Bagikan melalui

Panduan penyebaran Microsoft Global Secure Access untuk Microsoft Traffic

Microsoft Global Secure Access menyatukan kontrol akses jaringan, identitas, dan titik akhir untuk akses aman ke aplikasi atau sumber daya apa pun dari lokasi, perangkat, atau identitas apa pun. Ini memungkinkan dan mengatur manajemen kebijakan akses untuk karyawan perusahaan. Anda dapat terus memantau dan menyesuaikan, secara real time, akses pengguna ke aplikasi privat Anda, aplikasi Software-as-a-Service (SaaS), dan titik akhir Microsoft. Pemantauan dan penyesuaian berkelanjutan membantu Anda merespons perubahan tingkat izin dan risiko dengan tepat saat terjadi.

Profil penerusan lalu lintas Microsoft memungkinkan Anda mengontrol dan mengelola lalu lintas internet yang khusus untuk titik akhir Microsoft bahkan ketika pengguna bekerja dari lokasi jarak jauh. Ini membantu Anda untuk:

  • Lindungi dari penyelundupan data.
  • Mengurangi risiko pencurian token dan serangan replay.
  • Menghubungkan alamat IP sumber perangkat dengan log aktivitas untuk meningkatkan efisiensi perburuan ancaman.
  • Memudahkan pengelolaan kebijakan akses tanpa daftar alamat IP egress.

Panduan dalam artikel ini membantu Anda menguji dan menyebarkan profil lalu lintas Microsoft di lingkungan produksi Anda. pengenalan panduan penyebaran Microsoft Global Secure Access memberikan panduan tentang cara memulai, merencanakan, menjalankan, memantau, dan menutup proyek penyebaran Akses Aman Global Anda.

Mengidentifikasi dan merencanakan kasus penggunaan utama

Sebelum mengaktifkan Microsoft Entra Secure Access Essentials, tentukan apa yang Anda ingin lakukan dengannya. Pahami kasus penggunaan Anda untuk memutuskan fitur mana yang akan disebarkan. Tabel berikut merekomendasikan konfigurasi berdasarkan kasus penggunaan.

Kasus penggunaan Konfigurasi yang direkomendasikan
Mencegah pengguna dan grup menggunakan perangkat organisasi Anda untuk masuk ke penyewa ID Entra yang tidak sah. Mengonfigurasi pembatasan universal untuk penyewa.
Pastikan pengguna terhubung dan mengautentikasi hanya dengan tunnel jaringan aman Global Secure Access untuk mengurangi risiko pencurian/pemutaran ulang token untuk Microsoft 365 dan semua aplikasi Enterprise. Mengonfigurasi pemeriksaan jaringan yang mematuhi dalam kebijakan Akses Bersyarat.
Memaksimalkan keberhasilan dan efisiensi perburuan ancaman. Konfigurasikan pengembalian IP Sumber (Pratinjau) dan Gunakan log Microsoft 365 yang telah diperkaya.

Setelah Anda menentukan kemampuan mana yang Anda butuhkan untuk kasus penggunaan Anda, sertakan penyebaran fitur dalam implementasi Anda.

Menguji dan menyebarkan profil lalu lintas Microsoft

Pada titik ini, Anda menyelesaikan tahapan inisiasi dan rencana proyek penyebaran Akses Aman Global Anda. Anda memahami apa yang perlu Anda terapkan untuk siapa. Anda menentukan pengguna untuk diaktifkan di setiap gelombang. Anda memiliki jadwal untuk setiap penyebaran gelombang. Anda telah memenuhi persyaratan lisensi . Anda siap untuk mengaktifkan profil lalu lintas Microsoft.

  1. Buat komunikasi pengguna akhir untuk menetapkan harapan dan menyediakan jalur eskalasi.
  2. Buat rencana pemulihan yang menentukan keadaan dan prosedur saat Anda menghapus perangkat lunak klien Akses Aman Global dari perangkat milik pengguna atau menonaktifkan profil penerusan lalu lintas.
  3. Membuat grup Microsoft Entra yang menyertakan pengguna pilot Anda.
  4. Kirim komunikasi pengguna akhir.
  5. Aktifkan profil penerusan lalu lintas Microsoft dan tetapkan grup pilot Anda ke profil tersebut.
  6. Jika Anda berencana untuk memaksimalkan keberhasilan dan efisiensi perburuan ancaman Anda, konfigurasikan pemulihan IP sumber .
  7. Buat kebijakan Akses Bersyarat yang memerlukan pemeriksaan sesuai di jaringan untuk grup pilot Anda jika merupakan kasus penggunaan yang sudah direncanakan.
  8. Konfigurasikan pembatasan penyewa universal jika ini adalah kasus penggunaan yang sudah direncanakan.
  9. Sebarkan klien Global Secure Access untuk Windows pada perangkat untuk diuji grup pilot Anda.
  10. Mintalah pengguna perintis Anda untuk menguji konfigurasi Anda.
  11. Lihat log masuk untuk memastikan bahwa pengguna pilot tersambung ke titik akhir Microsoft menggunakan Akses Aman Global.
  12. Verifikasi pemeriksaan jaringan yang sesuai dengan menjeda agen Akses Aman Global lalu mencoba mengakses SharePoint.
  13. Periksa batasan penyewa dengan cara mencoba masuk ke tenant lain.
  14. Verifikasi pemulihan IP sumber dengan membandingkan alamat IP dalam log masuk untuk koneksi yang berhasil ke SharePoint Online saat menghubungkan menggunakan agen Akses Aman Global yang aktif dibandingkan dengan yang dinonaktifkan untuk memastikan mereka sama.

    Nota

    Anda harus menonaktifkan kebijakan Akses Bersyar yang mewajibkan pemeriksaan kepatuhan jaringan untuk verifikasi ini.

Perbarui konfigurasi Anda untuk mengatasi masalah apa pun. Ulangi tesnya. Terapkan rencana pemulihan jika diperlukan. Ulangi perubahan pada komunikasi pengguna akhir dan rencana penyebaran Anda jika diperlukan.

Setelah menyelesaikan pilot, Anda memiliki proses yang berulang untuk melanjutkan setiap gelombang pengguna dalam penyebaran produksi Anda.

  1. Identifikasi grup yang berisi pengguna gelombang Anda.
  2. Beri tahu tim dukungan Anda tentang jadwal gelombang dan pengguna yang disertakan.
  3. Kirim komunikasi dari gelombang ke pengguna akhir.
  4. Tetapkan kelompok gelombang ke profil penerusan lalu lintas Microsoft.
  5. Sebarkan Klien Akses Aman Global di perangkat pengguna gelombang.
  6. Buat atau perbarui kebijakan Conditional Access untuk memberlakukan persyaratan kasus penggunaan Anda pada grup relevan dalam gelombang tersebut.
  7. Sesuai kebutuhan, ulangi perubahan pada komunikasi pengguna akhir dan rencana penyebaran Anda.

Langkah berikutnya

  • Last updated on