Microsoft Microsoft 流量的全域安全存取部署指南
Microsoft全域安全存取 結合網路、身分識別和端點訪問控制,以安全地從任何位置、裝置或身分識別存取任何應用程式或資源。 它可啟用及協調公司員工的存取政策管理。 您可以即時監視和調整私人應用程式、軟體即服務 (SaaS) 應用程式和Microsoft端點的使用者存取權。 持續監視和調整可協助您在發生許可權和風險層級變更時適當地回應。
Microsoft流量轉送配置檔可讓您控制及管理Microsoft端點特有的因特網流量,即使使用者從遠端位置工作也是如此。 它可協助您:
- 防止數據外流。
- 降低令牌竊取和重新執行攻擊的風險。
- 將裝置來源IP位址與活動記錄相互關聯,以改善威脅搜捕效率。
- 輕鬆管理存取策略,而不需要列出出站 IP 位址清單。
本文中的指引可協助您在生產環境中測試和部署 Microsoft 流量設定檔。 Microsoft Global Secure Access 部署指南簡介 提供如何起始、規劃、執行、監視及關閉全域安全存取部署專案的指引。
識別和規劃關鍵使用案例
啟用 Microsoft Entra Secure Access Essentials 之前,請先決定您想要為您執行哪些動作。 瞭解您的使用案例,以決定要部署哪些功能。 下表根據使用案例建議設定。
| 用例 | 建議的設定 |
|---|---|
| 防止使用者和群組使用受管理的裝置來存取其他租戶中的 Microsoft 365 端點。 | 設定通用租使用者限制。 |
| 確保使用者僅使用全域安全存取安全網路通道進行連線和驗證,以降低Microsoft 365 和所有企業應用程式遭竊/重新執行令牌的風險。 | 在條件式存取原則中設定相容的網路檢查。 |
| 最大化威脅搜捕成功和效率。 | 設定來源 IP 還原(預覽)和 使用擴充的 Microsoft 365 日誌。 |
在判斷出使用案例所需的功能後,請在實施中部署功能。
測試及部署Microsoft流量概況
此時,您已完成 Global Secure Access 部署專案的起始和計劃階段。 您了解需要為誰實施的內容。 您已定義使用者在每波中啟用。 您有每個波次部署的時間表。 您已符合 授權需求。 您已準備好啟用 Microsoft 流量配置檔。
- 建立終端使用者溝通以設定預期並提供升級路徑。
- 建立回滾計劃,以定義當您從使用者裝置移除全域安全存取客戶端或停用流量轉發設定檔時的情況和程序。
- 建立包含試驗使用者的Microsoft Entra 群組。
- 傳送終端使用者通訊。
- 啟用 Microsoft 流量轉送設定檔,並將試點群組指派給它。
- 如果您打算將威脅偵查的成功率與效率最大化,請設定 來源 IP 還原。
- 建立條件式存取原則,若為計劃使用案例,則要求您的試驗群組進行 相容網路 檢查。
- 如果是已規劃的使用案例,請設定 通用租戶限制。
- 在要測試的試驗群組的裝置上部署適用於 Windows 的
Global Secure Access 用戶端。 - 讓您的試驗用戶測試您的設定。
- 檢視登入記錄,以確保試驗使用者使用全域安全存取連線到Microsoft端點。
- 首先暫停全域安全存取代理程式,然後嘗試存取 SharePoint,以確認符合規範的網路檢查。
- 嘗試登入不同的租戶,以確認租戶限制。
- 藉由比較在執行與停用全域安全存取代理程式時成功連線到 SharePoint Online 之登入記錄中的 IP 位址,以驗證來源 IP 還原,並確保它們相同。
注意
您必須停用任何指定在此驗證中強制進行相容網路檢查的條件式存取原則。
更新您的設定以解決任何問題。 重複測試。 視需要實作復原方案。 視需要對終端用戶通訊和部署計劃進行反覆調整變更。
試點完成後,您會有一個可重複使用的程序,可在生產部署中推進每一批使用者。
- 識別包含您波段使用者的群組。
- 通知您的支援團隊有關活動的時間表及其包含的使用者。
- 發送波的末端使用者通訊。
- 將波的組別指派至 Microsoft 流量轉送設定檔。
- 在波段的用戶裝置上部署全域安全存取用戶端。
- 建立或更新條件式存取原則,以在波浪的相關群組上強制執行您的使用案例需求。
- 視需要,對用戶通訊和部署計劃進行反覆修改。