Implementeringsguide för Microsoft Global Secure Access och Microsoft Entra Private Access

Microsoft Global Secure Access konvergerar nätverks-, identitets- och slutpunktsåtkomstkontroller för säker åtkomst till alla appar eller resurser från valfri plats, enhet eller identitet. Det möjliggör och samordnar åtkomstprinciphantering för företagsanställda. Du kan kontinuerligt övervaka och justera användaråtkomst i realtid till dina privata appar, SaaS-appar (Programvara som en tjänst) och Microsoft-slutpunkter. Kontinuerlig övervakning och justering hjälper dig att på lämpligt sätt svara på behörighets- och risknivåändringar när de inträffar.

Med Microsoft Entra Private Access kan du ersätta företagets VPN. Den ger dina företagsanvändare makro- och mikrosegmenterad åtkomst till företagsprogram som du styr med principer för villkorsstyrd åtkomst. Det hjälper dig att:

• Ge noll förtroende punkt-till-punkt-åtkomst till privata program med alla portar och protokoll. Den här metoden förhindrar dåliga aktörer från laterala förflyttningar eller portgenomsökningar i företagets nätverk.
• Kräv multifaktorautentisering när användare ansluter till privata program.
• Tunnla data över Microsofts omfattande globala privata stadsnätverk för att maximera säkerheten i nätverkskommunikationen.

Vägledningen i den här artikeln hjälper dig att testa och distribuera Microsoft Entra Private Access- i produktionsmiljön när du går in i distributionskörningsfasen. introduktion till distributionsguiden för Microsoft Global Secure Access ger vägledning om hur du initierar, planerar, kör, övervakar och stänger distributionsprojektet för global säker åtkomst.

Identifiera och planera för viktiga användningsfall

VPN-ersättning är det primära scenariot för Microsoft Entra Private Access. Du kan ha andra användningsfall i det här scenariot för din distribution. Du kan till exempel behöva:

• Använd principer för villkorsstyrd åtkomst för att styra användare och grupper innan de ansluter till privata program.
• Konfigurera multifaktorautentisering som ett krav för att ansluta till alla privata appar.
• Aktivera en stegvis distribution som närmar sig Noll förtroende över tid för ditt TCP-protokoll (Transmission Control Protocol) och UDP (User Datagram Protocol) -based program.
• Använd fullständigt kvalificerat domännamn (FQDN) för att ansluta till virtuella nätverk som överlappar eller duplicerar IP-adressintervall för att konfigurera åtkomst till tillfälliga miljöer.
• Privileged Identify Management (PIM) för att konfigurera målsegmentering för privilegierad åtkomst.

När du har förstått vilka funktioner du behöver i dina användningsfall skapar du en inventering för att associera dina användare och grupper med dessa funktioner. Planera att använda snabbåtkomstfunktioner för att duplicera VPN-funktionerna från början så att du kan testa anslutningen och ta bort vpn-anslutningen. Använd sedan Application Discovery för att identifiera de programsegment som användarna ansluter till så att du sedan kan skydda anslutningen till specifika IP-adresser, FQDN:er och portar.

Testa och distribuera privat åtkomst i Microsoft Entra

Nu har du slutfört initierings- och planfaserna för ditt SASE-distributionsprojekt (Secure Access Service Edge). Du förstår vad du behöver implementera för vem. Du har definierat vilka användare som ska aktiveras i varje våg. Du har ett schema för distributionen av varje våg. Du har uppfyllt licensieringskrav. Du är redo att aktivera privat åtkomst till Microsoft Entra.

1. Skapa slutanvändarkommunikation för att ange förväntningar och tillhandahålla en eskaleringsväg.
2. Skapa en återställningsplan som definierar omständigheterna och procedurerna för när du tar bort Global Secure Access-klienten från en användarenhet eller inaktiverar trafikvidarebefordringsprofilen.
3. Skapa en Microsoft Entra-grupp som innehåller dina pilotanvändare.
4. Aktivera trafikvidarebefordransprofil för Microsoft Entra och tilldela pilotgruppen. Tilldela användare och grupper trafikvidarebefordringsprofiler.
5. Tillhandahåll servrar eller virtuella datorer som har direkt åtkomst till dina applikationer för att fungera som anslutningar, vilket ger användarna utgående anslutningsmöjlighet till applikationerna. Överväg belastningsutjämningsscenarier och kapacitetskrav för acceptabel prestanda. Konfigurera konnektorer för Microsoft Entra Private Access på varje dator för anslutning.
6. Om du har en inventering av företagsprogram konfigurera åtkomst per app med hjälp av globala program för säker åtkomst. Annars konfigurera Snabbåtkomst för global säker åtkomst.
7. Förmedla förväntningar till pilotgruppen.
8. Distribuera Global Secure Access-klienten för Windows på enheter som pilotgruppen ska testa.
9. Skapa principer för villkorsstyrd åtkomst enligt dina säkerhetskrav som ska tillämpas på pilotgruppen när dessa användare ansluter till dina publicerade Global Secure Access Enterprise-program.
10. Låt pilotanvändarna testa konfigurationen.
11. Om det behövs uppdaterar du konfigurationen och testa igen. Om det behövs initierar du återställningsplanen.
12. Vid behov itererar du ändringar i din slutanvändarkommunikations- och distributionsplan.

Konfigurera åtkomst per app

Om du vill maximera värdet för distributionen av Microsoft Entra Private Access bör du gå från Snabbåtkomst till åtkomst per app. Du kan använda funktionen Application Discovery för att snabbt skapa globala program för säker åtkomst från appsegment som användarna har åtkomst till. Du kan också använda Global Secure Access Enterprise-program för att skapa dem manuellt, eller så kan du använda PowerShell- för att automatisera skapandet.

1. Skapa programmet och rikta det mot antingen alla användare som har tilldelats Quick Access (rekommenderas) eller alla användare som behöver komma åt det specifika programmet.
2. Lägg till minst ett appsegment i programmet. Du behöver inte lägga till alla appsegment samtidigt. Du kanske föredrar att lägga till dem långsamt så att du kan verifiera trafikflödet för varje segment.
3. Observera att trafik till dessa appsegment inte längre visas i Snabbåtkomst. Använd Snabbåtkomst för att identifiera appsegment som du behöver konfigurera som globala program för säker åtkomst.
4. Fortsätt att skapa globala program för säker åtkomst tills inga appsegment visas i Snabbåtkomst.
5. Inaktivera snabbåtkomst.

När piloten är klar bör du ha en repeterbar process och förstå hur du fortsätter med varje våg av användare i produktionsdistributionen.

1. Identifiera de grupper som innehåller din våg av användare.
2. Meddela supportteamet om den schemalagda vågen och dess inkluderade användare.
3. Skicka planerad och förberedd slutanvändarkommunikation.
4. Tilldela grupperna till trafikvidarebefordringsprofilen för Microsoft Entra Private Access.
5. Distribuera global säker åtkomstklient på enheter för vågens användare.
6. Om det behövs distribuerar du fler privata nätverksanslutningar och skapar fler Globala Företagsprogram för säker åtkomst.
7. Om det behövs skapar du principer för villkorsstyrd åtkomst som ska tillämpas på vågens användare när de ansluter till dessa program.
8. Uppdatera konfigurationen. Testa igen för att åtgärda problem, Vid behov initierar du återställningsplan.
9. Vid behov itererar du ändringar i din slutanvändarkommunikations- och distributionsplan.

Nästa steg

• Lär dig hur du påskyndar övergången till en Zero Trust-säkerhetsmodell med Microsoft Entra Suite och Microsofts enhetliga säkerhetsåtgärdsplattform
• Introduktion till Microsofts globala distributionsguide för säker åtkomst
• Implementeringsguide för Microsoft Global Secure Access för Microsoft Traffic
• Microsoft Global Secure Access-distributionsguide för Microsoft Entra Internet Access
• Simulera fjärrnätverksanslutning med Hjälp av Azure Virtual Network Gateway – Global säker åtkomst
• Simulera fjärrnätverksanslutning med Hjälp av Azure vWAN – Global säker åtkomst