Inleiding tot de proof-of-concept-richtlijnen van Microsoft Global Secure Access

2025-05-20

De proof-of-concept-richtlijnen (PoC) in deze reeks artikelen helpen u bij het leren, implementeren en testen van Microsoft Global Secure Access met Microsoft Entra Internet Access, Microsoft Entra Private Access en het Microsoft-verkeersprofiel.

Gedetailleerde richtlijnen worden voortgezet in deze artikelen:

In deze handleiding wordt ervan uitgegaan dat u een PoC uitvoert in een productieomgeving. Het uitvoeren van een PoC in een testomgeving biedt u mogelijk meer flexibiliteit.

Opmerking

Alle PoC-tests zijn afhankelijk van updates van het verkeersprofiel die worden gesynchroniseerd met het clientapparaat. Het kan tot 20 minuten duren voordat de synchronisatie is voltooid.

Volg de secties in dit artikel om ervoor te zorgen dat poC succesvol wordt gestart.

Inzicht in de producten

Het begrijpen van de producten en hun kernconcepten is de eerste stap voor het uitvoeren van een succesvolle PoC. Begin met de hulpmiddelen in dit gedeelte.

SSE-oplossing (Security Service Edge) van Microsoft

Microsoft Entra-internettoegang

Microsoft Entra Private Access

Microsoft Global Secure Access

Use cases identificeren

Terwijl u uw PoC ontwerpt, identificeert u relevante use cases en plant u de juiste configuratie en tests.

Microsoft Entra Private Access-gebruiksvoorbeelden

Houd rekening met de volgende vragen bij het uitwerken van uw Microsoft Entra Private Access-use-cases:

Gebruikt u vandaag een VPN? De beste manier om te beginnen is het testen van het VPN-vervangingsscenario. Dit scenario biedt u de mogelijkheid om alle resources te publiceren waartoe gebruikers toegang hebben via de VPN en hen te beschermen met behulp van Microsoft Entra ID. Vanaf dat moment kunt u toegang segmenteren.

Als u toegang wilt definiëren tot specifieke resources waartoe alleen geselecteerde gebruikers toegang moeten hebben, maakt u bedrijfs-apps. Zo moeten alleen beheerders externe toegang hebben tot servers. Raadpleeg het scenario voor VPN-vervanging om inzicht te krijgen in de aanbevolen configuratie.
Welke apparaattypen wilt u testen? Dagelijkse werkapparaten van gebruikers of afzonderlijke testapparaten? Als u van plan bent om werkapparaten te gebruiken, kunt u overwegen het VPN-vervangingsscenario te testen, zodat u Microsoft Entra Private Access kunt gebruiken voor al uw dagelijkse werkzaamheden.

Als u besluit om alleen bepaalde resources te publiceren met Behulp van Microsoft Entra Private Access, kunt u overwegen hoe gebruikers zich verifiëren bij deze resources en als u eenmalige aanmelding (SSO) met Active Directory nodig hebt. Mogelijk moet u ook overschakelen naar het gebruik van uw VPN voor toegang tot andere resources die u overdag nodig hebt.

Microsoft Entra Internet Access-gebruiksvoorbeelden

U kunt verschillende Microsoft Entra Internet Access en Microsoft Entra Internet Access testen voor Microsoft Services-scenario's in uw PoC. Overweeg co-existentie te testen met andere oplossingen, zoals in het artikel Learn about Security Service Edge (SSE) met Microsoft en Cisco wordt beschreven.

Moet u bepaalde FQDN's (Fully Qualified Domain Names) of webcategorieën blokkeren of toestaan voor toegang door alle gebruikers wanneer ze een beheerd apparaat gebruiken? Als u van plan bent om de meeste gebruikerstoegang tot specifieke FQDN's of webcategorieën te blokkeren of toe te staan, kunt u overwegen om het basislijnbeleid te testen dat van toepassing is op al het internettoegangsverkeer dat wordt gerouteerd via de gebruikscase van de service . U kunt het basislijnbeleid maken en toepassen op alle gebruikers zonder dat u beleid voor voorwaardelijke toegang hoeft te maken. Indien nodig kunt u deze overschrijven voor subsets van gebruikers.
Moet u voorkomen dat bepaalde groepen toegang hebben tot websites op basis van categorie of FQDN? Als u wilt voorkomen dat specifieke groepen gebruikers toegang hebben tot FQDN's of webcategorieën, overweeg dan om de Het blokkeren van een groep om toegang te krijgen tot websites op basis van categorie en Het blokkeren van een groep om toegang te krijgen tot websites op basis van FQDN gebruiksscenario's te testen.
Moet u een breed blok negeren of beleidsregels toestaan voor bepaalde gebruikers of specifieke omstandigheden? Als u specifieke gebruikers of groepen toegang wilt geven tot een geblokkeerde website, kunt u overwegen om de use case Toestaan dat een gebruiker toegang heeft tot een geblokkeerde website te testen.
Moet u de toegang tot uw Microsoft-gegevens beheren of controleren? U kunt het Microsoft-verkeersprofiel gebruiken om Global Secure Access in te schakelen voor het verkrijgen en routeren van SharePoint Online, Exchange Online en ander Microsoft-verkeer via de global Secure Access-cloudservices. Test dit scenario met de use-case van het Microsoft-verkeersdoorstuurprofiel inschakelen en beheren .
Moet u bepalen of uw gebruikers de beheerde apparaten van uw organisatie kunnen gebruiken om u aan te melden bij andere Entra ID-tenants? Overweeg universele tenantbeperkingen te testen.

Bereik en definieer succescriteria

Gebruik de PoC kickoff deck om uw PoC te plannen. Doorloop de vereisten op hoog niveau om belangrijke belanghebbenden te identificeren die in het project moeten worden opgenomen. Bepaal vervolgens scenario's binnen het bereik en ga akkoord met een tijdlijn.

Voldoen aan vereisten

Zorg ervoor dat u voldoet aan deze vereisten voor uw PoC:

Een Microsoft Entra ID-testtenant.
Een gebruiker met de rollen Globale Secure Access Administrator, Toepassingsbeheerder en Beheerder voor voorwaardelijke toegang. Raadpleeg ingebouwde rollen van Microsoft Global Secure Access.
Ten minste één Microsoft Entra ID-testgebruikersaccount.
Ten minste één clientapparaat voor het testen van gebruikers. Als u externe toegang wilt testen, moet u ervoor zorgen dat dit apparaat alleen Microsoft Entra Internet Access heeft en niet rechtstreeks verbinding kan maken met uw privénetwerk.
- Windows 11-apparaten moeten verbonden zijn met Microsoft Entra ID of hybride verbonden zijn met uw testtenant.
- Voor Android- en iOS-apparaten installeert u de Microsoft Defender-app en registreert u deze in uw testtenant.
De juiste betaalde of proeflicenties:

Als u Microsoft Entra Private Access-scenario's wilt testen, moet u ervoor zorgen dat u aan deze vereisten voldoet:

Implementeer ten minste één Windows Server 2019- of 2022-computer met uw persoonlijke of on-premises resources. Deze server moet een zicht hebben op de resources die u beschikbaar wilt maken via Microsoft Entra Private Access. Deze moet toegang hebben tot Microsoft-URL's.
Als u VPN-vervanging wilt testen, hebt u de IP-bereiken en FQDN's nodig die worden gebruikt voor volledige toegang tot uw bedrijfsnetwerk.
Als u zero trust-netwerktoegang per app wilt testen met behulp van Microsoft Entra Private Access, identificeert u een of meer testtoepassingen. U hebt de IP-adressen of FQDN's, protocollen en poorten nodig die clients gebruiken wanneer ze toegang hebben tot elke testtoepassing.

Als u Microsoft-verkeersscenario's wilt testen, hebt u Microsoft 365-producten nodig, zoals SharePoint Online of Exchange Online.

Het product configureren voor use cases

Nadat u aan de vereisten voldoet, gebruikt u de volgende secties als stappen om uw testomgeving te configureren.

1. Het product inschakelen in uw huurdersomgeving

Schakel het verkeersprofiel van elk product in voor Global Secure Access om verkeer voor dat productgebied te verkrijgen en te tunnelen. Wijs gebruikers en groepen toe aan het profiel, zodat de Global Secure Access-client voor die gebruikers verkeer verkrijgt en routeert naar Global Secure Access. In de volgende artikelen worden de vereiste rollen voor deze taken gedefinieerd:

2. Installeer de Global Secure Access-client

Installeer de Global Secure Access-client op elk clientapparaat dat verbinding maakt met global Secure Access-services. Zorg ervoor dat uw testapparaten voldoen aan de vereisten. Bekijk bekende beperkingen voor globale beveiligde toegang.

Installeer de Global Secure Access-client voor Windows.
Installeer de Global Secure Access-client voor macOS.
Installeer de Global Secure Access-client voor Android.
Installeer de Global Secure Access-client voor iOS (preview).

Als u de client op meerdere apparaten wilt implementeren, gebruikt u Intune of een andere oplossing voor het beheer van mobiele apparaten.

3. Privétoegang van Microsoft Entra configureren

Zie het artikel Microsoft Entra Private Access configureren voor gedetailleerde stappen.

4. Microsoft Entra Internet Access configureren

Zie het artikel Microsoft Entra Internet Access configureren voor gedetailleerde stappen.

Problemen oplossen

Als u problemen ondervindt met uw PoC, kunnen deze artikelen u helpen bij het oplossen van problemen, logboekregistratie en bewaking: