Sdílet prostřednictvím


Průvodce nasazením Microsoft Global Secure Access pro Microsoft Entra Private Access

Globální zabezpečený přístup Microsoft sjednocuje řízení přístupu k síti, identitě a koncovému bodu pro zabezpečený přístup k libovolné aplikaci nebo prostředku z libovolného umístění, zařízení nebo identity. Umožňuje a orchestruje správu zásad přístupu pro firemní zaměstnance. V reálném čase můžete nepřetržitě monitorovat a upravovat přístup uživatelů k vašim soukromým aplikacím, aplikacím SaaS (Software-as-a-Service) a koncovým bodům Microsoftu. Nepřetržité monitorování a úpravy pomáhají správně reagovat na změny na úrovni oprávnění a rizika při jejich výskytu.

Microsoft Entra Private Access umožňuje nahradit podnikovou síť VPN. Poskytuje podnikovým uživatelům makro a mikro segmentovaný přístup k podnikovým aplikacím, které řídíte pomocí zásad Podmíněného přístupu. Pomůže vám:

  • Poskytnutí přístupu typu point-to-point nulové důvěryhodnosti k privátním aplikacím se všemi porty a protokoly. Tento přístup brání škodlivým subjektům v laterálním pohybu nebo prohledávání portů ve vaší podnikové síti.
  • Vyžadovat vícefaktorové ověřování, když se uživatelé připojují k privátním aplikacím.
  • Přenášet data pomocí tunelování přes globální soukromou rozlehlou síť Microsoftu pro maximalizaci bezpečné komunikace v síti.

Pokyny v tomto článku vám pomůžou otestovat a nasadit microsoft Entra Private Access v produkčním prostředí při vstupu do fáze provádění nasazení. úvodní příručka pro nasazení globálního zabezpečeného přístupu od Microsoftu obsahuje pokyny k zahájení, plánování, spuštění, monitorování a zavření projektu nasazení globálního zabezpečeného přístupu.

Identifikace a plánování klíčových případů použití

Primárním scénářem pro privátní přístup Microsoft Entra je nahrazení sítě VPN. V tomto scénáři můžete mít jiné případy použití pro vaše nasazení. Můžete například potřebovat:

  • Před připojením k privátním aplikacím použijte zásady podmíněného přístupu k řízení uživatelů a skupin.
  • Nakonfigurujte vícefaktorové ověřování jako požadavek na připojení k jakékoli privátní aplikaci.
  • Povolte fázované nasazení, které se v průběhu času blíží nulové důvěryhodnosti vašich aplikací TCP (Transmission Control Protocol) a UDP (User Datagram Protocol -based).
  • Pomocí plně kvalifikovaného názvu domény se připojte k virtuálním sítím, které překrývají nebo duplikují rozsahy IP adres a konfigurují přístup k dočasným prostředím.
  • Privileged Identify Management (PIM) pro konfiguraci cílové segmentace pro privilegovaný přístup.

Jakmile porozumíte možnostem, které v případech použití potřebujete, vytvořte inventář pro přidružení uživatelů a skupin k těmto možnostem. Nejprve naplánujte použití funkce Rychlý přístup k duplikování funkcí SÍTĚ VPN, abyste mohli otestovat připojení a odebrat síť VPN. Pak pomocí zjišťování aplikací identifikujte segmenty aplikací, ke kterým se vaši uživatelé připojují, abyste pak mohli zabezpečit připojení ke konkrétním IP adresám, plně kvalifikovaným názvům domén a portům.

Testování a nasazení privátního přístupu Microsoft Entra

V tuto chvíli jste dokončili fáze zahájení a plánování projektu nasazení SASE (Secure Access Service Edge). Rozumíte tomu, co potřebujete implementovat pro koho. Definovali jste uživatele, kteří mají být povoleni v každé vlně. Máte plán nasazení každé vlny. Splnili jste licenční požadavky . Jste připraveni povolit privátní přístup Microsoft Entra.

  1. Vytvořte komunikaci koncových uživatelů, která nastaví očekávání a poskytne cestu eskalace.
  2. Vytvořte plán vrácení zpět, který definuje okolnosti a postupy, kdy z uživatelského zařízení odeberete klienta globálního zabezpečeného přístupu nebo zakážete profil předávání přenosů.
  3. Vytvoření skupiny Microsoft Entra, která zahrnuje vaše pilotní uživatele.
  4. Povolte profil přesměrování provozu Microsoft Entra Private Access a přiřaďte pilotní skupinu. Přiřazení uživatelů a skupin k profilům pro směrování provozu.
  5. Zřiďte servery nebo virtuální počítače, které mají přístup k vašim aplikacím, aby fungovaly jako konektory a poskytovaly odchozí připojení k aplikacím pro vaše uživatele. Zvažte scénáře vyrovnávání zatížení a požadavky na kapacitu pro přijatelný výkon. Nakonfigurujte konektory pro privátní přístup Microsoft Entra na každém počítači konektoru.
  6. Pokud máte inventář podnikových aplikací, nakonfigurovat přístup pro jednotlivé aplikace pomocí aplikací globálního zabezpečeného přístupu. Pokud ne, nakonfigurujte Rychlý přístup pro Globální zabezpečený přístup.
  7. Sdělte pilotní skupině svá očekávání.
  8. Nasaďte klienta Global Secure Access pro Windows na zařízeních, kde je pilotní skupina otestuje.
  9. Vytvořte zásady podmíněného přístupu podle požadavků na zabezpečení, které se použijí pro pilotní skupinu, když se tito uživatelé připojují k publikovaným aplikacím Global Secure Access Enterprise.
  10. Požádejte pilotní uživatele, aby vaši konfiguraci otestovali.
  11. V případě potřeby aktualizujte konfiguraci a znovu otestujte. V případě potřeby zahajte plán vrácení zpět.
  12. Podle potřeby iterujte změny v plánu komunikace a nasazení koncového uživatele.

Konfigurace přístupu pro jednotlivé aplikace

Pokud chcete maximalizovat hodnotu nasazení Microsoft Entra Private Access, měli byste přejít z Rychlého přístupu na přístup pro jednotlivé aplikace. Pomocí funkce Application Discovery můžete rychle vytvářet aplikace globálního zabezpečeného přístupu z aplikačních segmentů, ke které uživatelé přistupují. K jejich ručnímu vytvoření můžete také použít globálních podnikových aplikací zabezpečeného přístupu nebo můžete k automatizaci vytváření použít PowerShellu.

  1. Vytvořte aplikaci a nasoučte ji buď všem uživatelům přiřazeným k Rychlému přístupu (doporučeno), nebo všem uživatelům, kteří potřebují přístup ke konkrétní aplikaci.
  2. Přidejte do aplikace aspoň jeden segment aplikace. Nemusíte přidávat všechny segmenty aplikací najednou. Možná je budete chtít přidat pomalu, abyste mohli ověřit tok provozu pro každý segment.
  3. Všimněte si, že provoz do těchto segmentů aplikace se už v Rychlém přístupu nezobrazuje. Pomocí rychlého přístupu identifikujte segmenty aplikací, které potřebujete nakonfigurovat jako aplikace globálního zabezpečeného přístupu.
  4. Pokračujte v vytváření aplikací globálního zabezpečeného přístupu, dokud se v Rychlém přístupu nezobrazí žádné segmenty aplikací.
  5. Zakažte Rychlý přístup.

Po dokončení pilotního nasazení byste měli mít opakovatelný proces a porozumět tomu, jak pokračovat v každé vlně uživatelů v produkčním nasazení.

  1. Identifikujte skupiny, které obsahují vaši vlnu uživatelů.
  2. Upozorněte tým podpory na naplánovanou vlnu a její zahrnuté uživatele.
  3. Odešle plánovanou a připravenou komunikaci koncových uživatelů.
  4. Přiřaďte skupiny k profilu pro směrování provozu Microsoft Entra Private Access.
  5. Nasaďte globálního klienta zabezpečeného přístupu na zařízeních pro uživatele vlny.
  6. V případě potřeby nasaďte více privátních síťových konektorů a vytvořte více globálních podnikových aplikací zabezpečeného přístupu.
  7. V případě potřeby vytvořte zásady podmíněného přístupu, které se po připojení k těmto aplikacím použijí pro uživatele vlny.
  8. Aktualizujte konfiguraci. Znovu otestujte a v případě potřeby vyřešte problémy a zahajte plán vrácení zpět.
  9. Podle potřeby iterujte změny v plánu komunikace a nasazení koncového uživatele.

Další kroky