通过

Microsoft全局安全访问部署指南简介

Microsoft 全球安全访问安全访问服务边缘 (SASE) 策略成功实施的关键组件。 它具有 Microsoft Entra Internet 访问Microsoft Entra 专用访问Microsoft 流量等功能。 它利用微软庞大的专用广域网以及您在条件访问策略上的投资,帮助您在网络层面保护公司的数据。

下面是关键的全局安全访问部署方案:

  • 将现有 VPN 解决方案替换为 零信任网络访问(ZTNA)方法,该方法提供从终结点到应用程序的安全连接。
  • 为现场和远程员工保护和监视 Microsoft 流量。
  • 保护并监视现场和远程员工的 Internet 流量。

本部署指南可帮助你规划和部署Microsoft全局安全访问。 有关许可信息,请参阅 全局安全访问许可概述。 虽然大部分服务已正式发布(正式版),但部分服务处于公共预览状态。 请查看 425 演示:规划和实施全球安全访问部署 ,以观看有关详细部署规划和实施建议的视频演练。

执行概念证明

执行 概念证明(PoC),以确保你选择的解决方案提供所需的功能和连接。

根据您计划在 PoC 中部署的 Microsoft 全球安全访问功能,您可能需要最多 7 小时。 确保您满足 许可要求

  • 配置先决条件:一小时
  • 配置初始产品:20 分钟
  • 配置远程网络:1 到 2 小时
  • 部署和测试 Microsoft 流量配置文件:一小时
  • 部署和测试 Microsoft Entra Internet 访问:一小时
  • 部署和测试 Microsoft Entra Private Access:一小时
  • 关闭 PoC:30 分钟

请参阅 425 节目:Global Secure Access 概念证明深入探讨,观看视频演练以详细了解概念证明过程。

启动全球安全访问项目

项目启动是任何成功项目的第一步。 在项目启动开始时,你决定实施Microsoft全局安全访问。 项目成功取决于你了解要求、定义成功条件并确保适当的通信。 请务必管理期望、结果和责任。

确定业务需求、结果和成功条件

确定业务要求、结果和成功标准,以准确阐明使用成功条件完成所需的内容。 例如:

  • 需要此项目才能实现的关键结果是什么?
  • 你计划如何替换 VPN?
  • 您打算如何保护您的Microsoft网络流量?
  • 如何规划保护 Internet 流量?

确定主要方案后,深入了解详细信息:

  • 用户需要访问哪些应用程序?
  • 哪些网站需要访问控制?
  • 什么是强制性的,什么是可选的?

在此阶段,创建描述范围内用户、设备和关键应用程序的清单。 对于 VPN 替换,请从快速访问开始,确定用户需要访问的专用应用程序,以便可以在 Microsoft Entra Private Access 中定义它们。

定义计划

在预算和时间限制内实现所需结果后,项目是成功的。 按日期、季度或年份确定结果目标。 与利益干系人合作,了解定义结果目标的特定里程碑。 为每个目标定义评审要求和成功条件。 由于 Microsoft 全球安全访问正在持续开发中,请将需求与功能开发阶段相匹配。

确定利益干系人

确定并记录在 ZTNA 项目中涉及的利益相关者及其角色和责任。 职称和角色可能因组织而异;但所有权领域相似。 请考虑下表中的角色和职责,并确定相应的利益干系人。 将此类表分发给领导、利益干系人和团队。

角色 责任
赞助商 有权批准和/或分配预算和资源的企业高级主管。 连接经理和执行团队。 产品和功能实现的技术决策者。
最终用户 你为其实现服务的人员。 可参加试点计划。
IT 支持经理 就建议变更的支持性提供意见。
标识架构师 定义更改如何与标识管理基础结构保持一致。 了解当前环境。
应用程序业务所有者 拥有受影响的应用程序,可能包括访问管理。 提供有关用户体验的反馈。
安全所有者 确认更改计划满足安全要求。
网络管理器 监督网络功能、性能、安全性和可访问性。
合规性管理器 确保符合公司、行业和政府要求。
技术项目经理 监督项目、管理要求、协调工作流,并确保遵守计划和预算。 促进沟通计划和报告。
SOC/CERT 团队 确认威胁搜寻日志和报表要求。
租户管理员 在整个项目期间协调负责 Microsoft Entra 租户更改的 IT 所有者和技术资源。
部署团队 执行部署和配置任务。

创建 RACI 图表

执行人、负责人、提供咨询的人、需传达的人 (RACI) 指角色和职责定义。 对于项目和跨职能或部门项目和流程,请在 RACI 图表中定义和阐明角色和职责。

  1. 下载 全局安全访问部署指南 RACI 模板 作为起点。
  2. 将“执行人、负责人、提供咨询的人、需传达的人”角色和职责映射到项目工作流。
  3. 将 RACI 图表分发给利益干系人并确保他们了解分配。

创建通信计划

通信计划可帮助你适当、主动和定期地与利益干系人交互。

  • 提供有关部署计划和项目状态的相关信息。
  • 定义在 RACI 图表中给每个利益相关者的沟通目的和频率。
  • 确定创建和分发通信的人员以及共享信息的机制。 例如,通信经理通过电子邮件和指定网站使最终用户了解待定和当前的更改。
  • 包括有关用户体验更改以及如何获取支持的信息。 请参阅示例最终用户通信模板:

创建变更控制计划

随着项目团队收集信息和详细信息,计划可能会更改。 创建变更控制计划,以向利益干系人描述:

  • 更改请求流程和程序。
  • 如何了解更改影响。
  • 审查和审批的责任。
  • 当更改需要更多时间或资金时会发生什么情况。

良好的控制计划可确保团队知道何时需要进行更改。

创建项目关闭计划

每个项目关闭都需要项目后评审。 确定要包含在此评审中的指标和信息,以便在整个项目生存期内定期收集正确的数据。 项目关闭计划可帮助你有效地生成课程学习摘要。

获取利益干系人共识

完成项目启动任务后,请与每个利益干系人协作,确保计划满足其特定需求。 通过正式审批流程记录共识和书面批准,防止误解和意外。 举行一个启动会议,内容涵盖参考文档中的范围和详细信息。

规划全局安全访问项目

创建详细的项目计划

使用在项目启动中标识的里程碑创建详细的项目计划。 使用应变计划设置现实预期,以满足关键里程碑:

  • 概念验证 (PoC)
  • 试点日期
  • 启动日期
  • 影响送达的日期
  • 依赖

在项目计划中包含此信息:

  • 包含日期、依赖项和关键路径的详细工作细分结构

    • 根据预期的支持负载,在每个波次中直接转换的用户最大数量
    • 每个部署波次的期限(例如,每个星期一直接转换一个波次)
    • 每个部署波中的特定用户组(不超过最大数量)
    • 用户需要的应用(或使用快速访问)

  • 分配给每个任务的团队成员

创建风险管理计划

创建风险管理计划,为可能影响日期和预算的应变做好准备。

  • 确定关键路径和必需的密钥结果。
  • 了解工作流风险。
  • 记录备份计划,以在发生应变时保持计划不变。

定义性能成功条件

定义可接受的性能指标,以便客观地测试并确保部署成功,并且用户体验在参数中。 请考虑包括以下指标。

Microsoft Entra 专用访问

  • 网络性能是否符合您定义的参数?

    • 全局安全访问仪表板为你提供 Microsoft Entra 专用访问和 Microsoft Entra Internet 访问获得的网络流量可视化。 它从网络配置(包括设备、用户和租户)编译数据。
    • 使用 Azure Monitor 日志中的 网络监视 来监视和分析网络连接、ExpressRoute 线路运行状况和云网络流量。

  • 在试点期间,你是否注意到延迟增加? 你是否具有特定于应用的延迟要求?

  • 密钥应用程序的单一登录(SSO)是否正常工作?

  • 考虑运行用户满意度和用户验收调查。

Microsoft流量

  • 网络性能是否符合您定义的参数?

    • 全局安全访问仪表板为你提供 Microsoft Entra 专用访问和 Microsoft Entra Internet 访问获得的网络流量可视化。 它从网络配置(包括设备、用户和租户)编译数据。
    • 利用 Microsoft 365 网络评估将网络性能指标汇总精炼成一幅反映企业网络边界运行状况的即时图景。
    • 使用 Microsoft 365 网络连接测试测量设备与 Internet 之间的连接以及从那里到 Microsoft 网络的连接。

  • 在试点期间,你是否注意到延迟增加?

  • 请考虑运行用户满意度调查。

  • 请考虑运行用户验收调查。

Microsoft Entra Internet 访问

规划回滚方案

在完成生产部署并积极增加具有 Microsoft 安全服务 Edge 的用户数时,你可能会发现对最终用户产生负面影响的意外或未经测试的方案。 为应对负面影响进行规划:

  • 定义最终用户报告问题的过程。
  • 定义一个过程,以回滚特定用户或组的部署或禁用流量配置文件。
  • 定义一个过程来评估出了什么问题、确定修正步骤,并传达给利益干系人。
  • 准备在生产部署持续到后续用户浪潮之前测试新配置。

执行项目计划

获取权限

确保向与 Global Secure Access 交互的管理员分配正确的角色

准备好你的 IT 支持团队

确定用户在遇到问题或连接问题时如何获得支持。 开发自助服务文档,降低 IT 支持团队的压力。 确保 IT 支持团队接受部署准备培训。 将它们包含在最终用户通信中,以便他们知道分阶段迁移计划、受影响的团队和范围内的应用程序。 若要防止用户群或 IT 支持中的混淆,请建立一个处理和升级用户支持请求的过程。

执行试点部署

给定生产部署范围内的用户、设备和应用程序,请从一个小的初始测试组开始。 调整通信、部署、测试和支持过程,以适应分阶段推出。在开始之前,请查看并确认所有 先决条件 均已到位。

确保设备在租户中注册。 请遵循 中的准则来规划 Microsoft Entra 设备部署。 如果你的组织使用 Intune,请遵循在 Intune 中管理和保护设备中的指南。

关于可选要求的建议

下表中的资源为每个可选要求提供详细的规划和执行任务。

可选要求 资源
安全访问 Microsoft 流量。 Microsoft 流量部署计划
将 VPN 替换为零信任解决方案,以通过专用访问流量配置文件保护本地资源。 Microsoft Entra 专用访问部署计划
使用 Microsoft Entra Internet 访问流量配置文件保护 Internet 流量。 Microsoft Entra 互联网接入部署计划

试点应包含一些用户(少于 20 个),这些用户可以测试范围内的设备和应用程序。 在确定试点用户之后,将他们单独或作为一个组(建议)分配到流量配置文件。 请遵循将用户和组分配到流量转发配置文件中的详细指南。

系统地处理每个确定的范围内应用程序。 确保用户可以在范围内设备上按预期连接。 观察并记录性能成功标准指标。 测试通信计划和流程。 根据需要微调和迭代。

试点完成并满足成功标准后,请确保支持团队已准备好下一阶段。 完成所有流程和沟通工作。 继续进行生产部署。

部署到生产

完成所有计划和测试后,部署应该是具有预期结果的可重复过程。

有关详细信息,请参阅相关指南:

重复分阶段部署,直到切换所有用户到Microsoft全局安全访问。 如果您使用 Microsoft Entra Private 访问,它将禁用快速访问,并通过全球安全访问应用程序转发所有流量。

规划紧急访问

当全局安全访问关闭时,用户无法访问符合全局安全访问的网络检查保护的资源。 该 GsaBreakglassEnforcement脚本 允许企业管理员将已启用的合规网络条件访问策略切换为仅报告模式。 该脚本暂时允许用户在没有全局安全访问的情况下访问这些资源。

返回全局安全访问后,使用 GsaBreakglassRecovery脚本 打开所有受影响的策略。

其他注意事项

监视和控制您的全球安全访问项目

监视和控制项目以管理风险,并确定可能需要偏离计划的问题。 使项目保持正常状态,并确保与利益干系人准确及时的沟通。 始终准确、按时和预算内完成要求。

此阶段的主要目标:

  • 进度监测。 任务是否按计划完成? 如果不是,为什么不呢? 如何回到正轨?
  • 问题发现。 问题是否已出现(例如计划外资源可用性或其他意外挑战)? 必要的更改是否导致了变更单的产生?
  • 效率监控。 你是否在既定流程中识别出固有的低效率情况? 监控显示效率低下时,您如何调整或优化项目方法或策略?
  • 通信确认。 利益干系人是否对沟通频率和细节水平感到满意? 如果没有,如何调整?

制定每周计划并审查项目详细信息。 密切关注关键里程碑。 与所有利益干系人进行适当的沟通,并为项目结束报告获取数据。

关闭全局安全访问项目

祝贺! 已完成Microsoft全局安全访问部署。 完成剩余的工作并结束项目。

  • 收集利益干系人反馈,了解团队是否符合预期和需求。
  • 使用在整个执行阶段收集的数据(在项目启动期间定义)来开发所需的完结资产。 例如,项目评估、吸取的教训和事后演示。
  • 存档项目详细信息,以便参考类似的未来项目。

后续步骤

  • Last updated on