Guia de implantação de acesso seguro global da Microsoft para o Microsoft Entra Internet Access

O Acesso Global Seguro da Microsoft converge controles de acesso de rede, identidade e ponto de extremidade para proporcionar acesso seguro a qualquer aplicativo ou recurso de qualquer local, dispositivo ou identidade. Ele habilita e orquestra o gerenciamento de políticas de acesso para funcionários corporativos. Você pode monitorar e ajustar continuamente, em tempo real, o acesso do usuário a seus aplicativos privados, aplicativos SaaS (software como serviço) e pontos de extremidade da Microsoft. Essa solução ajuda você a responder adequadamente às alterações de nível de risco e permissão conforme elas ocorrem.

Com o Microsoft Entra Internet Access, você pode controlar e gerenciar o acesso à Internet para usuários corporativos com dispositivos gerenciados quando eles funcionam local ou remotamente. Ele ajuda você a:

• Proteja seus usuários corporativos e dispositivos gerenciados contra tráfego mal-intencionado na Internet e infecção por malware.
• Impedir que os usuários acessem sites com base na categoria da Web ou no nome de domínio totalmente qualificado.
• Colete dados de uso da Internet para relatórios e investigações de suporte.

As diretrizes neste artigo ajudam você a testar e implantar o Microsoft Entra Internet Access em seu ambiente de produção. introdução ao guia de implantação do Microsoft Global Secure Access fornece diretrizes sobre como iniciar, planejar, executar, monitorar e fechar seu projeto de implantação do Acesso Seguro Global.

Identificar e planejar casos de uso chave

Antes de habilitar o Microsoft Entra Internet Access, planeje o que você deseja que ele faça por você. Entenda os casos de uso, como os seguintes, para decidir quais recursos implantar.

• Defina uma política de linha de base que se aplique a todo o tráfego de acesso à Internet roteado por meio do serviço.
• Impedir que usuários e grupos específicos usem dispositivos gerenciados para acessar sites por categoria (como Álcool e Tabaco ou Mídias Sociais). O Microsoft Entra Internet Access fornece mais de 60 categorias das quais você pode escolher.
• Impedir que usuários e grupos usem dispositivos gerenciados para acessar FQDN (nomes de domínio totalmente qualificados) específicos.
• Configure políticas de substituição para permitir que grupos de usuários acessem sites que suas regras de filtragem da Web bloqueariam de outra forma.
• Estenda os recursos do Microsoft Entra Internet Access para redes inteiras, incluindo dispositivos que não estão executando o cliente de Acesso Seguro Global
  • Simular conectividade de rede remota usando uma vWAN (rede virtual remota de ampla área)
  • Simular conectividade de rede remota usando um VNG (gateway de rede virtual) do Azure

Depois de entender os recursos necessários em seus casos de uso, crie um inventário para associar seus usuários e grupos a esses recursos. Entenda quais usuários e grupos devem ser bloqueados ou permitidos para acessar diferentes categorias de sites e FQDNs. Incluir a priorização de regra para cada grupo de usuários.

Testar e implantar o Microsoft Entra Internet Access

Neste ponto, você concluiu os estágios de início e plano do projeto de implantação do SASE (Secure Access Services Edge). Você entende o que precisa implementar para quem. Você definiu quais usuários habilitar em cada onda. Você tem uma agenda para a implantação de cada onda. Você atendeu aos requisitos de licenciamento . Você está pronto para habilitar o Microsoft Entra Internet Access.

1. Conclua os pré-requisitos do Acesso Global Seguro.
2. Criar um grupo do Microsoft Entra que inclua os usuários piloto.
3. Habilite o acesso à Internet do Microsoft Entra e os perfis de encaminhamento de tráfego da Microsoft. Atribua seu grupo piloto a cada perfil.

Nota

O tráfego da Microsoft é um subconjunto de tráfego da Internet que tem o próprio gateway de túnel dedicado. Para obter um desempenho ideal, habilite o Tráfego da Microsoft com o perfil de tráfego de acesso à Internet.

1. Crie comunicações do usuário final para definir expectativas e fornecer um caminho de escalonamento.

2. Crie um plano de reversão que defina as circunstâncias e os procedimentos para quando você remover o cliente do Acesso Seguro Global de um dispositivo de usuário ou desabilitar o perfil de encaminhamento de tráfego.

3. Enviar comunicações do usuário final.

4. Implante o cliente de Acesso Seguro Global para Windows em dispositivos para o grupo piloto testar.

5. Configure redes remotas usando vWAN ou VNG, caso esteja no escopo.

6. Configure políticas de filtragem de conteúdo da Web para permitir ou bloquear categorias ou FQDNs com base nos casos de uso definidos durante o planejamento.

   • Bloquear por categoria: definir uma regra que bloqueia uma das muitas categorias gerenciadas predefinidas
   • Bloquear por FQDN: definir uma regra que bloqueia um FQDN que você especificar
   • Substituir: definir uma regra que permita uma categoria da Web ou FQDN que você especificar

7. Crie perfis de segurança que agrupem e priorizem suas políticas de filtragem de conteúdo da Web com base em seu plano.

   • Perfil de linha de base: use o recurso de perfil de linha de base para agrupar políticas de filtragem de conteúdo da Web que se aplicam a todos os usuários por padrão.
   • Perfis de segurança: crie perfis de segurança para agrupar políticas de filtragem de conteúdo da Web que se aplicam a um subconjunto de usuários.

8. Crie e vincule políticas de Acesso Condicional para aplicar seus perfis de segurança ao seu grupo piloto. O perfil padrão da Linha de Base não requer uma política de acesso condicional.

9. Faça com que os usuários piloto testem sua configuração.

10. Confirme a atividade nos logs de tráfego do Acesso Global Seguro.

11. Atualize sua configuração para resolver quaisquer problemas e repita o teste. Utilize o plano de reversão, se necessário.

12. Conforme necessário, faça iterações nas alterações em seu plano de implantação e comunicações para o usuário final.

Depois que o piloto for concluído, você terá um processo repetível para entender como proceder com cada onda de usuários em sua implantação de produção.

1. Identifique os grupos que contêm sua onda de usuários.
2. Notifique a equipe de suporte sobre a onda agendada e os usuários incluídos.
3. Envie comunicações preparadas do usuário final de acordo com seu plano.
4. Atribua os grupos ao perfil de encaminhamento de tráfego do Microsoft Entra Internet Access.
5. Implante o Cliente de Acesso Seguro Global nos dispositivos dos usuários desta etapa.
6. Se necessário, crie e configure mais políticas de filtragem de conteúdo da Web para permitir ou bloquear categorias ou FQDNs com base nos casos de uso definidos em seu plano.
7. Se necessário, crie mais perfis de segurança que agrupam e priorizem suas políticas de filtragem de conteúdo da Web com base em seu plano.
8. Crie políticas de Acesso Condicional para aplicar novos perfis de segurança aos grupos relevantes nessa onda ou adicione os novos grupos de usuários às políticas de Acesso Condicional existentes para perfis de segurança existentes.
9. Atualize sua configuração. Teste novamente para resolver problemas. Se necessário, inicie o plano de reversão.
10. Conforme necessário, itere as alterações nas comunicações do usuário final e no plano de implantação.

Próximas etapas

• Saiba como acelerar sua transição para um modelo de segurança de Confiança Zero com o Microsoft Entra Suite e a plataforma de operações de segurança unificada da Microsoft
• Introdução ao Guia de Implantação do Acesso Global Seguro da Microsoft
• Guia de Implantação de Acesso Seguro Global da Microsoft para o Microsoft Entra Private Access
• guia de implantação do Microsoft Global Secure Access para o Microsoft Traffic
• Simular conectividade de rede remota usando o Gateway de Rede Virtual do Azure – Acesso Seguro Global
• Simular conectividade de rede remota usando o VWAN do Azure – Acesso Seguro Global