Microsoft Entra Private Access käytännössä

Tämä artikkeli on osa 3 juttusarjasta, joka käsittelee Microsoftin moderneja etäyhteyksiä ja Zero Trustia.

Osa 1: Modernit ja tietoturvalliset etäyhteydet - mistä on kyse?
Osa 2: Microsoft Entra Global Secure Access - vaihtoehto perinteiselle VPN:lle
Osa 3: Private Access käytännössä (tämä juttu)
Osa 4: Microsoft Entra Suite - mistä on kyse?

Tässä artikkelissa käsittelen omaa sisäistä kehityshankettamme. Hankkeessa poistimme käytöstä hyvin palvelleen Azure Virtual Desktop -palvelumme, ja korvasimme sen Entra ID Private Accessilla.

Meillä tietoturvaan keskittyvänä yrityksenä on usein tarve ottaa erilaisia yhteyksiä moninaisiin ympäristöihin, olivatpa ne asiakkaiden, kumppaneiden tai eri palvelutuottajien. Oma IT-ympäristömme on täysin pilvinatiivi Microsoftin parhailla tietoturvakyvykkyyksillä (toki täydennettynä muutamilla kolmannen osapuolen ratkaisuilla).

Ongelmaksi on aikaisemmin muodostunut, miten muodostamme pilvihallitulta päätelaitteelta turvallisen yhteyden kolmanteen osapuoleen. Tätä ongelmaa meillä ratkaistiin aikaisemmin Azure Virtual Desktop-ympäristöllä, jossa olevat työasemat olivat rajusti kovennettuja, käyttö oli rajattua ja työasemat oli yhdistetty Azuren virtuaaliverkkoon, josta pystyimme Azuren verkkoteknisillä ratkaisuilla muodostamaan yhteyksiä eteenpäin esim. Site-to-Site VPN-yhteyksiä käyttämällä. Tämä ympäristö oli hyvin toimiva, ja suhteellisen kustannustehokas, kun olimme Kettusen Jukan kanssa säätäneet esimerkiksi virtuaalikoneiden sammutusajat hyvin optimoiduiksi. Kuitenkin jokainen, joka on joskus tehnyt töitä RDP- tai AVD-yhteyksien kautta tietää, että näissä yhteyksissä on aina omat ongelmansa.

Heti kun saimme vinkkiä Microsoftin Private Access palvelun julkaisusta, aloimme miettimään, voisimmeko parantaa tai mahdollisesti jopa alas ajaa nykyisiä palveluita? Tietysti haluamme syödä sitä mistä asiakkaillemmekin kerromme. Päätimme siis lähteä kokeilemaan Private Accessia.

Käyttöönotto

Private Accessin käyttöönottohan meillä meni erittäin helposti:

Hankimme Entra suite add-on lisenssit nykyisten M365 E5 lisenssien päälle.

Rakensimme Windows-palvelimen verkkoon, josta aikaisemmatkin yhteydet oli rakennettu.
- Tarkemmat suositukset palvelimelle: How to configure connectors for Microsoft Entra Private Access - Global Secure Access | Microsoft Learn
Asensimme palvelimeen Microsoft Entra private network connector -palvelun

Määrittelimme Entra ID:n haluamamme palvelut reititettäväksi Private Accessin kautta.
- Huom! Quick Access on nopea ja vaivaton tapa rakentaa yhteydet kaikille, mutta esimerkiksi me haluamme jakaa yhteyksiin liittyvät oikeudet vain niille henkilöille, joilla on tarve kyseisille yhteyksille. Tästä syystä valtaosa erilaisista yhteyksistä määriteltiin Entra ID-ryhmien kautta, jolloin pystyimme luvittamaan oikeudet per yhteys.

Rakensimme Intune-palveluumme automaattiset käyttöönottopaketit Windows -ja macOS työasemille. Asennus automaattisesti kaikille työasemille.

Määrittelimme Conditional Accessiin kovennukset kaikille näille yhteyksille vaatimaan vähintään FIDO2-tasoisen interaktiivisen autentikoinnin, sekä yrityksemme hallitun ja vaatimusten mukaisen laitteen.
Asetimme client -sovellukset päivittymään automaattisesti Patch My PC palvelumme avulla.

Ajoimme hetken aikaa Private Accessia ja AVD:ta rinnakkain, ja huomasimme ettei vanhalla AVD ympäristölle ollut enää tarvetta. Käytännössä kaikki käyttäjämme, jotka yhteyksiä käyttivät suosivat palveluiden käyttämistä GSA-agentin kautta. Onnistuneen pilotin jälkeen päätimmekin alas ajaa AVD ympäristömme kokonaisuudessaan ja siirtyä vain Private Access käyttöön.

Ainoa huomaamamme merkittävä puute on Windows clientin ARM64 tuen puute.

💡

The Global Secure Access client for Windows - Global Secure Access | Microsoft Learn - The Global Secure Access client doesn't support Arm64 architecture.

Muilta osin palvelu on toiminut ongelmitta.

Ympäristöön liittyviä valvottavia komponentteja ei ole kovin montaa, ja palvelu on tuntunut myös olevan kaikille mieluinen käyttää.

Ympäristöä rakentaessamme emme ole voineet välttyä ajatuksilta kuten:

Kuinka monessa yrityksessä oikeasti enää tarvitaan sisäverkkoa?
Mitkä ovat ne tavat millä perinteiset VPN-ratkaisut voittavat Private Accessin?
Mikä on ns. paras yrityksen koko, jolle palvelu sopii?

Näihin liittyvistä pohdinnoista saisi helposti kokonaan oman blogisarjan, ja jos haluat kuulla lisää, ole ihmeessä yhteydessä!

Tarvitsetko näkemyksiä, tukea tai sparrausapua moderneihin etäyhteyksiin? Ota yhteyttä!