Microsoft Entra Private Access 的全球安全存取部署指南

Microsoft 全域安全存取 整合網路、身分識別和端點存取控制，提供從任何位置、裝置或身分識別安全存取任何應用程式或資源的功能。 它可啟用及協調公司員工的存取原則管理。 您可以即時監視和調整私人應用程式、軟體即服務 （SaaS） 應用程式和Microsoft端點的使用者存取權。 持續監視和調整可協助您在發生許可權和風險層級變更時適當地回應。

Microsoft Entra Private Access 可讓您取代公司 VPN。 它為您的企業使用者提供使用條件式存取原則控制之公司應用程式的巨集和微區段存取權。 它可協助您：

• 為所有埠和通訊協定的私人應用程式提供零信任點對點存取。 此方法可防止惡意攻擊者在公司網路上橫向移動或埠掃描。
• 當用戶連線到私人應用程式時，需要多重要素驗證。
• 透過 Microsoft 廣大全球私人廣域網路進行數據通道，以最大化網路通訊的安全性。

本文中的指引可協助您在進入部署執行階段時，在生產環境中測試及部署 Microsoft Entra Private Access。 Microsoft Global Secure Access 部署指南簡介 提供如何起始、規劃、執行、監視及關閉全域安全存取部署專案的指引。

識別和規劃關鍵使用案例

VPN 取代是 Microsoft Entra Private Access 的主要案例。 在這個情境中，您的部署可能還有其他的使用案例。 例如，您可能需要：

• 連線到私人應用程式之前，套用條件式存取原則來控制使用者和群組。
• 將多重要素驗證設定為連線到任何私有應用程式的必要條件。
• 為您的傳輸控制協定（TCP）和用戶數據包協定（UDP）-based 應用程式啟用逐步部署，以逐漸實現零信任。
• 使用完整網域名稱（FQDN）連線到重疊或重複 IP 位址範圍的虛擬網路，以設定短暫環境的存取權限。
• 特權身份管理（PIM）用於配置特權訪問的目標分段。

在您瞭解使用案例中所需的功能之後，請製作清單，以將使用者和群組與這些功能產生關聯。 規劃先利用快速存取功能來複製您的 VPN 功能，以便測試連線並移除您的 VPN。 然後使用應用程式探索來識別使用者所連線的應用程式區段，讓您可以保護與特定IP位址、FQDN和埠的連線。

測試及部署 Microsoft Entra Private Access

此時，您已完成 Secure Access Service Edge （SASE） 部署專案的起始和規劃階段。 您了解為誰實施所需的內容。 您已定義使用者在每波中啟用。 您有每個波浪部署的排程。 您已符合 授權需求。 您已準備好啟用 Microsoft Entra Private Access。

1. 建立最終使用者通訊內容來設置期望並提供升級途徑。
2. 建立回退計劃，以定義從使用者裝置移除全域安全存取用戶端或停用流量轉發設定檔時的情況和程序。
3. 建立包含試驗使用者的Microsoft Entra 群組。
4. 啟用 Microsoft Entra Private Access 流量轉送配置檔 並指派試驗群組。 將使用者和群組指派給流量轉送配置檔。
5. 布建能夠直接存取您的應用程式的伺服器或虛擬機，作為連接器運作，為您的使用者提供對應用程式的外向連接。 請考慮負載平衡案例和容量需求，以達到可接受的效能。 在每個連接器機器上設定 Microsoft Entra Private Access 連接器。
6. 如果您有企業應用程式的清單，請使用全域安全存取應用程式來設定每個應用程式的存取權限。 如果沒有，請為全域安全存取設定快速存取 。
7. 將期望傳達給試驗群組。
8. 在要測試的試驗群組的裝置上部署適用於 Windows 的 Global Secure Access 用戶端。
9. 根據安全性需求 建立 條件式存取原則，以在這些用戶連線到已發佈的全域安全存取企業應用程式時套用至試驗群組。
10. 讓您的試驗用戶測試您的設定。
11. 如有需要，請更新您的設定並重新測試。 如有需要，請起始復原計劃。
12. 視需要，對用戶通信和部署方案進行反覆調整。

設定個別應用程式存取

若要將Microsoft Entra Private Access 部署的價值最大化，您應該從快速存取轉換為個別應用程式存取。 您可以使用 應用程式探索 功能，從使用者存取的應用程式區段快速建立全域安全存取應用程式。 您也可以使用 Global Secure Access Enterprise 應用程式 手動建立應用程式，也可以使用 PowerShell 自動建立應用程式。

1. 建立應用程式，並將它範圍設定為指派給快速存取的所有使用者（建議的）或需要存取特定應用程式的所有使用者。
2. 將至少一個應用程式區段新增至應用程式。 您不需要同時新增所有應用程式區段。 您可能偏好慢慢新增它們，以便驗證每個區段的流量。
3. 請注意，這些應用程式區段的流量不再出現在快速存取中。 使用快速存取來識別您需要設定為全域安全存取應用程式的應用程式區段。
4. 繼續建立全域安全存取應用程式，直到快速存取中未顯示任何應用程式區段為止。
5. 停用快速存取。

試點完成之後，您應該有可重複的流程，並瞭解如何在生產部署中對每一批次使用者進行操作。

1. 識別包含您用戶群的群組。
2. 請通知您的支援團隊有關已安排的計劃及包含的使用者。
3. 傳送已規劃且備妥的用戶通訊。
4. 將群組指派給 Microsoft Entra Private Access 流量轉送配置檔。
5. 在波段用戶的裝置上部署全域安全存取用戶端。
6. 如有需要，請部署更多專用網連接器，並建立更多全域安全存取企業應用程式。
7. 如有需要，請建立條件式存取原則，以在用戶連線到這些應用程式時套用至該波的使用者。
8. 更新您的設定。 再次測試以解決問題，如有需要，請起始復原計劃。
9. 視需要，對最終用戶的溝通和部署計劃進行調整。

後續步驟

• 瞭解如何使用 Microsoft Entra Suite 和Microsoft的統一安全性作業平臺，加速轉換至零信任安全性模型
• 微軟全球安全存取部署指南簡介
• Microsoft Traffic 的 Microsoft 全域安全存取部署指南
• Microsoft Entra Internet Access 的全球安全存取部署指南
• 使用 Azure 虛擬網路閘道模擬遠端網路連線 - 全域安全存取
• 使用 Azure vWAN 模擬遠端網路連線 - 全域安全存取