Průvodce nasazením Microsoft Global Secure Access pro Microsoft Entra Private Access
Globální zabezpečený přístup Microsoft sjednocuje řízení přístupu k síti, identitě a koncovému bodu pro zabezpečený přístup k libovolné aplikaci nebo prostředku z libovolného umístění, zařízení nebo identity. Umožňuje a orchestruje správu zásad přístupu pro firemní zaměstnance. V reálném čase můžete nepřetržitě monitorovat a upravovat přístup uživatelů k vašim soukromým aplikacím, aplikacím SaaS (Software-as-a-Service) a koncovým bodům Microsoftu. Nepřetržité monitorování a úpravy pomáhají správně reagovat na změny na úrovni oprávnění a rizika při jejich výskytu.
Microsoft Entra Private Access umožňuje nahradit podnikovou síť VPN. Poskytuje podnikovým uživatelům makro a mikro segmentovaný přístup k podnikovým aplikacím, které řídíte pomocí zásad Podmíněného přístupu. Pomůže vám:
- Poskytnutí přístupu typu point-to-point nulové důvěryhodnosti k privátním aplikacím se všemi porty a protokoly. Tento přístup brání škodlivým subjektům v laterálním pohybu nebo prohledávání portů ve vaší podnikové síti.
- Vyžadovat vícefaktorové ověřování, když se uživatelé připojují k privátním aplikacím.
- Přenášet data pomocí tunelování přes globální soukromou rozlehlou síť Microsoftu pro maximalizaci bezpečné komunikace v síti.
Pokyny v tomto článku vám pomůžou otestovat a nasadit microsoft Entra Private Access v produkčním prostředí při vstupu do fáze provádění nasazení. úvodní příručka pro nasazení globálního zabezpečeného přístupu od Microsoftu obsahuje pokyny k zahájení, plánování, spuštění, monitorování a zavření projektu nasazení globálního zabezpečeného přístupu.
Identifikace a plánování klíčových případů použití
Primárním scénářem pro privátní přístup Microsoft Entra je nahrazení sítě VPN. V tomto scénáři můžete mít jiné případy použití pro vaše nasazení. Můžete například potřebovat:
- Před připojením k privátním aplikacím použijte zásady podmíněného přístupu k řízení uživatelů a skupin.
- Nakonfigurujte vícefaktorové ověřování jako požadavek na připojení k jakékoli privátní aplikaci.
- Povolte fázované nasazení, které se v průběhu času blíží nulové důvěryhodnosti vašich aplikací TCP (Transmission Control Protocol) a UDP (User Datagram Protocol -based).
- Pomocí plně kvalifikovaného názvu domény se připojte k virtuálním sítím, které překrývají nebo duplikují rozsahy IP adres a konfigurují přístup k dočasným prostředím.
- Privileged Identify Management (PIM) pro konfiguraci cílové segmentace pro privilegovaný přístup.
Jakmile porozumíte možnostem, které v případech použití potřebujete, vytvořte inventář pro přidružení uživatelů a skupin k těmto možnostem. Nejprve naplánujte použití funkce Rychlý přístup k duplikování funkcí SÍTĚ VPN, abyste mohli otestovat připojení a odebrat síť VPN. Pak pomocí zjišťování aplikací identifikujte segmenty aplikací, ke kterým se vaši uživatelé připojují, abyste pak mohli zabezpečit připojení ke konkrétním IP adresám, plně kvalifikovaným názvům domén a portům.
Testování a nasazení privátního přístupu Microsoft Entra
V tuto chvíli jste dokončili fáze zahájení a plánování projektu nasazení SASE (Secure Access Service Edge). Rozumíte tomu, co potřebujete implementovat pro koho. Definovali jste uživatele, kteří mají být povoleni v každé vlně. Máte plán nasazení každé vlny. Splnili jste licenční požadavky . Jste připraveni povolit privátní přístup Microsoft Entra.
- Vytvořte komunikaci koncových uživatelů, která nastaví očekávání a poskytne cestu eskalace.
- Vytvořte plán vrácení zpět, který definuje okolnosti a postupy, kdy z uživatelského zařízení odeberete klienta globálního zabezpečeného přístupu nebo zakážete profil předávání přenosů.
- Vytvoření skupiny Microsoft Entra, která zahrnuje vaše pilotní uživatele.
- Povolte profil přesměrování provozu Microsoft Entra Private Access a přiřaďte pilotní skupinu. Přiřazení uživatelů a skupin k profilům pro směrování provozu.
- Zřiďte servery nebo virtuální počítače, které mají přístup k vašim aplikacím, aby fungovaly jako konektory a poskytovaly odchozí připojení k aplikacím pro vaše uživatele. Zvažte scénáře vyrovnávání zatížení a požadavky na kapacitu pro přijatelný výkon. Nakonfigurujte konektory pro privátní přístup Microsoft Entra na každém počítači konektoru.
- Pokud máte inventář podnikových aplikací, nakonfigurovat přístup pro jednotlivé aplikace pomocí aplikací globálního zabezpečeného přístupu. Pokud ne, nakonfigurujte Rychlý přístup pro Globální zabezpečený přístup.
- Sdělte pilotní skupině svá očekávání.
- Nasaďte klienta Global Secure Access pro Windows na zařízeních, kde je pilotní skupina otestuje.
- Vytvořte zásady podmíněného přístupu podle požadavků na zabezpečení, které se použijí pro pilotní skupinu, když se tito uživatelé připojují k publikovaným aplikacím Global Secure Access Enterprise.
- Požádejte pilotní uživatele, aby vaši konfiguraci otestovali.
- V případě potřeby aktualizujte konfiguraci a znovu otestujte. V případě potřeby zahajte plán vrácení zpět.
- Podle potřeby iterujte změny v plánu komunikace a nasazení koncového uživatele.
Konfigurace přístupu pro jednotlivé aplikace
Pokud chcete maximalizovat hodnotu nasazení Microsoft Entra Private Access, měli byste přejít z Rychlého přístupu na přístup pro jednotlivé aplikace. Pomocí funkce Application Discovery můžete rychle vytvářet aplikace globálního zabezpečeného přístupu z aplikačních segmentů, ke které uživatelé přistupují. K jejich ručnímu vytvoření můžete také použít globálních podnikových aplikací zabezpečeného přístupu nebo můžete k automatizaci vytváření použít PowerShellu.
- Vytvořte aplikaci a nasoučte ji buď všem uživatelům přiřazeným k Rychlému přístupu (doporučeno), nebo všem uživatelům, kteří potřebují přístup ke konkrétní aplikaci.
- Přidejte do aplikace aspoň jeden segment aplikace. Nemusíte přidávat všechny segmenty aplikací najednou. Možná je budete chtít přidat pomalu, abyste mohli ověřit tok provozu pro každý segment.
- Všimněte si, že provoz do těchto segmentů aplikace se už v Rychlém přístupu nezobrazuje. Pomocí rychlého přístupu identifikujte segmenty aplikací, které potřebujete nakonfigurovat jako aplikace globálního zabezpečeného přístupu.
- Pokračujte v vytváření aplikací globálního zabezpečeného přístupu, dokud se v Rychlém přístupu nezobrazí žádné segmenty aplikací.
- Zakažte Rychlý přístup.
Po dokončení pilotního nasazení byste měli mít opakovatelný proces a porozumět tomu, jak pokračovat v každé vlně uživatelů v produkčním nasazení.
- Identifikujte skupiny, které obsahují vaši vlnu uživatelů.
- Upozorněte tým podpory na naplánovanou vlnu a její zahrnuté uživatele.
- Odešle plánovanou a připravenou komunikaci koncových uživatelů.
- Přiřaďte skupiny k profilu pro směrování provozu Microsoft Entra Private Access.
- Nasaďte globálního klienta zabezpečeného přístupu na zařízeních pro uživatele vlny.
- V případě potřeby nasaďte více privátních síťových konektorů a vytvořte více globálních podnikových aplikací zabezpečeného přístupu.
- V případě potřeby vytvořte zásady podmíněného přístupu, které se po připojení k těmto aplikacím použijí pro uživatele vlny.
- Aktualizujte konfiguraci. Znovu otestujte a v případě potřeby vyřešte problémy a zahajte plán vrácení zpět.
- Podle potřeby iterujte změny v plánu komunikace a nasazení koncového uživatele.
Další kroky
- Zjistěte, jak urychlit přechod na model zabezpečení nulové důvěryhodnosti s využitím sady Microsoft Entra Suite a sjednocené platformy pro provoz zabezpečení od Microsoftu
- Úvod do globálního průvodce nasazením zabezpečeného přístupu od Microsoftu
- Průvodce nasazením zabezpečeného globálního přístupu Microsoft pro Microsoft Traffic
- Průvodce nasazením globálního zabezpečeného přístupu Microsoftu pro Microsoft Entra Internet Access
- Simulace vzdáleného síťového připojení pomocí brány virtuální sítě Azure – Global Secure Access
- Simulace vzdáleného síťového připojení pomocí Azure vWAN – Globální zabezpečený přístup