Compartilhar via

Introdução ao Guia de Implantação de Acesso Seguro Global da Microsoft

o Microsoft Global Secure Access é um componente fundamental de uma estratégia bem-sucedida SASE (Secure Access Service Edge). Ele apresenta Microsoft Entra Internet Access, Microsoft Entra Private Accesse Microsoft Traffic. Ele usa a vasta rede privada da Microsoft e seu investimento em políticas de Acesso Condicional para ajudá-lo a proteger seus dados corporativos no nível da rede.

Aqui estão os principais cenários de implantação do Acesso Seguro Global:

  • Substitua as soluções VPN existentes por uma abordagem ZTNA (Zero Trust Network Access) que fornece conectividade segura do ponto de extremidade ao aplicativo.
  • Proteja e monitore o Tráfego da Microsoft para funcionários no local e remotos.
  • Proteja e monitore o tráfego de Internet para funcionários locais e remotos.

Este Guia de Implantação ajuda você a planejar e implantar o Acesso Seguro Global da Microsoft. Consulte Visão geral do licenciamento do Acesso Global Seguro para obter informações sobre o licenciamento. Embora a maioria dos serviços esteja geralmente disponível (GA), algumas partes do serviço estão em versão prévia pública. Confira 425 Show: Planeje e implemente sua implantação de Acesso Seguro Global para um vídeo explicativo detalhando recomendações de planejamento e implementação.

Realizar uma prova de conceito

Execute uma prova de conceito (PoC) para garantir que a solução escolhida forneça os recursos e a conectividade necessários.

Dependendo de quais recursos você planeja implantar em um PoC para o Acesso Seguro Global da Microsoft, você precisará de até sete horas. Verifique se você cumpriu os requisitos de licenciamento .

  • Configurar os pré-requisitos: uma hora
  • Configurar o produto inicial: 20 minutos
  • Configurar a rede remota: 1 a 2 horas
  • Implantar e testar o perfil de tráfego da Microsoft: uma hora
  • Implantar e testar o Microsoft Entra Internet Access: uma hora
  • Implantar e testar o Microsoft Entra Private Access: uma hora
  • Fechar a prova de conceito: 30 minutos

Consulte 425 Show: Global Secure Access Proof of Concept Deep Dive para um assistir a um vídeo que apresenta detalhadamente os procedimentos de prova de conceito.

Iniciar seu projeto de Acesso Seguro Global

A iniciação do projeto é a primeira etapa em qualquer projeto bem-sucedido. No início da iniciação do projeto, você decidiu implementar o Microsoft Global Secure Access. O sucesso do projeto depende de você entender os requisitos, definir critérios de êxito e garantir as comunicações apropriadas. Certifique-se de gerenciar expectativas, resultados e responsabilidades.

Identificar requisitos de negócios, resultados e critérios de êxito

Identifique os requisitos de negócios, os resultados e os critérios de sucesso para esclarecer exatamente o que você precisa realizar com critérios de êxito. Por exemplo:

  • Qual é o resultado principal que você precisa que este projeto alcance?
  • Como você planeja substituir sua VPN?
  • Como você planeja proteger seu Tráfego da Microsoft?
  • Como você planeja proteger seu tráfego de Internet?

Depois de identificar os cenários primários, aprofunde-se nos detalhes:

  • Quais aplicativos seus usuários precisam acessar?
  • Quais sites precisam de controle de acesso?
  • O que é obrigatório e o que é opcional?

Durante esse estágio, crie um inventário que descreva usuários, dispositivos e aplicativos-chave no escopo. Para substituição de VPN, comece com o Acesso Rápido para identificar os aplicativos privados que seus usuários precisam acessar para que você possa defini-los no Microsoft Entra Private Access.

Definir o agendamento

Seu projeto é um sucesso depois que você obtém os resultados desejados dentro das restrições de orçamento e tempo. Identifique as metas de resultado por data, trimestre ou ano. Trabalhe com suas partes interessadas para entender marcos específicos que determinam objetivos de resultados. Defina os requisitos de revisão e os critérios de êxito para cada meta. Como o Acesso Seguro Global da Microsoft está em desenvolvimento contínuo, mapeie os requisitos para estágios de desenvolvimento de recursos.

Identificar partes interessadas

Identificar e documentar as partes interessadas, funções e responsabilidades das pessoas que desempenham um papel em seu projeto ZTNA. Títulos e funções podem ser diferentes de uma organização para outra; no entanto, as áreas de propriedade são semelhantes. Considere as funções e as responsabilidades na tabela a seguir e identifique os stakeholders correspondentes. Distribua essa tabela à liderança, partes interessadas e sua equipe.

Função Responsabilidade
Patrocinador Líder sênior da empresa com autoridade para aprovar e/ou atribuir orçamento e recursos. Conecta gerentes e equipes executivas. Tomador de decisão técnica para implementação de produtos e recursos.
Usuários finais Pessoas para as quais você implementa o serviço. Pode participar de um programa piloto.
Gerenciador de suporte de TI Fornece entrada sobre a possibilidade de suporte à alteração proposta.
Arquiteto de identidades Define como a alteração se alinha à infraestrutura de gerenciamento de identidade. Entende o ambiente atual.
Proprietário do negócio de aplicativos Possui os aplicativos afetados que podem incluir o gerenciamento de acesso. Fornece informações sobre a experiência do usuário.
Proprietário de segurança Confirma que o plano de alteração atende aos requisitos de segurança.
Gerenciador de rede Supervisiona a funcionalidade de rede, o desempenho, a segurança e a acessibilidade.
Gerenciador de Conformidade Garante a conformidade com requisitos corporativos, industriais e governamentais.
Gerente de programas técnicos Supervisiona o projeto, gerencia requisitos, coordena fluxos de trabalho e garante a adesão ao agendamento e ao orçamento. Facilita o plano de comunicação e os relatórios.
Equipe do SOC/CERT Confirma os requisitos de relatório e log de busca de ameaças.
Administrador de locatários Coordena os proprietários de TI e os recursos técnicos responsáveis pelas alterações no locatário do Microsoft Entra durante todo o projeto.
Equipe de implantação Executa tarefas de implantação e configuração.

Criar um gráfico RACI

RACI (Responsável, Responsabilizado, Consultado, Informado) refere-se a definições de função e responsabilidade. Para projetos e processos interfuncionais ou departamentais, defina e esclareça funções e responsabilidades em um quadro RACI.

  1. Baixe o modelo RACI do Guia de Implantação de Acesso Seguro Global como ponto de partida.
  2. Mapeie as funções Responsável, Encarregado, Consultado e Informado para os fluxos de trabalho do projeto.
  3. Distribua o gráfico RACI para os stakeholders e verifique se eles entendem as atribuições.

Criar um plano de comunicações

Um plano de comunicação ajuda você a interagir adequadamente, proativamente e regularmente com seus stakeholders.

  • Forneça informações relevantes sobre os planos de implantação e o status do projeto.
  • Defina a finalidade e a frequência das comunicações com cada stakeholder no gráfico RACI.
  • Determine quem cria e distribui comunicações junto com mecanismos para compartilhar informações. Por exemplo, o gerenciador de comunicações mantém os usuários finais atualizados sobre as alterações pendentes e atuais com email e em um site designado.
  • Inclua informações sobre alterações na experiência do usuário e como os usuários podem obter suporte. Consulte os modelos de comunicação do usuário final de exemplo:

Criar um plano de controle de alteração

Os planos estão sujeitos a alterações à medida que a equipe de projeto coleta informações e detalhes. Crie um plano de controle de alterações para descrever aos stakeholders:

  • alterar processos e procedimentos de solicitação.
  • como entender o impacto da alteração.
  • responsabilidades para revisão e aprovação.
  • o que acontece quando uma alteração requer mais tempo ou fundos.

Um bom plano de controle garante que as equipes saibam o que fazer quando as alterações são necessárias.

Criar um plano de fechamento de projeto

Cada fechamento de projeto requer uma revisão pós-projeto. Identifique as métricas e as informações a serem incluídas nesta revisão para que você possa coletar regularmente os dados corretos durante todo o tempo de vida do projeto. Um plano de fechamento de projeto ajuda você a gerar com eficiência o Resumo das Lições Aprendidas.

Conseguir consenso das partes interessadas

Depois de concluir as tarefas de iniciação do projeto, trabalhe com cada stakeholder para garantir que os planos atendam às suas necessidades específicas. Evite mal-entendidos e surpresas com um processo oficial de aprovação que documenta aprovações por consenso e escrita. Organize uma reunião inicial que aborde o escopo e os detalhes na documentação de referência.

Planejar seu projeto de Acesso Seguro Global

Criar um agendamento detalhado do projeto

Crie um cronograma detalhado do projeto com os marcos identificados na iniciação do projeto. Defina expectativas realistas com planos de contingência para atender aos principais marcos:

  • Prova de conceito (PoC)
  • Data do piloto
  • Data de inicialização
  • Datas que afetam a entrega
  • Dependências

Inclua essas informações na agenda do projeto:

  • Estrutura de divisão de trabalho detalhada com datas, dependências e caminho crítico

    • Número máximo de usuários a serem transferidos em cada ciclo com base na carga de suporte esperada
    • Período de cada ciclo de implantação (por exemplo, transferir um ciclo de implantação a cada segunda-feira)
    • Grupos específicos de usuários em cada onda de implantação (para não exceder o número máximo)
    • Aplicativos que os usuários exigem (ou usam o Acesso Rápido)

  • Membros da equipe atribuídos a cada tarefa

Criar um plano de gerenciamento de riscos

Crie um plano de gerenciamento de riscos para se preparar para contingências que possam afetar datas e orçamento.

  • Identifique o caminho crítico e os resultados-chave obrigatórios.
  • Entenda os riscos do fluxo de trabalho.
  • Documente planos de backup para manter-se no caminho quando surgirem contingências.

Definir critérios de sucesso de desempenho

Defina métricas de desempenho aceitáveis para testar objetivamente e garantir que sua implantação seja bem-sucedida e sua experiência de usuário esteja dentro dos parâmetros. Considere incluir as métricas a seguir.

Acesso privado do Microsoft Entra

  • O desempenho da rede está dentro dos parâmetros definidos?

    • O painel Global Secure Access oferece visualizações do tráfego de rede que o Microsoft Entra Private e o Microsoft Entra Internet Access obtêm. Ele compila dados de configurações de rede, incluindo dispositivos, usuários e locatários.
    • Use o Monitoramento de Rede nos logs do Azure Monitor para monitorar e analisar a conectividade da rede, a integridade dos circuitos do ExpressRoute e o tráfego de rede na nuvem.

  • Você notou que a latência aumentou durante o piloto? Você tem requisitos de latência específicos do aplicativo?

  • O SSO (Logon Único) para seus principais aplicativos está funcionando corretamente?

  • Considere a execução de pesquisas de satisfação do usuário e aceitação do usuário.

Tráfego da Microsoft

  • O desempenho da rede está dentro dos parâmetros definidos?

    • O painel Global Secure Access oferece visualizações do tráfego de rede que o Microsoft Entra Private e o Microsoft Entra Internet Access obtêm. Ele compila dados de configurações de rede, incluindo dispositivos, usuários e locatários.
    • Use a Avaliação de rede do Microsoft 365 para depurar uma agregação de métricas de desempenho de rede em um instantâneo da integridade do perímetro da rede empresarial.
    • Use o teste de conectividade de rede do Microsoft 365 para medir a conectividade entre seu dispositivo e a Internet e de lá para a rede da Microsoft.

  • Você notou algum aumento de latência durante o piloto?

  • Considere executar uma pesquisa de satisfação do usuário.

  • Considere executar uma pesquisa de aceitação do usuário.

Acesso à Internet do Microsoft Entra

Planejar cenários de reversão

À medida que você trabalha com sua implantação de produção e aumenta ativamente o número de usuários com o Microsoft Security Service Edge, você pode descobrir cenários imprevistos ou não testados que afetam negativamente os usuários finais. Planeje-se para o impacto negativo:

  • Defina um processo para os usuários finais relatarem problemas.
  • Defina um procedimento para reverter a implantação para usuários ou grupos específicos ou desabilitar o perfil de tráfego.
  • Defina um procedimento para avaliar o que deu errado, identificar as etapas de correção e se comunicar com os stakeholders.
  • Prepare-se para testar novas configurações antes que a implantação de produção continue para ondas subsequentes de usuários.

Executar seu plano de projeto

Obter permissões

Verifique se os administradores que interagem com Acesso Seguro Global têm as funções corretas atribuídas.

Preparar sua equipe de suporte de TI

Determine como os usuários recebem suporte quando têm problemas de conectividade ou perguntas. Desenvolva a documentação de autoatendimento para reduzir a pressão sobre sua equipe de Suporte de TI. Verifique se sua equipe de suporte de TI recebe treinamento para preparação para implantação. Inclua-os nas comunicações aos usuários finais para que eles conheçam as agendas de migração planejadas por fases, as equipes afetadas e os aplicativos no escopo. Para evitar confusão na base de usuários ou no suporte de TI, estabeleça um processo para lidar e escalonar solicitações de suporte do usuário.

Executar uma implantação piloto

Considerando os usuários, dispositivos e aplicativos no escopo da implantação de produção, comece com um grupo de teste pequeno e inicial. Ajuste o processo de comunicações, implantação, teste e suporte para sua distribuição em fases. Antes de começar, examine e confirme se você tem todos os pré-requisitos em vigor.

Verifique o registro do dispositivo em seu locatário. Siga as diretrizes em Planeje a implantação de dispositivos do Microsoft Entra. Se sua organização usar o Intune, siga as diretrizes em Gerenciar e proteger dispositivos no Intune.

Recomendações para requisitos opcionais

Os recursos na tabela a seguir fornecem tarefas detalhadas de planejamento e execução para cada requisito opcional.

Requisito opcional Recurso
Proteja o acesso a seu tráfego da Microsoft. Plano de implantação do tráfego da Microsoft
Substitua sua VPN por uma solução de Confiança Zero para proteger recursos locais pelo perfil de tráfego de Acesso Privado. Plano de implantação do Acesso Privado do Microsoft Entra
Proteja o tráfego da Internet com o perfil de tráfego do Microsoft Entra Internet Access. Plano de implantação do Acesso à Internet do Microsoft Entra

O seu projeto piloto deve incluir alguns usuários (menos de 20) que possam testar os dispositivos e aplicativos necessários dentro do escopo. Depois de identificar usuários piloto, atribua-os aos perfis de tráfego individualmente ou como um grupo (recomendado). Siga as diretrizes detalhadas em Atribuir usuários e grupos a perfis de encaminhamento de tráfego.

Trabalhe sistematicamente em cada aplicativo identificado dentro do escopo. Assegure que os usuários possam se conectar conforme o esperado em dispositivos dentro do escopo. Observe e documente métricas de critérios de êxito de desempenho. Teste os planos e processos de comunicação. Ajuste e itere conforme necessário.

Depois que o piloto for concluído e atender aos critérios de êxito, verifique se a equipe de suporte está pronta para as próximas fases. Finalizar processos e comunicações. Avance para a implantação para a produção.

Implantar para a produção

Depois de concluir todos os planos e testes, a implantação deve ser um processo repetível com os resultados esperados.

Para obter mais informações, consulte as diretrizes relevantes:

Repita as implantações de onda até migrar todos os usuários para o Acesso Seguro Global da Microsoft. Se você estiver usando o Acesso Privado do Microsoft Entra, ele desabilita o Acesso Rápido e encaminha todo o tráfego por meio de aplicativos de Acesso Seguro Global.

Planejar o acesso de emergência

Quando o Acesso Seguro Global está inativo, os usuários não podem acessar recursos que a verificação de rede em conformidade com o Acesso Seguro Global protege. O GsaBreakglassEnforcementscript permite que os administradores corporativos mudem as políticas de Acesso Condicional da rede compatível habilitadas para o modo somente relatório. O script permite temporariamente que os usuários acessem esses recursos sem o Acesso Seguro Global.

Depois que o Acesso Seguro Global estiver de volta, use o GsaBreakglassRecoveryscript para ativar todas as políticas afetadas.

Considerações adicionais

Monitorar e controlar seu projeto de Acesso Seguro Global

Monitore e controle seu projeto para gerenciar riscos e identificar problemas que podem exigir desvio do seu plano. Mantenha seu projeto no controle e garanta comunicações precisas e oportunas com os stakeholders. Sempre preencha os requisitos com precisão, dentro do tempo e dentro do orçamento.

Principais objetivos desta fase:

  • Monitoramento de progresso. As tarefas foram concluídas como agendadas? Se não, por que não? Como você volta aos trilhos?
  • Descoberta de problemas. Os problemas surgiram (como disponibilidade de recursos não planejada ou outros desafios imprevistos)? As alterações necessárias exigiram ordens de alteração?
  • Monitoramento de eficiência. Você identificou ineficiências inerentes em processos definidos? Quando o monitoramento revela ineficiências, como ajustar sua abordagem de projeto?
  • Confirmação de comunicações. Os stakeholders ficaram satisfeitos com sua frequência de comunicação e nível de detalhes? Caso contrário, como você fará o ajuste?

Estabeleça a agenda semanal e a revisão de detalhes do projeto. Preste muita atenção aos marcos críticos. Gere comunicações apropriadas para todos os stakeholders e capture dados para relatórios de fechamento de projeto.

Fechar seu projeto de Acesso Seguro Global

Parabéns! Você concluiu sua implantação do Microsoft Global Secure Access. Resolva as pendências e feche o projeto.

  • Colete comentários dos stakeholders para entender se a equipe atendeu às expectativas e às necessidades.
  • Utilize os dados que você coletou ao longo da fase de execução (conforme definido durante a iniciação do projeto) para desenvolver os ativos necessários para o fechamento. Por exemplo, avaliação de projeto, lições aprendidas e apresentações post mortem.
  • Arquive os detalhes do projeto para referência em projetos futuros semelhantes.

Próximas etapas