Introduktion till distributionsguiden för Global säker åtkomst i Microsoft
Microsoft Global Secure Access är en viktig komponent i en lyckad SASE-strategi (Secure Access Service Edge). Den har Microsoft Entra Internet Access, Microsoft Entra Private Accessoch Microsoft Traffic. Den använder Microsofts stora privata nätverk och din investering i principer för villkorsstyrd åtkomst för att hjälpa dig att skydda företagets data på nätverksnivå.
Här är viktiga scenarier för distribution av global säker åtkomst:
- Ersätt befintliga VPN-lösningar med en ZTNA-metod (Zero Trust Network Access) som ger säker anslutning från slutpunkt till program.
- Skydda och övervaka Microsoft Traffic för lokala och fjärranslutna anställda.
- Skydda och övervaka Internettrafik för lokala och fjärranslutna anställda.
Den här distributionsguiden hjälper dig att planera och distribuera Microsoft Global Secure Access. Mer information finns i global licensieringsöversikt för säker åtkomst. Även om de flesta tjänsterna är allmänt tillgängliga (GA), finns vissa delar av tjänsten i offentlig förhandsversion.
Genomföra en konceptvalidering
Utför en Proof of Concept (PoC) för att säkerställa att den lösning du väljer tillhandahåller de funktioner och anslutningar som du behöver.
Beroende på vilka funktioner du planerar att distribuera i en PoC för Microsoft Global Secure Access behöver du upp till sju timmar. Kontrollera att du har uppfyllt licenskraven för .
- Konfigurera förutsättningar: En timme
- Konfigurera den första produkten: 20 minuter
- Konfigurera fjärrnätverk: 1 till 2 timmar
- Distribuera och testa Microsoft Traffic-profilen: En timme
- Distribuera och testa Microsoft Entra Internet Access: En timme
- Distribuera och testa Microsoft Entra Private Access: En timme
- Stäng PoC: 30 minuter
Initiera ditt globala projekt för säker åtkomst
Projektinitiering är det första steget i ett lyckat projekt. I början av projektinitiering bestämde du dig för att implementera Microsoft Global Secure Access. Projektframgång är beroende av att du förstår kraven, definierar framgångskriterier och säkerställer lämplig kommunikation. Se till att hantera förväntningar, resultat och ansvarsområden.
Identifiera affärskrav, resultat och framgångskriterier
Identifiera affärskrav, resultat och framgångskriterier för att klargöra exakt vad du behöver göra med framgångskriterier. Till exempel:
- Vilket är det viktigaste resultatet som du behöver det här projektet för att uppnå?
- Hur planerar du att ersätta ditt VPN?
- Hur planerar du att skydda din Microsoft Traffic?
- Hur planerar du att skydda din Internettrafik?
När du har identifierat de primära scenarierna kan du gå igenom informationen:
- Vilka program behöver användarna komma åt?
- Vilka webbplatser behöver åtkomstkontroll?
- Vad är obligatoriskt och vad är valfritt?
Under den här fasen skapar du en inventering som beskriver användare, enheter och viktiga program i omfånget. För VPN-ersättning börjar du med Snabbåtkomst för att identifiera de privata program som användarna behöver komma åt så att du kan definiera dem i Microsoft Entra Private Access.
Bestäm schemat
Projektet lyckas när du har fått önskade resultat inom budget- och tidsbegränsningar. Identifiera resultatmål efter datum, kvartal eller år. Samarbeta med dina intressenter för att förstå specifika milstolpar som definierar resultatmål. Definiera granskningskrav och framgångskriterier för varje mål. Eftersom Microsoft Global Secure Access är under kontinuerlig utveckling mappar du kraven till utvecklingsstadier för funktioner.
Identifiera intressenter
Identifiera och dokumentera intressenter, roller, ansvarsområden för personer som spelar en roll i ditt ZTNA-projekt. Rubriker och roller kan skilja sig från en organisation till en annan. ägarskapsområdena är dock likartade. Överväg roller och ansvarsområden i följande tabell och identifiera motsvarande intressenter. Distribuera en sådan tabell till ledarskap, intressenter och ditt team.
| Roll | Ansvar |
|---|---|
| Sponsor | Företagsledare med behörighet att godkänna och/eller tilldela budget och resurser. Ansluter chefer och ledningsgrupper. Teknisk beslutsfattare för produkt- och funktionsimplementering. |
| Slutanvändare | Personer som du implementerar tjänsten för. Kan delta i ett pilotprogram. |
| IT-supportansvarig | Ger indata om den föreslagna ändringens genomförbarhet. |
| Identitetsarkitekt | Definierar hur ändringen överensstämmer med identitetshanteringsinfrastrukturen. Förstår den aktuella miljön. |
| Programföretagsägare | Äger berörda program som kan innehålla åtkomsthantering. Ger indata om användarupplevelsen. |
| Säkerhetsägare | Bekräftar att ändringsplanen uppfyller säkerhetskraven. |
| Nätverkshanterare | Övervakar nätverksfunktioner, prestanda, säkerhet och tillgänglighet. |
| Efterlevnadshanteraren | Säkerställer efterlevnad av företags-, bransch- och myndighetskrav. |
| Teknisk programansvarig | Övervakar projektet, hanterar krav, samordnar arbetsströmmar och säkerställer efterlevnad av schema och budget. Underlättar kommunikationsplanen och rapporter. |
| SOC/CERT team | Bekräftar hotjaktsloggen och rapporteringskraven. |
| Hyresadministratör | Samordnar IT-ägare och tekniska resurser som ansvarar för ändringar för Microsoft Entra-klienten under hela projektets gång. |
| Distributionsteamet | Utför distributions- och konfigurationsuppgifter. |
Skapa ett RACI-diagram
Ansvarig, ansvarig, konsulterad, informerad (RACI) avser roll- och ansvarsdefinitioner. För projekt- och tvärfunktionella eller avdelningsprojekt och processer definierar och förtydligar du roller och ansvarsområden i ett RACI-diagram.
- Ladda ned RACI-mallen Global Secure Access Deployment Guide som utgångspunkt.
- Mappa rollerna och ansvarsområdena för ansvarig, redovisningsskyldig, konsulterad och informerad till projektflöden.
- Distribuera RACI-diagrammet till intressenter och se till att de förstår tilldelningar.
Skapa kommunikationsplan
En kommunikationsplan hjälper dig att på lämpligt sätt, proaktivt och regelbundet interagera med dina intressenter.
- Ange relevant information om distributionsplaner och projektstatus.
- Definiera syftet med och frekvensen för kommunikation till varje intressent i RACI-diagrammet.
- Avgör vem som skapar och distribuerar kommunikation tillsammans med mekanismer för att dela information. Kommunikationschefen håller till exempel slutanvändarna uppdaterade om väntande och aktuella ändringar med e-post och på en utsedd webbplats.
- Inkludera information om ändringar i användarupplevelsen och hur användare kan få support. Se exempel på mallar för slutanvändarkommunikation:
Skapa plan för ändringskontroll
Planer kan komma att ändras när projektteamet samlar in information och detaljer. Skapa en plan för ändringskontroll för att beskriva för intressenterna:
- processer och rutiner för ändringsförfrågan.
- hur du förstår ändringspåverkan.
- ansvar för granskning och godkännande.
- vad som händer när en förändring kräver mer tid eller medel.
En bra kontrollplan säkerställer att teamen vet vad de ska göra när ändringar behövs.
Skapa projektstängningsplan
Varje projektstängning kräver en granskning efter projektet. Identifiera de mått och den information som ska ingå i den här granskningen så att du regelbundet kan samla in rätt data under projektets livslängd. En plan för projektstängning hjälper dig att effektivt generera din sammanfattning av lärdomar.
Få intressenternas konsensus
När du har slutfört dina projektinitieringsuppgifter arbetar du med varje intressent för att säkerställa att planerna uppfyller deras specifika behov. Förhindra missförstånd och överraskningar med en officiell godkännandeprocess som dokumenterar konsensus och skriftliga godkännanden. Håll ett kick-off-möte som täcker omfånget och informationen i referensdokumentationen.
Planera ditt globala projekt för säker åtkomst
Skapa ett detaljerat projektschema
Skapa ett detaljerat projektschema med de milstolpar som du identifierade vid projektinitiering. Ställ in realistiska förväntningar med beredskapsplaner för att uppfylla viktiga milstolpar:
- Konceptbevis (PoC)
- Pilotdatum
- Startdatum
- Datum som påverkar leveransen
- Beroenden
Inkludera den här informationen i projektschemat:
Detaljerad arbetsuppdelningsstruktur med datum, beroenden och kritisk sökväg
- Maximalt antal användare som ska skäras ned i varje våg baserat på förväntad supportbelastning
- Tidsram för varje distributionsvåg (till exempel slutföra en våg varje måndag)
- Specifika grupper av användare i varje distributionsvåg (får inte överskrida det maximala antalet)
- Appar som användarna behöver (eller använder snabbåtkomst)
Gruppmedlemmar som tilldelats varje uppgift
Skapa riskhanteringsplan
Skapa en riskhanteringsplan för att förbereda för oförutsedda händelser som kan påverka datum och budget.
- Identifiera kritisk sökväg och obligatoriska nyckelresultat.
- Förstå risker för arbetsströmmar.
- Planera för säkerhetskopiering av dokument för att säkerställa att man håller sig på rätt spår vid oförutsedda händelser.
Definiera kriterier för prestandaframgång
Definiera godtagbara prestandamått för att objektivt testa och se till att distributionen lyckas och att användarupplevelsen ligger inom parametrarna. Överväg att inkludera följande mått.
Privat åtkomst till Microsoft Entra
Ligger nätverksprestandan inom dina definierade parametrar?
- Instrumentpanelen Global Secure Access ger dig visualiseringar av nätverkstrafik som Microsoft Entra Private och Microsoft Entra Internet Access insamlar. Den kompilerar data från nätverkskonfigurationer, inklusive enheter, användare och klientorganisationer.
- Använd Nätverksövervakning i Azure Monitor-loggar för att övervaka och analysera nätverksanslutningar, ExpressRoute-kretshälsa och molnnätverkstrafik.
Märkte du att svarstiden ökade under piloten? Har du appspecifika svarstider?
Fungerar enkel inloggning (SSO) för dina nyckelprogram på rätt sätt?
Överväg att köra undersökningar om användarnöjdhet och användargodkännande.
Microsoft-trafik
Ligger nätverksprestandan inom dina definierade parametrar?
- Instrumentpanelen Global Secure Access ger dig visualiseringar av nätverkstrafik som Microsoft Entra Private och Microsoft Entra Internet Access insamlar. Den kompilerar data från nätverkskonfigurationer, inklusive enheter, användare och klientorganisationer.
- Använd Microsoft 365-nätverksutvärdering för att destillera en mängd nätverksprestandamått till en ögonblicksbild av företagets nätverksperimeterhälsa.
- Använd Microsoft 365-nätverksanslutningstestet för att mäta anslutningen mellan enheten och Internet och därifrån till Microsofts nätverk.
Märkte du någon ökning av svarstiden under piloten?
Överväg att köra en undersökning om användarnöjdhet.
Överväg att köra en undersökning om användargodkännande.
Microsoft Entra Internet Access
Ligger nätverksprestandan inom dina definierade parametrar?
- Använd Nätverksövervakning i Azure Monitor-loggar för att övervaka nätverksanslutningar, hälsotillståndet för ExpressRoute-kretsar och analysera nätverkstrafik i molnet.
- Använd Speedtest av Ookla – det globala bredbandshastighetstestet.
- Använd internethastighetstest – Mäta nätverksprestanda | Cloudflare.
Fungerar trafikblockering och filtrering som förväntat?
Överväg att köra undersökningar om användarnöjdhet och användargodkännande.
Planera för återställningsscenarier
När du arbetar med produktionsdistributionen och aktivt ökar antalet användare med Microsofts Security Service Edge kan du upptäcka oväntade eller otestade scenarier som påverkar slutanvändarna negativt. Planera för negativ påverkan:
- Definiera en process för slutanvändare att rapportera problem.
- Definiera en procedur för att återställa distributionen för specifika användare eller grupper eller inaktivera trafikprofilen.
- Definiera en procedur för att utvärdera vad som gick fel, identifiera reparationssteg och kommunicera med intressenter.
- Förbered för att testa nya konfigurationer innan produktionsdistributionen fortsätter till efterföljande vågor av användare.
Genomföra din projektplan
Hämta behörigheter
Se till att administratörer som interagerar med Global Secure Access har de korrekta rollerna tilldelade.
Förbereda IT-supportteamet
Ta reda på hur användarna får support när de har frågor eller anslutningsproblem. Utveckla självbetjäningsdokumentation för att minska trycket på IT-supportteamet. Se till att IT-supportteamet får utbildning för distributionsberedskap. Inkludera dem i slutanvändarkommunikation så att de känner till stegvisa migreringsscheman, påverkade team och program inom omfånget. För att förhindra förvirring i användarbasen eller inom IT-supporten upprättar du en process för att hantera och eskalera begäranden om användarsupport.
Utföra en pilotdistribution
Med tanke på användarna, enheterna och applikationerna som omfattas av din produktionsdistribution, börja med en liten initial testgrupp. Finjustera processen för kommunikation, distribution, testning och stöd för den stegvisa distributionen. Innan du börjar bör du granska och bekräfta att du har alla förutsättningar på plats.
Se till att enhetsregistrering sker i din klientorganisation. Följ riktlinjerna i Planera distributionen av Microsoft Entra-enheter. Om din organisation använder Intune följer du riktlinjerna i Hantera och skydda enheter i Intune.
Rekommendationer för valfria krav
Resurserna i följande tabell innehåller detaljerade planerings- och genomförandeuppgifter för varje valfri kravspecifikation.
| Valfritt krav | Resurs |
|---|---|
| Säker åtkomst till din Microsoft Traffic. | Microsofts trafikdistributionsplan |
| Ersätt ditt VPN med en Zero Trust-lösning för att skydda lokala resurser med trafikprofilen För privat åtkomst. | Distributionsplan för Privat åtkomst i Microsoft Entra |
| Skydda din Internettrafik med trafikprofilen Microsoft Entra Internet Access. | Distributionsplan för Microsoft Entra Internet Access |
Din pilot bör omfatta några användare (färre än 20) som kan testa nödvändiga enheter och program inom ramen för projektet. När du har identifierat pilotanvändare tilldelar du dem till trafikprofilerna antingen individuellt eller som en grupp (rekommenderas). Följ detaljerad vägledning i Tilldela användare och grupper till trafikvidarebefordringsprofiler.
Arbeta systematiskt igenom varje identifierat program inom omfånget. Se till att användarna kan ansluta som förväntat på relevanta enheter. Observera och dokumentera mått för prestandaframgång. Testa kommunikationsplaner och processer. Finjustera och iterera efter behov.
När piloten har slutförts och uppfyller framgångskriterierna kontrollerar du att supportteamet är redo för nästa faser. Slutför processer och kommunikation. Gå vidare med produktionsutbyggnaden.
Driftsätta i produktion
När du har slutfört alla planer och tester bör distributionen vara en upprepningsbar process med förväntade resultat.
Mer information finns i relevant vägledning:
- distributionsguide för Microsoft Global Secure Access för Microsoft Traffic
- Distributionsguide för Microsoft Global Secure Access för Microsoft Entra Internet Access
- Distributionsguide för Microsoft Global Secure Access och Entra Private Access från Microsoft
Upprepa vågdistributioner tills du klipper över alla användare till Microsoft Global Secure Access. Om du använder privat Åtkomst till Microsoft Entra inaktiveras snabb åtkomst och all trafik vidarebefordras via globala program för säker åtkomst.
Planera för nödåtkomst
När global säker åtkomst är nere kan användarna inte komma åt resurser som den globala säkerhetsåtkomstkompatibla nätverkskontrollen skyddar. Med skriptet GsaBreakglassEnforcement kan företagsadministratörer växla aktiverade efterlevande nätverkspolicys för villkorsstyrd åtkomst till rapporteringsläge. Skriptet tillåter tillfälligt användare att komma åt dessa resurser utan global säker åtkomst.
När global säker åtkomst är tillbaka använder du GsaBreakglassRecoveryskriptet för att aktivera alla berörda principer.
Ytterligare överväganden
- Följ riktlinjerna i Tilldela användare och grupper till profiler för trafikvidarebefordring för att avlägsna användare från profilerna för trafikvidarebefordring.
- Följ riktlinjerna i Så här aktiverar och hanterar du Microsoft-trafik för att inaktivera problematiska trafikprofiler.
- Följ riktlinjerna i Så här konfigurerar du åtkomst per app med hjälp av globala program för säker åtkomst att ta bort tilldelningen av användare och grupper från problematiska appsegment och deras respektive principer för villkorsstyrd åtkomst.
Övervaka och kontrollera ditt globala projekt för säker åtkomst
Övervaka och kontrollera projektet för att hantera risker och identifiera problem som kan kräva avvikelse från din plan. Håll projektet på rätt spår och se till att kommunikationen till intressenterna är korrekt och i rätt tid. Slutför alltid kraven korrekt, i tid och inom budget.
Viktiga mål för den här fasen:
- Förloppsövervakning. Slutfördes aktiviteterna som schemalagda? Om inte, varför inte? Hur kommer du igång igen?
- Upptäckt av problem. Dök problem upp (till exempel oplanerad resurstillgänglighet eller andra oförutsedda utmaningar)? Krävde de nödvändiga förändringarna ändringsbeställningar?
- Effektivitetsövervakning. Identifierade du inneboende ineffektivitet i definierade processer? Hur finjusterar du din projektmetod när övervakningen visar ineffektivitet?
- Kommunikationsbekräftelse. Var intressenterna nöjda med din kommunikationsfrekvens och detaljnivå? Om inte, hur anpassar du dig?
Upprätta veckoschema och projektinformationsgranskning. Var uppmärksam på viktiga milstolpar. Generera lämplig kommunikation till alla intressenter och samla in data för projektstängningsrapporter.
Stäng ditt globala projekt för säker åtkomst
Grattis! Du har slutfört distributionen av Microsoft Global Secure Access. Koppla ihop lösa ändar och stäng projektet:
- Samla in feedback från intressenter för att förstå om teamet uppfyllde förväntningarna och behoven.
- Använd de data som du samlade in under genomförandefasen (som definierades vid projektstarten) för att utveckla nödvändiga avslutningstillgångar. Till exempel projektutvärdering, lärdomar och presentationer efter döden.
- Arkivera projektinformation för referens till liknande framtida projekt.
Nästa steg
- Lär dig hur du påskyndar övergången till en Zero Trust-säkerhetsmodell med Microsoft Entra Suite och Microsofts enhetliga säkerhetsåtgärdsplattform
- distributionsguide för Microsoft Global Secure Access för Microsoft Traffic
- Distributionsguide för Microsoft Global Säker Åtkomst för Microsoft Entra Internet Access
- Implementeringsguide för Microsoft Global Säker Åtkomst för Microsoft Entra Private Access
- Simulera fjärrnätverksanslutning med Hjälp av Azure Virtual Network Gateway – Global säker åtkomst
- Simulera fjärrnätverksanslutning med Hjälp av Azure vWAN – Global säker åtkomst