共用方式為

Microsoft全域安全存取部署指南簡介

  • 發行項

Microsoft全域安全存取 是成功 安全存取服務 Edge (SASE) 策略的關鍵元件。 它包括 Microsoft Entra Internet AccessMicrosoft Entra Private AccessMicrosoft 流量管理。 它會使用 Microsoft 龐大的私人廣域網路,以及您對條件式存取原則的投資,在網路層級保障公司數據的安全性。

以下是重要的全域安全存取部署案例:

  • 將現有的 VPN 解決方案取代為 零信任網路存取 (ZTNA) 方法,以提供從端點到應用程式的安全連線。
  • 為現場和遠端員工保護及監控 Microsoft 的網路流量。
  • 保護及監視現場和遠端員工的因特網流量。

本部署指南可協助您規劃和部署Microsoft全域安全存取。 如需授權資訊,請參閱 全域安全存取授權概觀。 雖然大部分服務已正式推出(GA),但部分服務部分處於公開預覽狀態。 ​

執行概念驗證

執行 概念證明(PoC),以確保您選擇的解決方案提供所需的功能和連線能力。

根據您打算在 Microsoft 全域安全存取的 PoC 中部署哪些功能,您可能需要最多 7 小時。 請確定您已符合 授權需求。

  • 設定必要條件:一小時
  • 設定初始產品:20 分鐘
  • 設定遠端網路:1 到 2 小時
  • 部署及測試 Microsoft 流量設定檔:一小時
  • 部署及測試 Microsoft Entra Internet Access:1 小時
  • 部署及測試 Microsoft Entra Private Access:一小時
  • 關閉 PoC:30 分鐘

起始您的全域安全存取專案

專案初始是任何成功專案中的第一個步驟。 在專案啟動開始時,您決定實作 Microsoft 全球安全存取。 專案成功取決於您瞭解需求、定義成功準則,並確保適當的通訊。 請務必管理期望、結果和責任。

識別商務需求、結果和成功準則

識別商務需求、結果和成功準則,以明確您需要以成功準則完成的作業。 例如:

  • 您需要此專案才能達成的主要結果為何?
  • 您打算如何取代 VPN?
  • 您打算如何保護您的Microsoft流量?
  • 您打算如何保護您的因特網流量?

識別主要案例之後,請深入探討詳細數據:

  • 您的使用者需要存取哪些應用程式?
  • 哪些網站需要訪問控制?
  • 什麼是必要項目,什麼是選擇性?

在此階段中,建立一份描述範圍內使用者、裝置和關鍵應用程式的清查。 若要取代 VPN,請從快速存取開始,以識別使用者需要存取的私人應用程式,以便您可以在 entra Private Access Microsoft中定義它們。

定義排程

在預算和時間限制內達到預期結果之後,您的專案就會成功。 依日期、季或年份識別結果目標。 請與您的項目關係人合作,瞭解定義結果目標的特定里程碑。 定義每個目標的檢閱需求和成功準則。 因為Microsoft全域安全存取處於持續開發階段,因此請將需求對應至功能開發階段。

識別關係人

識別並記錄項目關係人、角色、在 ZTNA 專案中扮演角色的人員的責任。 職稱和角色可能因組織而異,不過,責任範圍很相似。 請考慮下表中的角色和責任,並識別對應的項目關係人。 將這類數據表散發給領導、項目關係人,以及您的小組。

角色 責任
贊助者 有權核准和/或指派預算和資源的企業資深領導者。 連接經理和執行小組。 產品與功能實作的技術決策者。
終端使用者 您為其提供服務的人員。 可以參與試驗計劃。
IT 支援管理員 提供意見以評估變更的可支援性。
身分識別架構師 定義變更如何與身分識別管理基礎結構一致。 瞭解目前的環境。
應用程式商務擁有者 擁有可能會影響存取管理的應用程式。 提供對用戶體驗的意見。
權益持有者 確認變更方案符合安全性需求。
網路管理員 監督網路功能、效能、安全性和可及性。
合規性管理員 確保符合公司、產業和政府需求。
技術項目經理 監督專案、管理需求、協調工作流程,並確保遵守排程和預算。 促進溝通計劃和報告。
SOC/CERT 小組 確認威脅搜捕記錄和報告需求。
租戶管理員 協調專案中負責 Microsoft Entra 租戶變更的 IT 擁有者和技術資源。
部署小組 執行部署和設定工作。

建立 RACI 圖表

負責任、責任、諮詢、知情(RACI)是指角色和責任定義。 針對專案和跨功能或部門專案和程式,請在 RACI 圖表中定義和釐清角色和責任。

  1. 下載 全域安全存取部署指南 RACI 範本 作為起點。
  2. 將負責任、責任、諮詢、知情的角色和責任對應至專案工作流程。
  3. 將 RACI 圖表散發給項目關係人,並確保他們瞭解指派。

建立通訊計劃

通訊計劃可協助您適當、主動且定期與專案關係人互動。

  • 提供部署計劃和項目狀態的相關信息。
  • 定義 RACI 責任分配矩陣中各相關人員的溝通用途和頻率。
  • 判斷誰會建立及散發通訊,以及共用信息的機制。 例如,通訊管理員會使用電子郵件和指定網站,告知終端使用者關於待處理和目前變更的最新資訊。
  • 包含使用者體驗變更的相關信息,以及使用者如何取得支援。 請參閱使用者通訊範例:

建立變更控制計劃

隨著專案小組收集資訊和詳細數據,計劃可能會變更。 建立變更控制計劃,以向項目關係人描述:

  • 變更要求流程和程序。
  • 如何了解變更影響。
  • 負責檢閱和核准。
  • 當變更需要更多時間或資金時,會發生什麼事。

良好的控制計劃可確保小組知道需要變更時該怎麼做。

建立項目關閉計劃

每個專案結束後都需要進行專案結束後審查。 確定要包含在此檢閱中的指標和資訊,以便您定期收集專案生命週期內的正確數據。 項目關閉計劃可協助您有效率地產生課程學習摘要。

取得項目關係人共識

完成專案初始工作之後,請與每個項目關係人合作,以確保計劃符合其特定需求。 透過正式核准程式,記錄共識和書面核准,防止誤解和意外。 舉辦一場啟動會議,涵蓋參考文件中的範疇和細節。

規劃您的全域安全存取專案

建立詳細的專案排程

使用您在專案初始化中所識別的里程碑,建立詳細的專案排程。 設定現實的期望並制定應變計劃,以達成重要的里程碑:

  • 概念證明 (PoC)
  • 試驗日期
  • 啟動日期
  • 影響交付的日期
  • 依賴

在您的專案排程中包含這項資訊:

  • 具有日期、相依性和關鍵路徑的詳細工作分解結構

    • 根據預期的支援負載,每個波中要剪下的用戶數目上限
    • 每個部署波的時間範圍(例如每個星期一都削減一波)
    • 每個部署波中的特定使用者群組 (不要超過最大數目)
    • 使用者需要的應用程式(或使用快速存取)

  • 指派給每個工作的小組成員

建立風險管理計劃

建立風險管理計劃來準備可能會影響日期和預算的應變措施。

  • 識別重要路徑和強制金鑰結果。
  • 瞭解工作流程風險。
  • 制定備用計劃以便在發生應變時保持進度。

定義效能成功準則

定義可接受的效能計量,以客觀地測試並確保您的部署成功,且您的用戶體驗位於參數內。 請考慮包含下列計量。

Microsoft Entra Private Access

  • 網路效能是否在您定義的參數範圍內?

    • 全域安全存取儀表板 提供 Microsoft Entra 私有和 Microsoft Entra 網際網路存取所取得的網路流量視覺化呈現。 它會從網路配置蒐集數據,包括裝置、使用者和租戶。
    • 使用 Azure 監視器記錄中的 網路監視 來監視和分析網路連線、ExpressRoute 線路健全狀況,以及雲端網路流量。

  • 您是否注意到試驗期間的延遲增加? 您是否有應用程式特定的延遲需求?

  • 單一登入(SSO)對您的關鍵應用程式是否正常運作?

  • 請考慮執行用戶滿意度和使用者驗收問卷。

Microsoft流量

  • 網路效能是否在您定義的參數範圍內?

    • 全域安全存取儀表板 提供 Microsoft Entra 私有和 Microsoft Entra 網際網路存取所取得的網路流量視覺化呈現。 它會從網路配置蒐集數據,包括裝置、使用者和租戶。
    • 使用 Microsoft 365 網路評量,將網路效能指標濃縮為企業網路邊界健康狀態的快照。
    • 使用 Microsoft 365 網路連線測試 來測量裝置與網際網路之間的連線狀態,以及從那裡到 Microsoft 網路的連線狀態。

  • 您是否注意到試驗期間的延遲增加?

  • 請考慮執行用戶滿意度問卷。

  • 請考慮執行使用者接受問卷。

微軟 Entra 網際網路存取

規劃回退情境

當您完成生產部署,並積極增加具有 Microsoft Security Service Edge 的用戶數目時,您可能會發現對終端使用者造成負面影響的未預期或未測試案例。 應對負面影響的計劃:

  • 定義最終用戶回報問題的流程。
  • 定義復原特定使用者或群組部署或停用流量配置檔的程式。
  • 定義評估出問題的程式、識別補救步驟,以及與專案關係人溝通。
  • 準備在投入生產之前測試新的組態,以便後續逐步部署到多組使用者。

執行項目計劃

取得權限

請確保與 Global Secure Access 互動的系統管理員 已指派正確的角色

準備IT支援小組

判斷使用者在有問題或連線問題時如何取得支援。 開發自助式文件,以減輕IT支援團隊的壓力。 請確定您的IT支援小組會收到部署整備的訓練。 將它們包含在終端用戶通訊中,以便他們知道階段式移轉排程、受影響的小組和範圍內應用程式。 若要避免使用者或IT支援部門之間的誤解,請建立處理和呈報用戶支援請求的流程。

執行試驗部署

針對您生產部署範圍內的使用者、裝置和應用程式,請從小型的初始測試群組開始。 細緻調整通訊、部署、測試及支援的流程,以優化分階段推行。開始之前,請先檢閱並確認您已具備所有 必要條件

確保在您的租戶中完成裝置註冊。 請遵循 規劃 Microsoft Entra 裝置部署中的指導方針。 如果您的組織使用 Intune,請遵循 Intune 中的管理及保護裝置指導方針

關於選用需求的建議

下表中的資源會針對每個選擇性需求提供詳細的規劃和執行工作。

選擇性需求 資源
保護您的Microsoft流量存取。 Microsoft流量部署計劃
將 VPN 取代為零信任解決方案,以私人存取流量配置檔來保護內部部署資源。 Microsoft Entra Private Access 部署方案
使用 Microsoft Entra Internet Access 流量配置文件保護您的因特網流量。 Microsoft Entra Internet Access 部署計劃

您的試點應該包含少於 20 名使用者,他們能測試所需範圍內的設備與應用程式。 識別試驗用戶之後,請將他們單獨或以群組方式(建議以群組方式)指派到流量配置檔。 請遵循 中為將使用者和群組分配到流量轉發配置檔的詳細指引。

有系統地逐一處理每個已識別的範圍內的應用程式。 確保使用者能如預期連接至目標範圍內的設備。 觀察並記錄效能成功準則計量。 測試通訊計劃和程式。 視需要微調並反覆調整。

試驗完成並符合成功準則之後,請確定支援小組已準備好進行下一個階段。 完成流程與溝通。 繼續進行生產環境部署。

部署至生產環境

完成所有方案和測試之後,部署應該是一個具有預期結果的可重複過程。

如需詳細資訊,請參閱相關指引:

重複波段部署,直到您將所有使用者轉移至 Microsoft 全域安全存取。 如果您使用 Microsoft Entra Private 存取,它會停用快速存取,並透過全域安全存取應用程式轉送所有流量。

規劃緊急存取

當全域安全存取關閉時,用戶無法存取全域安全存取相容網路檢查所保護的資源。 GsaBreakglassEnforcement 文稿 可讓企業系統管理員將已啟用的相容網路條件式存取原則切換為僅限報告模式。 腳本會暫時允許用戶在沒有全域安全存取的情況下存取這些資源。

當全域安全存取返回之後,請使用 GsaBreakglassRecovery腳本 來開啟所有受影響的原則。

其他考慮

監視和控制您的全域安全存取專案

監視和控制您的專案以管理風險,並找出可能需要偏離計劃的問題。 讓您的專案保持追蹤,並確保與專案關係人進行準確且及時的通訊。 始終正確、準時和在預算內完成要求。

此階段的主要目標:

  • 進度監視。 工作是否如排程完成? 如果不是,為什麼不呢? 如何回到正軌?
  • 問題發現。 問題是否已出現(例如非計劃性資源可用性或其他未預期的挑戰)? 必要的變更是否需要變更訂單?
  • 效率監視。 您是否識別已定義程式中固有的效率不足? 當監視顯示效率低下時,如何微調專案方法?
  • 通訊確認。 項目關係人對溝通頻率和詳細程度感到滿意嗎? 如果沒有,您要如何調整?

建立每周排程和專案詳細數據檢閱。 密切關注關鍵里程碑。 產生與所有項目關係人的適當通訊,並擷取專案關閉報表的數據。

關閉您的全域安全存取專案

祝賀! 您已完成Microsoft全域安全存取部署。 完成剩餘事項並關閉專案:

  • 收集項目關係人的意見反應,以瞭解小組是否符合期望和需求。
  • 使用您在整個執行階段收集的數據(如在專案初始化階段所定義)來開發必要的結束資產。 例如,項目評量、所學到的教訓,以及驗屍后簡報。
  • 封存專案詳細數據,以參考類似的未來專案。

後續步驟