Einführung in den Leitfaden für das Proof-of-Concept von Microsoft Global Secure Access

Die Anleitung zum Proof-of-Concept (PoC) in dieser Artikelreihe hilft Ihnen, microsoft Global Secure Access mit Microsoft Entra Internet Access, Microsoft Entra Private Access und dem Microsoft-Datenverkehrsprofil zu lernen, bereitzustellen und zu testen.

Ausführliche Anleitungen werden in diesen Artikeln fortgesetzt:

• Konfigurieren des privaten Microsoft Entra-Zugriffs
• Konfigurieren von Microsoft Entra Internet Access

In diesem Handbuch wird davon ausgegangen, dass Sie einen PoC in einer Produktionsumgebung ausführen. Das Ausführen eines PoC in einer Testumgebung bietet Ihnen möglicherweise mehr Flexibilität.

Hinweis

Alle PoC-Tests sind von Datenverkehrsprofilupdates abhängig, die mit dem Clientgerät synchronisiert werden. Die Synchronisierung kann bis zu 20 Minuten dauern.

Folgen Sie den Abschnitten in diesem Artikel, um einen erfolgreichen PoC-Start sicherzustellen.

Verstehen der Produkte

Das Verständnis der Produkte und deren Kernkonzepte ist der erste Schritt bei der Durchführung eines erfolgreichen PoC. Beginnen Sie mit den Ressourcen in diesem Abschnitt.

Security Service Edge (SSE)-Lösung von Microsoft

• Was ist die Microsoft Security Service Edge (SSE)-Lösung?
• Beschleunigen Sie Ihre Zero Trust-Reise mit einheitlichen Zugriffssteuerungen (Video)

Microsoft Entra-Internetzugriff

• Erfahren Sie mehr über Microsoft Entra Internet Access
• Identitätsorientierter Microsoft Entra Internet Access-Schutz (Video)

Microsoft Entra-Privatzugriff

• Den privaten Microsoft Entra-Netzwerk-Connector verstehen
• Ersetzen von VPNs für lokale Ressourcen mithilfe von Microsoft Entra Private Access (Video)

Microsoft Global Secure Access

• Übersicht über die Lizenzierung für globalen sicheren Zugriff
• Einführung in das Bereitstellungshandbuch für den globalen sicheren Zugriff von Microsoft

Identifizieren von Anwendungsfällen

Während Sie Ihr PoC entwerfen, identifizieren Sie relevante Anwendungsfälle, und planen Sie geeignete Konfigurationen und Tests.

Microsoft Entra Private Access-Anwendungsfälle

Berücksichtigen Sie die folgenden Fragen, wenn Sie Ihre Microsoft Entra Private Access-Anwendungsfälle zuordnen:

• Verwenden Sie heute ein VPN? Die beste Methode zum Starten besteht darin, das VPN-Ersatzszenario zu testen. Dieses Szenario bietet Ihnen die Möglichkeit, alle gleichen Ressourcen zu veröffentlichen, auf die Benutzer über das VPN zugreifen, und sie mithilfe der Microsoft Entra-ID zu schützen. Ab diesem Zeitpunkt können Sie den Zugriff segmenten.

  Um den Zugriff auf bestimmte Ressourcen zu definieren, auf die nur ausgewählte Benutzer zugreifen sollen, erstellen Sie Unternehmens-Apps. Beispielsweise sollten nur Administratoren remote auf Server zugreifen können. Um die empfohlene Konfiguration zu verstehen, überprüfen Sie das VPN-Ersetzungsszenario .

• Welche Gerätetypen planen Sie zu testen? Die täglichen Arbeitsgeräte der Benutzer oder separate Testgeräte? Wenn Sie Arbeitsgeräte verwenden möchten, sollten Sie das VPN-Ersatzszenario testen, damit Sie Microsoft Entra Private Access für alle Ihre tägliche Arbeit verwenden können.

  Wenn Sie sich entscheiden, nur bestimmte Ressourcen mithilfe von Microsoft Entra Private Access zu veröffentlichen, überlegen Sie, wie sich Benutzer bei diesen Ressourcen authentifizieren und ob Sie einmaliges Anmelden (Single Sign-On, SSO) mit Active Directory benötigen. Möglicherweise müssen Sie auch zu Ihrer VPN-Verwendung wechseln, um auf andere Ressourcen zuzugreifen, die Sie während Ihres Tages benötigen.

Microsoft Entra Internet Access-Anwendungsfälle

Sie können mehrere Microsoft Entra Internet Access und Microsoft Entra Internet Access für Microsoft Services-Szenarien in Ihrem PoC testen. Erwägen Sie das Testen der Koexistenz mit anderen Lösungen, wie im Artikel Koexistenz von Security Service Edge (SSE) mit Microsoft und Cisco beschrieben wird.

• Müssen Sie bestimmte vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) oder Webkategorien für alle Benutzer zulassen oder blockieren, wenn sie ein verwaltetes Gerät verwenden? Wenn Sie beabsichtigen, den Zugriff Ihrer Benutzerbasis auf bestimmte FQDNs oder Webkategorien zu blockieren oder zuzulassen, sollten Sie den Anwendungsfall "eine Basisrichtlinie erstellen, die für den gesamten Internetzugriffsverkehr gilt, der über den Dienst weitergeleitet wird," testen. Sie können die Basisrichtlinie für alle Benutzer erstellen und anwenden, ohne richtlinien für bedingten Zugriff erstellen zu müssen. Bei Bedarf können Sie sie für Teilmengen von Benutzern überschreiben.

• Müssen Sie verhindern, dass bestimmte Gruppen basierend auf Kategorie oder FQDN auf Websites zugreifen? Wenn Sie verhindern müssen, dass bestimmte Benutzergruppen auf FQDNs oder Webkategorien zugreifen, sollten Sie die Anwendungsfälle Blockieren einer Gruppe vom Zugriff auf Websites basierend auf der Kategorie und Blockieren einer Gruppe vom Zugriff auf Websites basierend auf FQDN in Betracht ziehen.

• Müssen Sie eine allgemeine Blockierung außer Kraft setzen oder Regelungen für bestimmte Benutzer oder spezielle Umstände zulassen? Wenn Sie bestimmten Benutzern oder Gruppen den Zugriff auf eine blockierte Website gestatten möchten, sollten Sie den Anwendungsfall 'Benutzerzugriff auf eine blockierte Website zulassen' testen.

• Müssen Sie den Zugriff auf Ihre Microsoft-Daten verwalten oder steuern? Mit dem Microsoft-Datenverkehrsprofil können Sie den globalen sicheren Zugriff aktivieren, um SharePoint Online, Exchange Online und anderen Microsoft-Datenverkehr über die Global Secure Access Cloud Services zu erwerben und weiterzuleiten. Testen Sie dieses Szenario mit dem Anwendungsfall "Aktivieren und Verwalten des Microsoft-Datenverkehrsweiterleitungsprofils ".

• Müssen Sie steuern, ob Ihre Benutzer die verwalteten Geräte Ihrer Organisation verwenden können, um sich bei anderen Entra-ID-Mandanten anzumelden? Erwägen Sie, die universellen Mandantenbeschränkungen zu testen.

Bereich und Definieren von Erfolgskriterien

Verwenden Sie den PoC-Kickoff-Deck , um Ihren PoC zu planen. Führen Sie die allgemeinen Anforderungen durch, um wichtige Projektbeteiligte zu identifizieren, die in das Projekt einbezogen werden sollen. Entscheiden Sie dann über berücksichtigte Szenarien und stimmen Sie einem Zeitplan zu.

Voraussetzungen erfüllen

Stellen Sie sicher, dass Sie diese Voraussetzungen für Ihr PoC erfüllen:

• Ein Microsoft Entra ID-Testmandant.

• Ein Benutzer mit den Rollen "Globaler Sicherer Zugriff", "Anwendungsadministrator" und "Administrator für bedingten Zugriff". Weitere Informationen finden Sie in den integrierten Rollen für den globalen sicheren Zugriff von Microsoft.

• Mindestens ein Microsoft Entra ID-Testbenutzerkonto.

• Mindestens ein Clientgerät für Benutzertests. Um den Remotezugriff zu testen, stellen Sie sicher, dass dieses Gerät nur über Microsoft Entra Internet Access verfügt und keine direkte Verbindung mit Ihrem privaten Netzwerk herstellen kann.

  • Windows 11-Geräte müssen entweder mit Microsoft Entra-ID verbunden oder hybrid mit Ihrem Testmandanten verbunden sein.
  • Installieren Sie für Android- und iOS-Geräte die Microsoft Defender-App, und registrieren Sie sie in Ihrem Testmandanten.

• Die entsprechenden kostenpflichtigen oder Testlizenzen:

  • Übersicht über die Lizenzierung für globalen sicheren Zugriff
  • Testlizenzen für Microsoft Entra Suite
  • Testlizenzen für Microsoft Entra Internet Access
  • Testlizenzen für Microsoft Entra Private Access

Um Microsoft Entra Private Access-Szenarien zu testen, stellen Sie sicher, dass Sie diese Voraussetzungen erfüllen:

• Stellen Sie mindestens einen Windows Server 2019- oder 2022-Computer mit Ihren privaten oder lokalen Ressourcen bereit. Dieser Server muss über eine Sichtlinie für die Ressourcen verfügen, die Sie über Microsoft Entra Private Access verfügbar machen möchten. Er sollte auf Microsoft-URLs zugreifen können.
• Zum Testen des VPN-Ersatzes benötigen Sie die IP-Bereiche und FQDNs, die für den vollständigen Zugriff auf Ihr Unternehmensnetzwerk verwendet werden.
• Um den Zero Trust-Netzwerkzugriff pro App mithilfe von Microsoft Entra Private Access zu testen, identifizieren Sie eine oder mehrere Testanwendungen. Sie benötigen die IP-Adressen oder FQDNs, Protokolle und Ports, die Clients verwenden, wenn sie auf jede Testanwendung zugreifen.

Zum Testen von Microsoft-Datenverkehrsszenarien benötigen Sie Microsoft 365-Produkte wie SharePoint Online oder Exchange Online.

Konfigurieren des Produkts für Anwendungsfälle

Nachdem Sie die Voraussetzungen erfüllt haben, verwenden Sie die folgenden Abschnitte als Schritte zum Konfigurieren Ihrer Testumgebung.

1. Aktivieren Sie das Produkt in Ihrem Mandanten

Aktivieren Sie das Datenverkehrsprofil jedes Produkts für den globalen sicheren Zugriff, um Datenverkehr für diesen Produktbereich zu erwerben und zu tunneln. Weisen Sie dem Profil Benutzer und Gruppen zu, sodass der Global Secure Access-Client für diese Benutzer den Datenverkehr an Global Secure Access leitet. In den folgenden Artikeln werden die erforderlichen Rollen für diese Aufgaben definiert:

• Aktivieren und Verwalten des Microsoft-Profils
• Verwalten des Profils für den privaten Zugriff
• Verwalten des Internetzugriffsprofils
• Benutzer und Gruppen zu Profilen zur Weiterleitung des Datenverkehrs zuweisen

2. Installieren des globalen Clients für den sicheren Zugriff

Installieren Sie den Global Secure Access-Client auf jedem Clientgerät, das eine Verbindung mit globalen Diensten für den sicheren Zugriff herstellt. Stellen Sie sicher, dass Ihre Testgeräte voraussetzungen erfüllen. Überprüfen Sie bekannte Einschränkungen für den globalen sicheren Zugriff.

• Installieren Sie den globalen Secure Access-Client für Windows.
• Installieren Sie den globalen Secure Access-Client für macOS.
• Installieren Sie den globalen Secure Access-Client für Android.
• Installieren Sie den globalen Secure Access-Client für iOS (Vorschau).

Um den Client auf mehreren Geräten bereitzustellen, verwenden Sie Intune oder eine andere Lösung für die Verwaltung mobiler Geräte.

3. Konfigurieren des privaten Microsoft Entra-Zugriffs

Ausführliche Schritte finden Sie im Artikel "Konfigurieren von Microsoft Entra Private Access" .

4. Konfigurieren von Microsoft Entra Internet Access

Ausführliche Schritte finden Sie im Artikel "Konfigurieren von Microsoft Entra Internet Access ".

Fehlersuche

Wenn Sie Probleme mit Ihrem PoC haben, können Sie diese Artikel bei der Problembehandlung, Protokollierung und Überwachung unterstützen:

• häufig gestellte Fragen zum globalen sicheren Zugriff
• Probleme beim Installieren des Microsoft Entra-Privatnetzwerkconnectors beheben
• Problembehandlung für den globalen Client für den sicheren Zugriff: Diagnose
• Fehlerbehebung beim Globalen Secure-Access-Client: Registerkarte "Systemprüfung"
• Fehlerbehebung bei einem Problem mit einem verteilten Dateisystem und dem globalen sicheren Zugriff
• Global Secure Access-Protokolle und Überwachung
• So verwenden Sie Arbeitsmappen mit Global Secure Access

Verwandte Inhalte

• Konfigurieren des privaten Microsoft Entra-Zugriffs
• Konfigurieren von Microsoft Entra Internet Access
• Einführung in das Bereitstellungshandbuch für den globalen sicheren Zugriff von Microsoft
• Bereitstellungsleitfaden für den globalen sicheren Zugriff von Microsoft für Microsoft Entra Private Access
• Bereitstellungsleitfaden für den globalen sicheren Zugriff von Microsoft für Microsoft Entra Internet Access
• Microsoft Global Secure Access-Bereitstellungshandbuch für Microsoft-Datenverkehr