Průvodce nasazením Microsoft Global Secure Access pro provoz Microsoftu
Microsoft Global Secure Access sjednocuje řízení přístupu k síti, identitám a koncovým bodům pro zabezpečený přístup k libovolné aplikaci nebo prostředku z libovolného umístění, zařízení nebo identity. Umožňuje a orchestruje správu zásad přístupu pro firemní zaměstnance. V reálném čase můžete nepřetržitě monitorovat a upravovat přístup uživatelů k vašim soukromým aplikacím, aplikacím SaaS (Software-as-a-Service) a koncovým bodům Microsoftu. Nepřetržité monitorování a úpravy pomáhají správně reagovat na změny na úrovni oprávnění a rizika při jejich výskytu.
Profil předávání přenosů microsoftu umožňuje řídit a spravovat internetový provoz, který je specifický pro koncové body Microsoftu, i když uživatelé pracují ze vzdálených umístění. Pomůže vám:
- Ochrana před exfiltrací dat
- Snižte riziko krádeže tokenů a útoků opakováním.
- Korelujte zdrojovou IP adresu zařízení s protokoly aktivit za účelem zlepšení efektivity proaktivního vyhledávání hrozeb.
- Usnadnění správy zásad přístupu bez seznamu výchozích IP adres
Pokyny v tomto článku vám pomůžou otestovat a nasadit profil provozu Microsoftu ve vašem produkčním prostředí. úvodní příručka pro nasazení globálního zabezpečeného přístupu od Microsoftu obsahuje pokyny k zahájení, plánování, spuštění, monitorování a zavření projektu nasazení globálního zabezpečeného přístupu.
Identifikace a plánování klíčových případů použití
Než povolíte Microsoft Entra Secure Access Essentials, určete, co chcete udělat za vás. Seznamte se s případy použití a rozhodněte se, které funkce se mají nasadit. Následující tabulka doporučuje konfigurace na základě případů použití.
Případ použití | Doporučená konfigurace |
---|---|
Zabrání uživatelům a skupinám v používání spravovaných zařízení pro přístup ke koncovým bodům Microsoftu 365 v jiných tenantech. | Nakonfigurujte univerzální omezení pro nájemce. |
Ujistěte se, že se uživatelé připojují a ověřují jenom pomocí tunelu zabezpečení global Secure Access, aby se snížilo riziko krádeže a přehrání tokenů pro Microsoft 365 a všechny podnikové aplikace. | Konfigurovat zabezpečenou kontrolu sítě v zásadách podmíněného přístupu. |
Maximalizujte úspěšnost a efektivitu proaktivního vyhledávání hrozeb. | Nakonfigurujte obnovení zdrojové IP adresy (Preview) a Použití obohacených protokolů Microsoft 365. |
Jakmile určíte, které možnosti pro případy použití budete potřebovat, zahrňte do implementace nasazení funkcí.
Testování a nasazení profilu provozu Microsoftu
V tomto okamžiku jste dokončili fáze zahájení a plánování projektu globálního nasazení zabezpečeného přístupu. Rozumíte tomu, co potřebujete implementovat pro koho. Definovali jste uživatele, kteří mají být povoleni v každé vlně. Máte plán nasazení každé vlny. Splnili jste licenční požadavky . Jste připraveni povolit profil provozu Microsoftu.
- Vytvořte komunikaci koncových uživatelů, která nastaví očekávání a poskytne cestu eskalace.
- Vytvořte plán vrácení zpět, který definuje okolnosti a postupy, kdy z uživatelského zařízení odeberete klienta globálního zabezpečeného přístupu nebo zakážete profil předávání přenosů.
- Vytvoření skupiny Microsoft Entra, která zahrnuje vaše pilotní uživatele.
- Odeslat komunikaci koncového uživatele
- Povolte profilu přesměrování provozu Microsoftu a přiřaďte k němu pilotní skupinu.
- Pokud plánujete maximalizovat úspěch a efektivitu proaktivního vyhledávání hrozeb, nakonfigurujte obnovení zdrojové IP adresy.
- Vytvořte zásady podmíněného přístupu, které vyžadují vyhovující síti, kontrolují pilotní skupinu, pokud se jedná o plánovaný případ použití.
- Pokud se jedná o případ plánovaného použití, nakonfigurujte omezení univerzálního tenanta.
- Nasaďte klienta Global Secure Access pro Windows na zařízeních, kde je pilotní skupina otestuje.
- Požádejte pilotní uživatele, aby vaši konfiguraci otestovali.
- Prohlédněte si protokoly přihlašování a ujistěte se, že se pilotní uživatelé připojují ke koncovým bodům Microsoftu pomocí globálního zabezpečeného přístupu.
- Ověřte vyhovující kontrolu sítě pozastavením globálního agenta zabezpečeného přístupu a pokusem o přístup k SharePointu.
- Ověřte omezení tenanta tím, že se pokusíte přihlásit k jinému tenantovi.
- Ověřte obnovení zdrojové IP adresy porovnáním IP adresy v přihlašovacím protokolu úspěšného připojení k SharePointu Online při připojování pomocí agenta Global Secure Access se spuštěným vs. zakázaným, k zajištění, že jsou stejné.
Poznámka
Je nutné zakázat všechny zásady podmíněného přístupu, které vynucují kontrolu kompatibilní sítě pro toto ověření.
Aktualizujte konfiguraci a vyřešte případné problémy. Opakujte test. V případě potřeby implementujte plány vrácení zpět. V případě potřeby iterujte změny komunikace koncových uživatelů a plánu nasazení.
Po dokončení pilotního nasazení máte opakovatelný proces, který lze použít pro každou vlnu uživatelů v produkčním nasazení.
- Identifikujte skupiny, které obsahují uživatele vaší vlny.
- Upozorněte tým podpory na plán vlny a zahrnuté uživatele.
- Odešle komunikaci koncového uživatele vlny.
- Přiřaďte skupiny vln k profilu pro přesměrování provozu Microsoftu.
- Nasaďte globálního klienta zabezpečeného přístupu na zařízení uživatelů vlny.
- Vytvořte nebo aktualizujte zásady podmíněného přístupu, které vynucují požadavky vašeho případu použití na relevantní skupiny v rámci vlny.
- Podle potřeby iterujte změny v plánu komunikace a nasazení koncového uživatele.
Další kroky
- Zjistěte, jak urychlit přechod na model zabezpečení nulové důvěryhodnosti s využitím sady Microsoft Entra Suite a sjednocené platformy pro provoz zabezpečení od Microsoftu
- Úvod do globálního průvodce nasazením zabezpečeného přístupu od Microsoftu
- Průvodce globálním nasazením zabezpečeného přístupu Microsoft pro Microsoft Entra Private Access
- Průvodce nasazením Microsoft Global Secure Access pro Microsoft Entra Internet Access
- Simulace vzdáleného síťového připojení pomocí brány virtuální sítě Azure – Globální zabezpečený přístup
- Simulace vzdáleného síťového připojení pomocí virtuální sítě WAN Azure - globální zabezpečený přístup