Dela via

Distributionsguide för Microsoft Global Secure Access för Microsoft Traffic

  • Artikel

Microsoft Global Secure Access konvergerar nätverks-, identitets- och slutpunktsåtkomstkontroller för säker åtkomst till alla appar eller resurser från valfri plats, enhet eller identitet. Det möjliggör och samordnar åtkomstprinciphantering för företagsanställda. Du kan kontinuerligt övervaka och justera användaråtkomst i realtid till dina privata appar, SaaS-appar (Programvara som en tjänst) och Microsoft-slutpunkter. Kontinuerlig övervakning och justering hjälper dig att på lämpligt sätt svara på behörighets- och risknivåändringar när de inträffar.

Med Microsofts profil för vidarebefordran av trafik kan du styra och hantera Internettrafik som är specifik för Microsoft-slutpunkter även när användare arbetar från fjärranslutna platser. Det hjälper dig att:

  • Skydda mot dataexfiltrering.
  • Minska risken för tokenstöld och återuppspelningsattacker.
  • Korrelera IP-adressen för enhetskällan med aktivitetsloggar för att förbättra effektiviteten i hotjakten.
  • Underlätta hantering av åtkomstprinciper utan en lista över utgående IP-adresser.

Vägledningen i den här artikeln hjälper dig att testa och distribuera Microsoft-trafikprofilen i din produktionsmiljö. introduktion till distributionsguiden för Microsoft Global Secure Access ger vägledning om hur du initierar, planerar, kör, övervakar och stänger distributionsprojektet för global säker åtkomst.

Identifiera och planera för viktiga användningsfall

Innan du aktiverar Microsoft Entra Secure Access Essentials ska du bestämma vad du vill att det ska göra åt dig. Förstå dina användningsfall för att avgöra vilka funktioner som ska distribueras. I följande tabell rekommenderas konfigurationer baserat på användningsfall.

Användningsfall Rekommenderad konfiguration
Förhindra att användare och grupper använder hanterade enheter för att få åtkomst till Microsoft 365-slutpunkter i andra klientorganisationer. Konfigurera universella hyresgästbegränsningar.
Se till att användarna endast ansluter och autentiserar med den säkra nätverkstunneln global säker åtkomst för att minska risken för tokenstöld/omspelning för Microsoft 365 och alla Företagsprogram. Konfigurera kompatibel nätverkskontroll i principer för villkorsstyrd åtkomst.
Maximera framgång och effektivitet i hotjakten. Konfigurera återställning av käll-IP (förhandsversion) och Använd berikade Microsoft 365-loggar.

När du har fastställt vilka funktioner du behöver för dina användningsfall ska du inkludera funktionsdistribution i implementeringen.

Testa och distribuera Microsoft-trafikprofil

Vid det här laget har du slutfört stegen för att initiera och planera i distributionsprojektet för Global Secure Access. Du förstår vad du behöver implementera för vem. Du har definierat vilka användare som ska aktiveras i varje våg. Du har ett schema för distributionen av varje våg. Du har uppfyllt licensieringskrav. Du är redo att aktivera Microsofts trafikprofil.

  1. Skapa slutanvändarkommunikation för att ange förväntningar och tillhandahålla en eskaleringsväg.
  2. Skapa en återställningsplan som definierar omständigheterna och procedurerna för när du tar bort Global Secure Access-klienten från en användarenhet eller inaktiverar trafikvidarebefordringsprofilen.
  3. Skapa en Microsoft Entra-grupp som innehåller dina pilotanvändare.
  4. Skicka slutanvändarkommunikation.
  5. Aktivera Microsoft-trafikvidarebefordringsprofilen och tilldela [din/dets] pilotgrupp till den.
  6. Om du planerar att maximera framgången och effektiviteten i dina hotjaktsinsatser, bör du konfigurera källa-IP-återställning.
  7. Skapa principer för villkorsstyrd åtkomst som kräver kompatibla nätverks kontroller för pilotgruppen om det är ett planerat användarfall.
  8. Konfigurera universella hyresgästrestriktioner för ett planerat användningsfall.
  9. Distribuera Global Secure Access-klienten för Windows på enheter som pilotgruppen ska testa.
  10. Låt pilotanvändarna testa konfigurationen.
  11. Visa inloggningsloggar för att säkerställa att pilotanvändare ansluter till Microsoft-slutpunkter med global säker åtkomst.
  12. Verifiera kompatibel nätverkskontroll genom att pausa Global Secure Access-agenten och sedan försöka komma åt SharePoint.
  13. Verifiera begränsningar för hyresgäster genom att försöka logga in på en annan hyresgäst.
  14. Verifiera återställning av käll-IP genom att jämföra IP-adressen i inloggningsloggen för en lyckad anslutning till SharePoint Online när du ansluter med Global Secure Access-agenten, både när den är aktiv och inaktiverad, för att säkerställa att de är desamma.

    Not

    Du måste inaktivera alla principer för villkorsstyrd åtkomst som tillämpar den kompatibla nätverkskontrollen för den här verifieringen.

Uppdatera konfigurationen för att åtgärda eventuella problem. Upprepa testet. Implementera återställningsplaner om det behövs. Iterera ändringar i din slutanvändarkommunikations- och distributionsplan om det behövs.

När du har slutfört pilottestet har du en repeterbar process för att fortsätta med varje våg av användare i produktionsdistributionen.

  1. Identifiera de grupper som innehåller vågens användare.
  2. Meddela supportteamet om vågens schema och dess inkluderade användare.
  3. Skicka vågens slutanvändarkommunikation.
  4. Tilldela grupperna i vågen till Microsofts profil för trafikvidarebefordran.
  5. Distribuera den globala säkra åtkomstklienten på vågens användares enheter.
  6. Skapa eller uppdatera principer för villkorsstyrd åtkomst för att framtvinga dina användningsfallskrav på vågens relevanta grupper.
  7. Vid behov itererar du ändringar i din slutanvändarkommunikations- och distributionsplan.

Nästa steg