针对 Microsoft Entra Internet 访问的 Microsoft 全球安全访问部署指南

Microsoft全局安全访问 融合网络、身份和终端访问控制，实现从任何位置、设备或身份对任何应用程序或资源的安全访问。 它可实现并协调企业员工的访问策略管理。 可以持续监视和调整对专用应用、软件即服务（SaaS）应用和Microsoft终结点的用户访问权限。 此解决方案可帮助你恰当地响应权限和风险级别发生的变化。

使用 Microsoft Entra Internet 访问，可以在企业用户使用托管设备在本地或远程工作时控制和管理 Internet 访问。 它可帮助你：

• 保护企业用户和托管设备免受恶意 Internet 流量和恶意软件感染。
• 阻止用户基于 Web 类别或完全限定的域名访问站点。
• 收集用于报告和支持调查的 Internet 使用情况数据。

本文中的指南可帮助你在生产环境中测试和部署 Microsoft Entra Internet Access。 Microsoft Global Secure Access 部署指南简介 提供了有关如何启动、计划、执行、监视和关闭 Global Secure Access 部署项目的指南。

确定和规划关键用例

在启用Microsoft Entra Internet Access 之前，请规划希望它为你执行的操作。 了解用例（如以下情况），以确定要部署哪些功能。

• 定义一个基线策略，该策略适用于通过服务路由的所有 Internet 访问流量。
• 阻止特定用户和组使用托管设备按类别（如酒精和烟草或社交媒体）访问网站。 Microsoft Entra Internet Access 提供了 60 多个类别可供选择。
• 阻止用户和组使用托管设备访问特定的完全限定域名（FQDN）。
• 配置覆盖策略以允许用户组访问原本将会被 Web 筛选规则阻止的网站。
• 将 Microsoft Entra Internet Access 的功能扩展到整个网络，包括未运行全局安全访问客户端的设备
  • 使用远程虚拟广域网（vWAN） 模拟远程网络连接
  • 使用 Azure 虚拟网络网关（VNG） 模拟远程网络连接

了解用例中所需的功能后，请创建一个清单以将用户和组与这些功能相关联。 了解应阻止或允许哪些用户和组访问特定的 Web 类别和 FQDN。 包括每个用户组的规则优先级。

测试和部署 Microsoft Entra 网络访问

此时，你已完成安全访问服务 Edge （SASE） 部署项目的启动和计划阶段。 你了解需要为谁实现哪些内容。 你定义了要在每波中启用的用户。 每个阶段的部署都有一个计划。 你已满足 许可要求。 你已准备好启用 Microsoft Entra Internet Access。

1. 完成全球安全访问先决条件。
2. 创建包含试点用户的 Microsoft Entra 组。
3. 启用 Microsoft Entra Internet 访问和 Microsoft 流量转发配置文件。 将试点组分配给每个配置文件。

1. 创建最终用户通信以设置预期并提供升级路径。

2. 创建一个回滚计划，用于定义从用户设备中删除全局安全访问客户端或禁用流量转发配置文件时的情况和过程。

3. 发送终端用户信息。

4. 在要测试的试点组的设备上部署适用于 Windows 的 Global Secure Access 客户端。

5. 使用 vWAN 或 VNG 配置远程网络（如果在范围内）。

6. 配置 Web 内容筛选策略，以便根据规划时定义的用例允许或阻止类别或 FQDN。

   • 按类别阻止：定义一条规则，阻止许多预定义的管理类别中的一个类别
   • 按 FQDN 阻止：定义一条规则，阻止指定的 FQDN
   • 重写：定义一条规则，允许指定的 Web 类别或 FQDN

7. 创建 安全配置文件， 根据计划对 Web 内容筛选策略进行分组和设置优先级。

   • 基线配置文件：使用基线配置文件功能对默认应用于所有用户的 Web 内容筛选策略进行分组。
   • 安全配置文件：创建安全配置文件以对应用于部分用户的 Web 内容筛选策略进行分组。

8. 创建并链接条件访问策略，以将安全配置文件应用到试点组。 默认基线配置文件不需要条件访问策略。

9. 让试点用户测试配置。

10. 在全球安全访问流量日志中确认活动。

11. 更新配置以解决任何问题并重复测试。 必要时使用回滚计划。

12. 根据需要，对最终用户沟通和部署计划进行反复调整。

试点完成后，你将拥有一个可重复的流程，能够明确如何在生产部署中处理每一批用户。

1. 确定包含阶段用户的组。
2. 通知支持团队计划的阶段及其包含的用户。
3. 根据计划发送准备好的最终用户通信。
4. 将组分配给 Microsoft Entra Internet 访问流量转发配置文件。
5. 在此波中的用户设备上部署全局安全访问客户端。
6. 如果需要，请创建和配置更多 Web 内容筛选策略，以允许或阻止类别或 FQDN，具体取决于你在计划中定义的用例。
7. 如果需要，请创建更多安全配置文件，根据计划对 Web 内容筛选策略进行分组和设置优先级。
8. 创建条件访问策略，以在此波中将新的安全配置文件应用到相关组，或将新用户组添加到现有安全配置文件的现有条件访问策略。
9. 更新配置。 再次进行测试以解决问题。 如果需要，请启动回滚计划。
10. 根据需要，迭代修改最终用户通信和部署计划。

后续步骤

• 了解如何使用 Microsoft Entra Suite 和 Microsoft 的统一安全运营平台 加速过渡到零信任安全模型
• Microsoft 全局安全访问部署指南简介
• Microsoft Entra 专用访问的 Microsoft 全球安全访问部署指南
• 针对 Microsoft 流量的 Microsoft 全球安全访问部署指南
• 使用 Azure 虚拟网络网关模拟远程网络连接 - 全局安全访问
• 使用 Azure vWAN 模拟远程网络连接 - 全局安全访问
• 全球安全访问概念证明指南简介](gsa-poc-guidance-intro.md)
• 全局安全访问概念证明指南 - 配置 Microsoft Entra Private Access
• 全局安全访问概念证明指南 - 配置 Microsoft Entra Internet 访问