживать и настраивать в режиме реального времени доступ пользователей к частным приложениям, приложениям Software-as-Service (SaaS) и конечным точкам Майкрософт. Непрерывный мониторинг и корректировка помогают соответствующим образом реагировать на изменения на уровне разрешений и рисков по мере их возникновения.

Приватный доступ Microsoft Entra позволяет заменить корпоративный VPN. Он предоставляет пользователям компании макро- и микросегментированный доступ к приложениям, которые вы контролируете с помощью политик условного доступа. Это поможет вам:

  • Обеспечьте доступ по модели Zero Trust к частным приложениям с использованием всех портов и протоколов точка-точка. Такой подход предотвращает боковые движения злоумышленников или сканирование портов в вашей корпоративной сети.
  • Требуется многофакторная проверка подлинности при подключении пользователей к частным приложениям.
  • Передача данных через туннель по обширной глобальной частной сети Microsoft для максимальной безопасности сетевой связи.

Руководство в этой статье помогает вам протестировать и развернуть Microsoft Entra Private Access в рабочей среде по мере перехода к этапу выполнения развертывания. в руководстве по развертыванию Microsoft Global Secure Access приведены инструкции по инициированию, планированию, выполнению, мониторингу и закрытию проекта развертывания Global Secure Access.

Определение и планирование ключевых вариантов использования

Замена VPN является основным сценарием для частного доступа Microsoft Entra. В этом сценарии у вас могут быть и другие варианты использования для вашего развертывания. Например, вам может понадобиться:

  • Применение политик условного доступа для управления пользователями и группами перед подключением к частным приложениям.
  • Настройте многофакторную проверку подлинности в качестве требования для подключения к любому частному приложению.
  • Включите поэтапное развертывание, которое со временем переходит к модели Zero Trust для приложений Протокола управления передачей (TCP) и Протокола пользовательских дейтаграмм (UDP -based).
  • Используйте полное доменное имя (FQDN) для подключения к виртуальным сетям, которые перекрывают или дублируют диапазоны IP-адресов, чтобы настроить доступ к временным средам.
  • Привилегированное управление идентификацией (PIM) для настройки сегментации назначения для привилегированного доступа.

После понимания возможностей, необходимых в вариантах использования, создайте инвентаризацию для связывания пользователей и групп с этими возможностями. Спланируйте использовать функции быстрого доступа для первоначального дублирования функций VPN, чтобы проверить подключение и удалить VPN. Затем используйте Application Discovery для идентификации сегментов приложений, к которым пользователи подключаются, чтобы затем можно было защитить подключение к определенным IP-адресам, полным доменным именам и портам.

Тестирование и развертывание закрытого доступа Microsoft Entra

На этом этапе вы выполнили этапы запуска и планирования проекта развертывания Службы безопасного доступа (SASE). Вы понимаете, что нужно реализовать для кого. Вы определили пользователей для включения в каждой волне. У вас есть расписание развертывания каждой волны. Вы выполнили требования к лицензированию. Вы готовы включить частный доступ Microsoft Entra.

  1. Создайте коммуникации для конечных пользователей, чтобы установить ожидания и предоставить процедуру эскалации.
  2. Создайте план отката, определяющий обстоятельства и процедуры при удалении клиента Global Secure Access с пользовательского устройства или отключения профиля пересылки трафика.
  3. создание группы Microsoft Entra, включающую пилотных пользователей.
  4. Активируйте профиль пересылки трафика Microsoft Entra Private Access и назначьте пилотную группу. Назначьте пользователей и группы профилям пересылки трафика.
  5. Настройте серверы или виртуальные машины, имеющие прямой доступ к вашим приложениям, чтобы они функционировали в качестве соединителей, обеспечивая исходящее подключение к приложениям для пользователей. Рассмотрим сценарии балансировки нагрузки и требования к емкости для приемлемой производительности. Настройте соединители для Microsoft Entra Private Access на каждом компьютере соединителя.
  6. Если у вас есть перечень корпоративных приложений, настройте доступ для каждого приложения индивидуально с помощью приложений Global Secure Access. Если нет, настроить быстрый доступ для глобального безопасного доступа.
  7. Обмен ожиданиями в пилотной группе.
  8. Разверните клиент Global Secure Access для Windows на устройствах для тестирования пилотной группы.
  9. Создайте политики условного доступа в соответствии с требованиями к безопасности, которые применяются к пилотной группе при подключении этих пользователей к опубликованным приложениям Global Secure Access Enterprise.
  10. Попросите пилотных пользователей протестировать вашу конфигурацию.
  11. При необходимости обновите конфигурацию и повторно протестируйте. При необходимости инициируйте план отката.
  12. При необходимости выполните итерацию изменений в плане взаимодействия и развертывания конечных пользователей.

Настройка доступа для каждого приложения

Чтобы максимально увеличить значение развертывания Microsoft Entra Private Access, необходимо перейти от быстрого доступа к доступу к каждому приложению. Вы можете использовать функцию обнаружения приложений для быстрого создания приложений глобального безопасного доступа из сегментов приложений, к доступу к пользователям. Вы также можете использовать приложения Global Secure Access Enterprise для их ручного создания или использовать PowerShell для автоматизации создания.

  1. Создайте приложение и ограничьте его для всех пользователей, назначенных для «Быстрого доступа» (рекомендуется), или для всех пользователей, которым требуется доступ к конкретному приложению.
  2. Добавьте в приложение хотя бы один сегмент приложения. Одновременно не нужно добавлять все сегменты приложений. Вы можете медленно добавлять их, чтобы проверить поток трафика для каждого сегмента.
  3. Обратите внимание, что трафик к этим сегментам приложений больше не отображается в режиме быстрого доступа. Используйте быстрый доступ для идентификации сегментов приложений, которые необходимо настроить в качестве приложений глобального безопасного доступа.
  4. Продолжайте создавать приложения глобального безопасного доступа, пока сегменты приложений не будут отображаться в режиме быстрого доступа.
  5. Отключите быстрый доступ.

После завершения пилотного проекта необходимо иметь повторяемый процесс и понять, как продолжить работу с каждой волной пользователей в рабочем развертывании.

  1. Определите группы, содержащие вашу волну пользователей.
  2. Уведомите свою службу поддержки о запланированной волне и пользователях, которые включены в нее.
  3. Отправка запланированных и подготовленных сообщений конечных пользователей.
  4. Назначьте группы для профиля перенаправления трафика Microsoft Entra Private Access.
  5. Разверните клиент глобального безопасного доступа на устройствах для пользователей волны.
  6. При необходимости разверните дополнительные соединители частной сети и создайте более глобальные приложения Secure Access Enterprise.
  7. При необходимости создайте политики условного доступа для применения к пользователям волн при подключении к этим приложениям.
  8. Обновите конфигурацию. Протестируйте снова, чтобы устранить проблемы; при необходимости инициируйте план отката.
  9. При необходимости выполните итерацию изменений в плане взаимодействия и развертывания конечных пользователей.

Дальнейшие действия