Freigeben über

Erste Schritte mit Global Secure Access

  • Artikel

Global Secure Access (Vorschau), Security Service Edge von Microsoft, ist die zentrale Stelle im Microsoft Entra Admin Center, an der Sie Microsoft Entra Private Access und Microsoft Entra Internet Access konfigurieren und verwalten können. Viele Funktionen und Einstellungen gelten sowohl für Microsoft Entra Private Access als auch für Microsoft Entra Internet Access. Einige Features sind spezifisch für das eine oder das andere.

Dieser Leitfaden hilft Ihnen bei den ersten Schritten zum Konfigurieren beider Dienste.

Voraussetzungen

Administrator*innen, die mit Features von Global Secure Access (Vorschau) interagieren, müssen über die Rolle Global Secure Access-Administrator verfügen. Für einige Features sind möglicherweise auch andere Rollen erforderlich.

Um das Zero Trust-Prinzip der geringsten Rechte zu befolgen, sollten Sie für die Aktivierung der Just-In-Time-Zuweisung privilegierter Rollen die Verwendung von Privileged Identity Management (PIM) in Betracht ziehen.

Für die Vorschau ist eine Microsoft Entra ID P1-Lizenz erforderlich. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten. Zum Verwenden des Microsoft-Profils für die Datenverkehrsweiterleitung wird eine Microsoft 365 E3-Lizenz empfohlen. Nach der allgemeinen Verfügbarkeit sind für Microsoft Entra Private Access und Microsoft Entra Internet Access möglicherweise unterschiedliche Lizenzen erforderlich.

Es kann Einschränkungen bei einigen Features der Vorschauversion von Global Secure Access geben, die in den zugehörigen Artikeln definiert sind.

Zugreifen auf das Microsoft Entra Admin Center

Global Secure Access (Vorschau) ist der Bereich im Microsoft Entra Admin Center, in dem Sie Microsoft Entra Internet Access und Microsoft Entra Private Access konfigurieren und verwalten.

Wenn Zugriffsprobleme auftreten, lesen Sie diese häufig gestellten Fragen zu Mandanteneinschränkungen.

Microsoft Entra-Internetzugriff

Microsoft Entra-Internetzugriff isoliert den Datenverkehr für Microsoft-Anwendungen und -Ressourcen wie Exchange Online und SharePoint Online. Benutzer*innen können auf diese Ressourcen zugreifen, indem sie eine Verbindung mit dem Global Secure Access-Client oder über ein Remotenetzwerk z. B. an einem Zweigstellenstandort herstellen.

Installieren des Clients zum Abrufen von Microsoft-Datenverkehr

Diagramm des grundlegenden Datenverkehrs über Microsoft Entra-Internetzugriff.

  1. Aktivieren Sie das Microsoft-Profil für die Datenverkehrsweiterleitung.
  2. Installieren und konfigurieren Sie den Global Secure Access-Client auf Endbenutzergeräten.
  3. Aktivieren Sie universelle Mandanteneinschränkungen.
  4. Aktivieren Sie die erweiterte Global Secure Access-Signalisierung und den bedingten Zugriff.

Nachdem Sie diese vier Schritte ausgeführt haben, können Benutzer, deren Client für den globalen sicheren Zugriff auf ihrem Windows-Gerät installiert ist, von überall aus sicher auf Microsoft-Ressourcen zugreifen. Die Richtlinie für bedingten Zugriff erfordert, dass Benutzer*innen den Global Secure Access-Client oder ein konfiguriertes Remotenetzwerk für den Zugriff auf Exchange Online und SharePoint Online verwenden.

Erstellen eines Remotenetzwerks, Anwenden des bedingten Zugriffs und Überprüfen der Protokolle

Diagramm des Microsoft Entra-Internetzugriffs-Datenverkehrs mit Remotenetzwerken und bedingtem Zugriff.

  1. Erstellen Sie eine Remotenetzwerk.
  2. Wenden Sie die Richtlinie für bedingten Zugriff auf das Microsoft-Datenverkehrsprofil an.
  3. Überprüfen Sie die Global Secure Access-Protokolle.

Nachdem Sie diese optionalen Schritte ausgeführt haben, können Benutzer auch ohne den Client für globalen sicheren Zugriff eine Verbindung mit Microsoft-Diensten herstellen, sofern die Verbindung über das von Ihnen erstellte Remotenetzwerk hergestellt wird und die Bedingungen erfüllt werden, die Sie der Richtlinie für bedingten Zugriff hinzugefügt haben.

Microsoft Entra-Privatzugriff

Microsoft Entra Private Access bietet eine sichere Zero Trust-Zugriffslösung für den Zugriff auf interne Ressourcen, ohne dass ein VPN erforderlich ist. Konfigurieren Sie den Schnellzugriff, und aktivieren Sie das Profil für die Weiterleitung von privatem Datenverkehr, um die Websites und Apps anzugeben, die über Microsoft Entra Private Access geleitet werden sollen. Derzeit muss der Global Secure Access-Client auf Endbenutzergeräten installiert sein, um Microsoft Entra Private Access verwenden zu können, daher ist dieser Schritt in diesem Abschnitt enthalten.

Konfigurieren des Schnellzugriffs auf Ihre primären privaten Ressourcen

Richten Sie den Schnellzugriff für einen breiteren Zugriff auf Ihr Netzwerk mithilfe von Microsoft Entra Private Access ein.

Diagramm des Datenverkehrs über Schnellzugriff für private Ressourcen.

  1. Konfigurieren eines privaten Microsoft Entra-Netzwerkconnectors und einer Connectorgruppe.
  2. Konfigurieren Sie den Schnellzugriff auf Ihre privaten Ressourcen.
  3. Aktivieren Sie das Profil für die Weiterleitung von Private Access-Datenverkehr.
  4. Installieren und konfigurieren Sie den Global Secure Access-Client auf Endbenutzergeräten.

Nachdem Sie diese vier Schritte ausgeführt haben, können Benutzer, deren Client mit globalem sicherem Zugriff auf einem Windows-Gerät installiert wurde, über eine Schnellzugriffs-App und einen privaten Netzwerkconnector eine Verbindung mit Ihren primären Ressourcen herstellen.

Konfigurieren von Global Secure Access-Apps für den App-bezogenen Zugriff auf private Ressourcen

Erstellen Sie mithilfe von Microsoft Entra Private Access spezielle private Apps für präzisen segmentierten Zugriff auf private Ressourcen.

Diagramm des Datenverkehrs über die App mit globalem sicherem Zugriff für private Ressourcen.

  1. Konfigurieren eines privaten Netzwerkconnectors und einer Connectorgruppe.
  2. Erstellen Sie eine private Global Secure Access-Anwendung.
  3. Aktivieren Sie das Profil für die Weiterleitung von Private Access-Datenverkehr.
  4. Installieren und konfigurieren Sie den Global Secure Access-Client auf Endbenutzergeräten.

Nachdem Sie diese Schritte ausgeführt haben, können Benutzer, deren Client mit globalem sicherem Zugriff auf einem Windows-Gerät installiert wurde, über eine App mit globalem sicherem Zugriff und einen privaten Netzwerkconnector eine Verbindung mit Ihren privaten Ressourcen herstellen.

Optional:

Nutzungsbedingungen

Ihre Verwendung der Vorschauumgebungen und Features von Microsoft Entra-Privatzugriff und Microsoft Entra-Internetzugriff unterliegt den Bestimmungen für Onlinedienste (Vorschau), unter denen Sie die Dienste erworben haben. Vorschauversionen unterliegen möglicherweise eingeschränkten oder abweichenden Sicherheits-, Compliance- und Datenschutzverpflichtungen, wie in Allgemeine Lizenzbedingungen für Onlinedienste und im Nachtrag zum Datenschutz in Verbindung mit Produkten und Diensten von Microsoft sowie allen anderen mit der Vorschau bereitgestellten Hinweisen näher erläutert.

Nächste Schritte

Für erste Schritte mit Microsoft Entra-Internetzugriff aktivieren Sie das Microsoft-Profil für die Datenverkehrsweiterleitung.

Für die ersten Schritte mit privatem Microsoft Entra-Zugriff konfigurieren Sie zunächst eine Gruppe privater Netzwerkconnectors für die Schnellzugriffs-App.