Microsoft Microsoft Entra Internet Access 的全域安全存取部署指南

Microsoft全域安全存取 整合網路、身分識別和端點存取控制，以便用戶能從任何位置、裝置或身份安全地存取各種應用程式或資源。 它可啟用及協調公司員工的存取原則管理。 您可以即時監視和調整私人應用程式、軟體即服務 （SaaS） 應用程式和Microsoft端點的使用者存取權。 此解決方案可協助您在發生許可權和風險層級變更時適當地回應。

透過 Microsoft Entra Internet Access，您可以在本機或遠端工作時，使用受管理的裝置來控制及管理企業使用者的因特網存取。 它可協助您：

• 保護您的企業使用者和受管理裝置免於惡意因特網流量和惡意代碼感染。
• 停止用戶根據網頁類別或完整限定的網域名稱存取網站。
• 收集報告和支持調查的因特網使用量數據。

本文中的指引可協助您在生產環境中測試及部署 Microsoft Entra Internet Access。 Microsoft Global Secure Access 部署指南簡介 提供如何起始、規劃、執行、監視及關閉全域安全存取部署專案的指引。

識別和規劃重要使用案例

在啟用 Microsoft Entra Internet Access 之前，請規劃您想要達成的目標。 瞭解使用案例，例如下列專案，以決定要部署哪些功能。

• 定義套用至透過服務路由傳送之所有因特網存取流量的基準原則。
• 防止特定使用者和群組使用受管理裝置依類別存取網站（例如酒精和煙草或社交媒體）。 Microsoft Entra Internet Access 提供 60 多個類別，您可以從中選擇。
• 防止使用者和群組使用受控裝置存取特定的完全合格網域名稱（FQDN）。
• 設定覆寫原則，以允許使用者群組存取 Web 篩選規則會封鎖的網站。
• 將 Microsoft Entra Internet Access 的功能延伸至整個網路，包括未執行 Global Secure Access 用戶端的裝置
  • 使用遠端虛擬廣域網 （vWAN） 模擬遠端網路連線能力
  • 使用 Azure 虛擬網路閘道 （VNG） 模擬遠端網路連線

在您瞭解使用案例中所需的功能之後，請建立清單，以將使用者和用戶群與這些功能產生關聯。 瞭解要封鎖或允許存取哪些 Web 類別和 FQDN 的使用者和群組。 包含每個使用者群組的規則優先順序。

測試及部署 Microsoft Entra Internet Access

此時，您已完成安全存取服務Edge（SASE） 部署專案的起始和規劃階段。 您了解需要為誰去實現的內容。 您已定義要在每個波中啟用的使用者。 您有每個波次部署的排程。 您已達到 授權需求。 您已準備好啟用 Microsoft Entra Internet Access。

1. 完成 全域安全存取的所有必要條件。
2. 建立包含試驗使用者的Microsoft Entra 群組。
3. 啟用 Microsoft Entra 網際網路存取配置檔，並啟用 Microsoft 流量轉送配置檔。 將試點群組指派給每個檔案。

1. 設計給終端使用者的通訊，以設立期望並提供問題升級途徑。

2. 建立復原計劃，以定義當您從使用者裝置移除全域安全存取用戶端或停用流量轉送配置檔時的情況和程序。

3. 傳送用戶通訊。

4. 在要測試的試驗群組的裝置上部署適用於 Windows 的 Global Secure Access 用戶端。

5. 若在範圍內，請使用 vWAN 或 VNG 設定遠端網路。

6. 設定 Web 內容篩選原則，根據您在規劃期間定義的使用案例來允許或封鎖類別或 FQDN。

   • 依類別封鎖：定義一個規則來封鎖其中一個預先定義的管理類別。
   • 針對您指定的 FQDN 定義封鎖規則
   • 覆寫：定義允許您指定的 Web 類別或 FQDN 的規則

7. 建立 安全性配置檔， 根據您的計劃來分組並排定 Web 內容篩選原則的優先順序。

   • 基準配置檔：使用基準配置檔功能，將預設套用至所有使用者的 Web 內容篩選原則分組。
   • 安全性配置檔：建立安全性配置檔，將套用至使用者子集的 Web 內容篩選原則分組。

8. 建立並連結 條件式存取原則，以將安全性配置檔套用至試驗群組。 預設的基線設定檔不需要條件存取政策。

9. 讓您的試驗用戶測試您的設定。

10. 確認 全域安全存取流量記錄中的活動。

11. 更新您的設定以解決任何問題並重複測試。 如有需要，請使用復原方案。

12. 視需要，對終端用戶通訊和部署計劃進行反覆調整。

試驗完成之後，您將掌握一個可重複的流程，以瞭解如何在您的生產部署中推進每一批次的使用者。

1. 識別包含你的用戶群的群組。
2. 通知支援團隊關於已排程的批次及其包含的使用者。
3. 根據您的計劃傳送已備妥的用戶通訊。
4. 將群組指派給 Microsoft Entra Internet Access 流量轉送配置檔。
5. 在此波中的用戶裝置上部署全域安全存取用戶端。
6. 如有需要，請建立及設定更多 Web 內容篩選原則，以根據您在方案中定義的使用案例來允許或封鎖類別或 FQDN。
7. 如有需要，請建立更多安全性配置檔，根據您的方案分組並排定 Web 內容篩選原則的優先順序。
8. 建立條件式存取原則，以在此浪潮中將新的安全性配置檔套用至相關群組，或將新的使用者群組新增至現有安全性配置檔的現有條件式存取原則。
9. 更新您的設定。 再次測試以解決問題。 如有需要，請啟動回退計劃。
10. 根據需要，調整並更新用戶溝通和部署計劃。

後續步驟

• 瞭解如何使用 Microsoft Entra Suite 和Microsoft的統一安全性作業平臺，加速轉換至零信任安全性模型
• 全域安全存取部署指南Microsoft簡介
• Microsoft Entra Private Access 的 Microsoft 全域安全存取部署指南
• Microsoft 全域安全存取 部署指南適用於 Microsoft 流量
• 使用 Azure 虛擬網路閘道模擬遠端網路連線 - 全域安全存取
• 使用 Azure vWAN 模擬遠端網路連線 - 全域安全存取