Distributionsguide för Microsoft Global Secure Access för Microsoft Entra Internet Access

Microsoft Global Secure Access konvergerar nätverks-, identitets- och slutpunktsåtkomstkontroller för säker åtkomst till alla appar eller resurser från valfri plats, enhet eller identitet. Det möjliggör och samordnar åtkomstprinciphantering för företagsanställda. Du kan kontinuerligt övervaka och justera användaråtkomst i realtid till dina privata appar, SaaS-appar (Programvara som en tjänst) och Microsoft-slutpunkter. Den här lösningen hjälper dig att på lämpligt sätt svara på behörighets- och risknivåändringar när de inträffar.

Med Microsoft Entra Internet Access kan du styra och hantera Internetåtkomst för företagsanvändare med hanterade enheter när de arbetar lokalt eller via fjärranslutning. Det hjälper dig att:

• Skydda företagsanvändare och hanterade enheter mot skadlig internettrafik och skadlig kod.
• Hindra användare från att komma åt webbplatser baserat på webbkategori eller fullständigt domännamn.
• Samla in internetanvändningsdata för rapporter och stödja undersökningar.

Vägledningen i den här artikeln hjälper dig att testa och distribuera Microsoft Entra Internet Access i produktionsmiljön. introduktion till distributionsguiden för Microsoft Global Secure Access ger vägledning om hur du initierar, planerar, kör, övervakar och stänger distributionsprojektet för global säker åtkomst.

Identifiera och planera för viktiga användningsfall

Innan du aktiverar Microsoft Entra Internet Access ska du planera för det du vill att det ska göra åt dig. Förstå användningsfall, till exempel följande, för att avgöra vilka funktioner som ska distribueras.

• Definiera en baslinjeprincip som gäller för all Internetåtkomsttrafik som dirigeras via tjänsten.
• Förhindra att specifika användare och grupper använder hanterade enheter för att få åtkomst till webbplatser efter kategori (till exempel alkohol och tobak eller sociala medier). Microsoft Entra Internet Access innehåller fler än 60 kategorier som du kan välja mellan.
• Förhindra att användare och grupper använder hanterade enheter för att få åtkomst till specifika fullständigt kvalificerade domännamn (FQDN).
• Konfigurera åsidosättningsprinciper för att tillåta grupper av användare att komma åt webbplatser som dina webbfiltreringsregler annars skulle blockera.
• Utöka funktionerna i Microsoft Entra Internet Access till hela nätverk, inklusive enheter som inte kör global säker åtkomst-klienten
  • Simulera fjärrnätverksanslutning med hjälp av ett virtuellt fjärrnätverk (vWAN)
  • Simulera fjärrnätverksanslutning med hjälp av en virtuell Azure-nätverksgateway (VNG)

När du har förstått vilka funktioner du behöver i dina användningsfall skapar du en inventering för att associera dina användare och grupper med dessa funktioner. Förstå vilka användare och grupper som ska blockera eller tillåta åtkomst till vilka webbkategorier och FQDN:er. Inkludera regelprioritering för varje användargrupp.

Testa och distribuera Microsoft Entra Internet Access

Nu har du slutfört initierings- och planeringsstegen för ditt SASE-distributionsprojekt (Secure Access Services Edge). Du förstår vad du behöver implementera för vem. Du har definierat vilka användare som ska aktiveras i varje våg. Du har ett schema för distributionen av varje våg. Du har uppfyllt licensieringskrav. Du är redo att aktivera Microsoft Entra Internet Access.

1. Slutför kraven för global säker åtkomst .
2. Skapa en Microsoft Entra-grupp som innehåller dina pilotanvändare.
3. Aktivera Microsoft Entra Internet-åtkomst och Microsofts profiler för trafikvidarebefordran. Tilldela pilotgruppen till varje profil.

Anteckning

Microsoft-trafik är en delmängd av Internettrafik som har en egen dedikerad tunnelgateway. För bästa prestanda, aktivera Microsoft Traffic och använd trafikprofilen för Internetåtkomst.

1. Skapa slutanvändarkommunikation för att ange förväntningar och tillhandahålla en eskaleringsväg.

2. Skapa en återställningsplan som definierar omständigheterna och procedurerna för när du tar bort Global Secure Access-klienten från en användarenhet eller inaktiverar trafikvidarebefordringsprofilen.

3. Skicka slutanvändarkommunikation.

4. Distribuera Global Secure Access-klienten för Windows på enheter som pilotgruppen ska testa.

5. Konfigurera fjärrnätverk med hjälp av vWAN- eller VNG- om det finns i omfånget.

6. Konfigurera principer för webbinnehållsfiltrering att tillåta eller blockera kategorier eller FQDN baserat på de användningsfall som du definierade under planeringen.

   • Blockera efter kategori: definiera en regel som blockerar en av många fördefinierade, hanterade kategorier
   • Blockera efter FQDN: definiera en regel som blockerar ett FQDN som du anger
   • Åsidosättning: definiera en regel som tillåter en webbkategori eller ett FQDN som du anger

7. Skapa säkerhetsprofiler som grupperar och prioriterar dina policyer för webbinnehållsfiltrering baserat på din plan.

   • Baslinjeprofil: Använd baslinjeprofilfunktionen för att gruppera principer för webbinnehållsfiltrering som gäller för alla användare som standard.
   • Säkerhetsprofiler: Skapa säkerhetsprofiler för att gruppera filtreringsprinciper för webbinnehåll som gäller för en delmängd användare.

8. Skapa och länka principer för villkorsstyrd åtkomst för att tillämpa dina säkerhetsprofiler på pilotgruppen. Standardbaslinjeprofilen kräver ingen princip för villkorlig åtkomst.

9. Låt pilotanvändarna testa konfigurationen.

10. Bekräfta aktiviteten i -loggarna för Global Secure Access Traffic.

11. Uppdatera konfigurationen för att åtgärda eventuella problem och upprepa testet. Använd återhämtningsplan om det behövs.

12. Vid behov itererar du ändringar i din slutanvändarkommunikations- och distributionsplan.

När piloten är klar har du en repeterbar process för att förstå hur du fortsätter med varje våg av användare i produktionsdistributionen.

1. Identifiera de grupper som innehåller din våg av användare.
2. Meddela supportteamet om den schemalagda vågen och dess inkluderade användare.
3. Skicka förberedda slutanvändarkommunikation enligt din plan.
4. Tilldela grupperna trafikvidarebefordringsprofilen för Microsoft Entra Internet Access.
5. Distribuera den globala klienten för säker åtkomst på de enheter som användarna i den här vågen använder.
6. Om det behövs skapar och konfigurerar du fler principer för webbinnehållsfiltrering för att tillåta eller blockera kategorier eller FQDN baserat på de användningsfall som du definierade i din plan.
7. Om det behövs skapar du fler säkerhetsprofiler som grupperar och prioriterar filtreringsprinciper för webbinnehåll baserat på din plan.
8. Skapa principer för villkorlig åtkomst för att tillämpa nya säkerhetsprofiler på relevanta grupper i den här vågen eller lägga till de nya användargrupperna i befintliga principer för villkorsstyrd åtkomst för befintliga säkerhetsprofiler.
9. Uppdatera konfigurationen. Testa igen för att åtgärda problem. Om det behövs initierar du återställningsplanen.
10. Vid behov itererar du ändringar i din slutanvändarkommunikations- och distributionsplan.

Nästa steg

• Lär dig hur du påskyndar övergången till en Zero Trust-säkerhetsmodell med Microsoft Entra Suite och Microsofts enhetliga säkerhetsåtgärdsplattform
• Introduktion till Microsofts globala distributionsguide för säker åtkomst
• Distributionsguide för Microsoft Global Secure Access för Microsoft Entra Private Access
• Implementeringsguide för Microsoft Global Secure Access för Microsoft Traffic
• Simulera fjärrnätverksanslutning med Hjälp av Azure Virtual Network Gateway – Global säker åtkomst
• Simulera fjärrnätverksanslutning med Hjälp av Azure vWAN – Global säker åtkomst