Global Secure Access とは
重要
グローバル セキュア アクセスの一部の機能は現在プレビュー段階です。 ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される法律条項については、「製品条項」を参照してください。
人の働き方が変わりました。 従来のオフィスで働く代わりに、現在、人々はほぼどこでも働いています。 アプリケーションとデータがクラウドに移行すると、最新の労働力に対する ID 対応のクラウド配信ネットワーク境界が必要になります。 この新しいネットワーク セキュリティ カテゴリは、Security Service Edge (SSE) と呼ばれます。
Microsoft Entra Internet Access と Microsoft Entra Private Access は、Microsoft のセキュリティ サービス エッジ (SSE) ソリューションで構成されます。 グローバル セキュア アクセスは、Microsoft Entra Internet Access と Microsoft Entra Private Access の両方で使用される統一用語です。 Global Secure Access は、Microsoft Entra 管理センター内の統合された場所です。 Global Secure Access は最小限の特権を使用し、明示的に検証し、侵害を想定するためにゼロ トラストのコア原則に基づいて構築されています。
Microsoft のセキュリティ サービス エッジ (SSE) ソリューション
Microsoft Entra Internet Access と Microsoft Entra Private Access は、Microsoft Defender for Cloud Apps と組み合わされ、SaaS セキュリティに重点を置いた Cloud Access Security Broker (CASB) であり、ネットワーク、ID、エンドポイントのアクセス制御を集約するソリューションとして一意に構築されているため、どこからでも任意のアプリまたはリソースへのアクセスをセキュリティで保護できます。 これらのセキュリティで保護されたグローバル アクセス製品が追加された Microsoft Entra ID は、アクセス ポリシー管理を簡素化し、従業員、ビジネス パートナー、デジタル ワークロードのアクセス権のオーケストレーションを可能にします。 アクセス許可またはリスク レベルが変更された場合は、ユーザー アクセスをリアルタイムで継続的に監視および調整できます。
セキュリティで保護されたグローバル アクセス機能を使用すると、統合ポータルを使用してアクセス制御機能のロールアウトと管理を効率化できます。 これらの機能は、140 以上の地域と 190 以上のネットワーク エッジの場所にまたがる Microsoft のワイド エリア ネットワークから提供されます。 このプライベート ネットワークは、世界最大のネットワークの 1 つであり、組織がユーザーとデバイスをパブリックとプライベートのリソースにシームレスかつ安全に最適に接続できるようにします。 現在のプレゼンス ポイントの一覧については、セキュリティで保護されたグローバル プレゼンス ポイントの記事を参照してください。
Microsoft Entra Internet Access
Microsoft Entra Internet Access は、ユーザー、デバイス、データをインターネットの脅威から保護しながら、Microsoft サービス、SaaS、パブリック インターネット アプリへのアクセスをセキュリティで保護します。 クラス最高のセキュリティと可視性と、Microsoft 365 アプリへの高速かつシームレスなアクセス。 ID 中心で、デバイスを認識し、クラウドによって提供される Microsoft Entra Internet Access の Secure Web Gateway (SWG) を通してパブリック インターネット アプリへのアクセスをセキュリティで保護します。
主要な機能
- デスクトップ クライアントまたはブランチ ロケーションなどのリモート ネットワークからネットワーク トラフィックを取得します。 Microsoft 以外の SSE ソリューションと並行して展開します。 ユーザー対応のパブリック インターネット トラフィック転送プロファイル。 事前に設定された Microsoft 365 トラフィック転送プロファイル。
- 条件付きアクセスとの統合を通じてネットワーク セキュリティ ポリシーを適用しながら、高度なコンテキスト認識 (ユーザー、デバイス、場所、リスク、コンプライアンス ポリシー) を活用します。 Microsoft のクラウド配信型の ID 対応 SWG ソリューションを使用しながら、パブリック インターネットへのユーザー アクセスを保護します。
- Web コンテンツ フィルタリングを有効にして、Web コンテンツ カテゴリや FQDN ドメイン名に基づいてインターネットの宛先へのアクセスを規制できます。
- 条件付きアクセス セッション制御との統合を通じて、Microsoft Entra ID とフェデレーションされていない場合でも、すべてのインターネット宛先にユニバーサル条件付きアクセス ポリシーを適用します。
- テナントの準拠しているネットワーク チェック (条件付きアクセスに組み込まれています) を使用して、盗まれたトークンの再生を防止します。 場所ベースのセキュリティ チェックを実現するために生産性を犠牲にしながら、ユーザーをヘアピンする必要を回避します。 また、SaaS アプリケーションの SSE バイパスを防止します。
- ユニバーサル テナント制限を適用し、未承認の外部テナントまたは個人アカウントへのデータ流出を防止します。
- 条件付きアクセス ポリシー、Microsoft Entra ID 保護のリスク検出、Entra ID ログイン ログで元のユーザー ソース IP を回復します。
- 詳細なネットワーク トラフィック ログ (実施されたポリシーの詳細を含む)。 ユーザー、デバイス、エンドポイント間のリレーションシップ マップ、テナント間アクセス、使用中の上位のネットワーク宛先などのダッシュボード。
Microsoft Entra Private Access
Microsoft Entra Private Access は、オフィス内でもリモートでも、非公開の企業リソースへのセキュリティで保護されたアクセスをユーザーに提供します。 Microsoft Entra Private Access は、Microsoft Entra アプリ プロキシの機能に基づいて構築され、すべてのプライベート リソース、ポート、プロトコルにアクセスを拡大します。
リモート ユーザーは、VPN を必要とせずに、任意のデバイスとネットワークからハイブリッドおよびマルチクラウド環境、プライベート ネットワーク、データ センターにまたがってプライベート アプリに接続します。 このサービスは、VPN よりも詳細なセキュリティを実現するために、条件付きアクセス ポリシーに基づくアプリごとのアダプティブ アクセスを提供します。
主要な機能
- レガシ VPN を必要とせずに、一連の IP アドレスや完全修飾ドメイン名 (FQDN) へのゼロ トラスト ベースのアクセス。 この機能はクイック アクセスと呼ばれます。
- 伝送制御プロトコル (TCP) およびユーザー データグラム プロトコル (UDP) アプリケーションのアプリごとのアクセス。
- 条件付きアクセスの密接な統合を使用して、レガシ アプリ認証を最新化します。
- デスクトップ クライアントからネットワーク トラフィックを取得し、既存の Microsoft 以外の SSE ソリューションと並行してデプロイすることで、シームレスなエンド ユーザー エクスペリエンスを提供します。
ライセンスの概要
Microsoft Entra Internet Access と Microsoft Entra Private Access は一般提供になっています。 インターネット アクセス機能を使うには Microsoft Entra Internet Access ライセンスが必要であり、プライベート アクセス機能を使うには Microsoft Entra Private Access ライセンスが必要です。 両方のライセンスは、Microsoft Entra スイートの一部として使用できます。 ライセンス コストと Microsoft Entra スイートの詳細については、「Microsoft Entra のプランと価格」を参照してください。 個々のライセンスの購入の詳細については、[ライセンス] ページの [Microsoft Entra Suite スタンドアロン製品] タブを参照してください。
Microsoft Entra Private Access および Microsoft Entra Internet Access を使うための前提条件は、Microsoft Entra ID P1 または Microsoft Entra ID P2 です。
重要
Microsoft Entra Private Access と Microsoft Entra Internet Access のライセンス適用は、2024 年 10 月 1 日にロールアウトを開始します。 これは、2024 年 7 月 1 日の一般提供で始まった 90 日間の試用期間の後になります。
リモート ネットワーク ライセンス
リモート ネットワークのライセンス モデルはまだ決定されていますが、Microsoft トラフィックの展開に最適なパフォーマンスを確保するために、最新のガイダンスと推奨事項を提供したいと考えています。 Microsoft では、1250 ユーザーの Microsoft トラフィックに対して 250 Mbps の帯域幅を推奨しています。 推奨される制限を超える使用の場合は、追加料金が適用される場合があります。 リモート ネットワークの詳細については、「グローバル セキュア アクセスを使用してリモート ネットワークを作成する方法」を参照してください。