Condividi tramite

Guida alla distribuzione di Microsoft Global Secure Access per Microsoft Entra Private Access

  • Articolo

Microsoft Global Secure Access converge i controlli di accesso alla rete, all'identità e agli endpoint per l'accesso sicuro a qualsiasi app o risorsa da qualsiasi posizione, dispositivo o identità. Consente e orchestra la gestione dei criteri di accesso per i dipendenti aziendali. È possibile monitorare e regolare continuamente, in tempo reale, l'accesso degli utenti alle app private, alle app SaaS (Software-as-a-Service) e agli endpoint Microsoft. Il monitoraggio continuo e la regolazione consentono di rispondere in modo appropriato alle modifiche a livello di autorizzazione e rischio man mano che si verificano.

Microsoft Entra Private Access consente di sostituire la VPN aziendale. Fornisce agli utenti aziendali l'accesso macro e micro segmentato alle applicazioni aziendali controllate con i criteri di accesso condizionale. Consente di:

  • Fornire accesso Zero Trust point-to-point alle applicazioni private con tutte le porte e i protocolli. Questo approccio impedisce ai malintenzionati spostamenti laterali o scansioni delle porte nella rete aziendale.
  • Richiedere l'autenticazione a più fattori quando gli utenti si connettono alle applicazioni private.
  • Eseguire il tunneling dei dati sulla vasta rete privata globale di Microsoft per massimizzare le comunicazioni di rete sicure.

Le linee guida contenute in questo articolo consentono di testare e distribuire Accesso privato di Microsoft Entra nel vostro ambiente di produzione mentre siete nella fase di esecuzione della distribuzione. Introduzione alla distribuzione di Microsoft Global Secure Access fornisce indicazioni su come avviare, pianificare, eseguire, monitorare e chiudere il progetto di distribuzione di Microsoft Global Secure Access.

Identificare e pianificare i casi d'uso chiave

La sostituzione di una VPN è lo scenario principale per Microsoft Entra Private Access. In questo scenario potrebbero esserci altri casi d'uso per la tua distribuzione. Ad esempio, potrebbe essere necessario:

  • Applicare i criteri di accesso condizionale per controllare utenti e gruppi prima di connettersi alle applicazioni private.
  • Configurare l'autenticazione a più fattori come requisito per connettersi a qualsiasi app privata.
  • Abilitare una distribuzione in più fasi che si avvicini a Zero Trust nel tempo per le tue applicazioni Transmission Control Protocol (TCP) e User Datagram Protocol (UDP) -based.
  • Usare un Fully Qualified Domain Name (FQDN) per connettersi a reti virtuali che si sovrappongono o duplicano intervalli di indirizzi IP, al fine di configurare l'accesso ad ambienti temporanei.
  • Privileged Identify Management (PIM) per configurare la segmentazione di destinazione per l'accesso con privilegi.

Dopo aver compreso le funzionalità necessarie nei casi d'uso, creare un inventario per associare utenti e gruppi a queste funzionalità. Pianificare l'uso della funzionalità accesso rapido per duplicare inizialmente la funzionalità VPN in modo da poter testare la connettività e rimuovere la VPN. Usa poi l'Individuazione delle Applicazioni per identificare i segmenti applicativi a cui si connettono gli utenti, in modo da poter quindi proteggere la connettività a indirizzi IP, FQDN e porte specifiche.

Testare e distribuire Microsoft Entra Private Access

A questo punto, sono state completate le fasi di avvio e pianificazione del progetto di distribuzione SASE (Secure Access Service Edge). Si capisce cosa è necessario implementare per chi. Hai definito gli utenti da abilitare in ogni fase. È prevista una pianificazione per la distribuzione di ogni onda. Hai soddisfatto i requisiti di licenza . Si è pronti per abilitare Microsoft Entra Private Access.

  1. Creare comunicazioni degli utenti finali per impostare le aspettative e fornire un percorso di escalation.
  2. Creare un piano di ripristino che definisca le circostanze e le procedure per rimuovere il client Global Secure Access da un dispositivo utente o disabilitare il profilo di inoltro del traffico.
  3. Creare un gruppo Microsoft Entra che includa gli utenti pilota.
  4. Abilita il profilo di inoltro del traffico Microsoft Entra Private Access e assegna il gruppo pilota. Assegnare utenti e gruppi ai profili di instradamento del traffico.
  5. Effettuare il provisioning di server o macchine virtuali che dispongono di un accesso diretto alle applicazioni per funzionare come connettori, fornendo connettività esterna alle applicazioni per gli utenti. Prendere in considerazione scenari di bilanciamento del carico e requisiti di capacità per prestazioni accettabili. Configurare i connettori per l'accesso privato di Microsoft Entra su ciascuna macchina connettore.
  6. Se si dispone di un inventario delle applicazioni aziendali, configurare l'accesso per app usando le applicazioni di accesso sicuro globale. In caso contrario, configurare Quick Access per Global Secure Access.
  7. Comunicare le aspettative al gruppo pilota.
  8. Distribuire il client di accesso sicuro globale per Windows sui dispositivi da testare per il gruppo pilota.
  9. Creare criteri di accesso condizionale in base ai requisiti di sicurezza da applicare al gruppo pilota quando questi utenti si connettono alle applicazioni Global Secure Access Enterprise pubblicate.
  10. Chiedere agli utenti pilota di testare la configurazione.
  11. Se necessario, aggiorna la configurazione e ripeti il test. Se necessario, avviare il piano di roll back.
  12. Aggiornare, secondo necessità, le comunicazioni con gli utenti finali e il piano di distribuzione.

Configurare l'accesso per app

Per ottimizzare il valore della distribuzione di Microsoft Entra Private Access, è necessario passare dall'accesso rapido all'accesso per app. È possibile usare funzionalità di individuazione delle applicazioni per creare rapidamente applicazioni di accesso sicuro globale dai segmenti di app a cui gli utenti accedono. È anche possibile usare applicazioni Global Secure Access Enterprise per crearle manualmente, oppure puoi usare PowerShell per automatizzare la creazione.

  1. Creare l'applicazione e limitarne l'ambito a tutti gli utenti assegnati ad Accesso rapido (scelta consigliata) o a tutti gli utenti che devono accedere all'applicazione specifica.
  2. Aggiungere almeno un segmento di app all'applicazione. Non è necessario aggiungere tutti i segmenti di app contemporaneamente. È consigliabile aggiungerli lentamente in modo da poter convalidare il flusso di traffico per ogni segmento.
  3. Si noti che il traffico verso questi segmenti di app non viene più visualizzato in Accesso rapido. Usare Accesso rapido per identificare i segmenti di app che è necessario configurare come applicazioni di accesso sicuro globale.
  4. Continuare a creare applicazioni di Global Secure Access finché non compaiono più segmenti di app in Accesso rapido.
  5. Disabilitare l'accesso rapido.

Al termine del progetto pilota, è necessario avere un processo ripetibile e comprendere come procedere con ogni ondata di utenti nella distribuzione di produzione.

  1. Identifica i gruppi che contengono il tuo gruppo di utenti.
  2. Inviare una notifica al team di supporto dell'onda pianificata e dei relativi utenti inclusi.
  3. Inviare comunicazioni degli utenti finali pianificate e preparate.
  4. Assegnare i gruppi al profilo di inoltro del traffico di Microsoft Entra Private Access.
  5. Distribuire il client di accesso sicuro globale nei dispositivi per gli utenti dell'onda.
  6. Se necessario, distribuire più connettori di rete privata e creare più applicazioni globali per l'accesso sicuro enterprise.
  7. Se necessario, creare criteri di accesso condizionale da applicare agli utenti dell'onda quando si connettono a queste applicazioni.
  8. Aggiornare la configurazione. Testare nuovamente per risolvere i problemi, se necessario, avviare il piano di rollback.
  9. Se necessario, apportare modifiche alle comunicazioni degli utenti finali e al piano di distribuzione.

Passaggi successivi