Sdílet prostřednictvím


Průvodce nasazením Microsoft Global Secure Access pro provoz Microsoftu

Microsoft Global Secure Access sjednocuje řízení přístupu k síti, identitám a koncovým bodům pro zabezpečený přístup k libovolné aplikaci nebo prostředku z libovolného umístění, zařízení nebo identity. Umožňuje a orchestruje správu zásad přístupu pro firemní zaměstnance. V reálném čase můžete nepřetržitě monitorovat a upravovat přístup uživatelů k vašim soukromým aplikacím, aplikacím SaaS (Software-as-a-Service) a koncovým bodům Microsoftu. Nepřetržité monitorování a úpravy pomáhají správně reagovat na změny na úrovni oprávnění a rizika při jejich výskytu.

Profil předávání přenosů microsoftu umožňuje řídit a spravovat internetový provoz, který je specifický pro koncové body Microsoftu, i když uživatelé pracují ze vzdálených umístění. Pomůže vám:

  • Ochrana před exfiltrací dat
  • Snižte riziko krádeže tokenů a útoků opakováním.
  • Korelujte zdrojovou IP adresu zařízení s protokoly aktivit za účelem zlepšení efektivity proaktivního vyhledávání hrozeb.
  • Usnadnění správy zásad přístupu bez seznamu výchozích IP adres

Pokyny v tomto článku vám pomůžou otestovat a nasadit profil provozu Microsoftu ve vašem produkčním prostředí. úvodní příručka pro nasazení globálního zabezpečeného přístupu od Microsoftu obsahuje pokyny k zahájení, plánování, spuštění, monitorování a zavření projektu nasazení globálního zabezpečeného přístupu.

Identifikace a plánování klíčových případů použití

Než povolíte Microsoft Entra Secure Access Essentials, určete, co chcete udělat za vás. Seznamte se s případy použití a rozhodněte se, které funkce se mají nasadit. Následující tabulka doporučuje konfigurace na základě případů použití.

Případ použití Doporučená konfigurace
Zabrání uživatelům a skupinám v používání spravovaných zařízení pro přístup ke koncovým bodům Microsoftu 365 v jiných tenantech. Nakonfigurujte univerzální omezení pro nájemce.
Ujistěte se, že se uživatelé připojují a ověřují jenom pomocí tunelu zabezpečení global Secure Access, aby se snížilo riziko krádeže a přehrání tokenů pro Microsoft 365 a všechny podnikové aplikace. Konfigurovat zabezpečenou kontrolu sítě v zásadách podmíněného přístupu.
Maximalizujte úspěšnost a efektivitu proaktivního vyhledávání hrozeb. Nakonfigurujte obnovení zdrojové IP adresy (Preview) a Použití obohacených protokolů Microsoft 365.

Jakmile určíte, které možnosti pro případy použití budete potřebovat, zahrňte do implementace nasazení funkcí.

Testování a nasazení profilu provozu Microsoftu

V tomto okamžiku jste dokončili fáze zahájení a plánování projektu globálního nasazení zabezpečeného přístupu. Rozumíte tomu, co potřebujete implementovat pro koho. Definovali jste uživatele, kteří mají být povoleni v každé vlně. Máte plán nasazení každé vlny. Splnili jste licenční požadavky . Jste připraveni povolit profil provozu Microsoftu.

  1. Vytvořte komunikaci koncových uživatelů, která nastaví očekávání a poskytne cestu eskalace.
  2. Vytvořte plán vrácení zpět, který definuje okolnosti a postupy, kdy z uživatelského zařízení odeberete klienta globálního zabezpečeného přístupu nebo zakážete profil předávání přenosů.
  3. Vytvoření skupiny Microsoft Entra, která zahrnuje vaše pilotní uživatele.
  4. Odeslat komunikaci koncového uživatele
  5. Povolte profilu přesměrování provozu Microsoftu a přiřaďte k němu pilotní skupinu.
  6. Pokud plánujete maximalizovat úspěch a efektivitu proaktivního vyhledávání hrozeb, nakonfigurujte obnovení zdrojové IP adresy.
  7. Vytvořte zásady podmíněného přístupu, které vyžadují vyhovující síti, kontrolují pilotní skupinu, pokud se jedná o plánovaný případ použití.
  8. Pokud se jedná o případ plánovaného použití, nakonfigurujte omezení univerzálního tenanta.
  9. Nasaďte klienta Global Secure Access pro Windows na zařízeních, kde je pilotní skupina otestuje.
  10. Požádejte pilotní uživatele, aby vaši konfiguraci otestovali.
  11. Prohlédněte si protokoly přihlašování a ujistěte se, že se pilotní uživatelé připojují ke koncovým bodům Microsoftu pomocí globálního zabezpečeného přístupu.
  12. Ověřte vyhovující kontrolu sítě pozastavením globálního agenta zabezpečeného přístupu a pokusem o přístup k SharePointu.
  13. Ověřte omezení tenanta tím, že se pokusíte přihlásit k jinému tenantovi.
  14. Ověřte obnovení zdrojové IP adresy porovnáním IP adresy v přihlašovacím protokolu úspěšného připojení k SharePointu Online při připojování pomocí agenta Global Secure Access se spuštěným vs. zakázaným, k zajištění, že jsou stejné.

    Poznámka

    Je nutné zakázat všechny zásady podmíněného přístupu, které vynucují kontrolu kompatibilní sítě pro toto ověření.

Aktualizujte konfiguraci a vyřešte případné problémy. Opakujte test. V případě potřeby implementujte plány vrácení zpět. V případě potřeby iterujte změny komunikace koncových uživatelů a plánu nasazení.

Po dokončení pilotního nasazení máte opakovatelný proces, který lze použít pro každou vlnu uživatelů v produkčním nasazení.

  1. Identifikujte skupiny, které obsahují uživatele vaší vlny.
  2. Upozorněte tým podpory na plán vlny a zahrnuté uživatele.
  3. Odešle komunikaci koncového uživatele vlny.
  4. Přiřaďte skupiny vln k profilu pro přesměrování provozu Microsoftu.
  5. Nasaďte globálního klienta zabezpečeného přístupu na zařízení uživatelů vlny.
  6. Vytvořte nebo aktualizujte zásady podmíněného přístupu, které vynucují požadavky vašeho případu použití na relevantní skupiny v rámci vlny.
  7. Podle potřeby iterujte změny v plánu komunikace a nasazení koncového uživatele.

Další kroky